【访谈】80 后博士黑客创业的这一年
六道口也在北京海淀。
它同样像上一个更为知名的道口一样,被诸多本地大学环绕。从地铁站出来,混在一对对理论上正朝气蓬勃的格子衬衫和背包组合里过了马路,竖穿一家基本不会有人打招呼的超市,就进入了一个安静的小区。
进电梯,出电梯,拐弯,开门。正对大门的客厅里是作为工位的电脑们,以及电脑屏幕后面可能被来访者打扰了也可能没有的人。这是网络安全公司长亭科技的办公室。 一年前,几位快离开校门的年轻人凑了二十万成立了他们的公司,未来尚不确定,这个距离中关村创业热点稍远的小区就成了当时最符合预算的场地选择。
今天,他们赚了些钱,拿到了投资,确定了发展方向,也即将把办公室搬到另一处去。不过在介绍那些前,让我们先回顾一下历史。
历史在正对客厅左手直走到底处的储藏间里,一个箱子密密麻麻地塞着各种奖牌奖碑,其中一些大概来自大大小小的 CTF(Capture The Flag),安全界的夺旗竞赛)比赛。那是创始团队成员们会认识彼此,对网络攻防产生浓厚兴趣,甚至最终决定一起创业的原因。
起源:非天才的成长之路
创始人之一是杨坤。 当然除了这个“之一”外,他还有很多更独特的头衔,比如目前成员中年纪最大的(出生于惊人的上个世纪八十年代末年),同时是仅有的还没毕业的(博士在读)。或者对本文来说更重要的是,他是那个下午创始人里唯一有空到楼下咖啡厅坐着聊聊的。
杨坤不是歌手,也不是典型的少年天才型黑客。 如果问他为什么要从事这一行,回答没准是因为当时保研正好选了这个方向。 但严谨地按时间顺序来推算,他的兴趣起源于高中时代,那个时候他开始在自己的文曲星上编程,写一些游戏。
*对于可能不清楚的读者,文曲星是一种世纪之交时很流行的电子辞典。长得大致如下图。
彼时“计算机要从娃娃抓起”的口号已经出现,少年杨坤也在初中参加过奥林匹克信息竞赛,至于为什么高中反而要用文曲星而不是电脑编程,则有非常具备中国特色的两个原因:1. 电脑家里管得严。2.文曲星可以藏在课本后面玩。
他在文曲星上开发过简单的 RPG(Role-Playing Game,角色扮演游戏),剧情都是找朋友帮忙写的。 但这小小的兴趣还是让他打算去全面地了解计算机,并为此在大学选择了电子工程系。
据说选择此专业有利有弊,必备的基础理论和派不上用场的学问都有。其间让人(或者说让笔者本人)印象深刻的有两点:一个是他会不断开发各种项目去在实践中摸索运行原理,这似乎是日后这群人因研究 CTF 而了解甚至选择安全业的预兆。另一个则是和将来成为鲜明对比的安全水平与意识,当时他建的协会网站上有明显漏洞,时不时会被人挂个弹窗。 而据这位当事人话讲,他一开始考虑过修复,不过发现对方也就是弹弹窗没干其他什么事儿,所以就算了。
总而言之,原本对网络攻防并无特别兴趣的清华工科生杨坤听从前辈建议没有出国,又出于对母校的喜爱保研留校,阴错阳差地和这个议题挂上了钩。他又在研究生阶段接触了 CTF,此后势头一发不可收拾。和同伴组建了蓝莲花(Blue-Lotus)战队征战各大国内国际比赛,不仅让非此专业的学生因其魅力转头加入了安全业,还因为钻研比赛时展现的诡异狂热和恒心吸引了日后长亭科技的早期成员。
发展:从丁方到乙方
毕业在即,几位在 CTF 比赛中打得难舍难分的队友已经对这个行业产生了浓厚的兴趣,也不想就此分离。 当时大环境正在改善,政策正在重视网络安全,看起来此领域的事业大有可为。
他们决定成立公司做些和安全有关的事。
不过这一整句话里最简单的只有“成立公司”那个部分。 “决定”很难,要说服联合创始人从山清水秀的杭州搬到以不宜居住为居住特色的北京。“做些事”很难,当时毫无资历名气的几人最窘迫时连软件外包的活都做过,但更常见的是从传统安全厂商那接客户转了几手的项目,所谓乙方的乙方的乙方——丁方。
回忆这段经历时,看起来比实际年龄还要年轻的杨坤笑个不停,或许是因为那都是过去时,现在通过口耳相传的声誉,他们至少当上单纯的乙方了。
那乙方到底在做什么?
用一句话定义,是通过自身团队为企业进行渗透测试(Penetration Testing, 有时简称为 pentest ),并提供之后的修复建议。 不过,和近年国内安全界比较热门的安全众测概念*相反,他们完全通过公司内的技术人员对服务的企业进行针对性检测。据说在某些案例下,他们的内部团队找出的漏洞甚至多于厂商交给安全社区检测后发现的。
*注:众包(crowdsourcing)在漏洞检测上的应用。有的平台由白帽黑客自主提交漏洞—如乌云,ZDI;有的由厂商发布项目交由社区测试—如漏洞盒子,Bugcrowd。
而另一个特点则是 0 元起步检测。 这个在互联网创业圈非常普遍的免费+增值收费概念对他们而言是艰辛的一步,毕竟团队为每次检测需要付出的成本太高。 不过,在提出后也被视为创业以来做过的最正确决定之一,据说鲜有厂商看到免费检测的报告后仍决定不购买后续服务的。比起向不了解安全防护的企业科普可能的后果,一次模拟真实的攻击或许直观生动得多。
同步:蓝莲花和 SQLChop
蓝莲花不等于长亭科技。
对于在创业之余兼顾学位的杨坤来说,培养蓝莲花(Blue-Lotus)的新血也是偶尔需要关注的事。 这个在国际赛事上排行前列*的 CTF 战队基本是长亭团队的源头,却因为太过小众并没有为这个公司带来商业上的便利。不过发生在夺旗世界的传说也只用在那个世界流传,至少,这个队伍还在取得不错的成绩,或许也在同时吸引下一批打算扎根的新人。
注:排名这种东西可以在 CTFtime.org 这个网站上查看。
比起蓝莲花,SQLChop 和他们的主业关联度高得多。 他们出于某种原因开发了这个基于词法和语法分析的无规则 SQL 注入检测引擎,却发现既难以整合到别的项目里,也没到可以作为商业产品单独推出的地步,所以干脆用它投石问路,顺便为这个成立不久的公司找点关注度。
效果似乎很成功,这个工具被今年 Black Hat 大会 Arsenal 分会场收录。相关媒体在网络推广网站推广转载介绍时,也提到了他们这家一年前还默默无闻的公司。