Redrain:黑客都是金字塔顶端的人

个人简介 洪宇(Redrain),6 年网络安全学习经历,擅长各种主流、非主流的网站渗透技巧。自主挖掘过大量互联网企业漏洞,拥有丰富的网络安全实战经验,并获得过百度,腾讯,阿里等企业的致谢。 曾在国内顶级安全峰会以及重要互联网安全沙龙上分享研究成果。15 年加入长亭科技,现任长亭科技高级安全研究员。有大量 APT 和持续性渗透测试经验,跟踪溯源过多起攻击事件,发表过多篇高质量技术分析作品。

QCon是由InfoQ主办的全球顶级技术盛会,每年在伦敦、北京、东京、纽约、圣保罗、上海、旧金山召开。自2007年3月份首次举办以来,已经有超万名高级技术人员参加过QCon大会。QCon内容源于实践并面向社区,演讲嘉宾依据热点话题,面向5年以上的技术团队负责人、架构师、工程总监、高级开发人员分享技术创新和最佳实践。

   

1. 各位InfoQ的网友,大家好。我们现在是在QCon2016北京现场,做客我们专访间的是长亭科技的洪宇,洪宇的ID叫Redrain,这个名字应该比你本人的名字会更响亮一些。所以第一个问题是这样的,安全界总是新人辈出,先介绍一下你自己,其实你也不是新人了。

洪宇:不算特别新,也是很年轻的,算个小鲜肉。我大概是从五六年前开始接触安全,当时还在念书,从当时到现在主要研究的方向主要是Web安全和渗透这一块。我的研究兴趣比较广泛,不仅仅是网络安全和渗透,还包括其他的无线安全。比如说这几年炒的比较火的物联网这块,还对移动安全比较有兴趣,所以搞的东西比较多。

   

2. 你当时是怎么走上安全之路的呢?

洪宇:说到底应该和我父亲有关,因为我父亲是做计算机的,而且和网络安全相关。他是大学教授,从我小学开始,我爸就培养我计算机方面的兴趣。小时候我家有电脑比较早,跟其他家的电脑不太一样,因为当时我家用的是Linux,其他家里用的是Windows,我小时候就觉得为什么我家的电脑都是命令行很奇怪,当时就有这么一个大概的概念,对计算机的初步认识。后面我父亲对我有一些引导。当时我在家里电脑柜里找到一个小光盘,那个光盘好像是黑客工具集,当时就拿去问我爸这是什么,他大概给我解释了什么是黑客,小时候对黑客有了一个概念,到高中的时候自己开始认真学这个东西。

   

3. 你现在看从事的这个行业是不是你最喜欢的工作呢?

洪宇:应该是,因为我小时候我父亲告诉我一句话,兴趣是最好的老师。我自己能做到现在,如果没有兴趣的支持,应该也是做不到的。

   

4. 你刚才讲了你关注研究很多领域,你目前正在做的领域是哪个呢?

洪宇:目前主要精力做的还是Web安全。

   

5. 平时有什么业余爱好呢?

洪宇:打刀塔,看美女。

   

6. 我之前参加过一些活动,对你也有一些了解,打CTF比赛比较多,你自己本身在做网络渗透,这两个你自己喜欢哪个呢?

洪宇:怎么说呢?CTF这种模式,虽然它和工作中的实际场景不太一样,但我觉得CTF这种模式,在国内来说,因为现在国内高校对信息安全这方面的引导和教育,我觉得和现在的技术层面是脱节的。但是CTF这种形式是比较好的能够引导学生或者是网络安全爱好者,引导他们从事或者是做这方面工作的比较好的模式。我以前也特别爱打CTF,在大学念书的时候特别爱打,基本上国内、国外的我们都打,国内拿的名次还不错。现在工作之后,CTF打的少了。我觉得打CTF是兴趣,从事网络安全是工作,二者并不冲突。很多时候打CTF,它会经常做一些头脑风暴可能会拓展你的思路。

   

7. CTF比赛跟你平时工作做安全研究,是不是一个偏理论,一个偏实践一点,还是说两者是比较相通的。

洪宇:以前信息安全竞赛的模式,当时在国内还不叫CTF,叫做网络安全竞赛。当时偏理论一些,还有选择题什么的,现在慢慢的大家都倡导实战,以实践为主,你必须要身上有汗,腿上带泥,才能在工作中做出一些东西。所以现在CTF的场景和题目是比较接近实战的。

   

8. 你平时怎么提高自己的安全技术,因为IT行业和计算机开发的技术日新月异,每天都在变,安全也是这样的。

洪宇:不管是作为程序员还是黑客,尤其是对黑客来讲,我觉得有一个技能是最重要的,也是必须掌握的。就是自我获取信息的能力和自学能力,作为程序员也一样,你拿到一个新的东西,能够马上上手,能够马上把知识点吸收掉,这个就是最强的能力。虽然说每天都有不同的漏洞,不同的攻击手法曝出来,但是咱们有这个能力之后,你有足够强大的获取信息的能力和渠道,能把这些信息全部收集下来,挑选出精炼的地方,把它吸收和学习掉,这就是为什么黑客或者是程序员能够把新的技术很快学习的点。

   

9. 你平时是不是也像我们做媒体的人一样,每天看大量的资讯或者是安全方面的报道呢?

