选星球知识星球精选大全

腾讯安平密友圈

已运营257
成员数2763
话题数504
精华数23
问答数66
科技互联网安全
星主

搬运工

星球管理员。我不生产水,我是大自然的搬运工。

50/ 1年

微信扫码, 本站特惠加入

3天无理由退款

星球介绍

技术也可以很有趣。 这里分享腾讯安全平台部最新技术干货、最新安全研究成果、部门逸闻趣事、黑客圈小故事等。众多安全大拿驻场,一键掌控安全圈最新动态。 关于安全,我们来玩点儿不一样的,希望对你有帮助。

黑客,一群隐匿在网络背后的神秘群体,他们可以通过键盘无形之中操控着网络世界,每次看到他们经历都会热血沸腾。 

这一期我们邀请到几位「腾讯安平密友圈」嘉宾,分享他们当初是怎么入行的?他们都有哪些事迹你不知道?来这一探究竟。


不忘初心,方得始终

星主flanker,Pwn20wn冠军,现美股上市公司安全总监:

感谢 TSRC 邀请。大概 4 岁的时候,家里购置了一台电脑,就对计算机世界产生了浓厚的兴趣。

孩提时代忙于学业,直到上了浙大少年班之后才重拾旧好,大二靠着自学淘来的几本黑客 X 档案把校园网搞得天翻地覆。不过当时也仅仅是觉得这是个爱好,还是想着毕业之后做算法或者研发。

大三开始结识了不少志同道合的朋友,包括陈宇森、杨坤和段海新、诸葛建伟老师等,加入了蓝莲花战队,组建了浙大 AAA 战队,才开始认真把安全作为职业的发展方向,开启了全新的篇章。

数年弹指一挥间,2013 年我从港科大学成归来之后,我们成功打入 DEFCON,有史以来亚洲战队第一次杀入 DEFCON 决赛。

2014 年加入 KeenTeam,有幸遇到恩师陈良、大牛蛙和吴石,在对的时间遇到了对的人,做对的事情。

2014 年 GeekPwn 第一次公开演示关机窃听,2015 年 GeekPwn 攻破奇酷手机,2016、2017 Pwn2Own 三度冠军,蝉联 Master of Pwn,连续多年入选 Google Android 安全名人堂。

2016 年受邀登上 BlackHat USA 和 DEFCON 舞台演讲,2017 年荣获 Pwnie Awards 提名。鲜衣怒马少年时,一日看尽长安花,我们曾一起登上世界之巅,把名字镌刻在了世界安全研究的光辉殿堂。

然时光荏苒,岁月如梭。白云苍狗,沧海桑田。

2017 年底,在创始人多次盛情邀请下,我选择转身,加入一家创业公司担任安全负责人组建团队,并在 2018 年成功 Nasdaq 上市。站在更高的位置,没有了做研究时那么快意潇洒,却多了更多的责任和需要保护的东西,这也是成长的代价。

十年饮冰,难凉热血。愿每位朋友都能在纷繁的世界中仍然保持心中一片净土和赤子之心。就像神奇小子 Geohot 说的一样:“I want power. Not power over people, but power over nature and the destiny of technology. I just want to know how it all works.”。

不忘初心,方得始终。


Caoz 的个人经历

Caoz,公众号「Caoz 的梦呓」作者,星球「caoz的小密圈」星主:

1997 年左右,网上看到 coolfire 的安全教程,第一次接触黑客的神秘世界,不过当时啥都不懂,按照教程按图索骥稀里糊涂就侵入了清华大学计算中心的服务器,拿到了管理员的服务器密码。

不敢干坏事,当时计算中心有开放的个人主页空间,只知道可以任意删改别人的个人主页,不过也不敢乱来。

1998 年去广州工作,用 sniffer 抓到了同事的邮件密码,以及部门经理登录服务器的 root 密码,那时候还都是 telnet。

1999 年意外发现我开发的系统后台密码被人篡改,不明所以,后来才知道是被一个大学同学恶搞改的,他用的招法是 SQL 注入。

1999 - 2002,SQL 注入在网上随意横行,招聘网站,婚恋网站,不可说网站,只要有个登录入口,几乎各个可以进,偷信用卡的成本极低,讲真个人还是比较胆小,没敢做什么过分的事。

