餘弦(鍾晨鳴):打破常規,守正出奇

非商業轉載請註明做譯者、出處,並保留本文的原始連接:http://www.ituring.com.cn/article/213628前端

餘弦(鍾晨鳴), 知道創宇技術副總裁、404團隊Leader、知名黑客,一手打造出KCon大會、漏洞交易平臺Seebug、網絡空間搜索引擎ZoomEye,並著有暢銷書《Web前端黑客技術揭祕》。他堅持「以黑客那種邪氣看待世界。而你,務必保持本身的獨立思惟」。更多信息,請參見其我的公衆號 「懶人在思考」、我的網站evilcos.me。
圖片描述編程

問:據瞭解,您大學並不是計算機專業,但由於高中就開始對計算機感興趣,後來轉到了計算機安全領域?安全

我從高中開始學編程的,但緣於對天然科學的好奇和家人的影響,大學選擇了生物專業。其實跟生物又不太相關,叫生物功能材料。這是個跨學科專業(生物學+材料學),研究的是人造骨骼、人造心臟等須要植入人體的東西,因此又跟醫療有些關係。服務器

大學專業的跨學科性,以及自身對計算機的濃厚興趣,讓我有了再跨一下的想法。其實當時動機很單純,就是以爲黑客很酷!再者,從小看着動畫片長大,也想本身試試看可否作出來,因而學了Flash。再後來,我開始接觸Flash安全,接觸到黑客領域。微信

問:聽說您還未畢業就加入了知道創宇?網絡

當時我是黑客圈內的新人,是看着中國老一代黑客們的文章,學習着他們的思想,運用着他們的工具成長起來的,因此十分崇拜這些黑客圈兒裏的前輩。當時知道創宇的創始人來學校找到我,跟我吃飯,有這般待遇能夠跟牛人作一番很牛的事,我很痛快就答應了。工具

問:知道創宇藏龍臥虎,您以爲是什麼吸引了這麼多優秀的技術人才?學習

是黑客文化的傳承吧。知道創宇是一家注重技術的公司,從創始人、CEO、CTO到大大小小團隊的Leader,咱們堅持黑客文化這條路不少年。這是一種從上而下的傳承,知道創宇所以吸引了不少人,黑客文化也得以持續。測試

問:您在知道創宇主要負責哪方面工做?動畫

對外呢,我是知道創宇的技術副總裁,負責安全研究相關的一些技術,包括帶一些業務團隊,好比404。其實,404最初只是個實驗室,後來才一步步發展成業務團隊,繼而我要帶領這個團隊打造不少產品,要思考它的商業模式。另外,前面說到知道創宇是一家注重技術的公司,這是咱們的一個優勢,但每每也是缺點:在市場這塊兒咱們可能作得並不夠好。因此,咱們一方面要把產品作好,一方面也在思考怎樣讓更多的人知道咱們的東西,知道有這樣一個羣體在對抗着網絡空間裏的地下黑客。咱們但願可以把背後的東西作成產品,提供給須要的人。

問:您當初基於什麼緣由建立了KCon,相較於其餘安全會議,它的特點和優點是?

建立KCon是2012年,那時國內的大會還比較少,並且除了少數聚焦於技術外,不少大會的商業性太強了。而咱們團隊比較愛玩,又很是注重黑客技術,因而我就想在業內辦一場純粹的,可以迴歸黑客自由分享精神的大會。所以,KCon一開始並不接受贊助。

KCon的玩法是這樣的,除了保證乾貨和高質量,還要有好玩的元素,好比邀請搖滾樂隊。我更但願可以挖掘不少有實力的新人,給他們展現的舞臺,讓他們有機會成爲黑客圈的焦點。就好像2015年,最小的演講者是一名12歲的初中生,他也能站上講臺,並且事實證實講得挺不錯。固然,咱們也會邀請必定比例的老人,但不必定是那種有超級知名度的,他們可能在黑客圈潛伏了好久,但一旦站上演講臺,就會引發你們對黑客情結的共鳴。咱們但願你們可以在其中找到一種平衡:一個是新股勢力,一個是帶有情結的老人。這樣的感受會讓人懷念黑客的本質。

問:近年,國內不少黑客團體走進國際黑客大會,您以爲國內的黑客羣體在國際上是個什麼地位?

有段時間,中國的黑客其實在國外有被妖魔化。他們認爲中國的黑客會侵犯我的資產,入侵商業、國家政治等領域。但這也從側面說明,國內的黑客技術不斷髮展成長起來了。

近幾年,國內外都出現了一批新興的網絡安全公司,咱們也算比較新穎的。當你們都成熟起來以後,咱們發現其實海外安全公司中也有不少華人,技術也很高超。再日後的這兩年,愈來愈多的中國人、中國公司開始站上國際舞臺,但我以爲並不存在國內的技術和國外技術分離的現象,中國黑客其實挺強的。

現在,咱們也嘗試把打造的產品,包括KCon、Seebug、ZoomEye推向國際舞臺。好比未來的KCon大會上,我也會嘗試邀請一些國外的嘉賓用全英文演講,可是我骨子裏面又不太想,咱們泱泱大國自己的安全人才就不少。相信當KCon足夠有影響力的時候,國際上的黑客會想要親自來中國。

問:不少人說,ZoomEye與國外的Shodan很類似,您認爲ZoomEye的特點有哪些?Shodan不斷商業化,那ZoomEye的發展趨勢呢?

