-
-
[原创]知道创宇CTO在看雪沙龙的演讲:坚持梦想 忠于兴趣
-
发表于: 2013-8-27 12:46
-
前记:这是《走进企业看安全》看雪沙龙第一站知道创宇CTO的演讲。这是文字稿,其实现场听,更精彩。
知道创宇CTO杨冀龙:坚持梦想 忠于兴趣
看雪主办活动:《走进企业看安全》---第1站“知道创宇”
http://bbs.pediy.com/showthread.php?t=177117
知道创宇由来
知道创宇最早其实是一家皮包公司。那是07年的事,当时有朋友说可以打一笔款给我,我说好呀,我正缺钱呢。我就把我的个人账号给了他,让他打钱,他说我太不专业了,个人账号怎么开发票呀?我说不懂,他说你干脆开个公司吧。于是就找人代理注册了个公司,名字就叫知道创宇.我们得到了第一笔钱,也第一次知道了国家收税这么狠,25%的所得税。
创业之初
到2008年底,一些朋友看到安全还是有戏的,于是就出来做个正式公司。当时有小潘、余弦等人加入。公司成立那天,美国微软一个副总裁从西雅图带了一瓶香槟过来给我们庆祝。当时我们阵容很强大,全中国挖漏洞比较牛的人基本都在我们公司,于是就想做一些漏洞安全相关的事情。后来我们发现仅做漏洞也不行,因为漏洞没有生产价值。漏洞只是产生价值的一个环节,那我们干什么呢?后来我们经过一番思考后,决定定位于更好更安全的互联网。我们发现坑、蒙、拐、骗、偷都在互联网上。互联网上有社会工程的诈骗、有技术上的攻防,所以互联网上应对的问题很多,于是定位为在更好更安全的互联网。一干就干了这么多年,而且到现在也没干好。刚成立的公司是在回龙观租的一个三室一厅的房子里,租金也非常便宜2800一月。
这是大厅,大厅这边是开发部。右边的小门有一个经理室。
有很多人问我你们公司怎么运作起来的,不需要管理吗?我说我们公司打一开始就没管理过。在回龙观时我和赵伟一周就去不了几次,凭大家的自觉性,给个任务大家干就成了。当时我们经常组织大家爬香山,前山收门票,后山免费,风景还更好。我们经常是想出去玩了就去爬山,但一般都不是周末或节假日,周二周三想去就去了,然后周六周天了补个班就行了,当时很自由自在。直到后来客户说整日电话找不到人,问我们还做不做生意?我们开始规定上班时11点,但又有客户十点打电话也没人接,于是不得不改为10点研发部上班,然后一直延续到现在。
这是下雪的照片。有同事南方人,没见过雪,特别高兴,出去堆雪人。
08年其实最艰苦,但现在看起来是最开心的时候。没什么客户压力,因为本来就没什么客户。没压力瞎搞,想怎么干就怎么干。当时根据喜好做事,我们想是把全国网站都扫一遍。我们做一个虚拟机,做一个沙箱系统把IE的许多函数给劫持了与挂马做斗争。比如与创建木马的进程对抗,我们开始以为拦截了进程启动函数就可以了,可却发现木马直接发消息给Explorer,让他去创建进程,我们就把这条路径堵上;又有木马调用未公开的API,刚修补上,人家开开始调中断,我们把中断劫持;可还有问题,它去调用杀毒软件的驱动。就这样斗争了很久,终于系统稳定,抓了很多马。后来我们在一个虚拟机开20个IE沙箱,一个服务器起8个虚拟机,用700个服务器,全部自动化,非常壮观,我们还发现了许多0day,帮微软把中国区的病毒查杀率由61%提升到91%。
后来挂马产业落寞了,我们秉承“科技与人文结合”的理念,便搞了安全联盟这个组织。监测全球4000万网站,扫描检测漏洞,最终对网站做一个信用评估。我们把形成的数据库给百度使用,百度在搜索结果下边会出现“安全”、“被篡改”、“恶意链接”等来提醒网民。现在这个接口也开放给金山、新浪微博、QQ管家等公司。后面的技术其实还是很为复杂,但对于网民很简单,网民也不关心用了什么复杂的技术,只要告诉大家这个网站是否安全、是否可用就行。最终形成了一个网站红绿灯,我们把好网站加上V推荐访问,不好的做出提示。
看雪论坛网友提问:网站的工商信息是怎么得来的?
