本文转自:infoQ(https://mp.weixin.qq.com)
作者|H4cd
编辑|田光
2000年建立的看雪论坛,作为中国互联网安全历史上一个举足轻重的角色,17年来一直在专业安全领域坚韧地发展着。在创建之初,它是国内唯一一个讨论加解密技术的论坛,从最初单一的“软件调试论坛”版块,发展到如今以软件安全技术为主题多个版块的综合论坛,无论是那个时候,还是现在,关注安全领域的人应该没有不知道看雪的。
17年来,不断有人成为看雪的一员,不断有人在分享安全技术,同时也有越来越多的人在看雪得到成长,成为各个安全公司的专业人才,这也是看雪被称为中国安全领域的黄埔军校的原因。十几年来,很多安全论坛已成昨日黄花,但看雪论坛却始终保持着活力,11月18日看雪在北京举办了“2017安全开发者峰会”,以一种全新的方式与关注安全领域的人共聚。
作为中国互联网安全的见证者,这十几年来,看雪见证了整个国内安全领域大环境的发展,我们希望通过看雪来简单了解一下,这样一个大环境与看雪的发展是如何相辅相成的。我们在会场采访了看雪创始人段钢老师,请他为我们讲述了那一段看雪的故事。以下内容由采访整理而成。
星星之雪
上个世纪90年代,中国互联网刚开始普及,那个时候,人们上网还不太方便,很多人是去网吧上网的,而网吧其实也不多,家里的电脑用来打打单机游戏,上网这个功能还处在初期阶段,基本无法满足需求。段钢说他在那个时期,也是用家里的电脑来学习一些知识,但是也没法怎么上网,所以他获取知识的方式主要有两种,一种是买书,另一种就是买光盘,而光盘在那个互联网早期阶段其实是一个最好的传播知识的途径。
“在这个过程中我开始学习,开始对安全感兴趣。”
说到为什么是对安全感兴趣,段钢说因为他在94年接触PC机,那还是DOS时代,在学校里看到机房里有人用PCTOOLS,一种二进制工具在改游戏。他看到这个工具里面的“01ABCD02”这种后来明白它叫十六进制的“乱码”,觉得很神秘,于是开始对安全这个东西产生兴趣。
之后就开始自学计算机的相关知识,因为没法上网,他就自己买了些书,按着书上的教程学习着,学到后来,买了个黑客入门的光盘教程,这时就开始涉足安全方向。
“但是因为上不了网,所以黑客技术学了也没什么用。”那时候相比大陆,在安全领域上台湾是走在前面,很多技术内容也是从台湾输入的。后来在光盘里看到一篇台湾的关于逆向软件的文章,这使他往破解软件方向上去发展了,因为这个不需要连着网络就可以做到,所以就作为一个方向来钻研。跟着文章教程,他对一个软件进行了研究、破解,搞定之后得到了成就感,“很上瘾,很兴奋,觉得有一种成就感。”这时的他觉得自己在安全领域总算是入了门。
入门之后,实践越来越多,技术也在不断提升,到了99年,那时候已经可以很正常地上网了,段钢觉得,技术需要通过和其它技术人员交流来进步。于是他做了一番调查,把国内国外的安全网站都搜了一遍,整理了出来。在整理的过程中他发现,国内的网站,一般就只是给你个结果,告诉你这个软件被破解成什么样了,而不会教你破解这个软件需要些什么技术。但是国外的网站,会设置有系列教程,让有兴趣的网民去体系化地学习如何破解分析一个软件。这使他萌生了建立一个站点的想法,他想通过这个网站,让大家来交流真正破解软件的技术。
于是,看雪网站出现了。
“当时外面正下着雪,起名字蛮头疼的,我说起什么名字呢?就‘看雪’吧。”段钢回忆着,笑得很潇洒。
段钢说他从来也没想过能把看雪做到今天这么大,他心里一直觉得只是随便建个网站,让大家来交流,让大家来学习。论坛建起来之后,他就在几个网站社区里发广告,让大家知道有这么一个地方。
那个时代,大家都以分享技术为一种荣耀,会将安全研究心得发到论坛交流,除了能交流技术,还能交到朋友。就这样,陆续有人来到了看雪。
天时地利人和,看雪就这样一步步发展起来了。“网站到目前为止经过了17年,留下一万多篇文章,这是一个历史的沉淀,放远一点来看,有燕过留声,人过留文章的感慨。”
“由于看雪这边将技术交流作为网站主要目的定位,论坛精华文章是个人才华的一个标签,所以很多人很快就被吸引过来了。”星星之火以燎原之势袭来,看雪的出发点在这其中具有重要的作用。
看雪的坚持
说到网站的建立,段钢表示,网站建立之后的发展速度远远超出他的想象,这时候他觉得需要有一些准则来作为网站的观点,不然容易跑偏。他考虑了两点,一个是网站定位。“论坛只交流技术,不能发布你的破解程序,如果你发布的文章是破解了某个软件,把别人的产品补丁放过去了,那这是一定要删帖的。”
