xinxi
04-26-2015, 09:53
在网络世界有专属的代号,那里才是他们最习惯的世界
作为360Vulcan黑客团队的领头人,MJ0011最终还是决定不把他的战利品放在360公司 的历史荣誉展览室里。一拿到全球最知名的黑客大赛Pwn2Own的冠军,公司的几位老板就下命令式地要 求他把决赛中所使用的那部电脑给贡献出来。
他还真是非常认真地跟团队的成员商量过这件事,但不出意外,几乎没有得到任何积极的回应。他们都太低调了 ,就想把自己关在实验室里,最好谁都不知道。这群跟MJ0011一样的人,在网络世界都有着一个专属 于自己的虚拟代号,那里才是他们最习惯的世界,所以久而久之,真实的名字似乎都没那么重要 了。
但即便如此,还是有很多同事直接间接地认识了他们。MJ0011就经常碰到第一次见面的同事问类似的问 题,听说你们年薪几百万,还拿着大把股票?对此,他只能笑笑。
Ir0nSmith也在经历着一夜成名的境况。在今年的3·15晚会上,他把最近在国外黑客圈特别 流行的绵羊墙搬到了舞台上,在一个已经被黑客处理过的公共WiFi下,所有接入用户的信息都会被展示到 屏幕上。就像他当天做的那样,用户的邮箱密码、发在朋友圈的自拍照等,都被劫持了。结果,Ir0nS mith也成了360公司的名人。
像他俩这样的人物,在360还有几十个。除了时不时地会蹦出诸如360攻破特斯拉之类的新闻之外,他们 在做的任何事情都不为人所知。MJ0011领导的攻防实验室和漏洞研究实验室还好,他们还会向安全产品 部门输出一些核心技术。Ir0nSmith负责的硬件和无线领域,几乎是纯粹的研究,而且多数都是目前 很难商业化的技术。
所以,(养黑客)这个事只有在大公司里才有,而且会越来越贵。MJ0011现在已经深刻感觉到挖一 个人有多难,从去年开始,尤其是最高深的漏洞安全人才,动辄几百万元,甚至是上千万元。
但老周(360董事长兼CEO周鸿祎)还是特喜欢挖那些有潜质的团队。MJ0011在行业里属于 大牛级,他在公司内部直接向总裁齐向东汇报,只要齐在北京,他们每周都会见一次。
内部也的确曾有人质疑过老板的决定,在他们看来,如此高的代价并没有得到足够的回报。齐向东则完全不听这一 套,我们现在就是要树大旗,做一个大平台,形成人才高地。有这么一批高水平的人,是我们在物联网时代提供 全方位服务的基础。
在今年两个团队相继露脸之后,齐的底气就更足了。几个团队都提出了增员的需求,他想都没想就同意了。反 而是拿到批条的MJ0011有些为难,有几家公司已经开出大价钱挖团队去打明年的Pwn2Own(全 世界最著名、奖金最丰厚的黑客大赛)了,价格估计又会涨不少。
困境
这可是与2010年之前有着天壤之别,那时安全人员的行业平均月薪只有三到五千元。在很长一段时间里,网络 安全技术人员的待遇甚至普遍要低于IT行业的平均水平。因此,美国知名的杀毒巨头
McAfee从2005年开始,就疯狂挖角中国的黑客人才,他们开出的薪水在当时看来非常夸张:年薪30万 元,可这比国外的行业水平还是低不少。
国内最知名的安全团队Keen Team的负责人王琦,在2007年时是微软中国安全响应中心的创始人。突然有一天,他接到美国总部的电话 ,派他去找一个人。总部发现在报告给Windows操作系统的漏洞中,这个人的名字出现频率极 高。
他就是现在鼎鼎大名的吴石,但当王琦找到他时完全惊呆了。这个后来被国内黑客圈奉为精神导师的年轻人住 在一个小黑屋里,公司已经两年没有给他发工资了,生活穷困潦倒。
大师级的人物只能如此,这让当时冒出来的一批有才华的年轻人颇为沮丧,他们开始一个个地进入 黑色产业。
赚钱开始变得极其容易。他们做出大批的网络游戏盗号木马、远程控制木马等各类木马产品和黑客工具,然后以一 个独家性的条款出售给包马人,之后就是大规模的散布和盗取。
