“黑客叔叔”姚威和他的“顶级信息安全智库”梦

2020 年 1 月 31 日

“黑客叔叔”姚威和他的“顶级信息安全智库”梦

姚威是广州凌晨网络科技有限公司创始人,也是 TGO鲲鹏会广州分会会员。曾发布《中国一线城市公共 Wi-Fi 安全与潜在威胁调查研究报告》、《匿名者黑客组织针对我各国政务网站攻击思路分析》等学术报告。2017 年 3 月 25 日,TGO鲲鹏会广州分会成立一周年之际,姚威曾做了题为《落叶归根 - 企业信息安全的现实威胁》的分享,引起强烈反响。从一位“叛逆少年”到安全界大咖,他有着独特的人生经历。



广州凌晨网络科技有限公司创始人姚威


爱“黑网站”的叛逆少年



80 后的童年,上网是被妖魔化的,家长和老师绝对不会允许自己的孩子长期泡在网吧,姚威的童年也是这样。8 岁那年,姚威第一次接触了电脑和网络,一开始也不能免俗的玩起游戏。不同的是,当其他孩子为了能升级而沉迷游戏时,他却很快失去了兴趣,他的小脑袋里琢磨的是游戏背后的事情:“怎么能在两分钟之内把级改了呢?”,有人告诉他:只有两种人能改升级规则,一种是游戏管理员,另一种叫“黑客”。这是姚威第一次听到“黑客”这个词,他很兴奋,立志要做一名黑客。


说到写程序,姚威有一位启蒙老师,就是他的叔叔。姚威说:“他是一个我心目中真正的极客,什么新奇的东西都是他先入手,然后开始折腾,他是很早一批拥有 PC 的人”。于是,去叔叔家蹭电脑玩就成了姚威最大的乐趣。他对游戏失去兴趣之后,转而开始思考:一台电脑还能做些什么?他发现还能装一些小程序,甚至能做一些恶作剧工具。当姚威发现显示屏上的东西并不那么遥远,甚至个人都可以编写的时候,他仿佛打开了新世界的大门。


姚威写的第一个程序严格来说还算不上程序,只能算一个小脚本,用来批量删除文件和格式化硬盘,也是姚威用来恶作剧的。用这个小脚本坑完叔叔后,又在学校的教学机恶作剧。


当时的姚威特别叛逆,家长越是不让,他兴趣反而越高。从初中开始,他疯狂地学习各种网络信息安全技术,成了大人眼中的“网瘾少年”。渐渐,小学时期的优异成绩就再也没回来。由于长期逃课,老师甚至都不认得他是谁。


读高中后,姚威已经被贴上了“叛逆”、“坏孩子”的标签。“我那时上哪个学校就黑哪个学校网站,要么就黑学校机房”,有次上信息课,姚威锁住了老师的教学机,两节课的时间老师都在研究怎么解锁,他则和同学在下面悄悄联机打游戏。


姚威的大学生涯有点戏剧化,6 年时间换了 6 所学校。多数是因为黑学校网络被开除或者劝退,他曾因黑学校教育网交换机,让学校一夜之间多交近 4 万的网费。虽然黑历史有点多,但对写程序和网络安全技术的痴迷丝毫未减,他也通过参加各类信息安全竞赛长了见识。


让姚威印象最深的比赛,是一个地下网络安全爱好者们发起的,为了参加比赛,他连结业考试都没去参加。姚威告诉记者:“当时的会场、形式远没有如今的安全比赛那么酷炫,但是对当时的我来说真的太震撼,原来有这么多人在做网络安全。大家互相聊一些小成果,炫耀一下自己的技术,然后全身心投入比赛。那时候的比赛其实就是自带电脑,一根网线接入交换机,开始互相攻击,向主办方提交入侵了多少台机器”。


比赛现场有两个画面给姚威留下了深刻的记忆:第一个是有个小伙抱怨有人耍赖,“你们用的不是 Windows 系统,我怎么打?”,换来的是全场大多数人的嘲笑。姚威在心里窃笑:“嗯,一个菜鸟就这样忍辱离场了”;第二个是在比赛中期,有个技术挺牛的哥们在入侵他人机器后提交入侵证明,大声喊了一句“ IP108 的是谁啊?女朋友挺漂亮啊!”,全场无人承认。就是这样并不那么正规的比赛,却让姚威深陷其中,“用流行点的话说,underground 的黑客氛围都那么奇葩哈”。


这一时期,姚威也开始频繁地接触到国内外各种网络安全事件,从开始帮别人修复安全问题,到自己做出安全的平台让大家使用,再到把各种安全漏洞公之于众。姚威说:“我那时才意识到,技术是可以这样用的!”