2001 年初试 fatboy 攻击,实在没技巧,纯流量刷请求,貌似没有打不动的网站。

2002 年没工作,找眼圈求收留,进了绿盟,算入行了吧,跟吴鲁加老师,TK 教主,袁哥等等做了同事。然后发现自己对安全原来一窍不通。

大概这样吧,算是交作业了吧。刚看了一下,已经给这里带来至少 30 多新增,还在增长。

贴张图,前段时间去台北,跟传说中的 coolfire 吃了顿饭。不了解的可以百度一下 林正隆。




大神们的生活就是这么朴实无华且枯燥

lake2,腾讯安全平台部总监,TSRC 负责人:

当年黑客这个词还比较纯粹,就是指一群崇尚自由、平等、共享、挑战的计算机安全高手,大家在互联网里面交流技术。

即使偶有恶作剧也是 just for fun,没有像现在的黑产团伙这样利益驱动,只能感叹现在世风日下、人心不古、礼乐崩坏、瓦釜雷鸣。

2002 年我买到的《黑客 X 档案》杂志里其中一篇文章就是采访小榕,正好这篇采访稿又是整本杂志里为数不多的当时我能看懂的。

所以小榕这个名字就深深烙印在我脑海里,连 QQ 网名也改成以小榕出品的四个软件的统称“刀光雪影”(乱刀、流光、溯雪、流影),立志要成为小榕那样的大黑客。

“刀光雪影”都是神作,其中一些思路放到现在也是可圈可点的,故而让人不得不佩服小榕:既掌握了最先进的安全技术,又能用软件实现工程化(软件运行界面还那么酷炫),即使又过了二十年,这两点也少有人能望其项背。

彼时最活跃的安全团队是安全焦点、0x557、红客联盟、第八军团、中国鹰派、白细胞、幻影旅团、灰色轨迹、邪恶八进制、看雪学院这些。

其中名气最大的当数安全焦点,里面高手辈出,包括了 benjuerry(UCloud CEO、前腾讯安全中心副总)、tombkeeper(大家耳熟能详的tk教主,腾讯玄武实验室负责人)、casper(又称呆神,叫酒神是不是更好点,未来安全创始人,是 XCON、XPWN 的发起人,关注年轻人成长)。

xundi(xfocus 发起人,教父,隐居一段时间重出江湖在阿里集团安全)、watercloud(知道创宇 CTO )、glacier(著名的冰河木马作者)、yuange(漏洞挖掘专家、腾讯湛卢实验室负责人)、quack(知识星球 CEO,完全转行了)。

alert7(翰海源创始人,阿里集团安全归零实验室负责人)、flashsky(翰海源创始人,现在创建了专注数据安全的公司)、killer(反病毒专家、腾讯云鼎实验室负责人)、funnywei(解放军信息工程大学教授)等一干大佬。

幻影旅团那帮人也不错,以大名鼎鼎的 axis(与 tk 教主齐名的道哥,《白帽子讲 Web 安全》作者,阿里巴巴高级安全专家)、云舒(我们都叫他云千万,默安科技 CTO,前阿里巴巴高级安全专家)领衔,执安全圈牛耳。

坚持最久的应该是看雪学院了,现在都还在运营,出去开会还经常能碰到段钢前辈。

时代特征非常明显:安全焦点、0x557 及之前的人经历和能力上更偏二进制和系统安全,故而安焦四杰的大作《网络渗透技术》仅有一章讲了刚刚兴起的 SQL 注入,还说 Web 安全是“奇技淫巧”,这一点一直被 Web 安全代表 Superhei 耿耿于怀(见《中国黑客传说:周景平——我是超级黑》)。

