专访知名黑客陆羽:俯瞰陆地、振羽翱翔【T00ls人物专访第三期】

管理注:本期专访,我们采访了T00ls创始人之一、早期管理员、核心成员 林伟,网名:陆羽,其现在身份为360网络攻防实验室负责人、360网站安全团队负责人、补天漏洞平台负责人。



    这世上有一种鸟,它生来就没有脚,一生都只能在天上飞,它累了,就睡在风里,这种鸟一辈子就只能落地一次,那就是它死的时候——《阿飞正传》。

    2007年的某一天,福州大学计算机系大二学生陆羽(计算机科学与技术专业)做了一个重大决定:退学。

    父母老师不约而同地包容着他的任性,没有好言相劝,亦没有苦苦相逼。究其缘由,原来大二的他已经手握多个offer。

    陆羽的学生时代刻满了与众不同。高一开始做网站,高二开始做安全。大学上两年休一年,最后干脆退学。只因他对网络安全情有独钟。撇开教条主义,陆羽堪称自学模范。

    起初,陆羽家人并不认同他学习计算机网络安全,也并不希望他掌握这些“违法技能”。尽管如此,他们还是尊重了他的意愿。父母这种“我不理解你所做,但我支持你去做”的人生立场,对陆羽产生了很大影响。后来,他组织了一个计算机协会;在多个安全比赛上拿奖;在博客、期刊上面发表文章。渐渐地,他用实际行动赢得了父母的理解。

    每个行业都有自己独特的性格。音乐家喜欢唱歌,生活就是他的乐谱。哲学家喜欢思考,呆坐几天并不罕见。安全专家同样有着相似特质,他们低调,内向,不善言辞,追求完美......

    陆羽就是这样一位安全大咖。正所谓安全界无人不知,技术造诣炉火纯青。我仔细搜寻了一些他的公开资料:土司创办人之一,360网络攻防实验室负责人、360网站安全团队负责人、补天漏洞平台负责人。几乎每个黑客的兵器库里都有他写的软件;几乎每个安全论坛中,都可以轻易的下载到他写的工具。

    带着疑问和好奇,我拨通了陆羽的电话。他语速不慌不忙,聊起自己的过往,平和沉稳,仿佛那些事像沉入水底的石子,偶然捡起,依旧闪亮如初。

    很多黑客的ID出处均源自初恋,陆羽亦是。初中时,喜欢一个姑娘。姑娘的网名叫做茶。那时候周杰伦的新歌《爷爷泡的茶》火了一阵。歌里这样唱到:“有一种味道叫做家,陆羽泡的茶,听说名利都不拿。像幅泼墨的山水画,泉水渗透进矿岩层......”,于是“陆羽”这个ID便应运而生,沿用至今。

    然而现实中,陆羽并没有泡到茶。我不知道那位叫茶的姑娘现在身在何方,有着怎样的故事。也许她并不知道,很久以前,有位男生默默地喜欢着她,并因她为自己取了网名,更难以预料的是,这个ID会在日后的中国的网络安全圈中名声大震。生活果然是一盒巧克力,你永远不知道下一块是什么滋味。

    论起学习网络安全的契机,可真是充满了血性方刚的霸气。那时正值高二,陆羽做了一个地方的学生社区。当时很有影响力,以致后来和另外一家同质化的社区有了竞争。对方竟然找华夏黑客联盟的人黑了他的网站。他当然不会就此罢休。“别人黑了我,我一定要黑回去”。

    由于之前有网络的基础知识,仅仅自学了两周的渗透知识,陆羽就把对方黑了。然而,路漫漫其修远兮,他并未就此罢休,他想要更刺激的,比如直接搞对方站长的电脑。一次偶然的机会,他在对方社区使用社工手段,诱使对方点击了一个带有Flash 0day的帖子,就这样,他终究控制了对方站长的电脑。

    这件事成为了陆羽人生道路的一个转折点,他的网络安全之路就此开始。

    只要热爱,无所不能。找到方向的陆羽在网上自学。黑鹰基地、黑客动画吧、华夏均留下他认真坚定的痕迹。为了能够学到更多的安全知识、认识更多的安全大牛,离开学校之后,陆羽和xiaomi一起创办了土司。在土司的一年半时间里,陆羽写了很多安全文章、安全工具。2010年,怀揣着安全梦的陆羽只身一人来到北京,成了一个名副其实的北漂。后来经土司杨卿推荐,他进入了360工作。

    采访的最后,我问陆羽以后一直从事这个行业吗?他的语气变的缓慢而坚定:我会一直做安全的。

    现在的陆羽沉稳有序地走在自己的安全路上,有了曾经的那些辉煌,我们相信,未来的陆羽一定会更加笃定地,创造属于自己的安全传奇。
       

问答环节:

Q: 如何看待网络安全事故频发?国内外企业应该如何避免此类事件的再次发生?

A:网络安全问题频发,也不见得是一件坏事。漏洞其实是很多的,只是大家不知道。因为有了第三方的漏洞平台,曝光的漏洞虽然越来越多,可是被发现的漏洞同样越来越多。我认为出现大的安全事件并不是坏事,它是一个好的发展方向。企业可以建立专业的安全团队,利用社会的第三方安全漏洞报告平台;利用白帽子的力量帮助企业,企业自身也应建立这种SRC奖励制度,鼓励更多的人把漏洞提交,而不是让外面的人非法使用。

Q:对于黑产和白帽子你的倾向和选择是什么?为什么一些人选择了黑产?

