上海下雪了。屋里我和7kb边喝茶边聊安全,我们都在感叹这几年信息安全行业发展变化之大、速度之快。这次采访从SRC和白帽子开始,说安全行业。
7kb和我说,当初这个行业根本没有SRC的概念,自己也不混SRC,现在互联网公司基本都有了自己的SRC。当初学信息安全学挖漏洞也完全是兴趣使然,只是单纯的喜欢,不为赚钱。现在挖漏洞成了白帽子的赚钱方式。安全行业当初也没有这样浮躁,大家都比较喜欢低调的潜心学习。现在一些人挖到几个高危漏洞就觉得自己很了不起,各种榜单、各种会议、各种刷名气,不惜造假、吹牛营销自己。
我在很早之前就认识了7kb。7kb帮我写过很多工具,很多手工重复的工作程序实现,轻松了很多。
7kb很乐于助人。我认为7kb的成长是典型的“野路子”信息安全从业者。学生时期的他成绩还挺好。有一天,他偶然看到了一本黑客杂志,被黑客的自由精神深深吸引,这让他萌生了学习信息安全的想法。开始了真正的“黑客”之路。他认为人就应该做自己想做的事情,做自己喜欢做的事情。他不顾家人的反对,就选择了弃学,虽然后来也参加自考读了大学,但还是把主要精力放在安全学习上。
他弃学时期开始尝试自己创业,一方面加深技术,一方面维持生活。尽管很辛苦,但也为自己能自食其力感到欣慰。后因各种原因导致失败,这时他萌生了找点有意思的事情做的想法,于是去经历和体验了本不是他年纪所应该经历的社会生活。他做过很多份工作,其中两份让他记忆深刻。一个是在工地打工的时候,他年纪既小身体又瘦,每天工地一到开饭的时候,吃饭速度一慢,面前只有空盘子了。另一个是大学的图书馆的工作,那里的学生们都沉浸在书籍的海洋里。慢慢的,7kb也成为其中之一。他深受这种环境的感染,喜欢这份工作。不仅可以工作,还可以学习,做自己喜欢的事情,还能去听大学里的课。
多种生活的体验让他很快成熟了起来。
他在图书馆以及培训班里学了多种编程语言,也学习过平面与3D的设计,偶尔也被自己的设计作品陶醉不已。
他图书馆辞职后,抓住了一次机会开始了新的人生。家人起初很不理解他的工作,尽管后期家人里出了几个程序员,但涉及安全方面的只有他。
他开始踏入安全行业的时候,建设过安全论坛,当过版主,也组过团队。他那时候主要研究前端的渗透,随着认识圈子里的人越来越多,参与的交流越来越多,有了更多的知识积累,知识面也扩大了,懂得了“非知攻,焉知防”的道理,于是他又系统学习了数据库安全以及网站安全运维,慢慢的就又接触到了内网渗透。他在和别人的交流中,意识到持久维权的重要性,于是又专心钻研RAT查杀与反查杀,随后也加入了网络尖刀。
尽管家教很严,7kb也始终追求自己想做的事情。当初他是在顶着随时被老爹拍死的状态下选择的学习安全。起初家里人的反对,一是不了解,二是觉得不安稳,毕竟现在大众的选择是一路读书而后找份稳当工作为好。后来,他家人也逐渐理解了整天喊着追求理想的他,明白他做得是正儿八经的工作了。
在2009年到2010年的这段时间,圈子里很流行各种漏洞文章。7kb就在虚拟机里做了一个环境来复现漏洞,这是他人生第一次漏洞复现。有了第一次漏洞研究之后,便有了第二次、第三次,从此一发不可收拾。
这一路走来,他早已不记得自己复现过多少漏洞,推倒重写了多少代码,更忘记了自己在多少个夜晚里干到天明。
