NS往事

应老友scz要求,写的绿盟从业往事,首发于"青衣十三楼飞花堂" 链接如下

NSFOCUS旧友记--caoz《NS往事》

NS往事_第1张图片

旧照一张,那时候年轻啊。

NS往事_第2张图片

上图是前两年疫情还没开始的时候,在新加坡东海岸和Nsfocus老同事quack,deepin,liqun的合影。

总觉得怀旧是衰老的标志,所以一直以来不是很愿意写所谓回忆录这样的东西。

禁不住scz要求,要整理连载绿盟老同事的点滴回忆,一言既出,莫敢不从,只好乖乖写作业交稿。

其实我跟绿盟的渊源,在入职之前就已经开始了,我还在广州打工的时候,说来还是上个世纪末的时候,我的一个大学同学,谢博士,自己琢磨出了一个大杀招,SQL注入,入侵了当时我开发的一个系统,还改了管理员密码,当时一头雾水,不知所以,后来这哥们才告诉我是怎么做到的。那么后来我回到北京,一边挣扎创业,一边给一家小公司打工,做OA,CRM系统,和几个老同学合租,闲着就琢磨这些玩意,发现这东西真好使,当年几乎所有需要登录认证的网站都能突破,当然也想靠这个赚点钱,但知道不能违法,不能搞黑的,咱这个素质还是有的,想去通知那些有漏洞的网站换点钱,但不知道怎么去跟有漏洞的网站说,而且一交底这东西修复成本又不高。不交底不知道怎么沟通,很容易被当作敲诈勒索对不对,也怕钱没赚到,人被抓了。(所以后来非常同情白帽,也是真的深有体会)。那时候网上看到绿色兵团,一群黑客高手,刚刚开始企业化运作,我就想,是不是可以找他们合作,毕竟人家专业服务的,看看有没有合作变现的空间。

我就去了,反正脸皮厚,那时候网上联系各个创业公司老板很容易,也不太会被当作骗子,眼圈跟我聊,我说有个特别厉害的东西,可以通杀几乎所有主流网站,但是又不敢透底,反正随便聊着,然后好像是backend吧,如果记错了莫怪,进来说,你讲的不会是SQL注入吧,好尴尬。

不过后来他们还是很重视这个话题,专门出了公告给互联网预警,可能也是我的提醒下,重新定义了这个问题的严重性。后来眼圈还拉着我们几个同学一起吃饭,然后发现另一个尴尬的事情,当时有个小门户网站,有个网上美女拉票的活动,我们几个同学也是闲着,就想给一个看上去很漂亮的妹子刷票,有个同学写刷票代码,看,今天回看都是黑历史,幸亏当年网上监管没那么严格,然后被对方的系统发现了,刷票被处理掉了,于是我们就玩对抗,当然有点恶俗了,把最丑最奇葩的刷到顶,反正搞了那么几天,吃饭的时候聊天发现,那个网站的技术负责人,和我们默默对抗好多天的,已经入职绿盟了,研究部的老大w3,尴尬二次方。

怎么说来着,从那时候起我就意识到,行业圈子真不大,千万别做坏事。

那时候我自己的创业跟中公网有合作,中公网当时谢文老师操盘,还收购了联众游戏,算是当年比较有实力的互联网企业,那么我就提到了绿盟他们,然后这边就请绿盟去做了一个安全检测,一下子被绿盟这帮黑客突破个底掉,于是成单了,后来眼圈说这是绿盟第一个有价值的服务单。

那么和眼圈熟了之后,才发现其实他和我师兄,孙博士一直有深度合作,孙博士和谢博士也是很好的朋友,看来行业圈子真不大,孙博士又推荐了叶博士去绿盟,貌似现在叶博士是绿盟高级副总裁。那么我后来也陆续推荐了三个同学去绿盟,王冬,段小华,何剑波。后来老何同学重新考取了清华五道口金融学院的研究生,回校读研,后来一度做到了美国上市公司的副总裁,那是后话。王冬负责绿盟测试,后来去了360担任测试总监。

由于以上(包括孙博士,叶博士)都是清华力学系毕业的,以至于当年安全焦点论坛里有个帖子是这样说的,有人问,请问读什么专业可以入行信息安全,(那个年代大学里就没有信息安全专业一说),然后有人就回答,清华大学力学系,这个回答真不是我写的。

啰嗦了这么多,还没进入正题,2000年我创业的时候,财务紧张,为了支付服务器费用,还找眼圈借了2万多,那时候2万多真不是个小数字,后来2002年去还债的时候,他居然没有保留借条,他说当初就没打算我能还,汗。借钱难道可以不还的么。当然,没有给利息是真的。那么后来我所效力的那家创业小公司运转困难,欠薪。自己又背了房贷,创业没有太大起色,想想还是要找份工作,恰好何同学考回清华读研,我说我去填这个坑吧,眼圈给了我这个offer,从此成为绿盟的一名程序员。