第二个他说是不能进行有偿破解,不能有带着黑产性质的活动,看雪只允许纯交流技术。这两点一直到今天看雪还在贯彻着,这是看雪的坚持。
从一个论坛到一个峰会
网站建立之后,17年来,看雪的发展过程中,有几个事件让段钢感触很深,他觉得在中国安全行业发展的大背景下,看雪在不断地前行。
加密与解密
2001年,段钢出版了《加密与解密》一书。回忆起当初出书的细节,他说当时出书对他来说是高不可攀的一件事。当时面对的是两个大的问题,首先是出版社方面,对他们来说,以往他们出书找的多是些传统意义上的作家来执笔,“而那时候他们应该也是希望找新领域的作者”,段钢认为那个时间出版社也在尝试新的方式去扩展市场,于是他们会去网上找一些知名社区的站长或者一些有影响力的人来写书,这对出版社来说其实是一种赌博。
另一个问题是段钢本身没写过书,连文章都没发表过,“我对出版社的人说我肯定完成不了”,但是电子工业出版社郭立鼓励他把知道的技术写出来就行了。
既然决定了,段钢就着手去写这本书,于是在01年他完成了这本意义深远的《加密与解密》。
“在这之前,市场上并没有这方面的图书,然后一下子一炮打响,这本书获得当年的畅销书奖,同时它还输出了一个版权到台湾”,段钢说之前只有从台湾往大陆引进计算机图书,而这本书让这个事实改变了,这时候简体输出到台湾,由他们去翻译了。在这本书之前,大家觉得软件逆向或者软件破解是很神秘的,这本书的传播,突然间让很多人了解到,其实这也只是一种计算机技术而已。
黄埔军校
在那个时代,安全公司对于论坛来讲也是很遥远的,论坛无非就是一些技术人分享一些技术,但是安全公司属于“正规军”,他们的职业技能、工程化的能力对于看雪论坛来说,也是不可攀的。但是后来渐渐地,安全公司竟然主动到看雪论坛来寻找安全人才。
“我记得金山毒霸来看雪论坛招聘,我觉得我们讨论东西是企业所需要的,并不是说我们搞破解是一种灰色的东西。”先后有一些安全公司来看雪挖安全人员,这在段钢看来,虽然本来是不能想象的,但是他觉得这也是一个必然的结果,他说看雪交流的技术是可以落地的,这正是企业需要的东西。
随着一批又一批安全人才输出到专业安全公司,看雪的知名度也不断提高,而“安全界黄埔军校”也得名于此。回顾一下,段钢觉得安全公司的这种“战略转变”是挺有意义的,这影响了安全公司之后,一直到今天的招聘思维,而且看雪在这其中因为输出的万千安全人员是有真材实料的,所以这使得招聘者与求职者双方的诉求都得到满足,这对于整个行业的进步也起到了向上的推动作用。
同时,国内各个安全公司在那个时期也渐渐发展起来。随着这些转变的出现,安全人员的待遇也跟着整个大趋势得到提高,安全公司之间相互抢人才的事也很普遍,段钢举了个例子,他说那时候安全公司抢人才是“你出4k来请一个安全技术人,那我翻倍8k把他招过来。”这样整个行业其实也得到快速发展。时势造英雄,英雄也在影响着时势。
两个圈子的交集
看雪初期,论坛成员主要研究的是Windows的安全,后来觉得对Windows的逆向已经没什么激情了,因为玩来玩去都是那些东西,于是他们开始往移动、硬件等方向转变,他们去做软件的破解、杀毒软件的分析、木马的查杀等,但是他们做的也都属于二进制安全方向。而另一方面,中国互联网的快速发展,人们上网不再像之前那么困难,这时候Web黑客开始多了起来,他们基于网络,做网站渗透,做服务器攻防……虽然都是安全领域,但是这两个圈子还是很少有交集的。
后来这两个圈子开始相互渗透,安全是个综合性的技术,而且安全问题越来越复杂,使得两个圈子的人才需要学习对方的技术才能更好地去面对这些问题。“看雪论坛就是意识到了这一点,所以在之前,看雪里大家就不仅分享加解密技术了。去看看雪网站上的资料,其实就是各种安全的内容的。”
“这一次安全峰会,为什么还有这么多人来,就是因为看雪是集合了这两个方向的技术人的,这就使得受众面比较广。”段钢解释到。
社区转变
“看雪跟我个人的性格有关系,本来我这17年来觉得我们不求论坛去盈利,也没拿去做黑产,如果拿去做,经济上我肯定是发达了。但是我没有这么做。”
段钢回忆看雪的商业化转型时,解释说一直以来,只是把看雪当作一个形象很正面的技术交流社区,之前也没有想到商业化的,没想过用它来赚钱。他主要是利用业余时间去维护这个社区,同时,也有一批批版主们在一起维护看雪。“但是这有个问题,你不是专业的团队去运作你就发展不起来,而且更关键的问题是,现在很多安全公司出现了,而且他们是有资本支持的,可以有专业团队来运作……”。