跟工商、淘宝等单位合作。有几个原则:一年以上或半年之内网站无不良记录,背后是一个单位而非个人,工商注册信息真实等等。最终这些信息出现在百度搜索结果或者其他的平台上。对于网民网站就分为三个等级:推荐、提醒恶意和凭用户自愿。如网站有漏洞,我们就通过一个在线自助平台对网站进行提醒。比如这次Struts2漏洞,我们就联合百度向有问题的网站发邮件提醒修补,保证网站信誉。我们当年也没想到能做成这样。关键是你想象力有多丰富,想象力有多大,才有可能多大。我们当初就是想做更好的互联网或者是漏洞挖掘之神。但这个漏洞挖掘之神太科技不人文。我们要做科技与人文相结合的事,科技要在人文上,要能帮到人。
走出回龙观
2010年底从回龙观出来。这是去龙庆峡照片。
这是公司五周年庆典
我们公司最早成立皮包状态时是六个人,后来12个人,从回龙观出来是18个人,我们搬进了豪柏大厦,当时我们想这么大的办公室,应该可以在这呆个三五年吧。结果当年年底就35人了,很快地方又不够了。结果在2011年底就搬到了金威大厦,三楼是开发部,四楼是公司的研究部门,八楼比较大,是公司的大客户产品部、工程部和销售部。前年年底成立了研发中心来做公共研究开发,现在公司160多人。
教大家个技巧,拍照时大家站在那里一个出去拍照,拍完之后,其他所有人别动,换一个人再来一张,两张照片正好P成一张合照。下面这张图片就是这样弄出来的。
这是去北戴河时,帮助同事XX搞了一个浪漫求婚,把媳妇骗了下来。求婚不用多,一次就搞定了。
这是公司CEO赵伟。当老大不容易,每天望着天,看今年收成好不好。
这是公司滑雪。公司有同事滑雪好,还很会教,教会许多人。有同事学会后带女孩儿去滑雪,女孩儿很崇拜,后来也变成了媳妇。
我们公司有几条规则:第一条就是莫装逼,装逼被雷劈;第二条就是共赢;第三条就是有梦想。在这些之下,你把事搞定了,怎么玩都成;事情没搞定,加班吐血也不给加班工资。有HR跟我说你们公司员工忠诚度怎么这么高呀?我说你这个忠诚理解的有问题,你的忠诚与部门和领导无关。一个兄弟其实是忠诚于他的事业和兴趣,而非这家公司。公司事业对,符合大家预期就一切OK了,自然就一起干了,累到吐血也无所谓。公司事业不对又谈何忠诚。所以说是忠诚于事业、忠诚于理想,而非公司或个人。还有人是说你们公司企业文化太好了,我们说企业文化就是老板性格,那个赵伟就特别好玩,而且喜欢开玩笑讲黄段子,后来女员工多了,我们就禁止他,后来又改讲恶心笑话。我觉得爱玩和做事是两回事,爱玩说不一定更能成事。
腾讯平均每年花上千万的预算来识别钓鱼网站,百度每年也花几千万进行挂马识别,金山也做恶意代码识别。这些公司都有很多共同需求。于是我们搞了安全联盟,这个网站封闭开发只用了10天时间就搞完了。我们发现封闭开发,吃喝玩乐一体效率挺高的,并不是封闭就没有娱乐,搞定了就去玩了,自由与追求技术没有冲突。我发现按时上班其实不好,按部就班有时挺扯淡的,搞定事情其实就OK了。我们公司一直在强调搞定事情,这个是对社会有价值、有意义,我们就干。至于需要多少技术,本来就是大家喜欢的,干就行了。我们现在有2亿数据,在百度上展现2700万次,在腾讯上2000万次,在其他合作伙伴那1000多万次。每天提醒网民,避免损失5000-6000万次。展现一次平均能减少1元损失。一块可能有点多,我们就算一毛吧。那一天也能省很多。其实我们做的很少,就是加了个上网红绿灯。知道创宇就是公司的把公司的梦想和公司的文化传承了下来,所以我感觉这件事情很酷。
看雪论坛网友提问:您和赵伟的怎么认识的?
