Redrain：黑客都是金字塔顶端的人

个人简介 洪宇（Redrain），6 年网络安全学习经历，擅长各种主流、非主流的网站渗透技巧。自主挖掘过大量互联网企业漏洞，拥有丰富的网络安全实战经验，并获得过百度，腾讯，阿里等企业的致谢。 曾在国内顶级安全峰会以及重要互联网安全沙龙上分享研究成果。15 年加入长亭科技，现任长亭科技高级安全研究员。有大量 APT 和持续性渗透测试经验，跟踪溯源过多起攻击事件，发表过多篇高质量技术分析作品。

QCon是由InfoQ主办的全球顶级技术盛会，每年在伦敦、北京、东京、纽约、圣保罗、上海、旧金山召开。自2007年3月份首次举办以来，已经有超万名高级技术人员参加过QCon大会。QCon内容源于实践并面向社区，演讲嘉宾依据热点话题，面向5年以上的技术团队负责人、架构师、工程总监、高级开发人员分享技术创新和最佳实践。

   

1. 各位InfoQ的网友，大家好。我们现在是在QCon2016北京现场，做客我们专访间的是长亭科技的洪宇，洪宇的ID叫Redrain，这个名字应该比你本人的名字会更响亮一些。所以第一个问题是这样的，安全界总是新人辈出，先介绍一下你自己，其实你也不是新人了。

洪宇：不算特别新，也是很年轻的，算个小鲜肉。我大概是从五六年前开始接触安全，当时还在念书，从当时到现在主要研究的方向主要是Web安全和渗透这一块。我的研究兴趣比较广泛，不仅仅是网络安全和渗透，还包括其他的无线安全。比如说这几年炒的比较火的物联网这块，还对移动安全比较有兴趣，所以搞的东西比较多。

   

2. 你当时是怎么走上安全之路的呢？

洪宇：说到底应该和我父亲有关，因为我父亲是做计算机的，而且和网络安全相关。他是大学教授，从我小学开始，我爸就培养我计算机方面的兴趣。小时候我家有电脑比较早，跟其他家的电脑不太一样，因为当时我家用的是Linux，其他家里用的是Windows，我小时候就觉得为什么我家的电脑都是命令行很奇怪，当时就有这么一个大概的概念，对计算机的初步认识。后面我父亲对我有一些引导。当时我在家里电脑柜里找到一个小光盘，那个光盘好像是黑客工具集，当时就拿去问我爸这是什么，他大概给我解释了什么是黑客，小时候对黑客有了一个概念，到高中的时候自己开始认真学这个东西。

   

3. 你现在看从事的这个行业是不是你最喜欢的工作呢？

洪宇：应该是，因为我小时候我父亲告诉我一句话，兴趣是最好的老师。我自己能做到现在，如果没有兴趣的支持，应该也是做不到的。

   

4. 你刚才讲了你关注研究很多领域，你目前正在做的领域是哪个呢？

洪宇：目前主要精力做的还是Web安全。

   

5. 平时有什么业余爱好呢？

洪宇：打刀塔，看美女。

   

6. 我之前参加过一些活动，对你也有一些了解，打CTF比赛比较多，你自己本身在做网络渗透，这两个你自己喜欢哪个呢？

洪宇：怎么说呢？CTF这种模式，虽然它和工作中的实际场景不太一样，但我觉得CTF这种模式，在国内来说，因为现在国内高校对信息安全这方面的引导和教育，我觉得和现在的技术层面是脱节的。但是CTF这种形式是比较好的能够引导学生或者是网络安全爱好者，引导他们从事或者是做这方面工作的比较好的模式。我以前也特别爱打CTF，在大学念书的时候特别爱打，基本上国内、国外的我们都打，国内拿的名次还不错。现在工作之后，CTF打的少了。我觉得打CTF是兴趣，从事网络安全是工作，二者并不冲突。很多时候打CTF，它会经常做一些头脑风暴可能会拓展你的思路。

   

7. CTF比赛跟你平时工作做安全研究，是不是一个偏理论，一个偏实践一点，还是说两者是比较相通的。

洪宇：以前信息安全竞赛的模式，当时在国内还不叫CTF，叫做网络安全竞赛。当时偏理论一些，还有选择题什么的，现在慢慢的大家都倡导实战，以实践为主，你必须要身上有汗，腿上带泥，才能在工作中做出一些东西。所以现在CTF的场景和题目是比较接近实战的。

   

8. 你平时怎么提高自己的安全技术，因为IT行业和计算机开发的技术日新月异，每天都在变，安全也是这样的。

洪宇：不管是作为程序员还是黑客，尤其是对黑客来讲，我觉得有一个技能是最重要的，也是必须掌握的。就是自我获取信息的能力和自学能力，作为程序员也一样，你拿到一个新的东西，能够马上上手，能够马上把知识点吸收掉，这个就是最强的能力。虽然说每天都有不同的漏洞，不同的攻击手法曝出来，但是咱们有这个能力之后，你有足够强大的获取信息的能力和渠道，能把这些信息全部收集下来，挑选出精炼的地方，把它吸收和学习掉，这就是为什么黑客或者是程序员能够把新的技术很快学习的点。

   

