90后黑客:网络世界充满了不安全感
2016-04-15严冬雪
严冬雪
315晚会上演示攻破POS机的那家公司,没有一个人敢用真名收快递
往来于北京市海淀区学院路甲5号院的快递小哥不会猜到,他每天敲开的红色铁门,喊下来的王一一、陈小明、李大帅,是一群每天与黑客打交道的人。铁门后的26个年轻人,没有一个用真实姓名收快递。
陈宇森就是其中一员。去年8月,陈宇森所在的蓝莲花战队,第三次杀入DEFCON CTF总决赛。这是世界上最大的黑客“世界杯”赛事,挑拨着全球黑客们的好胜心,蓝莲花是全球首支杀入决赛的华人队伍。从2013年开始,蓝莲花两次取得第五名的好成绩。百度总裁张亚勤也放下手中工作,到现场为他们助阵呐喊。
比赛日之外的时间,陈宇森的身份是长亭科技公司总裁。这家成立不到两年的网络安全公司揽下了国内安全圈最优秀的一群年轻人,比如,参加2015年CTF大赛的8位蓝莲花队员中有5位都是长亭员工,包括队长杨坤。与陈宇森同为队友兼同事的,除了杨坤,还有朱文雷、刘超和崔勤。2014年7月,陈、杨、朱、刘四人作为联合创始人,成立了长亭科技。一年后,长亭科技在2015年9月拿到真格基金的600万元天使投资。
朱文雷亲手敲下的几行代码,在今年的央视“3.15”晚会上被展现在大众眼前。晚会展示了这段攻击代码的厉害之处:远程操控某几款智能摄像头,不但能看到所拍画面,还能控制摄像头方向、角度,自动开启拍照或录影;远程控制某款POS机,只要有人刷卡消费,就能立即复制这次消费,轻击几下键盘,就能让这张卡反复在POS机上消费到透支,虽然实体卡仍在卡主手上,但其中的金额却早就被盗刷一空。
“3.15”晚会上的这段影像其实是一次“原音重现”。去年10月,由腾讯主办的GeekPwn智能硬件破解大赛上,长亭科技现场展示了三个项目:操控7款智能摄像头;控制POS机,消费者刷卡时,攻击者只要掠过他身边,就能复制出那张卡,窃取密码;路由器也被完全控制,电脑、手机隐私一览无余。这三个项目,使长亭成为GeekPwn的大奖得主,取得了32万元奖金。
“央视用通俗易懂的电视语言,将我们在比赛时的攻击场景重现了。”陈宇森向《财经天下》周刊解释,晚会中的安全专家,正是用长亭提供的原始代码实现了攻击展示。这段代码在赢回32万元奖金后,又意外上镜。
32万元,按照目前国内市场价,大概是4单企业安全服务的价码,但如果是长亭的服务,则只能买两单。“我们一手拉起了单价。业内同样的case单价都在10万以下,我们拉到15万到20万。”陈宇森向《财经天下》周刊说。作为向互联网企业提供安全服务的公司,由于很多客户本身处在创业阶段,安全公司往往无法收取高额费用,安全服务人员的价值长期被严重低估。
同样被严重低估的还有国内互联网安全的重要性。在陈宇森看来,世界上只有两种人,一种是知道自己被黑了,另一种是被黑了还不知道。中国的中小企业大部分属于后者——还不知道网络安全的意义。
两年的创业经历更支撑了陈宇森的这一看法:取得企业授权,派出安全工程师从黑客的角度,对企业的所有线上服务进行渗透测试,给出测试报告,并进一步提供漏洞修复服务。攻击时,一般两人一组,反复查漏,梳理完毕后轮换下一组,直到对方经受了全方位的攻击,测试完毕,报告出炉。
结果显示,陈宇森和同事们几乎能帮所有客户发现严重漏洞——“严重”是一种级别,指的是能直接攻入服务器获取非常敏感的数据。