杨骥龙:
其实当时很简单,起初我在绿盟他在启明星辰,当时两个公司天天死磕,那时候赵伟经常找我问我这个那个漏洞分析的对不对?后来一看觉得这个人不错嘛,启明还是有高手的呀。后来,我们经常在一起打游戏,我有个PS2 他就买个XBOX 。那时候像战神什么的,我们天天的在一起玩,我老婆他老婆在旁边就像看大片一样,当我们打累了,她们就帮我们上网查攻略,所以我们现在公司还有各种游戏机,前不久又买了个台球桌。
看雪论坛网友提问:知道创宇怎么保证研究人员的创新性,也就是如何保持黑客精神?
杨骥龙:
我们的招聘有个理论,我们决不允许团队有笨蛋的理论。因为笨蛋会认为笨蛋也是人才,他会接着介绍笨蛋进来。而好的人才会和好的人才在一起。如果笨蛋成了leader,那么整个公司都会完蛋。我们经常在应聘的时候经常问:“你有什么梦想?”如果全是为着钱而来的。对不起,我们将不予接受,因为和公司的梦想不一致。有些人会说自己技术很牛,搞黑产特别的厉害,什么都能搞,说一年能带着公司上市什么的,我们也都也会直接的拒绝,原因很简单,他和我们的公司的文化理念不一样,这个属于方向上的笨。
我们有一道公开的面试的题目就是:写一个多线程爬虫来测试你的水平。其实这个题目要注意很多细节,比如避免死锁、能否爬回来、条件互斥等等。看似简单的题目,但做好也不容易,这个题你是不是黑客或者是否安全相关,都是能做的。
我刚开始也并不是黑客,是做个防火墙,结果搞失败了。再后来自己带了一个团队搞了一个产品,其实这个团队最开始也就自己一个人,那时候从HTML、插件、搜索引擎、装包、销售等都是自己搞起来的,什么都干。自己在那会儿就是个程序员,后来也是在这个过程中自己业余搞搞架构、学学逆向、漏洞挖掘。
我记得03年的时候有个著名的利用漏洞进行攻击的蠕虫叫“冲击波”,那时整个中国的电脑都中毒了,有个人写了另外一个蠕虫,专门的帮忙杀冲击波,但没补漏洞并且自己也忘了删除自己,那时候整个黑客界都在查问到底是谁写的。后来这个人出了第二版,这次在杀毒的同时还补了漏洞,并且在代码里面留了一段话,大意是这样“请各位大牛不要追踪我是谁,我只不过是个边陲小城程序员,我很崇拜各位黑客,我写了十年的C程序,程序写的不好,代码比较烂,我不会什么漏洞,什么挖掘,这些基本都是现学现卖”。6年后来我见到了那个哥们,他确实是个程序员,是个大型公司的架构师,没人知道他写过安全相关的东西。
安全研究的成果可以通过程序员放大、可以通过架构师放大、还可以产品经理放大、最后还可以通过媒体放大。如果能利用自己研究出的技术做出产品,并能够为社会服务,这就是NB。比如我和黑哥说去做一个600多亿条数据的分析,黑哥肯定会用各种技术挖掘出很多东西,这就是创新。还有余弦他写脚本很厉害,后来能带领一个团队不断发展,这也是创新。
所以说通过将为社会服务的梦想与公司的产品发展有机的结合,然后大家一起努力,并且认识很多兄弟,这样就能保持创新精神!