姚威常在国内关注度最高的全球互联网安全媒体平台 FreeBuf 上分享安全类文章,在圈内小有名气,不过大家印象最深刻的还是在世界黑客大赛 GeekPwn 澳门站上,姚威和他的团队用智能手机连续破解了国内好几款智能保险箱,轰动全场。


最早的曙光,最棒的团队



毕业后,姚威先是加入了一家做安全的公司,当时加入这家公司的最大原因就是能带领团队,恰好老板满足了他的要求。然而,随着团队越来越壮大,时间越来越久,姚威感觉自己和团队每天做的事情,已经和最初想做的事情相去甚远,他想做一些自己真正想做的事情。


2015 年姚威离开了工作四年的公司,开始创业生涯。


创业之初,姚威并没有过多地预设公司的情况,他只是做了个小的产品 demo ,开开团队会议就确定下来了。姚威认为,考虑过于周全的人实际上不太适合创业,因为想得越多,就越容易觉得维持现状要更好一些,退堂鼓已经支起来了。姚威回想当初的情形时说道:“对于未来的准备,更多的是心态上的准备,准备好担负责任,面临困难,同时做好最坏的打算。创业很多时候是冷暖自知,所以先要让自己和团队承受得起一个未知的未来和更多的挑战,心态准备好了,其他的都是事在人为”。


姚威给自己的公司取名“凌晨”:“白天很多人为生计奔忙,但晚上,我们的团队因兴趣而努力,奋战每一个凌晨,才能成为最早看见曙光的人”。


凌晨最初的班底只有 6 - 7 个人:“一个闷骚的 CTO,一个移动安全的大神充当万金油,一个正手能写的了代码,反手能逆向破解分析的多面手,一个初出茅庐却在安全圈摸爬滚打过的年轻小伙儿,一个有点执拗的北方糙汉子。这就是从当时一直坚持到现在的一个基本班底,一个安静却不安分的小团队。”姚威非常幽默地介绍自己的团队。这个团队最让姚威骄傲的是默契,凌晨成立以来,很少开长会讨论,需求说一下,大家就心领神会了,节约了很多时间成本。


2015 年 10 月,姚威和自己的信息安全团队成员共同发布了一份震惊业界的《中国一线城市 Wi-Fi 安全与潜在威胁调查研究报告》。这份报告对北京、上海、广州的机场、火车站、旅游景点、商业中心的 6 万多个 Wi-Fi 信号进行了长达半年的数据采集,发现有 1/4 是钓鱼页面,有 1/12 会强制提交过多个人隐私信息,另有 1/20 可以获取用户登录的账号密码。在这之前,这诸多的公共 Wi-Fi 安全问题几乎没有被民众和行业从业者重视。


2016 年 9 月,姚威和他的团队又发布了一份新的报告,揭开了网络空间诈骗背后不为人知的秘密。报告称:过去一年半,高达 8.6 亿条个人信息数据被明码标价售卖,有的还被卖过好几手。


为了摸清网络黑产从业者的利益链条,姚威团队里的一个成员曾经卧底进了几个黑产群,但对方的警惕程度让人难以置信,为了不穿帮,他的同事不得不虚拟出了一套完整身份,“除了支付宝、身份证、手机号,还要提供级别很高的 QQ 号和持续更新的微信账号,这样他们才可能慢慢信任你”。与“黑势力”的斗智斗勇早已成了姚威和团队人员的生活常态。