其实那时候还错过了一个机会,当时百度王湛也找过我,那时候百度也是个刚起步的创业公司,我觉得给的薪酬太低,没考虑。复盘一下,我觉得最大的问题不是没接百度的offer,而是居然没有去看一看这家公司,看一下这个团队,去当面聊聊,这是很遗憾的,所以后来我才不断强调,很多时候,面对一些新兴公司的招募,去不去两说,保持沟通,保持了解,非常重要。

话扯远了,很感谢眼圈在我最困顿的时候给了我一个offer,特别是能和一批传说中的人物共事的机会。当时我跟杨冀龙做扫描器,此外还有一些保密级的项目,就不展开说了,坦白说表现不好,主要原因很简单,水平不够。每次看bug列表,当时san哥给我们做代码审核,一堆注入漏洞,好惭愧,尴尬三次方。

在去绿盟之前,我有一些非常破碎的职场经验,也参与过创业团队,但坦白说,对职场的概念其实是不完整的,毕竟,绿盟这样的公司,有太多想不到。

第一,发不出工资都没事。

曾经半年发不出工资,但是骨干居然没有流失,我去的时候其实已经缓过来了,融资成功。但确实颠覆了对好公司的定义,发不出薪酬的公司,原来也不一定都是烂公司。

第二,老板居然没有权威。

我们理所当然认为职场里,老板权威最大,但是当时有一次产品方向,老板叫上副总裁,还有deepin,还有谁来着,还叫上我,去跟zerg对决产品规划问题,当时zerg是项目经理,全程高能反击,坚持己见,面对诸多公司高层(除我之外)决不妥协。最后老板妥协,我开始还以为给老板助威肯定是稳稳的表现机会,结果感觉成了没有主见的狗腿子,尴尬的四次方。

第三,老板又跑路啦!

当然,这是段子,但绿盟的长跑文化太吓人了。

老何刚去绿盟面试的时候,眼圈问他,有什么特长,老何当年是清华校运会男子乙组的长跑冠军,所以得瑟了一下,眼圈直接回了一句,你去看看清华校运会长跑记录是不是还是我的。

后来我问老何,是不是除了老板你跑的最快,他说不是,老板也不是跑的最快的,还有一个刘继革,比老板还能跑。绿盟每年马拉松都会有一大票人参赛,老板在四十多岁的时候还能跑到3小时10分以内的全马成绩,还是很牛逼的。

所以我编个段子。老板去哪里了,老板跑路了,老板又跑路了。

因为年代久远,很多老同事名字都记不住了,只知道牛人太多,很多研发部的牛人都有点“不务正业”想着挖洞,杨冀龙整理个思路批量挖掘unix下的漏洞,反正听上去就很牛逼,同部门的还有几个也是此中高手,团队里有个人后来去了美国,在fireeye成为核心主力,很容易就财务自由了(好惭愧我记不得名字了)。我当时确实做事不够专心,表现一般,后来觉得自己在安全领域的技术领悟力和这些大牛相差太多,那么两年后就裸辞离开了,一段时间的挣扎创业后,感谢俞军老师发出邀约,有幸进入了百度。

TK当时还是很青涩的,但特别热心,善于解决各种疑难杂症,不管是技术的还是非技术的,几乎什么问题都可以找他,而且你永远不知道他还会什么。比如当时他在内网分享了看片的工具,开源软件mplayer,包括播放器和各种插件,以及如何安装使用的说明(当时网上视频格式繁多,所谓播放器只能播放最基本的几种格式,其他的都需要独立的插件配合才能播放,有些还涉及版权问题,当年并没有所谓万能播放器)。过了几年,暴风影音横空出世,就是mplayer+各种插件的汉化封装。所以后来为什么我忽悠TK教主做影音工具,因为他其实很早就默默的干了这事,只是没有往商业化上去思考。

TK后来还给他夫人做了很多电商管理的小工具,以及帮他夫人找到了在淘宝上优化排名的小技巧。当年他夫人淘宝店比他收入还高,但其实背后这个男人真的各种不简单。

Quack, san, tk,杨冀龙他们还搞了一个安全组织,Xfocus。有一个社区,我在里面很活跃,当然,由于能力问题,仅限在灌水区活跃。后来他们出了一本书,他们觉得我比较懂营销,让我帮忙起名,我说这个简单啊,黑客技术揭秘,保证热销,但是不行,人家不想碰黑客这种词,不能过于追求所谓的眼球,要实事求是,要朴实无华,结果就只好叫做《网络渗透技术》,对,这个名字还是我帮忙起的,但是你们知道,这个名字不吸睛,真不能怪我,他们自己要低调。