那时候,不需要高深的技术,一个小黑客每个月可以赚上百万、上千万。王琦清楚地记得他当时发现了一个非 常好的技术苗子,有一天这个人在自己的博客里写了一句话:我突然觉得天都变了,整个世界都不一样了。王 之后再也没见过他,只是听说他后来还开上了法拉利。
这种状况盛极一时,持续了数年,搞得整个中国互联网乌烟瘴气,黑客这个圈子也被踩到了脚底下。甚至直到现在 ,这种恶性的影响都没有完全消散。
黑客在国外是分为白帽子和黑帽子的,上述的那些做黑色产业的就是黑帽子,而白帽子从不利用黑客技术 去从事非法活动,他们更多的是为了研究漏洞,并将发现的漏洞汇报给厂商。
而在国内,黑客就等同于黑帽子,王琦就曾无数次地拒绝采访,我们不想被媒体炒作成少年黑客的 无聊形象。
Ir0nSmith很早就来到了360,不过早期他的工作是保证公司内部的电脑和服务器不被黑客攻击。 出于兴趣爱好,他和同事们也会做出各种安全报告提供给别的厂商,但人家总是认为我们瞎捣乱,他们对此很警 惕,特别反感我们能黑进他们内部系统这件事。
吴石已经失望透顶了,因为周围的朋友或是过得惨淡,或是在做着黑产。在离开微软之后的很长一段时间里,他都 不愿碰及跟安全相关的任何事。王琦多次邀请他加入 Keen Team,他非常抵触,王琦总是劝他,我们虽然看不到蛋糕,但你会揉面,他会生火,我们可以先 做个馒头出来养活自己,这样至少大家都不会走(做黑产)。
就这样,Keen Team不温不火地做了两三年。无法想象的是,在去年3月之前,只有《福布斯》对他们做过一次采访,吴石得 到的评价很高,发现的漏洞比苹果整个安全团队的两倍还多。直到被腾讯发现和投资,成为后者战略级的门 客,这个团队才逐渐为人所知。
分水岭
现在看来,2013年的斯诺登事件是个明显的分水岭。虽然360、腾讯和阿里巴巴在2010年就开始争 抢安全人才,但在此期间,安全人员的平均薪水只是与IT行业其他工种持平。
忽然一下子就高了。MJ0011说。Tombkeeper以千万年薪转会腾讯这件事在圈里成了 一个标杆,这个被尊称为TK教主的黑客大牛目前是腾讯玄武安全实验室的总监,实际上,他的大部分工 作也都是纯粹的研究。
实际上,这时的中国黑客们已经有了很多出路。他们跟国外的黑客团队一样,一边靠挖漏洞挣钱。如ZDI、Ve riSign这样的美国漏洞公司会用很高的价格收购黑客手中的漏洞,然后再转手卖给大公司、政府等;另一边 也直接服务这些大公司和政府,给他们提供一些安全的服务。
但正如VeriSign东亚区总监周铭所说的那样,这个行业不仅需要天赋,还要有一定的运气成分,有的人 技术很好,但一辈子可能只发现一两个漏洞。而且政府的监管也越来越严格,这些稍微有点名气的黑客都在 政府的名单上,Keen Team的成员几乎每天都会接到国家安全部门的电话和约访。
那还不如加入大公司了,尤其是他们给的薪水足以过上富裕的生活,于是,中国知名的黑客一个个地被大公司收 编。包括冰刃的作者PJF、狙剑的作者 SnipeSword、MalwareDe-fender的 作者sandworm、Real-TimeDefender的作者DJ 都去了360。腾讯则是直接和间接地拥有了TK教主和Keen Team。
然而一个无法回避的现实就是,中国第二代黑客因为黑色产业的猖獗明显断层,而且这还影响到了第三代黑客的成 长。在美国,黑客一开始就不是一个贬义词。你可以到处看到写着Hacker的涂鸦墙,在开往Menlo Park的路上,你会看到写着1 Hacker Way(黑客路1号)的路牌,那就是faceboo k的总部。黑客在这里更多的代表着一种具有钻研、探索精神的文化,描述了一批极具想象力的人。
而国内的大学本科教育完全没有开设这方面的课程,黑客也是上不了台面的职业。有趣的是,国内多数的知名黑客 甚至都不是学计算机出身的。TK教主毕业于安徽医科大学临床医学系,360里最神秘的小熊是考古学 的博士。
我的团队完全是社会招聘,现在发现一个好苗子实在太难了。MJ0011最近见了一个研一的学生,他 的技术并没有多牛,而是只有他在看了MJ0011最近发表的一篇博客之后,认真地去实施了一遍,还提出 了一个小问题。MJ0011都有点感动了,做这行,兴趣是最重要的。