幻影旅团时期的人能力的介于二进制和 Web 安全之间,所以道哥既精通二进制安全又精通 Web 安全,还出了国内第一本 Web 安全专著《白帽子讲 Web 安全》。

再往后就是 Web 2.0 时代,像 BCT、FST、80SEC(著名的 WooYun 创始人剑心所创立,里面每个人都是一等一的高手:p)、80VUL 这些团队的成员,统统都是 Web 安全出身。

然后又是移动互联网时代,一批熟悉移动安全的新人涌现,也有一批老人向新方向转型,典型的就是 0x557 成员转型移动安全,苹果越狱搞得风生水起,没错,就是盘古安全团队;……

当时的商业公司里面影响力最大的是绿盟,号称安全界的黄埔军校,现在行业里很多大佬都是从绿盟出来的,各大公司从绿盟引进的人才不少,所以 pix 打出“天下英雄出我辈”的口号一点也不错。

前段时间绿盟二十周年庆典,我发现小半个朋友圈都是绿离子(绿盟离职人的称谓),可见江湖传说不虚。同期的另外两家安全公司启明星辰和天融信,也是高手云集。

还有很多很低调的人,我大四时找工作投简历,先搜下,网上只能找到 bejurry 和 coolc(腾讯安全平台部负责人、腾讯安全学院副院长)在腾讯安全团队。

后来到了腾讯安全团队才发现还有炽天使(三无 VBS 后门知识产权拥有者,UCloud 安全总监)、plan9(已转行,现腾讯某游戏制作人)、chair(已转行腾讯资深运维)、apple(已转行技术总监)、宝哥(某大型金融机构安全专家)等一众高手。

另外还有些实战型高手,神龙见首不见尾(或者叫命途多舛)。比如有个叫作 xhacker 的,当年他跟我讲过渗透思路,已经有软件供应链攻击、社会工程学钓鱼、撞库攻击这些思想在里面了。这些人都很低调,哪像现在,好多人基于各种目的,任何攻击都要说成 APT 才行(“万物皆可 APT ”)。

第一代黑客里面老鹰好像搞了个公益组织,看他每天很悠闲(有次我们跟 CFO 汇报工作,有个图片是参加 GeekPwn 的照片,CFO 指着老鹰说这个评委我认识,是我以前同事,我们都惊呆了心里想以后要对老鹰尊敬点)。

Frankie 早已成为深圳一家安全公司的 CEO;绿色兵团创始人 goodwell 重出江湖在连尚网络(WiFi 万能钥匙)任 CSO;PP 还能经常见到,他会牵头搞点活动,要不就深入风控一线玩信用卡刷积分薅羊毛什么的。

看,大神们的生活就是这么朴实无华且枯燥。


一段入门信息安全的回忆

wulujia,知识星球创始人,互联网安全专家:

一段入门信息安全的回忆。

星球“腾讯安平密友圈”在做一个“大神”的活动,回忆自己入行时的大神。我仔细想了想,老实说,之所以会进入信息安全行业,并不是因为正义感爆棚,而是觉得“能通过电话线就看到别人电脑里面的照片、文件,真的太酷了”。只是,接触得越多,越生起敬畏之心罢了。

还没入行前,不知道从哪里看到了一篇《布谷鸟的蛋》(也被译为《杜鹃蛋》)的简介,介绍了一起黑客攻击事件——一起因为 75 美分对账失败(嗯,对账就是这么重要,所以我们现在做知识星球,我请研发同事尽可能从多几个维度做对账,一旦对账出错,就表示财务上出问题,是第一优先级)——说回故事本身——作者开始了他的追查。

- 1986 年 8 月,因为 75 美分的误差,Cliff Stoll 开始了他的追查;
- 1987 年 6 月 21 日,骇客最后一次入侵。

前后十个月,Cliff Stoll 记录了探索过程中的一些事,比如他用打印机记录了攻击者的每一步操作——这样骇客就无法篡改日志了……

这个故事特别动人(虽然中文翻译有点蹩脚,但还是感谢译者),从这个故事里,我知道了什么是漏洞,什么是黑客,什么是系统管理员,什么是服务器……当时我的心中,黑客,约等于侠客。