ZoomEye也在考慮商業化,但會更加註重開放。其實,咱們打造ZoomEye的時候,還不知道Shodan的存在,固然二者的切入點也不大同樣。Shodan主要針對的是設備指紋,也就是與某些特定端口通訊以後返回的banner信息的採集和索引。而ZoomEye更加偏重Web,側重於對某些特定服務的探測,好比Web服務的細節分析。後來知道了Shodan的存在,也對比了其餘一些相似項目,咱們以爲能夠把整個網絡空間的全部端口信息都記錄下來,而實際作的過程當中咱們才瞭解到它真正的複雜度。固然,咱們很是尊重Shodan,重視黑客的開源、版權等相關問題,因此操做過程當中也會實事求是地說明用到了哪些東西。

近期ZoomEye和科研院校合做,面向全球發起ZoomEye D計劃(網絡空間暗物質消除計劃);開放ZoomEye API,讓更多人能夠更方便地使用ZoomEye的海量數據與能力。因爲把網絡空間比喻爲海洋,咱們這些在網絡空間上攻防對抗的黑客就是「海盜」,所以還上線了「海盜榜」。ZoomEye已經探索出本身的發展路線,一條在免費開放與商業利益之間平衡的路線。

問:黑客精神是能夠培養的嗎?「黑客」在外人看來老是很神祕,您對「黑客」是否有本身的定義?

能夠啊,我以爲就是所謂的先天和後天吧。先天的話,就是這我的自己的性格是否吻合黑客精神所須要的一些元素。固然,不少時候黑客精神又與世界觀有關係,然而早期的世界觀每每是不夠的。你慢慢地會了解這個世界上有多麼牛的一批人,多麼牛的一些工程,而後可能會被感染,被觸動。

我在知乎上的簽名是「在知道創宇黑客不神祕」。咱們自己是黑客,因此不會以爲黑客有多麼神祕。後來換位思考發現,在整個網絡空間內,黑客就像具有了超能力同樣,能夠打破常規作一些人們意想不到的事,固然有好有壞。但我認爲真正的黑客是守正出奇,走正道兒,有出奇的玩法,且具有創造力的羣體。這也是咱們團隊對於黑客的定義。固然,這個定義並不囊括全部的「黑客」,而只是咱們所定義的黑客,也是咱們但願成爲的那種黑客。

問:不少人作黑客是興趣使然,這也使黑客很容易越界。對於純粹想作技術的黑客,怎樣把控越界問題,也就是「正」和「邪」呢?

這就是我所說的「守正出奇」。我常說,要想成爲一名真正的黑客,首先得勇於去觸碰一些東西。若是太過拘束,人人頭上都懸着一把劍,社會也就不用運轉,安全也就不用玩了。任何作安全的人都必定會踩到一些雷,必定會有的。但作的過程當中,咱們必定要有底線。你要拿別人的資產去測試,好比服務器、網站,你不要爲了炫耀換了人家的首頁,什麼「黑客路過此地」;也不要把人家的庫托出來拿去賣了。那樣的話,他們可能所以股票暴跌、喪失客戶信任,或者遭受其餘損失。爲了研究作測試,瞭解本質就能夠了,決不能破壞。

對於想要成爲黑客的朋友,個人建議是要向「地下黑客」學習,大膽一點,壞一點。咱們必須像他們同樣去思考,不少技能都是相通的。

問:1月份由「電子六所」授牌,知道創宇成爲工控系統信息安全技術國家工程實驗室分部。這是否也意味着工控領域的安全態勢日益嚴峻,將成爲值得關注的熱點問題?

國家之因此在知道創宇創建分部,也是想充分利用民間企業的力量,在工控安全領域將力量最大化。國家對於工控安全的重視,其實也是由於網絡空間的玩法帶來了一些比較神奇的效應,好比最先面向公衆的一塊兒工控事件「震網病毒」。當時,伊朗核設備的離心機被震網病毒篡改了相關參數,致使離心機轉速過快,損壞了大批設施。此次安全事件的曝光說明,網絡病毒能夠經過網絡破壞線下的東西。如今工控自己有一套網絡——工控網,雖然說與互聯網是隔離的,但實際上它們之間會有交集,並且交集可能會愈來愈多。

德國還提出了「工業4.0」的說法。如今的智慧城市,多少都跟工控有關聯,好比智能的樓宇、交通系統、水電支付等。如此大的一個市場擺在那兒,而黑客就是跟着市場走的。有一個很好玩的觀點:咱們看到的任何明面上的產業鏈,底下必定有對應的黑色或者灰色產業。

問:信息價值不斷提高,物聯網等科技迅速發展,給網絡安全帶來了哪些機遇和挑戰?

國內的安全意識在提升,從咱們業務量的提高能夠明顯感受到。斯諾登事件後,國家逐步提升對網絡安全的重視程度,併成立了中央國家安全委員會。後來網信辦的成立,更說明網絡安全已經得到國家級的高度重視。

民間公司也天然而然地被帶動起來了。並且,互聯網創業公司愈來愈多,包括作互聯網金融的,作比特幣的,它們常常遭受黑客的攻擊,因此自己也能感覺到安全問題。一個產業起來了,黑客也就多了,人們的安全意識天然也就提高了。這對咱們這樣的安全公司來講都是挑戰,須要去研發、攻破。

2016年4月Qcon大會北京站,餘弦還有精彩內容講給你們!

圖片描述


更多精彩,加入圖靈訪談微信!

圖片描述

相關文章
相關標籤/搜索