没有被黑色产业卷走的这群黑客,有着一个比较统一的性格标签,他们跟吴石一样的道德洁癖。吴石会因为王 琦自言自语的一句为达目的,不择手段而发怒,其实王只是想表达自己的决心,为了让兄弟们活好,再大的 委屈都可以忍受。
MJ0011讲得最多的竟然是价值观,这根本不像是一个酷酷的黑客该说的词,但的确如此,一般一 上来问我薪水的人,我都不太喜欢,其实真正的大牛并不太在意这些,他们会有一种特别的正义感和 责任感。
前不久,吴石在朋友圈里转发了一篇题为《数学界的扫地僧们》,搞学问要宅,就算你智商200,现在这个环 境下不努力不静心也是不行的。送给天才少年们。这在黑客圈里被狂转。
包括吴石在内的几个中生代大牛,都有一种宿命感。他们无一例外地选择大公司,正是希望能通过自己的一言 一行,以及做事的逻辑和方法,为这个圈子留下点人才和规矩。于是,他们愿意出现在各种校园的黑客大赛上 ,虽然直到现在,公开演讲还都是一道难题。
很明显,从前年开始,圈子里就开始把精力放在技术上,他们不会去关注谁挣了多少钱,而是在比谁先攻破了特 斯拉,这至少给行业带来了点正向的引导。王琦说。
在去年的第一届GeekPwn上,各路不知名的民间黑客实现了一连串令人惊叹的事实:用微信无人驾驶特 斯拉;让已经关机的手机自动拍照,监听现场的声音;无需木马或钓鱼,让打到别人账户的钱在途中悄无声息转到 黑客的账户上
尤其是当TK教主出现时,全场的年轻黑客们都疯狂了,现在的孩子都开始崇拜这些中国黑客了,不像我们 那时候,一水儿的外国人,一辈子都见不到一次。Keen Team的一个成员就坐在我身边,他不住地感慨 。
齐向东有一次在内部半开玩笑地说道,如果足球要从娃娃抓起,那么网络攻防起码要从高中抓起。但MJ0 011心里清楚这有多难,资本的力量的确让黑客们看到了希望,可是离他们想要的春天,还是很远。
文章来源: 经济观察报
作为360Vulcan黑客团队的领头人,MJ0011最终还是决定不把他的战利品放在360公司 的历史荣誉展览室里。一拿到全球最知名的黑客大赛Pwn2Own的冠军,公司的几位老板就下命令式地要 求他把决赛中所使用的那部电脑给贡献出来。
他还真是非常认真地跟团队的成员商量过这件事,但不出意外,几乎没有得到任何积极的回应。他们都太低调了 ,就想把自己关在实验室里,最好谁都不知道。这群跟MJ0011一样的人,在网络世界都有着一个专属 于自己的虚拟代号,那里才是他们最习惯的世界,所以久而久之,真实的名字似乎都没那么重要 了。
但即便如此,还是有很多同事直接间接地认识了他们。MJ0011就经常碰到第一次见面的同事问类似的问 题,听说你们年薪几百万,还拿着大把股票?对此,他只能笑笑。
Ir0nSmith也在经历着一夜成名的境况。在今年的3·15晚会上,他把最近在国外黑客圈特别 流行的绵羊墙搬到了舞台上,在一个已经被黑客处理过的公共WiFi下,所有接入用户的信息都会被展示到 屏幕上。就像他当天做的那样,用户的邮箱密码、发在朋友圈的自拍照等,都被劫持了。结果,Ir0nS mith也成了360公司的名人。
像他俩这样的人物,在360还有几十个。除了时不时地会蹦出诸如360攻破特斯拉之类的新闻之外,他们 在做的任何事情都不为人所知。MJ0011领导的攻防实验室和漏洞研究实验室还好,他们还会向安全产品 部门输出一些核心技术。Ir0nSmith负责的硬件和无线领域,几乎是纯粹的研究,而且多数都是目前 很难商业化的技术。
所以,(养黑客)这个事只有在大公司里才有,而且会越来越贵。MJ0011现在已经深刻感觉到挖一 个人有多难,从去年开始,尤其是最高深的漏洞安全人才,动辄几百万元,甚至是上千万元。
但老周(360董事长兼CEO周鸿祎)还是特喜欢挖那些有潜质的团队。MJ0011在行业里属于 大牛级,他在公司内部直接向总裁齐向东汇报,只要齐在北京,他们每周都会见一次。