知道创宇CTO杨冀龙:坚持梦想 忠于兴趣
看雪主办活动:《走进企业看安全》---第1站“知道创宇”
http://bbs.pediy.com/showthread.php?t=177117
知道创宇由来
知道创宇最早其实是一家皮包公司。那是07年的事,当时有朋友说可以打一笔款给我,我说好呀,我正缺钱呢。我就把我的个人账号给了他,让他打钱,他说我太不专业了,个人账号怎么开发票呀?我说不懂,他说你干脆开个公司吧。于是就找人代理注册了个公司,名字就叫知道创宇.我们得到了第一笔钱,也第一次知道了国家收税这么狠,25%的所得税。
创业之初
到2008年底,一些朋友看到安全还是有戏的,于是就出来做个正式公司。当时有小潘、余弦等人加入。公司成立那天,美国微软一个副总裁从西雅图带了一瓶香槟过来给我们庆祝。当时我们阵容很强大,全中国挖漏洞比较牛的人基本都在我们公司,于是就想做一些漏洞安全相关的事情。后来我们发现仅做漏洞也不行,因为漏洞没有生产价值。漏洞只是产生价值的一个环节,那我们干什么呢?后来我们经过一番思考后,决定定位于更好更安全的互联网。我们发现坑、蒙、拐、骗、偷都在互联网上。互联网上有社会工程的诈骗、有技术上的攻防,所以互联网上应对的问题很多,于是定位为在更好更安全的互联网。一干就干了这么多年,而且到现在也没干好。刚成立的公司是在回龙观租的一个三室一厅的房子里,租金也非常便宜2800一月。
这是大厅,大厅这边是开发部。右边的小门有一个经理室。
有很多人问我你们公司怎么运作起来的,不需要管理吗?我说我们公司打一开始就没管理过。在回龙观时我和赵伟一周就去不了几次,凭大家的自觉性,给个任务大家干就成了。当时我们经常组织大家爬香山,前山收门票,后山免费,风景还更好。我们经常是想出去玩了就去爬山,但一般都不是周末或节假日,周二周三想去就去了,然后周六周天了补个班就行了,当时很自由自在。直到后来客户说整日电话找不到人,问我们还做不做生意?我们开始规定上班时11点,但又有客户十点打电话也没人接,于是不得不改为10点研发部上班,然后一直延续到现在。
这是下雪的照片。有同事南方人,没见过雪,特别高兴,出去堆雪人。
08年其实最艰苦,但现在看起来是最开心的时候。没什么客户压力,因为本来就没什么客户。没压力瞎搞,想怎么干就怎么干。当时根据喜好做事,我们想是把全国网站都扫一遍。我们做一个虚拟机,做一个沙箱系统把IE的许多函数给劫持了与挂马做斗争。比如与创建木马的进程对抗,我们开始以为拦截了进程启动函数就可以了,可却发现木马直接发消息给Explorer,让他去创建进程,我们就把这条路径堵上;又有木马调用未公开的API,刚修补上,人家开开始调中断,我们把中断劫持;可还有问题,它去调用杀毒软件的驱动。就这样斗争了很久,终于系统稳定,抓了很多马。后来我们在一个虚拟机开20个IE沙箱,一个服务器起8个虚拟机,用700个服务器,全部自动化,非常壮观,我们还发现了许多0day,帮微软把中国区的病毒查杀率由61%提升到91%。
后来挂马产业落寞了,我们秉承“科技与人文结合”的理念,便搞了安全联盟这个组织。监测全球4000万网站,扫描检测漏洞,最终对网站做一个信用评估。我们把形成的数据库给百度使用,百度在搜索结果下边会出现“安全”、“被篡改”、“恶意链接”等来提醒网民。现在这个接口也开放给金山、新浪微博、QQ管家等公司。后面的技术其实还是很为复杂,但对于网民很简单,网民也不关心用了什么复杂的技术,只要告诉大家这个网站是否安全、是否可用就行。最终形成了一个网站红绿灯,我们把好网站加上V推荐访问,不好的做出提示。
看雪论坛网友提问:网站的工商信息是怎么得来的?