Xfocus搞了几次大会,我也凑趣去逛过几次,见证了一些故事,不过和nsfocus无关,就不展开了。应该是国内最大的民间信息安全峰会,当然每次也都有政府的人会到场围观,不过还好,都是正经技术讨论。

san后来想回老家,问我有没有工作机会,被我介绍给了51,后来51这个项目没有成功,辗转去了朋友的游戏公司,几经辗转,并没有得到足够丰厚的回报,说来有些可惜,以他当年全球安全大会上演讲嘉宾的实力,以他主写《网络渗透技术》的能力,没有能发财,实在是有些可惜的,说来我也很自责,没有给他找到合适的发挥空间。

我在百度负责反欺诈点击的时候,有一次有企业客服的负责人给我发来一些渠道id,说流量激增,让我查查是否正常,我查了一下,有几个是异常的,直接就屏蔽掉了,但有一个是流量都是真实正常的,而且增长非常迅速,我就好奇查了一下这个渠道的背景,意外发现,竟然是老熟人deepin,于是我直接约他吃了顿饭,deepin是国内第一批持证的安全讲师,技术上是非常牛逼的,但是毕竟从流量商业化上,我肯定比他了解的更多。我当时给了他一些建议,我记得他第二天告诉我,当天晚上就实现了,第二天直接上线。后来当然效果也非常好。然后他就辞职了,那么几经周折,现在deepin的统信软件已经是领先的国产操作系统综合平台。而前文提到的,曾经搞过SQL注入,还写过防火墙代码,后来转型做法律的谢博士现在负责统信的上市合规相关。所以还是那句话,江湖很小,缘起缘落,聚散无常。

quack几次创业我也是没少出主意,当然,最后知识星球能做起来,起决定作用的另有他人,不过说来多多少少也是有些许的贡献。

那么后续和quack,tk,san,deepin,杨冀龙,老同学王冬这些人还都一直有联系,也有很多人常年没有联系了。那么后来在坡,突然发现老领导liqun也移民过来了,很高兴,经常一起吃饭,他儿子非常出色,考进了新加坡最好的中学,华侨中学,而且在坡还生了二胎,买了市中心的高层公寓。顺便,在坡我还帮他找了一份新工作,但是这份工作是得是失,还不敢妄评。

也是因为liqun,2017年我在新加坡东海岸买的公寓入住,办暖房party,请了一波当地朋友,liqun说scz正好在坡,意外惊喜,当然邀约,这是多少年了,才又见小四同学风采。

这不,一晃又五年过去了。

絮絮叨叨一堆旧事,说来,从职场发展而言,绿盟并不是我比较有价值的职场经历,主要原因是自己的能力和兴趣覆盖不到这个领域,以及当时确实职场意识不到位,主动性不够,没有追求技术成长,所以如果简单来看,对我后续的职场发展并没有特别多直接的助益。但换个角度看,正是因为绿盟这段经历,让我认识了诸多信息安全行业的牛人,拓展了安全思维和风控意识,这些意识长久以来还是让我在工作中受益匪浅。额外一点就是,可以用“我的好友TK”,“我的好友袁哥”来装逼多年。

最后,回到那个时代,我总结一点。

在世纪初,没有人知道信息安全是个怎样的行业,没有人觉得这是风口,这是赚大钱的领域,也没有哪个高校有这样的专业,但是我们看到大量不同专业,不同背景的人,凭借兴趣,凭借热爱,走到一起,哪怕半年拿不到薪酬,执着于拓展技术,最后,现实给了他们丰厚的回报,那些技术大牛,无论是走向创业,还是仍然留在职场,从财务回报来看,都远远超过了当年最乐观的想象。

感谢时代,但也要知道,每个人的坚持和热爱,才是能够达成成就的关键,现在经常有人问我,什么是风口,做什么最赚钱,如果有一份工作,半年不给你薪酬,仅仅提供基本生活费,你还能痴迷不拔,坚决追求自我能力的提升和价值体现。这才是你真正值得追求的方向。

最后再说一个花絮,我最初接触信息安全还是在上个世纪末,在清华读书的时候,从水木bbs找到了一份安全教程,作者是中国台湾的coolfire,我第一次的成功入侵尝试和破解行为,都是参照这个教程实现的。后来偶然我在微博提及,TK就提醒我,此人也在微博活跃,我立即加了关注并私信联系,很快加上了微信,在2020年初海外疫情爆发前夜,去台北和他见了一面吃饭,当面表达了对他当年分享的感谢。后来得知,包括quack,好像star也在内,很多国内早期信息安全的拓荒者,都曾经学习过他的教程,可以说是非常传奇的一个行业前辈。在此一并表达感谢。


Scz同学,2000年的那一篇,《你尽力了么》,是网上最有价值的励志鸡汤之一。至今仍不过时。我搜了半天,他自己的公众号没有留存,但是其他公众号上有完整保留,想要了解scz传奇的,可以点如下链接查阅。

能和TK教主成为好基友的,除我之外,有一个算一个,都是顶级大牛。

你尽力了吗? (来自中国著名网络安全专家小四scz)

你可能感兴趣的:(信息安全,android模拟器,informix,社交网络,j2ee)