内部也的确曾有人质疑过老板的决定,在他们看来,如此高的代价并没有得到足够的回报。齐向东则完全不听这一 套,我们现在就是要树大旗,做一个大平台,形成人才高地。有这么一批高水平的人,是我们在物联网时代提供 全方位服务的基础。
在今年两个团队相继露脸之后,齐的底气就更足了。几个团队都提出了增员的需求,他想都没想就同意了。反 而是拿到批条的MJ0011有些为难,有几家公司已经开出大价钱挖团队去打明年的Pwn2Own(全 世界最著名、奖金最丰厚的黑客大赛)了,价格估计又会涨不少。
困境
这可是与2010年之前有着天壤之别,那时安全人员的行业平均月薪只有三到五千元。在很长一段时间里,网络 安全技术人员的待遇甚至普遍要低于IT行业的平均水平。因此,美国知名的杀毒巨头
McAfee从2005年开始,就疯狂挖角中国的黑客人才,他们开出的薪水在当时看来非常夸张:年薪30万 元,可这比国外的行业水平还是低不少。
国内最知名的安全团队Keen Team的负责人王琦,在2007年时是微软中国安全响应中心的创始人。突然有一天,他接到美国总部的电话 ,派他去找一个人。总部发现在报告给Windows操作系统的漏洞中,这个人的名字出现频率极 高。
他就是现在鼎鼎大名的吴石,但当王琦找到他时完全惊呆了。这个后来被国内黑客圈奉为精神导师的年轻人住 在一个小黑屋里,公司已经两年没有给他发工资了,生活穷困潦倒。
大师级的人物只能如此,这让当时冒出来的一批有才华的年轻人颇为沮丧,他们开始一个个地进入 黑色产业。
赚钱开始变得极其容易。他们做出大批的网络游戏盗号木马、远程控制木马等各类木马产品和黑客工具,然后以一 个独家性的条款出售给包马人,之后就是大规模的散布和盗取。
那时候,不需要高深的技术,一个小黑客每个月可以赚上百万、上千万。王琦清楚地记得他当时发现了一个非 常好的技术苗子,有一天这个人在自己的博客里写了一句话:我突然觉得天都变了,整个世界都不一样了。王 之后再也没见过他,只是听说他后来还开上了法拉利。
这种状况盛极一时,持续了数年,搞得整个中国互联网乌烟瘴气,黑客这个圈子也被踩到了脚底下。甚至直到现在 ,这种恶性的影响都没有完全消散。
黑客在国外是分为白帽子和黑帽子的,上述的那些做黑色产业的就是黑帽子,而白帽子从不利用黑客技术 去从事非法活动,他们更多的是为了研究漏洞,并将发现的漏洞汇报给厂商。
而在国内,黑客就等同于黑帽子,王琦就曾无数次地拒绝采访,我们不想被媒体炒作成少年黑客的 无聊形象。
Ir0nSmith很早就来到了360,不过早期他的工作是保证公司内部的电脑和服务器不被黑客攻击。 出于兴趣爱好,他和同事们也会做出各种安全报告提供给别的厂商,但人家总是认为我们瞎捣乱,他们对此很警 惕,特别反感我们能黑进他们内部系统这件事。
吴石已经失望透顶了,因为周围的朋友或是过得惨淡,或是在做着黑产。在离开微软之后的很长一段时间里,他都 不愿碰及跟安全相关的任何事。王琦多次邀请他加入 Keen Team,他非常抵触,王琦总是劝他,我们虽然看不到蛋糕,但你会揉面,他会生火,我们可以先 做个馒头出来养活自己,这样至少大家都不会走(做黑产)。
就这样,Keen Team不温不火地做了两三年。无法想象的是,在去年3月之前,只有《福布斯》对他们做过一次采访,吴石得 到的评价很高,发现的漏洞比苹果整个安全团队的两倍还多。直到被腾讯发现和投资,成为后者战略级的门 客,这个团队才逐渐为人所知。
分水岭
现在看来,2013年的斯诺登事件是个明显的分水岭。虽然360、腾讯和阿里巴巴在2010年就开始争 抢安全人才,但在此期间,安全人员的平均薪水只是与IT行业其他工种持平。
忽然一下子就高了。MJ0011说。Tombkeeper以千万年薪转会腾讯这件事在圈里成了 一个标杆,这个被尊称为TK教主的黑客大牛目前是腾讯玄武安全实验室的总监,实际上,他的大部分工 作也都是纯粹的研究。