跟工商、淘宝等单位合作。有几个原则:一年以上或半年之内网站无不良记录,背后是一个单位而非个人,工商注册信息真实等等。最终这些信息出现在百度搜索结果或者其他的平台上。对于网民网站就分为三个等级:推荐、提醒恶意和凭用户自愿。如网站有漏洞,我们就通过一个在线自助平台对网站进行提醒。比如这次Struts2漏洞,我们就联合百度向有问题的网站发邮件提醒修补,保证网站信誉。我们当年也没想到能做成这样。关键是你想象力有多丰富,想象力有多大,才有可能多大。我们当初就是想做更好的互联网或者是漏洞挖掘之神。但这个漏洞挖掘之神太科技不人文。我们要做科技与人文相结合的事,科技要在人文上,要能帮到人。
走出回龙观
2010年底从回龙观出来。这是去龙庆峡照片。
这是公司五周年庆典
我们公司最早成立皮包状态时是六个人,后来12个人,从回龙观出来是18个人,我们搬进了豪柏大厦,当时我们想这么大的办公室,应该可以在这呆个三五年吧。结果当年年底就35人了,很快地方又不够了。结果在2011年底就搬到了金威大厦,三楼是开发部,四楼是公司的研究部门,八楼比较大,是公司的大客户产品部、工程部和销售部。前年年底成立了研发中心来做公共研究开发,现在公司160多人。
教大家个技巧,拍照时大家站在那里一个出去拍照,拍完之后,其他所有人别动,换一个人再来一张,两张照片正好P成一张合照。下面这张图片就是这样弄出来的。
这是去北戴河时,帮助同事XX搞了一个浪漫求婚,把媳妇骗了下来。求婚不用多,一次就搞定了。
这是公司CEO赵伟。当老大不容易,每天望着天,看今年收成好不好。
这是公司滑雪。公司有同事滑雪好,还很会教,教会许多人。有同事学会后带女孩儿去滑雪,女孩儿很崇拜,后来也变成了媳妇。
我们公司有几条规则:第一条就是莫装逼,装逼被雷劈;第二条就是共赢;第三条就是有梦想。在这些之下,你把事搞定了,怎么玩都成;事情没搞定,加班吐血也不给加班工资。有HR跟我说你们公司员工忠诚度怎么这么高呀?我说你这个忠诚理解的有问题,你的忠诚与部门和领导无关。一个兄弟其实是忠诚于他的事业和兴趣,而非这家公司。公司事业对,符合大家预期就一切OK了,自然就一起干了,累到吐血也无所谓。公司事业不对又谈何忠诚。所以说是忠诚于事业、忠诚于理想,而非公司或个人。还有人是说你们公司企业文化太好了,我们说企业文化就是老板性格,那个赵伟就特别好玩,而且喜欢开玩笑讲黄段子,后来女员工多了,我们就禁止他,后来又改讲恶心笑话。我觉得爱玩和做事是两回事,爱玩说不一定更能成事。
腾讯平均每年花上千万的预算来识别钓鱼网站,百度每年也花几千万进行挂马识别,金山也做恶意代码识别。这些公司都有很多共同需求。于是我们搞了安全联盟,这个网站封闭开发只用了10天时间就搞完了。我们发现封闭开发,吃喝玩乐一体效率挺高的,并不是封闭就没有娱乐,搞定了就去玩了,自由与追求技术没有冲突。我发现按时上班其实不好,按部就班有时挺扯淡的,搞定事情其实就OK了。我们公司一直在强调搞定事情,这个是对社会有价值、有意义,我们就干。至于需要多少技术,本来就是大家喜欢的,干就行了。我们现在有2亿数据,在百度上展现2700万次,在腾讯上2000万次,在其他合作伙伴那1000多万次。每天提醒网民,避免损失5000-6000万次。展现一次平均能减少1元损失。一块可能有点多,我们就算一毛吧。那一天也能省很多。其实我们做的很少,就是加了个上网红绿灯。知道创宇就是公司的把公司的梦想和公司的文化传承了下来,所以我感觉这件事情很酷。
看雪论坛网友提问:您和赵伟的怎么认识的?
