姚威是广州凌晨网络科技有限公司创始人,也是 TGO鲲鹏会广州分会会员。曾发布《中国一线城市公共 Wi-Fi 安全与潜在威胁调查研究报告》、《匿名者黑客组织针对我各国政务网站攻击思路分析》等学术报告。2017 年 3 月 25 日,TGO鲲鹏会广州分会成立一周年之际,姚威曾做了题为《落叶归根 - 企业信息安全的现实威胁》的分享,引起强烈反响。从一位“叛逆少年”到安全界大咖,他有着独特的人生经历。
广州凌晨网络科技有限公司创始人姚威
爱“黑网站”的叛逆少年
80 后的童年,上网是被妖魔化的,家长和老师绝对不会允许自己的孩子长期泡在网吧,姚威的童年也是这样。8 岁那年,姚威第一次接触了电脑和网络,一开始也不能免俗的玩起游戏。不同的是,当其他孩子为了能升级而沉迷游戏时,他却很快失去了兴趣,他的小脑袋里琢磨的是游戏背后的事情:“怎么能在两分钟之内把级改了呢?”,有人告诉他:只有两种人能改升级规则,一种是游戏管理员,另一种叫“黑客”。这是姚威第一次听到“黑客”这个词,他很兴奋,立志要做一名黑客。
说到写程序,姚威有一位启蒙老师,就是他的叔叔。姚威说:“他是一个我心目中真正的极客,什么新奇的东西都是他先入手,然后开始折腾,他是很早一批拥有 PC 的人”。于是,去叔叔家蹭电脑玩就成了姚威最大的乐趣。他对游戏失去兴趣之后,转而开始思考:一台电脑还能做些什么?他发现还能装一些小程序,甚至能做一些恶作剧工具。当姚威发现显示屏上的东西并不那么遥远,甚至个人都可以编写的时候,他仿佛打开了新世界的大门。
姚威写的第一个程序严格来说还算不上程序,只能算一个小脚本,用来批量删除文件和格式化硬盘,也是姚威用来恶作剧的。用这个小脚本坑完叔叔后,又在学校的教学机恶作剧。
当时的姚威特别叛逆,家长越是不让,他兴趣反而越高。从初中开始,他疯狂地学习各种网络信息安全技术,成了大人眼中的“网瘾少年”。渐渐,小学时期的优异成绩就再也没回来。由于长期逃课,老师甚至都不认得他是谁。
读高中后,姚威已经被贴上了“叛逆”、“坏孩子”的标签。“我那时上哪个学校就黑哪个学校网站,要么就黑学校机房”,有次上信息课,姚威锁住了老师的教学机,两节课的时间老师都在研究怎么解锁,他则和同学在下面悄悄联机打游戏。
姚威的大学生涯有点戏剧化,6 年时间换了 6 所学校。多数是因为黑学校网络被开除或者劝退,他曾因黑学校教育网交换机,让学校一夜之间多交近 4 万的网费。虽然黑历史有点多,但对写程序和网络安全技术的痴迷丝毫未减,他也通过参加各类信息安全竞赛长了见识。
让姚威印象最深的比赛,是一个地下网络安全爱好者们发起的,为了参加比赛,他连结业考试都没去参加。姚威告诉记者:“当时的会场、形式远没有如今的安全比赛那么酷炫,但是对当时的我来说真的太震撼,原来有这么多人在做网络安全。大家互相聊一些小成果,炫耀一下自己的技术,然后全身心投入比赛。那时候的比赛其实就是自带电脑,一根网线接入交换机,开始互相攻击,向主办方提交入侵了多少台机器”。
比赛现场有两个画面给姚威留下了深刻的记忆:第一个是有个小伙抱怨有人耍赖,“你们用的不是 Windows 系统,我怎么打?”,换来的是全场大多数人的嘲笑。姚威在心里窃笑:“嗯,一个菜鸟就这样忍辱离场了”;第二个是在比赛中期,有个技术挺牛的哥们在入侵他人机器后提交入侵证明,大声喊了一句“ IP108 的是谁啊?女朋友挺漂亮啊!”,全场无人承认。就是这样并不那么正规的比赛,却让姚威深陷其中,“用流行点的话说,underground 的黑客氛围都那么奇葩哈”。
这一时期,姚威也开始频繁地接触到国内外各种网络安全事件,从开始帮别人修复安全问题,到自己做出安全的平台让大家使用,再到把各种安全漏洞公之于众。姚威说:“我那时才意识到,技术是可以这样用的!”