创业两年,姚威最自豪的就是自己的团队:“说实话,看到团队在一致向前跑,大家都还保持着热情,是我觉得最有成就感的事情。安全行业的创业有一些特殊性,国家的重视,行业的蓬勃发展,技术的突飞猛进,和一个创业安全公司的现状是会有落差的,俗一点的说就是即使靠技术能改变世界,但单靠技术却不能改变你的财务状况,这种情况久了,实际上非常的磨人,会磨灭一些人的热情。我的团队成员都那么努力,能在两年时间进入一个新的阶段,还都继续保持着热情,真的是一件很有成就感的事情”。


做中国最顶级的信息安全智库



“做中国最顶级的信息安全智库”是姚威始终坚守的目标,两年间,姚威带领团队做了很多研究和分析报告。这种做法让很多人感到困惑,在中国不先做产品,却要花一年半载的时间出个报告,也不能直接盈利。基本上朋友和前辈都在否定,但姚威的想法是,要用数据告诉大家安全存在的问题,从而重视安全问题。


姚威认为,无论是不是信息安全,威胁永远都是存在的,而且是多种多样的,这并不是草木皆兵。所有事物都拥有两面性,只是有些东西预先做足了安全保障,有些则不顾威胁野蛮生长。网络和信息化是为人类提供便利的,那么发展中威胁就一定存在,安全不能成为拖慢发展的绊脚石,发展也不能因为追求迅速而忽略确实存在的威胁。


姚威举了个例子:武侠剧中好像从没见过剑客持剑那只手的虎口被砍伤过,并不是威胁不存在,把剑刃和剑柄间的护手去掉,虎口被砍就会成为常事。有如电商平台用户信息,信息泄露这个威胁永远都是存在的,只是这个剑客的剑到底有没有护手呢?在姚威看来未来有多少新的技术来改变我们的生活,就会伴随着多少新的威胁,这会是一个必然。物联网安全现在火热,由于物联网发展的那么快,我们可能还没来得及为他加上护手。再如车联网,各种发布会上安全也成为了频繁出现的词汇,这既是安全意识在发展中得到了重视,也是威胁永远存在的一个反证。


姚威认为,安全行业本身就是一个挑战,安全的细分领域很多,每一个领域要做的好甚至是仅仅做到有用,都是非常大的挑战。从频发的安全事件中不难看出,安全威胁是多维度的,攻击方式是层出不穷的,攻击者是以点打面,见缝插针,而防御者则要做到面面俱到不留一块短板。这样的攻防对抗从根本上来说天平就向攻击方倾斜了。但反之,这也是机遇,可能还没有任何一家公司能做到防御任何领域,也为安全创业公司们留出了足够的发展空间,安全行业的游戏是需要多方抱团打怪兽的,对待威胁,大体量的公司可以正面迎击,初创公司也能有空间看准时机,剑走偏锋。未来安全企业的联盟会越来越多,甲乙方的合作也会越来越紧密,抱团不只为取暖,也是共同防御安全威胁的必然。“安全行业的蛋糕一起吃不一定吃的更多,但是孤军奋战一定吃的很少,再说吃相也不好看嘛。”姚威笑着说。


目前凌晨在资本上会有一些动作,暂时不便公开。业务方向上也会有一些转变,将把重心向安全大数据和无线安全转移。公司还未成立的时候姚威就一直在做一些无线安全相关的事情,现在结合安全大数据,也磨合出了发力点,而且成果还不错。


凌晨现在的安全大数据和无线安全方向,也是围绕“做中国最顶级的信息安全智库”这个目标,安全智库需要全面的安全知识,提供全面的安全方案。姚威告诉 TGO 鲲鹏会记者:“现在我们发现,首先得聚焦在一个点上,因为这样更适合我们这样体量的团队去实现目标,体现价值,安全大数据会提供一个大的平台,而无线安全则是这样一个平台在聚焦的点位上体现平台价值,相信这样符合业务和贴近场景的点位越来越多,离一个合格的安全智库就不远了。”




TGO鲲鹏会,是极客邦科技旗下高端技术人聚集和交流的组织,旨在组建全球最具影响力的科技领导者社交网络,线上线下相结合,为会员提供专享服务。目前,TGO 鲲鹏会已在北京、上海、杭州、广州、深圳、成都、硅谷、台湾、南京、厦门、武汉、苏州十二个城市设立分会。现在全球拥有在册会员 800+ 名,60% 为 CTO、技术 VP、技术合伙人。