作为初创公司,长亭为企业提供的服务直到这一步都是完全免费,如果对方足够重视,就会购买接下来的收费服务:漏洞修复。但这个模式曾让长亭科技在创立的第一年非常苦闷:没人愿意付费。陈宇森发现,这是因为客户本身没有钱,原本就带着不愿付费的动机只想试试。或是都已经融资到了C轮,但因为是to C的公司,觉得用户隐私安全没有那么重要,所以还是不愿意付费修复。
现实状况让陈宇森和朱文雷及时调整了方向:主攻金融P2P、电商、教育三大领域。他们总结这些企业特点是:离钱近,安全需求高。
去年8月底至今,长亭服务了约60家客户,三分之一的客户在拿到漏洞报告后选择购买付费服务。其中,上述三大领域的客户几乎百分百下达付费订单。
在安全领域,老牌安全公司的主要客户是政府、大型国企等,客单价在百万级别,他们不会对互联网厂商投入太大精力。作为初创公司,无法与老牌企业正面交锋,长亭便将服务对象定位在互联网厂商,针对他们提供精细的安全服务。定价方案也与传统安全企业不同,后者按照工作量计价,长亭则按照服务效果定价,分为高、中、低和免费四档。前述“严重”级别的漏洞,就属于高档。高客单价,加上不断攀升的付费率,使得长亭在创立第二年基本实现了收支平衡。
目前长亭科技一共26人,除了两位1989年、一位1987年生人,其他均为90后。初创公司的身份使他们难以接到银行等大客户。“不是我们水平不够,而是资质不够。”为此,他们需要花费时间去接受国家相关部门的培训,拿到相关证书。
在这群年轻气盛的极客们看来,培训老师的水平远远不如自己。但在现实面前,他们选择服从,“毕竟,to B公司的目标就是做大客户”,陈宇森总结道。
在国外,新兴安全公司的寿命一般只有五到六年,随着技术更新换代,企业更换硬件设备供应商,就会出现新机会,新的细分领域的公司也应运而生。而在中国,这个周期则更短,四五年前成立的那批安全公司,基本都逃不过被控股或收购的命运。
与长亭同期成立的新兴安全公司有十来家,大家各自细分领域不同,做法也有差异。作为团队的老大哥,1989年生人的朱文雷曾与陈宇森商定:我们先在安全领域做5年再说,最多做10年。毕竟,在中国,安全市场还是太小了,在可预见的未来都不会是个太大的市场。现阶段,他们追求的是成为同期中最好、最大的一家。
但在未来,他们想涉足的不止安全领域。因为基本功扎实,这群科班出身的年轻人,经常会把人工智能、大数据等技术结合进来,用很多新方法来解决安全问题。2016年新的产品与大动作也在酝酿之中。
他们还想尽量保持低调。“我们不想被太早盯上。不想被挖人、被模仿,也不想被收购。”陈宇森说。他们从未想过被收购,融资时也格外谨慎。
身处安全圈内,同样谨慎的还有他们的上网作风。他们会用VPN等加密方式联网,只在手机里装属于“刚需”的应用。陈宇森甚至从来不在购物网站保存银行卡信息,每次购物都会从头输入一遍。他也不会点击“保存密码”的选项,而是靠着强劲的记忆力输入复杂的密码。他的各类密码也从不重复,他建议自己的父母也这样做,并告诉他们如果记不住太多密码,可以手写在小本上。
在他们眼中,这个网络世界充满不安全感。他们从不去扫地推的二维码,返利等互联网牟利方式更让他们退避三舍。输入姓名和年龄来“算命”等小游戏,他们也不愿沾手。他们手机里还会有虚拟号码软件,在自己的真实手机号上套一个小号外壳,陌生人只能通过小号联系,以杜绝骚扰。他们甚至不会摆出剪刀手来拍照,以防被从照片中提取指纹。
对于这些做法,陈宇森解释道:“隐私是多维度信息的组合,包括姓名、电话、住址、身份证号等。在网络上,你的信息组合就代表了你。”