姚威常在国内关注度最高的全球互联网安全媒体平台 FreeBuf 上分享安全类文章,在圈内小有名气,不过大家印象最深刻的还是在世界黑客大赛 GeekPwn 澳门站上,姚威和他的团队用智能手机连续破解了国内好几款智能保险箱,轰动全场。
最早的曙光,最棒的团队
毕业后,姚威先是加入了一家做安全的公司,当时加入这家公司的最大原因就是能带领团队,恰好老板满足了他的要求。然而,随着团队越来越壮大,时间越来越久,姚威感觉自己和团队每天做的事情,已经和最初想做的事情相去甚远,他想做一些自己真正想做的事情。
2015 年姚威离开了工作四年的公司,开始创业生涯。
创业之初,姚威并没有过多地预设公司的情况,他只是做了个小的产品 demo ,开开团队会议就确定下来了。姚威认为,考虑过于周全的人实际上不太适合创业,因为想得越多,就越容易觉得维持现状要更好一些,退堂鼓已经支起来了。姚威回想当初的情形时说道:“对于未来的准备,更多的是心态上的准备,准备好担负责任,面临困难,同时做好最坏的打算。创业很多时候是冷暖自知,所以先要让自己和团队承受得起一个未知的未来和更多的挑战,心态准备好了,其他的都是事在人为”。
姚威给自己的公司取名“凌晨”:“白天很多人为生计奔忙,但晚上,我们的团队因兴趣而努力,奋战每一个凌晨,才能成为最早看见曙光的人”。
凌晨最初的班底只有 6 - 7 个人:“一个闷骚的 CTO,一个移动安全的大神充当万金油,一个正手能写的了代码,反手能逆向破解分析的多面手,一个初出茅庐却在安全圈摸爬滚打过的年轻小伙儿,一个有点执拗的北方糙汉子。这就是从当时一直坚持到现在的一个基本班底,一个安静却不安分的小团队。”姚威非常幽默地介绍自己的团队。这个团队最让姚威骄傲的是默契,凌晨成立以来,很少开长会讨论,需求说一下,大家就心领神会了,节约了很多时间成本。
2015 年 10 月,姚威和自己的信息安全团队成员共同发布了一份震惊业界的《中国一线城市 Wi-Fi 安全与潜在威胁调查研究报告》。这份报告对北京、上海、广州的机场、火车站、旅游景点、商业中心的 6 万多个 Wi-Fi 信号进行了长达半年的数据采集,发现有 1/4 是钓鱼页面,有 1/12 会强制提交过多个人隐私信息,另有 1/20 可以获取用户登录的账号密码。在这之前,这诸多的公共 Wi-Fi 安全问题几乎没有被民众和行业从业者重视。
2016 年 9 月,姚威和他的团队又发布了一份新的报告,揭开了网络空间诈骗背后不为人知的秘密。报告称:过去一年半,高达 8.6 亿条个人信息数据被明码标价售卖,有的还被卖过好几手。
为了摸清网络黑产从业者的利益链条,姚威团队里的一个成员曾经卧底进了几个黑产群,但对方的警惕程度让人难以置信,为了不穿帮,他的同事不得不虚拟出了一套完整身份,“除了支付宝、身份证、手机号,还要提供级别很高的 QQ 号和持续更新的微信账号,这样他们才可能慢慢信任你”。与“黑势力”的斗智斗勇早已成了姚威和团队人员的生活常态。
创业两年,姚威最自豪的就是自己的团队:“说实话,看到团队在一致向前跑,大家都还保持着热情,是我觉得最有成就感的事情。安全行业的创业有一些特殊性,国家的重视,行业的蓬勃发展,技术的突飞猛进,和一个创业安全公司的现状是会有落差的,俗一点的说就是即使靠技术能改变世界,但单靠技术却不能改变你的财务状况,这种情况久了,实际上非常的磨人,会磨灭一些人的热情。我的团队成员都那么努力,能在两年时间进入一个新的阶段,还都继续保持着热情,真的是一件很有成就感的事情”。