A:黑产什么时候都会有,去不掉。换句话说黑产促进了网络安全的发展。我们私下开玩笑说,当安全人员的收入超过黑产的收入时,也就不会存在黑产了。黑产帮助安全人员发现了一些他们自身发现不了的攻击手法和漏洞。严格意义上来说,没有完全的白帽子。因为做一个真正的白帽子,技术上就不会有发展了。技术变化很快,如果不进行攻击,就很难成长。因此,白帽子在为企业发现问题的时候也会伴随攻击行为。我觉得白帽子这个选择是值得鼓励的,国家和企业应该给予更多的认可与保护。当然也要有一定的约束,不能让白帽子做非法的事情。

Q:有人说黑客圈技术环境变了,在你看来之前的环境较之现在的环境有什么变化?健康的技术环境应该是怎样的?

A:这几年有很大的变化。05,06年前,安全圈子的学习氛围还是比较好的。08,09年开始有了变化,黑鹰基地之类的网站被关掉了,大家学安全的地方变少了。这几年,伴随着乌云平台的出现,环境又好了很多。但相比之前,有了更多的改变。安全技术慢慢的走到了台面上,这种方式被更多人接受。乌云网的这种方式虽不是最好,但它本身给白帽子提供了一个很好的学习环境,同时也产生了很大的风险。因为漏洞细节是公开的,白帽子可以通过漏洞公开的方式学习,但是对厂商而言,他们并不喜欢这种被胁迫的方式。

Q:黑客需要一个什么样的环境?国家、企业、社会、媒体和个人应该怎么做?

A:国家不要在灰色地带进行过多的干涉,对越轨的行为绳之以法。应当尽可能的给予充分的发展空间;企业建议采取SRC,给白帽子安全人员足够多的待遇;社会媒体要关注安全,起到积极的导向作用,不要过分的夸大安全事件;个人也应多多关注安全,关注的人越多,问题的安全性就越高;白帽子要懂法,了解相关的法律,明白哪些事可做哪些事不可做。

Q:为什么选择360?对想加入360的朋友们有什么建议?待遇怎么样?

A:2010年4月,我第一次去360面试,杨卿推荐的。当时擅长asp、aspx,而360更多使用的是PHP,因为准备不充分,第一次面试被Pass了。所以也提醒各位,面试官的问题最好想清楚再回答,不懂就实话实说,面试官是可以看出来的。失败后回去反思了很多,然后挖了360不少漏洞,拿着这些漏洞,我找了安全圈的朋友,获得了内推的名额,接着拿到了第二次面试的机会。吸取第一次的经验,做了充足的准备后,果然成功了。这里要非常感谢杨卿和素包子同学。在此也建议想来360工作的朋友,了解一些目标公司的需求,和自己的情况进行匹配。面试的时候要诚实,不要撒谎,撒谎是能听出来的。同时注意攻防的技巧,多在补天这样的漏洞报告平台上提交漏洞,对面试有帮助。至于待遇,这里不太方便说具体数字。有一定基础的应届生在20W左右;毕竟上市很多年了,360员工都会有股票;室内的健身房,理发室,篮球场一应俱全。该有的都有,这点和Google非常像。想要获取更多信息的朋友,欢迎来360参观、交流。

Q:大二退学选择技术,往事回首,你这种行为怎么看?

A:尽管我这样做了,但我还是不赞成的。在社区上多交流,和圈子里志同道合的伙伴组成团队会对学习更有帮助。不鼓励大家辍学,现在国家对网络安全专业、特长生的照顾很多。尽可能的不要放弃学业,一些公司在招人时还是会看学历(360更看重实力)。在北京应届生学历高的话,会优先解决户口问题。行业变化太快,不要放弃学历学技术。大部分企业对信息安全人员的学历是有要求的,国企央企这些的单位学历要求更高。有学历,会更容易进。提高自己的综合能力,有一技之长,多在像补天这样的第三方漏洞平台提交漏洞,尤其是重点培养白盒漏洞挖掘能力,多发表一些质量高的技术文章,希望大家找到自己的方向。


朋友眼中的陆羽:

    蔡晶晶:陆羽同学。执着的技术牛,现补天与360攻防实验室掌门人。性格直率、简单、正直,是非黑白写脸上。属于时刻打鸡血型的,每逢应急必冲第一线。不知数字因为有这样的牛人而强大,还是数字善于激发技术人的潜能。对了,打鸡血也许是因为这兄弟甲亢,工作不要命,号称吃了药无助挖洞,所以至今瘦骨如柴。拥有有这样不要命员工的企业,令人羡慕。

    杨卿: 拥有优秀执行力且精力充沛的出差侠,社会工程学高手,是一个敢告诉他ID,他就能还你一个密码的神奇之人。

    小蟑螂: 身材如骨弓,毫不夸张,我认识的最瘦的男人,但是工作中却有极强的抗压能力。善于发现和协调解决问题,思维敏捷,反应能力超快,加油!

    xiaomi:思维发散,心思细腻,能力突出,t00ls杰出贡献者,黑客精英。

    oldjun: T00ls精神灵魂的创建者,360公司Web团队的领头羊。涉猎超广的技术精英,能力卓越的团队领袖。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