实际上,这时的中国黑客们已经有了很多出路。他们跟国外的黑客团队一样,一边靠挖漏洞挣钱。如ZDI、Ve riSign这样的美国漏洞公司会用很高的价格收购黑客手中的漏洞,然后再转手卖给大公司、政府等;另一边 也直接服务这些大公司和政府,给他们提供一些安全的服务。
但正如VeriSign东亚区总监周铭所说的那样,这个行业不仅需要天赋,还要有一定的运气成分,有的人 技术很好,但一辈子可能只发现一两个漏洞。而且政府的监管也越来越严格,这些稍微有点名气的黑客都在 政府的名单上,Keen Team的成员几乎每天都会接到国家安全部门的电话和约访。
那还不如加入大公司了,尤其是他们给的薪水足以过上富裕的生活,于是,中国知名的黑客一个个地被大公司收 编。包括冰刃的作者PJF、狙剑的作者 SnipeSword、MalwareDe-fender的 作者sandworm、Real-TimeDefender的作者DJ 都去了360。腾讯则是直接和间接地拥有了TK教主和Keen Team。
然而一个无法回避的现实就是,中国第二代黑客因为黑色产业的猖獗明显断层,而且这还影响到了第三代黑客的成 长。在美国,黑客一开始就不是一个贬义词。你可以到处看到写着Hacker的涂鸦墙,在开往Menlo Park的路上,你会看到写着1 Hacker Way(黑客路1号)的路牌,那就是faceboo k的总部。黑客在这里更多的代表着一种具有钻研、探索精神的文化,描述了一批极具想象力的人。
而国内的大学本科教育完全没有开设这方面的课程,黑客也是上不了台面的职业。有趣的是,国内多数的知名黑客 甚至都不是学计算机出身的。TK教主毕业于安徽医科大学临床医学系,360里最神秘的小熊是考古学 的博士。
我的团队完全是社会招聘,现在发现一个好苗子实在太难了。MJ0011最近见了一个研一的学生,他 的技术并没有多牛,而是只有他在看了MJ0011最近发表的一篇博客之后,认真地去实施了一遍,还提出 了一个小问题。MJ0011都有点感动了,做这行,兴趣是最重要的。
没有被黑色产业卷走的这群黑客,有着一个比较统一的性格标签,他们跟吴石一样的道德洁癖。吴石会因为王 琦自言自语的一句为达目的,不择手段而发怒,其实王只是想表达自己的决心,为了让兄弟们活好,再大的 委屈都可以忍受。
MJ0011讲得最多的竟然是价值观,这根本不像是一个酷酷的黑客该说的词,但的确如此,一般一 上来问我薪水的人,我都不太喜欢,其实真正的大牛并不太在意这些,他们会有一种特别的正义感和 责任感。
前不久,吴石在朋友圈里转发了一篇题为《数学界的扫地僧们》,搞学问要宅,就算你智商200,现在这个环 境下不努力不静心也是不行的。送给天才少年们。这在黑客圈里被狂转。
包括吴石在内的几个中生代大牛,都有一种宿命感。他们无一例外地选择大公司,正是希望能通过自己的一言 一行,以及做事的逻辑和方法,为这个圈子留下点人才和规矩。于是,他们愿意出现在各种校园的黑客大赛上 ,虽然直到现在,公开演讲还都是一道难题。
很明显,从前年开始,圈子里就开始把精力放在技术上,他们不会去关注谁挣了多少钱,而是在比谁先攻破了特 斯拉,这至少给行业带来了点正向的引导。王琦说。
在去年的第一届GeekPwn上,各路不知名的民间黑客实现了一连串令人惊叹的事实:用微信无人驾驶特 斯拉;让已经关机的手机自动拍照,监听现场的声音;无需木马或钓鱼,让打到别人账户的钱在途中悄无声息转到 黑客的账户上
尤其是当TK教主出现时,全场的年轻黑客们都疯狂了,现在的孩子都开始崇拜这些中国黑客了,不像我们 那时候,一水儿的外国人,一辈子都见不到一次。Keen Team的一个成员就坐在我身边,他不住地感慨 。
齐向东有一次在内部半开玩笑地说道,如果足球要从娃娃抓起,那么网络攻防起码要从高中抓起。但MJ0 011心里清楚这有多难,资本的力量的确让黑客们看到了希望,可是离他们想要的春天,还是很远。
文章来源: 经济观察报