做中国最顶级的信息安全智库
“做中国最顶级的信息安全智库”是姚威始终坚守的目标,两年间,姚威带领团队做了很多研究和分析报告。这种做法让很多人感到困惑,在中国不先做产品,却要花一年半载的时间出个报告,也不能直接盈利。基本上朋友和前辈都在否定,但姚威的想法是,要用数据告诉大家安全存在的问题,从而重视安全问题。
姚威认为,无论是不是信息安全,威胁永远都是存在的,而且是多种多样的,这并不是草木皆兵。所有事物都拥有两面性,只是有些东西预先做足了安全保障,有些则不顾威胁野蛮生长。网络和信息化是为人类提供便利的,那么发展中威胁就一定存在,安全不能成为拖慢发展的绊脚石,发展也不能因为追求迅速而忽略确实存在的威胁。
姚威举了个例子:武侠剧中好像从没见过剑客持剑那只手的虎口被砍伤过,并不是威胁不存在,把剑刃和剑柄间的护手去掉,虎口被砍就会成为常事。有如电商平台用户信息,信息泄露这个威胁永远都是存在的,只是这个剑客的剑到底有没有护手呢?在姚威看来未来有多少新的技术来改变我们的生活,就会伴随着多少新的威胁,这会是一个必然。物联网安全现在火热,由于物联网发展的那么快,我们可能还没来得及为他加上护手。再如车联网,各种发布会上安全也成为了频繁出现的词汇,这既是安全意识在发展中得到了重视,也是威胁永远存在的一个反证。
姚威认为,安全行业本身就是一个挑战,安全的细分领域很多,每一个领域要做的好甚至是仅仅做到有用,都是非常大的挑战。从频发的安全事件中不难看出,安全威胁是多维度的,攻击方式是层出不穷的,攻击者是以点打面,见缝插针,而防御者则要做到面面俱到不留一块短板。这样的攻防对抗从根本上来说天平就向攻击方倾斜了。但反之,这也是机遇,可能还没有任何一家公司能做到防御任何领域,也为安全创业公司们留出了足够的发展空间,安全行业的游戏是需要多方抱团打怪兽的,对待威胁,大体量的公司可以正面迎击,初创公司也能有空间看准时机,剑走偏锋。未来安全企业的联盟会越来越多,甲乙方的合作也会越来越紧密,抱团不只为取暖,也是共同防御安全威胁的必然。“安全行业的蛋糕一起吃不一定吃的更多,但是孤军奋战一定吃的很少,再说吃相也不好看嘛。”姚威笑着说。
目前凌晨在资本上会有一些动作,暂时不便公开。业务方向上也会有一些转变,将把重心向安全大数据和无线安全转移。公司还未成立的时候姚威就一直在做一些无线安全相关的事情,现在结合安全大数据,也磨合出了发力点,而且成果还不错。
凌晨现在的安全大数据和无线安全方向,也是围绕“做中国最顶级的信息安全智库”这个目标,安全智库需要全面的安全知识,提供全面的安全方案。姚威告诉 TGO 鲲鹏会记者:“现在我们发现,首先得聚焦在一个点上,因为这样更适合我们这样体量的团队去实现目标,体现价值,安全大数据会提供一个大的平台,而无线安全则是这样一个平台在聚焦的点位上体现平台价值,相信这样符合业务和贴近场景的点位越来越多,离一个合格的安全智库就不远了。”
TGO鲲鹏会,是极客邦科技旗下高端技术人聚集和交流的组织,旨在组建全球最具影响力的科技领导者社交网络,线上线下相结合,为会员提供专享服务。目前,TGO 鲲鹏会已在北京、上海、杭州、广州、深圳、成都、硅谷、台湾、南京、厦门、武汉、苏州十二个城市设立分会。现在全球拥有在册会员 800+ 名,60% 为 CTO、技术 VP、技术合伙人。
会员覆盖了 BATJ 等互联网巨头公司技术领导者,同时,阿里巴巴王坚博士、同程艺龙技术委员会主任张海龙、苏宁易购 IT 总部执行副总裁乔新亮已经受邀,成为 TGO 鲲鹏会荣誉导师。
评论