杨骥龙:
其实当时很简单,起初我在绿盟他在启明星辰,当时两个公司天天死磕,那时候赵伟经常找我问我这个那个漏洞分析的对不对?后来一看觉得这个人不错嘛,启明还是有高手的呀。后来,我们经常在一起打游戏,我有个PS2 他就买个XBOX 。那时候像战神什么的,我们天天的在一起玩,我老婆他老婆在旁边就像看大片一样,当我们打累了,她们就帮我们上网查攻略,所以我们现在公司还有各种游戏机,前不久又买了个台球桌。
看雪论坛网友提问:知道创宇怎么保证研究人员的创新性,也就是如何保持黑客精神?
杨骥龙:
我们的招聘有个理论,我们决不允许团队有笨蛋的理论。因为笨蛋会认为笨蛋也是人才,他会接着介绍笨蛋进来。而好的人才会和好的人才在一起。如果笨蛋成了leader,那么整个公司都会完蛋。我们经常在应聘的时候经常问:“你有什么梦想?”如果全是为着钱而来的。对不起,我们将不予接受,因为和公司的梦想不一致。有些人会说自己技术很牛,搞黑产特别的厉害,什么都能搞,说一年能带着公司上市什么的,我们也都也会直接的拒绝,原因很简单,他和我们的公司的文化理念不一样,这个属于方向上的笨。
我们有一道公开的面试的题目就是:写一个多线程爬虫来测试你的水平。其实这个题目要注意很多细节,比如避免死锁、能否爬回来、条件互斥等等。看似简单的题目,但做好也不容易,这个题你是不是黑客或者是否安全相关,都是能做的。
我刚开始也并不是黑客,是做个防火墙,结果搞失败了。再后来自己带了一个团队搞了一个产品,其实这个团队最开始也就自己一个人,那时候从HTML、插件、搜索引擎、装包、销售等都是自己搞起来的,什么都干。自己在那会儿就是个程序员,后来也是在这个过程中自己业余搞搞架构、学学逆向、漏洞挖掘。
我记得03年的时候有个著名的利用漏洞进行攻击的蠕虫叫“冲击波”,那时整个中国的电脑都中毒了,有个人写了另外一个蠕虫,专门的帮忙杀冲击波,但没补漏洞并且自己也忘了删除自己,那时候整个黑客界都在查问到底是谁写的。后来这个人出了第二版,这次在杀毒的同时还补了漏洞,并且在代码里面留了一段话,大意是这样“请各位大牛不要追踪我是谁,我只不过是个边陲小城程序员,我很崇拜各位黑客,我写了十年的C程序,程序写的不好,代码比较烂,我不会什么漏洞,什么挖掘,这些基本都是现学现卖”。6年后来我见到了那个哥们,他确实是个程序员,是个大型公司的架构师,没人知道他写过安全相关的东西。
安全研究的成果可以通过程序员放大、可以通过架构师放大、还可以产品经理放大、最后还可以通过媒体放大。如果能利用自己研究出的技术做出产品,并能够为社会服务,这就是NB。比如我和黑哥说去做一个600多亿条数据的分析,黑哥肯定会用各种技术挖掘出很多东西,这就是创新。还有余弦他写脚本很厉害,后来能带领一个团队不断发展,这也是创新。
所以说通过将为社会服务的梦想与公司的产品发展有机的结合,然后大家一起努力,并且认识很多兄弟,这样就能保持创新精神!
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
 蛮不错的
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
感觉少人了呢。。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
