乌云飘散后,一群白帽子这样成长
本文作者:小编()网络安全专栏作者,李勤。 乌云飘散,风铃安全这个白帽子队伍突然慌了。 2016年7月20日,是让 Snake 和黑色键盘此生都难以忘记的日子。 这一天,乌云平台宣布暂时关闭后,再也没有回来。四个月前,因为乌云而凝聚、向技术出发的风铃安全团队正干得风生水起时,前路似乎没有了盼头。 这个 25人、人均年龄十七八岁的白帽子队伍有一个热闹的挖漏洞讨论小组,平时头像不停地跳动,有人大喊一声开挖,大家就会激情群涌。这一天,他们格外沉寂,就算有人说了几句话,也是情绪异常低落。 乌云网,是一个位于厂商和安全研究者之间的安全问题反馈的漏洞平台。这样平淡地形容它也许不太好,可以说,在2016年7月前,乌云是大大小小的黑客学习的圣地,在这里,漏洞详情被公开,一个个如饥似渴的人在这里汲取最新的知识,打磨技术。 风铃安全的白帽子们在来乌云之前,其实也去过别的漏洞平台。团队的技术担当黑色键盘沉浸在回忆里:别的平台都没有这种能够学习和交流的感觉,乌云没了,大家都很伤心。 是的,乌云关闭后,他们没有太多心情组织团队挖漏洞了,一直到2016年12月底,他们东一榔头、西一棒头地在一些厂商的SRC(安全应急响应中心)、漏洞平台挖一挖。 一他们原本对团队的构想并不是这样。 1996 年生的 Snake 和 1998 年生的黑色键盘是风铃安全最早的核心成员之一。 黑色键盘从小对黑客颇有憧憬。“当时年纪小,觉得太牛逼了,黑客好厉害,分分钟把你的密码给盗了,把网站入侵了,黑客又很神秘,我上初一时就想,以后要做一个技术比较牛逼的黑客,我就跟爸妈说,我以后肯定要学技术。” 虽然,黑色键盘对学习没有兴趣,但是爸妈很支持他找到自己的兴趣爱好,在表达了自己强烈的爱好后,父母在他初一时购置了电脑。 Snake 真正走上这条道路,却是因为一场大病。 2014年,Snake高中毕业,本应该去上学,但生了一场病,在家呆了足足有四个月,导致10月才去学校报到,前两个月他一直在治病,两个月后,病情稍微缓和,但依然需要静养,Snake 觉得养病太没意思了,想着研究点什么好呢?于是,钻研起了黑客技术。 病好后,已经耽误不少课程的Snake到了学校后,学校决定让他自己换个专业。 “在学校读什么专业可以以后当黑客?”Snake 直接问。 教务处的老师相视一笑,跟Snake 说,那你就学“软件开发”吧。 到学校后的Snake 在迷雾之中依稀找到灯塔后,黑色键盘也开始上路。 16 岁的黑色键盘对学校已然没有兴趣,接触到了乌云,但是此时还是菜鸟的他觉得乌云门槛太高,代码审计的漏洞几乎都是 PHP,他看不太懂,自学编程的话又感觉有困难。 在急切的求知下,黑色键盘还在网上拜师,单纯的他把钱打给对方后,迅速被拉黑了。最后,他向朋友打听好北京有专门的 PHP 培训学校后,从浙江跑到北京,开始了学习。 他还是进了一所学校。 这时,几路出发的黑色键盘与Snake 成功在同一个QQ群“会师”,成了志趣相投的“同志”。 在“风铃安全”之前,Snake 还创建了一个团队,名叫“K.A.O”,这个队伍由年龄更小的一群人组成,都是一群突然闯进黑客世界兴奋得不知所措的孩子,每天以黑站、挂帖、社工为荣,用 Snake 的话来说,是“娱乐圈”氛围浓厚。 黑掉一个站后,有些年纪更小的成员会使劲在各个群得瑟,黑色键盘忍不了了:“菜鸟整天想着装X,逛黑页,没意思。” 一段时间后,Snake 、黑色键盘和另一个成员 Sea 与“K.A.O”的其他人产生了不同的追求:前三者想在黑客技术上有更高的追求,不想天天在娱乐圈混。 他们想要创建一个新团队,一个能够不断提升黑客技能,互相交流、学习,但又不是浮夸炫技的团队。 【黑色键盘(上),童年版的Snake(下),让人惊讶的是,两位认识好几年的朋友居然没有一张合照】 二建立新团队的心愿在 2016 年 3 月开始达成,一群少年还小有所成。 黑色键盘和Snake 一边学习,一边开始实战——既然乌云门槛稍高,他们就到某漏洞平台开始练手,但是漏洞详情在漏洞平台上不会被公开,这种实战学习的难度有点大。 他们只好自己组队互相培训,突然有一天,发现以前在乌云上看不懂的东西突然能看懂了。 自此,如牛饮水。 2016年3月,乌云开启“团战”模式,Snake 为了扩大战斗实力,“广发英雄帖”。 Snake 说,要像“风铃”一样,敏锐地感知世界的变化,“风铃安全”应运而生,凑齐了12个人(团战要求不高于15个人)。 团战开始后,黑色键盘作为团队的技术担当,猛烈地、密集地召集小伙伴一起挖漏洞,交流心得。 刚开始,他们每天组团挖,跟打了鸡血一样。后来,因为频率太高,持续时间太长,有一些小伙伴坚持不下来,黑色键盘才把每周五晚上定为“挖漏洞团战日”,在放学或放假后通宵挖漏洞,和相约打游戏一样,在讨论组里把视频一开,大家线上相聚。 “团战模式下,每个漏洞积分必须大于五分,相当于位于乌云首页上的那些漏洞才会计入团队的积分中,团队第一名要1200分,再给团队一些奖励什么的。当时感觉每天的目标就是要上首页挖高危漏洞,设置了一个小目标——一个月要搞 1200 分,但这种高危漏洞一个是几十分,刚开始感觉好难,后来挖顺手了,觉得漏洞挖挖总会有的,还是挖了出来,一个月挖了一千七八百分。” 在打败了很多 15 人组成的团队后,“风铃安全”在团战月榜上稳居第一。 随后,他们又连续几个月占据月榜第一。 首先,被这个成绩吸引来的是乌云里的大大小小的白帽子,不少人慕名想加入团队,Snake 高兴地吸纳了那些和团队精神相符的人,风铃安全从 12 个人迅速扩充到 25 人。 然后,黑色键盘没有想到,乌云众测平台的工作人员也找过来,邀请他参加乌云众测。 黑色键盘刚开始心里还有点打鼓:“我没参加的时候就听说,乌云众测的老司机手速特别快,一般人参加乌云众测基本挖到的漏洞都会重复。” 2016 年 5 月1日后,黑色键盘在众测试了把水,发现并没有老司机说得那么难,于是开开心心地在上面挖洞赚钱,将奖金累计到了 3.3 万元。 一切顺风顺水。 2016 年 7 月,乌云峰会召开,主办方给了成绩不错的风铃安全团队一个免费展位。 (编辑:ASP站长网) |