然后就开始想成为“侠客”了,当时资料确实很匮乏,中文资料里,找到了一些 coolfire 的黑客教程——最开始真的看不懂,听信了“书读百遍,其义自见”,拿针式打印机咯吱咯吱地打印出了一本,拿着翻看。

此后慢慢才知道,可以自己搭建 Linux 环境做测试(为了装 Linux,还曾经不小心把公司的销售数据全部格式化了……)。

后来,也学会了通过 Packetstorm 这样的国外安全网站学习当时最新的漏洞资讯。那时上网还用电话线 + modem 拨号,因为想学技术,每个月电话费已经快超过我的工资了,所以只能上网几分钟,把看到的技术资料打开无数窗口(那时的浏览器,还没有 Tab),确认都下载完毕,赶紧断网——多一分钟也是钱。

通过大概一年多这种极为苦闷、低效的学习,信息安全的大门,向我敞开了。要知道,我只是个文科生,毕业后,从事销售工作,完全没有技术背景。

或许,这就是互联网的力量,希望你能珍惜——这种力量,其实你可能天然拥有,用不用,全在你。

我努力找到了《杜鹃蛋》的中英文版本,以及 Coolfire 的教程,作为附录,算是一段记忆吧,我猜大多数人看不下去。(完整附录见星球内的星球圆桌)


安全圈是个有爱有趣的江湖

君哥的体历,奇安信集团首席安全官:

讲下我从业的经历,在 lakehu 的场子。

我是非安全专业出身,大学时只学过一些计算机皮毛。穷苦孩子出身,读高中时 2000 年在网吧申请了一个 QQ,对计算机一窍不通。

相比很多安全大佬在初中甚至小学时就对各类编程语言了然于心,我在大学里还是只会一些基础的计算机组成原理、数据库、汇编语言、C 语言的皮毛知识。皮毛是相比 2005 年时来说的,相对现在就是灰,皮毛烧成的灰。

机缘巧合下接触了防火墙、路由器、交换机、负载均衡(GTM、LTM)、流量分析器,网络加速、CDN,然后是动态令牌、IDS、防病毒、反垃圾邮件、WAF、堡垒机、加密机、AD、SMS、MOM。。。的管理员。

是的,就是那种负责架起来,配置好,然后傻傻看日志的那种。

阴差阳错,团队让我负责找各类异常行为,人的异常、设备异常、IP异常,保护好我国第一家也是体验最好的一家网银系统。想了各种办法,向腾讯大佬取经学习运营,做了 6 年的异常行为检测,也就是 SOC。

期间个人对运维质量有一些兴趣,维护过 200 台左右的 linux、windows,做过问题管理经理,除了复盘安全事件外,更多的复盘了无数的生产事件,相比各类大大小小生产故障和案件,安全真的太微不足道了。

在金融行业待了 12 年,做到了部门副总,这是安全人员在金融企业的最顶峰,觉得人生应该再体验和经历一些,来到了现在公司做安全。

离开前我总结了自己的一些实践,开源出来,这就是“君哥的体历”公众号(文末二维码),开源项目越做越大,机工社吴怡编辑(《互联网企业安全高级指南》的同一编辑)说结集出版吧。

这就是《企业安全建设指南:金融行业安全架构与技术实践》,希望有志于金融行业的朋友们能喜欢。(之前有朋友发了本书的pdf版,希望大家能买一本支持下,我写这本书还是亏的)

除了以上内容的时间,我的精力都在带顶妙二娃上,为延缓国家进入老龄化社会做贡献,很遗憾国家没有对我们二孩家庭大规模减税,对于一个年近 40 还选择北漂的中年人来说,生活和养娃成本这么高,又没有选择灰色收入之路,生活过的颇为艰辛。