9. 你平时是不是也像我们做媒体的人一样，每天看大量的资讯或者是安全方面的报道呢？

洪宇：算是吧，但是我看的一般不是报道。因为我自己维护一个很靠谱的信息安全的来源。比如说今天有什么很重要的漏洞爆发，有什么很新颖，很有趣的攻击手法、攻击事件，我维护这么一个列表和信息的来源。因为我上班比较晚，十点到公司，可能花二十分钟左右浏览一遍，挑选出比较感兴趣的东西，然后把它剔出来看老外的原文或者是国内的分析，分析之后我觉得可能它的分析有问题或者我觉得这个点可以深入，我自己再去跟进，有些时候仅仅是把技术细节自己再重新分析一遍，但有时候在分析的过程当中会发现一些新的问题。像之前有爆发Java反序列化的漏洞，曝光的分析文章里面写的是apache commons collections库的问题。但是如果仔细看的话，仔细研究这个点，你会发现有很多其他的库也存在这个问题。我自己又重新找了很多库进行分析，分析之后现在报给了两家厂商，一个apache，一个redhat，等待他们的回复。

   

10. 截止到目前，我前天看了一下你在WooYun一共提了27个漏洞，你在什么情况下研究某一个厂商或者是某一个平台的安全问题呢？

洪宇：其实我已经很久没提了，基本上就是每年去打个卡，告诉大家我还活着。我什么时候会关注一个厂商的漏洞或者是想要渗透他们。大概看一下我提的漏洞会发现，能够把目标比较好玩，比较敏感的东西看到的话，我一般会做。怎么说呢？人都有窥私欲，人都喜欢偷偷看别人，有一种掌控别人的感觉，尤其是黑客。虽然我一直说黑客主要是三点，自由、分享、自己思考，但是其实说实话，黑客他还是有一些窥私这样的感觉。一个大厂商，那么多的人，他做那么多的安全防护，被我一个人从一个薄弱的点搞进去，它内部很多只有他们内部员工或者很机密的信息，只有他们能看的东西我能看到，那我岂不是在他们那里开了一个上帝模式，这种可以掌控他们的感觉。虽然说有这种想法，但是因为做了那么久的安全，你终归知道什么东西能碰，什么东西不能碰，什么东西能碰到什么样的程度，有一个底线。虽然你有这个能力把他公司很多奇怪的东西，很多机密的东西看到，你有这个能力，但是不代表你就必须要做它，我觉得这个是现在一个黑客他有能力把控自身很重要的点。

   

11. 我平时用手机应用或者是其他的网站。比如平时日常工作、生活中用到一些产品，不管是Web或者是APP或者是其他的，如果发现有问题，比如报错，不好用有Bug我一般会给他们发邮件反馈，你会不会这样做呢？

洪宇：有的时候是这样的，包括之前有很多公司推广广告，他们会购买一些推广广告的数据来源，莫名其妙的推广到我这里来，但是我从来没用过他的产品，这样我就很烦，我就会去看一看他的问题。

   

12. 两年前你在Kcon说勿忘初心，我的印象特别深，你现在是怎么理解这句话呢？

洪宇：不管是哪一个行业，从最开始做，到慢慢做了几年之后，有了一些成就或者做的比以前好了，人可能都会浮躁，尤其是在比较浮华的社会环境下，每个人都是这样的。安全圈比以前好太多了，因为现在各种资本的进入，钱这个东西把安全圈抬的比以前高多了。可能以前大家几个人都穷，大家在一起讨论讨论技术，以技术为主。但是现在资本介入以后冒出那么多新的安全公司，有那么多老牌安全公司，大家都在抢这个市场和蛋糕。每个人都越来越浮华。

   

13. 大家都说安全圈是娱乐圈。

洪宇：对，慢慢变成娱乐圈这种感觉。但是你单独找一个黑客问他，当时做这个东西是为了什么。我觉得当时从事这一行只要带脑子的人都不是为了赚钱的，真的是喜欢技术，热爱技术。勿忘初心就是不管你现在有多么的浮华，有多么的浮躁，你只要记得你当时为什么选择从事这个行业，你是真的热爱这个技术，真的喜欢这个东西，你才会去做。

   

14. 最后一个问题，我们QCon是软件开发者大会，从安全人员的角度你对程序员有哪些建议或者有什么想说的话吗？

洪宇：我觉得每一个能够做出很精妙东西的人，他都是一个黑客，我说的不仅仅是程序员、不仅仅是从事IT行业的人。为什么说比较厉害的程序员可以变成黑客，有人说过一个金字塔顶端可能就是黑客，因为黑客什么都要懂，要懂开发和运维，懂各种各样的东西才能成为一个黑客，为什么这些人能当黑客，不是说他有多聪明。每一个写代码的人，每一个程序员他都是很聪明、很机灵的人。但是黑客关注的东西比较多，他看问题比较细致，他能够在信息量很繁杂的整体里面抽丝剥茧看出一些端倪来，我觉得这群人脑洞比较大。他能从A点跳跃跨过BCD看到后面的东西，我觉得这些人能够成为黑客。但是很多我见到的程序开发者，他可能想到的仅仅是如何把这个功能实现，如何把产品做出来，我觉得细致这个点是最能区分出程序员和黑客的点。

也不算是给程序员什么建议，我觉得大家都应该是互相学习的，我们应该向他们学习很多东西，大家都可以这样互相学习。程序员能够注意到他们在产品开发过程当中每一个流程，每一个细节能够做到位，这样的话他们做出来的产品应该就是比较好，比较棒的，就是细节这个点是比较重要的。

InfoQ：谢谢你，我的采访就这些。