有时候在渗透测试中因为前辈的工具用的不太顺手,他就尝试着写了有自己见解一系列工具,但由于各种原因他并不想公开发布。使用过的朋友们会提出建议,他会为了完美而一次次地更新。现在熟悉的朋友说他,安全做成了安全开发。他认为编程能力是黑客必备的技能。他说技术上的突破,使他认识到了自己的不足,开始了学业上的奋进,参加考试、阅读书籍、将碎片化的知识整理起来。信安也从他最初的兴趣,变成了一生的事业,从事所热爱的工作是一种幸运。
现在在土司论坛,7kb是一位新秀。他很早就知道了土司论坛,但由于不善与人在论坛内交流而一直未能加入,几年前偶然的一次机会他加入了土司论坛,开始尝试着在论坛公布自己的一些作品。他的作品非常受欢迎,使用者也纷纷给他提供了使用意见,使他更好的完善了自己的作品。
#p#分页标题#e#
7kb的虽然不是专业开发,但他写过很多工具。比如web路径探测工具、企业资产搜集、常见网络服务弱点检测工具等。记得某一天土司论坛发布了一个帖子,说明了一个思路,可以将一句话爆破的速度提高千倍,11万行的字典大约15秒左右就可以爆破完成。7kb顺手写了一个工具出来。
今年爆发了IIS 6.0 WebDAV CVE-2017-7269远程代码执行漏洞,7KB为了方便企业排查存在漏洞的机器,写了批量的检测工具,受到企业一致的好评。
他是漏洞的复现者,也是漏洞的发现者。
他说一旦一个人的追求变了,即使有再多的资源,也不会像以前那样纯粹的研究技术了,技术也就没有那么大的诱惑力。技术成了工作,技术更成了赚钱的方式后,会与他当初内心的那份对技术自由的渴望渐行渐远。他一直让自己在一个安静下来的状态中前进,怕人变得浮躁,但有时候也难免被外界影响。
窗外的雪越下越大。我来上海的这些年,还从未见过如此大的雪。现在的安全行业确实变化很多,就业环境比之前好了太多,各种大公司小公司几乎都有了安全人员,对学历的要求也没有像其他行业一样卡得那么死,国家也开始重视这一块了,前景还是非常不错。安全行业一面朝阳的时候,也有很多背阴的地方。某些白帽子因为厂商奖励不满意,便四处攻击;也有某些安全人员四处收购SRC的漏洞,润色自己的简历;当然也有很多混圈子的,大家都心知肚明。
上海的雪停了。雪的初心却没有终止。
朋友眼中的7kb:
oldjun:踏实钻研,潜心技术;低调做人、老成持重。t00ls精神的践行者,90后的典范!
lcx:现在在我眼中,他还算是个孩子,虽然他可能认为自己成熟了。他以后一定会成长为一个男人,一个技术牛人。
Mango:人很不错很仗义,坦荡直言,豪爽热情,勤勤恳恳猫奴叔叔。
国士无双:仗义的兄弟 负责的管理 高产的作者 狂热的coder。
鬼魅羊羔:很有分享精神的小伙儿,不自私,不焦躁,有北方人的仗义和豁达,是个不可多得朋友。
安全小飞侠:我认识Storm有好几年了,这几年他给我的印象就是那种理想主义的Hacker,擅长写工具搞渗透,但是却不喜欢显摆吹逼,踏踏实实,人也很实在,但是和他那张兼具帅气和可爱的脸庞相比技术已经不那么重要了。
接地气:谨慎 、刀子嘴豆腐心、仗义、北方爷们、性格直爽、乐于助人。
为吐司做了很多贡献,无以言表。在我看来他的付出是为了内心的舒坦,而不是回报。老七分享的工具以及热心帮助他人,都很直接的体现他的奉献精神。
相关阅读:
专访铱迅信息CEO、T00ls论坛创始人杨谦:百载文枢江左,东南辈出英豪
专访知名民间黑客洪流:未竟武侠梦,仗剑行天涯
专访尹毅(法师Seay):少年成名,野路子的奇妙逆袭
专访知名民间黑客“核攻击”:在自己的道路上,谱写自己的传奇
专访知名黑客陆羽:俯瞰陆地、振羽翱翔
专访知名民间黑客Rices:没有思维的东西很安全, 有思维的人不可预知