段钢认为看雪发展到了一个危险的阶段,如果再这样靠一帮爱好者在业余维护,那么很快看雪将被资本打败。另一方面,“看雪那些老会员们,还有受到看雪影响的两代人,70年代的一帮人,80年的一代人,他们也觉得说看雪发展到现在能不能再往前走一步?他们不愿意看着看雪这样就被资本运作的市场给打败。”于是,一方面是作为创始人的抱负,一方面是不想辜负支持者们用心,2015年,段钢与几个版主出资成立了看雪科技,16年做了众筹,获得了永州创投的500万投资,之后有了资金,组建了团队去进行专业化运作。
专业化运作到今天差不多一年时间,看雪举办了这次的开发者安全峰会。中国安全行业在发展,看雪也在向前。
安全行业在往一个好的方向发展
其实早在上世纪80年代,中国就成立了第一个专门的安全机构“国家信息中心信息安全处”,这意味着,我们其实很早就开始关注安全了,但是可以看到,其实国内的安全市场还没成熟。有一个现象,国内安全行业的就业缺口在逐年上升,这一方面反映出早些年大家对安全的关注是远远不够的,另一方面也显示出,随着影响全球的安全事件的曝发、政策的出台,最近这几年,从上到下,国内对信息安全有了空前的重视。
这么严重的人才缺口,段钢认为这主要有两个原因。一个是成本。成本分为资金成本和时间进度成本,资金成本是指人力物力的投入。时间进度成本是说,对项目来说如果不考虑安全,那么项目进度会更快,也许就因为这一个快,就能抓住市场。
另一个因素是意识问题,段钢认为早些年公司一般是没有多少安全意识的,特别是在80年代末到2000年这段时间,真正有安全意识的可能就只是金融和信息相关的公司,因为毕竟他们的业务跟资金和信息相关,在这块会比较严谨。“公司一般就是前期先占住市场,先把产品推出去,以后再做安全,而真正做安全的时候,也不会花那么多精力做。”他说意识是很有影响力的,“我们整个社会的安全意识不够,包括很多大学开设安全专业,但是与社会需要严重脱节,就是你学的东西根本就没有地方去用。但是现在情况真的改变了,我们的安全在往一个好的方向发展。”
确实,中国的安全行业在往一个好的方向发展着,简单来讲,随着斯诺登事件、NSA武器库等事件的爆发,国家对网络安全的重视有了一个新的高度,2017年6月正式实施“网络安全法”,对外对内都进一步保障了网民的信息安全,而这也势必促进国内安全行业的积极发展。
其它一些法律法规也都在制度上为安全做了保障,给企业下了要求,“等保这种都形成了规章制度,就是从法律上让企业必须在安全上去花这个钱,不能为省钱不做安全这块了,国家给你这些标准,你要按着这个来做,让产品真正安全。”段钢觉得这就像环保,有些企业能省钱就省钱,不把环保当一回事,觉得不出事的话那在环保上的投资就是浪费了。但是他们不明白,如果真的出了事,那它的价值就体现出来了。“安全就是这样,所以人们不愿意去做,但是现在他们必须这么做,这是一个意识转变上的推动作用。”
另一方面是各种安全标准的出现。软件、网站或硬件设备做到什么样算安全了呢?在安全上,我们有一些企业在积极推进制定各种安全标准,移动的安全标准、物联网的安全标准、网络的安全标准等,“这样的标准出来了,那么对于行业间的交流,对于国内外安全业务的合作都是有积极促进作用的。”
具体到安全人员,人才的紧缺,正反映出了各个公司对安全的重视,在政府的带动下,安全意识正变得越来越普及,安全技术也越来越有用武之地。另一方面,可以看到,当下安全人员的待遇也是处在技术型人才的前列的。
看雪,继续燎原
安全行业越来越火热,它的前途、它的市场似乎有无限可能,这使得接触安全领域的人不断增加,越来越多的人相约看雪。如今看雪举办了自己的开发者安全峰会,聚焦“安全开发”,为安全人员与开发人员搭建一个桥梁,引导企业与开发者关注移动、智能设备、物联网等领域的安全,提高开发和安全技巧。这场雪,下了17年。
作为前辈,段钢给了接触安全的新人一些建议,他说不要盲目去跟风,首先兴趣是很重要的,其次不要本末倒置,“不要为了去搞安全,放弃你正常的业务技能的提升,比如说开发技术不能丢掉了,开发是王道,这是个地基,你地基不打了而去做各种安全技术研究,导致你的水平到了一定程度就上不去了。”另一点他说得多动手、多实践,不能只停留在理论上。
最后,他补充了一点,“学安全还有一个问题,思想一定得好,一些人掌握安全技术就去做坏事,或者说经不住什么诱惑,一脚踏进去有可能就回不来了。”
本文转载自infoQ
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)