洪宇:算是吧,但是我看的一般不是报道。因为我自己维护一个很靠谱的信息安全的来源。比如说今天有什么很重要的漏洞爆发,有什么很新颖,很有趣的攻击手法、攻击事件,我维护这么一个列表和信息的来源。因为我上班比较晚,十点到公司,可能花二十分钟左右浏览一遍,挑选出比较感兴趣的东西,然后把它剔出来看老外的原文或者是国内的分析,分析之后我觉得可能它的分析有问题或者我觉得这个点可以深入,我自己再去跟进,有些时候仅仅是把技术细节自己再重新分析一遍,但有时候在分析的过程当中会发现一些新的问题。像之前有爆发Java反序列化的漏洞,曝光的分析文章里面写的是apache commons collections库的问题。但是如果仔细看的话,仔细研究这个点,你会发现有很多其他的库也存在这个问题。我自己又重新找了很多库进行分析,分析之后现在报给了两家厂商,一个apache,一个redhat,等待他们的回复。

   

10. 截止到目前,我前天看了一下你在WooYun一共提了27个漏洞,你在什么情况下研究某一个厂商或者是某一个平台的安全问题呢?

洪宇:其实我已经很久没提了,基本上就是每年去打个卡,告诉大家我还活着。我什么时候会关注一个厂商的漏洞或者是想要渗透他们。大概看一下我提的漏洞会发现,能够把目标比较好玩,比较敏感的东西看到的话,我一般会做。怎么说呢?人都有窥私欲,人都喜欢偷偷看别人,有一种掌控别人的感觉,尤其是黑客。虽然我一直说黑客主要是三点,自由、分享、自己思考,但是其实说实话,黑客他还是有一些窥私这样的感觉。一个大厂商,那么多的人,他做那么多的安全防护,被我一个人从一个薄弱的点搞进去,它内部很多只有他们内部员工或者很机密的信息,只有他们能看的东西我能看到,那我岂不是在他们那里开了一个上帝模式,这种可以掌控他们的感觉。虽然说有这种想法,但是因为做了那么久的安全,你终归知道什么东西能碰,什么东西不能碰,什么东西能碰到什么样的程度,有一个底线。虽然你有这个能力把他公司很多奇怪的东西,很多机密的东西看到,你有这个能力,但是不代表你就必须要做它,我觉得这个是现在一个黑客他有能力把控自身很重要的点。

   

11. 我平时用手机应用或者是其他的网站。比如平时日常工作、生活中用到一些产品,不管是Web或者是APP或者是其他的,如果发现有问题,比如报错,不好用有Bug我一般会给他们发邮件反馈,你会不会这样做呢?

洪宇:有的时候是这样的,包括之前有很多公司推广广告,他们会购买一些推广广告的数据来源,莫名其妙的推广到我这里来,但是我从来没用过他的产品,这样我就很烦,我就会去看一看他的问题。

   

12. 两年前你在Kcon说勿忘初心,我的印象特别深,你现在是怎么理解这句话呢?

洪宇:不管是哪一个行业,从最开始做,到慢慢做了几年之后,有了一些成就或者做的比以前好了,人可能都会浮躁,尤其是在比较浮华的社会环境下,每个人都是这样的。安全圈比以前好太多了,因为现在各种资本的进入,钱这个东西把安全圈抬的比以前高多了。可能以前大家几个人都穷,大家在一起讨论讨论技术,以技术为主。但是现在资本介入以后冒出那么多新的安全公司,有那么多老牌安全公司,大家都在抢这个市场和蛋糕。每个人都越来越浮华。

   

13. 大家都说安全圈是娱乐圈。

洪宇:对,慢慢变成娱乐圈这种感觉。但是你单独找一个黑客问他,当时做这个东西是为了什么。我觉得当时从事这一行只要带脑子的人都不是为了赚钱的,真的是喜欢技术,热爱技术。勿忘初心就是不管你现在有多么的浮华,有多么的浮躁,你只要记得你当时为什么选择从事这个行业,你是真的热爱这个技术,真的喜欢这个东西,你才会去做。

   

14. 最后一个问题,我们QCon是软件开发者大会,从安全人员的角度你对程序员有哪些建议或者有什么想说的话吗?

洪宇:我觉得每一个能够做出很精妙东西的人,他都是一个黑客,我说的不仅仅是程序员、不仅仅是从事IT行业的人。为什么说比较厉害的程序员可以变成黑客,有人说过一个金字塔顶端可能就是黑客,因为黑客什么都要懂,要懂开发和运维,懂各种各样的东西才能成为一个黑客,为什么这些人能当黑客,不是说他有多聪明。每一个写代码的人,每一个程序员他都是很聪明、很机灵的人。但是黑客关注的东西比较多,他看问题比较细致,他能够在信息量很繁杂的整体里面抽丝剥茧看出一些端倪来,我觉得这群人脑洞比较大。他能从A点跳跃跨过BCD看到后面的东西,我觉得这些人能够成为黑客。但是很多我见到的程序开发者,他可能想到的仅仅是如何把这个功能实现,如何把产品做出来,我觉得细致这个点是最能区分出程序员和黑客的点。

也不算是给程序员什么建议,我觉得大家都应该是互相学习的,我们应该向他们学习很多东西,大家都可以这样互相学习。程序员能够注意到他们在产品开发过程当中每一个流程,每一个细节能够做到位,这样的话他们做出来的产品应该就是比较好,比较棒的,就是细节这个点是比较重要的。

InfoQ:谢谢你,我的采访就这些。

你可能感兴趣的:(Redrain:黑客都是金字塔顶端的人)