所幸,安全圈是个有爱有趣的江湖,带孩子也是欢乐居多,个人也比较乐观。做人嘛,最重要的是开(high)心(sen)。

BTW,希望 lakehu 和星主不要因为植入书广告打我。


 
如何认识那些大佬?

lake2,腾讯安全平台部总监,TSRC 负责人:

02 年的时候在地摊上买到一本叫做《黑客 X 档案》的杂志,虽然当时完全看不懂,但是觉得还有点意思,就坚持每月都买来看。后来有一天发现可以看懂了,按杂志上的教程依葫芦画瓢利用输入法漏洞控制了老外一台服务器。

再后来发现我也可以给杂志投稿,就用 lake2 这个 id 给《黑客 X 档案》《黑客防线》投过几篇文章,也在网上写文章和发布黑客工具,也认识了一堆安全圈的网友,当时都没有见过面。

06 年大四找工作投了腾讯,当时听说安全焦点的 benjurry、coolc 就在腾讯安全中心,就给他们发了邮件膜拜。校招一面面试官就是 benjurry(也是第一次见到著名黑客),二面面试官是 dowson(当年他的普通话可没有现在好,呵呵),比较顺利拿到了 offer。

07 年 3 月到深圳实习,听说 PJBlog(当年流行的 ASP 个人博客系统)的作者舜子在 QQ 空间工作,就找他蹭了顿饭(之前给他报过 PJBlog 的漏洞),还见到了 QQ 空间古巨基 leo,这是支线按下不表。

到了安全中心,benjurry 是 GM,coolc 是 leader,在 coolc 带领下见过扫描器之父宝哥等一众大佬之后,发现坐在阴暗角落肤色黝黑习惯咬左手食指的家伙就是我的导师 —— 阿波罗·宗(炽天使)。

 
作为安全人,当年是怎么入行的?

PP,中国第一代网络黑客之一,顾问级网络安全专家:

支持腾讯,支持安平,跟风来一波。作为安全人,当年你是怎么入行的 。

让我们穿过时间的长廊,回到遥远的上个世纪 90 年代末期(95 - 96 年),在那个漆黑的夜晚,一个英俊追风少年端坐在他心爱的最新款 586 PC 前,打开 14.4K Modem,在清脆悦耳的吱吱呀呀声中爬上了 169,然后挂上 Proxy 进入 Internet。

突然一个奇怪的软件映入眼帘,Back Orifice(注意,没有 2K,没有 2K,没有 2K),出于人类最原始的偷窥欲,英俊追风少年从此走上了一条不归路。

而带他走入不归路的 BO 开发组织 cDc(不是你想的那个,但还都好像和病毒有关)的成员之一在本世纪第 21 个年头以黑客身份开始了他的美国总统竞选之路,那个英俊少年却还在半夜撸着各种代码、PoC、数据和 Word、PPT。

在这条路上,有很多故事,我尽可能留下了那些美好的回忆,有一帮从 IRC 走到现在的朋友,中国黑客的、绿色兵团的、晨光实验室的、安焦的。

也有一群优秀的创业者们(不点名了、太多了,漏了谁都不好),有一些几乎全中国人都知道过,但不能说的事,还有那些酒,那些歌和那些离我们远去的操作系统(Solaris、IRIX、HP-UX、AIX、*BSD、DU 等)和漏洞以及权限。

也许还有一些离开我们的人,我都不再清晰的记得他们的名字,也不再愿意回忆他们的名字。

最后发福利,下面这张照片中谁是那位英俊的追风少年?