会员覆盖了 BATJ 等互联网巨头公司技术领导者,同时,阿里巴巴王坚博士、同程艺龙技术委员会主任张海龙、苏宁易购 IT 总部执行副总裁乔新亮已经受邀,成为 TGO 鲲鹏会荣誉导师。


2020 年 1 月 31 日 00:00488

评论

发布
暂无评论
发现更多内容

文科妹子都会用 GitHub,你这个工科生还等什么

沉默王二

GitHub

手把手教你本地 k8s 集群搭建云原生 Tekton CICD 流水线

比伯

Java 大数据 编程 架构 计算机

IMC总决赛精彩对战应接不暇,英特尔酷睿极致性能燃爆比赛现场!

intel001

【Swift实现代码】iOS架构模式之MVP

码爷

ios swift 架构

DeFi质押挖矿系统开发技术

薇電13242772558

区块链 defi

2 w字长文带你深入理解线程池

Java架构师迁哥

HTTPDNS开源 Android SDK,赋能更多开发者参与共建

应用研发平台EMAS

android 阿里云 开源 httpdns 移动研发平台

区块链有了几个新“标准”!

CECBC区块链专委会

区块链 版权保护

数字投票时代即将到来

CECBC区块链专委会

数字投票

高交会科技盛宴:“科技改变生活,创新驱动发展”

WX13823153201

高交会

LeetCode题解:剑指 Offer 22. 链表中倒数第k个节点,双指针,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

阿里P8架构师“墙裂”推荐:Java程序员必读的架构进阶热门书籍,值得学习!

Java成神之路

Java 程序员 架构 面试 编程语言

亲测三遍!8步搭建一个属于自己的网站

华为云开发者社区

MySQL Linux 开发者 网站 华为云

接口文档生成详细教程

测试人生路

接口文档

双11购物节国外剁手党同狂欢 阿里云视频云电商直播实时字幕

阿里云视频云

云直播 直播 直播带货 语音识别

Flutter Bloc模式

码爷

flutter ios 程序员

云图说|多模态AI开发套件HiLens Kit:超强算力彰显云上实力

华为云开发者社区

人工智能 开发者 物联网 机器人 华为云

轻松云上揽胜中华,靠的就是这份聪明的“地图”!

华为云开发者社区

MySQL 数据库 postgresql AI 地图

java-File对象

Isuodut

作为一名Java程序员,技术栈的广度深度都不够还想要高薪?请先把这些技术掌握再说。

Java成神之路

Java 程序员 架构 面试 编程语言

Teambition 网盘 VS 阿里云盘:阿里这个浓眉大眼的也开始玩赛马了?

郭旭东

阿里云 阿里云网盘

数据结构与算法系列之递归(GO)

书旅

go 数据结构与算法

《精通Tomcat:Java Web应用开发、框架分析与案例实战》.pdf

田维常

tomcat

企业级软件的核心价值

Philips

敏捷开发 企业应用

握草!美团P8整理的280页超详细Docker实战文档简直太香了,让你对如日中天的Docker有更深入的了解。

Java架构之路

Java 程序员 架构 面试 编程语言

JVM真香系列:方法区、堆、栈之间到底有什么关系

田维常

Java JVM 堆栈 方法区 Java虚拟机

加快脑动脉瘤检测,AI来了

华为云开发者社区

人工智能 学习 算法 华为云 医疗AI

美国区块链政策大盘点

CECBC区块链专委会

区块链 政策 货币

阿里大牛说:你凭什么搞不懂SpringBoot,Cloud,Nginx与Docker

小Q

Java 学习 编程 架构 面试

AliP9整理出微服务笔记:Spring微服务不止架构和设计

周老师

Java 编程 程序员 架构 面试

一位Java大牛结合自己的业务和平台多年来在Netty实践中积累的经验总结《Netty进阶之路:跟着案例学Netty》。

Java成神之路

Java 程序员 架构 面试 编程语言

“黑客叔叔”姚威和他的“顶级信息安全智库”梦-InfoQ