 
这个行业,让你的生活丰富多彩

菠萝,UCloud 安全负责人:

二胡又来这种回忆过去的活动,估计是年纪大了。。

我接触电脑和网络大概是在 97 年的时候,那时候什么也不懂,但很感兴趣,就买《电脑报》,《大众软件》,《电脑爱好者》之类的书刊自己看,很多都看不懂,但就那么看着,就是那种不明觉厉的感觉。

可以说这段时间我的引路人就是这些电脑报纸杂志,在这段时间里,逐渐对网络安全产生了兴趣,觉得黑客都是很牛逼的人物。

真正接触安全是在 2000 年的时候了,那时候刚上大学,在网上找各种安全的论坛和文章看。然后就找到了安全焦点,被这里的技术深度和专业深深地吸引。

这段时间我的引路人就是 Xfocus 里的那一个个大神:alert7 ,benjurryblackhole,casper,eyas,flashsky,funnywei,glacier,killer,quack,san,stardust,tombkeeper,watercloud,wollf,xundi 等等等等。

对,我就是看着他们的文章长大的。有的看不懂,就照着步骤一点点做,然后去查资料看原理。首页的 Xfocus.chm,你懂的。还有一个人,当时电脑报网络版的主编熊杰,感谢他给了我一个版面,让我拿到了人生第一笔稿费。

04 年毕业以后,一个二本毕业学校的孩子,又是“不务正业”搞安全的,找工作挺艰难的。爸妈托熟人去了一家通信公司,做的最多的工作就是通宵割接的时候在机房里 ping 一个网站通不通。

05 年的时候,benjurry 在腾讯组建安全团队,把我招了过去。在腾讯一待就是 10 年,跟很多小伙伴们一起,从 0 开始建设一个企业的安全体系。

也是在这段时间,我从一个只会到处挖洞的小黑黑,成长为一个安全从业者,从攻防和建设的角度来看待安全。benjurry 也是我现在的老板,没有他就没有我的今天。

他的履历大家可以自己网上搜,只能说,牛逼的人做什么都牛逼。感谢 ben。

其实在接触安全的这 20 年,遇到的大神,要感谢的人真的太多太多,无法一一列举,也经历过太多太多值得回忆的事情,希望能有更多真正热爱安全技术的小伙伴加入这个行业。

这个行业可以让你的生活丰富多彩。可以等你老了,有跟孙子孙女吹牛逼的资本:想当年,你爷爷(奶奶)。。。

时间有限暂时先写这么多了,继续搬砖去,工作不饱和的二胡记得来两个公仔。

 
和我一起出入江湖的小伙伴们

职业欠钱,美团基础安全负责人:

我刚刚入门的时候,和我一起出入江湖的小伙伴一定要说说小葵,ID 是 zj1244。

他比我入门早一些,带着我认识了很多人,也比较擅长写工具,帮我写了不少工具。icon 一定是黑色背景的一个大大的葵字。

那时候我们经常会用肉鸡下载我猜和康熙来了之类的综艺,讨论某个漂亮的艺人。甚至还无意中探讨过如今被口诛笔伐的 PUA 内容,当然善良的我们是抱着批判性的眼光来审视的。

如今我们已经聊得比较少了,偶尔在朋友圈看他晒跑马,晒旅游的动态。依然是那个腼腆爱笑的小男孩。

另一个人是丛林,他是我在编辑部遇到的另一名腼腆爱笑的同学。

当时杂志配套的光盘总会帮大家收集一些有价值的软件资源,所以他特别擅长搜索资源,无论我提到什么地方见到过的东西,他都能像机器猫一样帮我找出来。

如今在朋友圈看到的是他和沙子同学没事撒撒狗粮,幸福自在,神仙眷侣。

这两位或许知道的人不是很多,不过在黑 X 读者里其实挺出名的,提入门给予帮助的大佬,其实还有很多,挂一漏万,就都不点名了吧。


「腾讯安平密友圈」


星球介绍:技术也可以很有趣。这里分享腾讯安全平台部最新技术干货、最新安全攻防研究、解密黑客攻防小故事。众多安全大拿驻场,一键掌控安全圈最新动态。可萌可御可霸道。关于安全攻防,我们来玩点不一样的。

微信扫码加入

星主:搬运工
腾讯安平密友圈

长按识别二维码

3天内无理由全额退款

浙ICP备20013390号-1,联系我