中国黑客传说:我是超级黑

b219ebc4b74543a9ee655ee61f178a82b9011499

“你认识黑哥吗?”

“谁啊?没听说过。”

“哦,你可以回去了。”

—- 阿里巴巴信息安全部面试题

这道题当然是杜撰的。但我还在阿里时,曾经有段时间,确实想过用类似的题目来考核面试者,看他是否对行业内保持着最基本的关注。正如我们在校招时,曾经出的最成功的一道笔试题 —- “0day是什么?”。这道题威力巨大,内行外行一题见分晓,勿须再问其他。

黑哥,就有着这样的威力。

黑哥真正的id是superhei,熟悉他的人喜欢叫他黑哥,也有无聊者直译为“超级黑”、“素破黑”。

在黑客的圈子里,有无数叫小黑或者黑哥的,但在资深黑客的眼中,只有一个黑哥,就是superhei。

黑哥真名周景平,目前是国内知名安全公司 — 知道创宇 — 的安全专家,这是去年(2012年)的事情了。在此之前,黑哥是湖南益阳一个小医院里的泌尿外科医生,每天的工作就是帮人切小JJ(割包皮)。

如果说切小JJ是黑哥的主业,而研究安全是黑哥的业余爱好的话,那么他对医疗行业的贡献,与他在安全行业里的成就比起来,就如同萤火与皓月一般。

如果说,最早是一名叫“分析家”的黑客,开创了中国安全行业的Web安全领域,那么,黑哥就是中兴这个领域的人。黑哥不仅自身对Web安全领域的研究做出了杰出的贡献,同时他还利用自身的影响力,带动了一批年轻人一起做出了一些意义不凡的成绩。而后者可能比黑哥本身的技术成果更有意义。

我一直认为中国从来不缺乏天才,中国缺少的是让天才们发挥出最大潜能的土壤。在安全行业的某些领域里,中国的水平是世界领先的,因为有像黑哥这样的人。可惜他们的成果往往不为世界所知,最大的一个原因就是英语的交流能力,限制了他们成果的传播。幸运的是,中国的天才们在阅读英语上没有太多障碍,这也是托了应试教育的福。

在SQL注入刚出来的时候,黑哥就已经对此技术做了深入的研究。他可以说是当时最了解这种攻击技术的人,曾被其他的小黑客称为“数据库专家”。

在安全技术的研究上,黑哥也极具创新性,他也是第一个提出了CSRF Worm概念的人,后来这项技术由安全组织80sec实现。而国外至今没看到过类似技术。

最令我印象深刻的,是在2008年,黑哥成立的80vul组织,发起了一个名为“PHP Codz Hacking”的活动,该活动是效仿德国的著名安全专家Stefan Esser发起的“The Month of PHP bugs”活动,为PHP内核找漏洞。最终该活动共计找出了10个严重的PHP漏洞。

这个活动最大的意义在于,80vul最终把这些问题,和发现问题的技巧,总结成了一篇paper — 《高级PHP应用程序漏洞审核技术》,在googlecode上的代号是pasc2cat。

这篇paper在国内PHP应用安全领域上具有重要的地位。如果要把历史上所有PHP安全相关的paper排个序的话,这篇paper无疑是那颗最璀璨的明珠,没有之一 —- 秒杀所有学院派的论文。我在写《白帽子讲Web安全》一书时,从此paper中也借鉴良多。

黑哥对技术领域的贡献还远不止这些。对于目前最热门的XSS盲打技术,最早可追溯到2007年黑哥写过的一篇文章《dz升级检测功能的黑盒测试》。在5年前,黑哥就极具前瞻性的产生了这个想法。

在2011年,黑哥受邀来淘宝给安全团队做一次培训。随着他来的还有他精心整理的一个PPT — 《Web2.0下的渗透测试》,这个PPT后来成为了集Web2.0安全之大成者,是研究Web2.0安全最为详实和权威的一份资料。

但黑哥也有不愉快的时候。一直专注于Web安全研究的他,在Web安全并不受重视的那段岁月,在黑客圈子里,也被归为非主流的一类人。

在2006年的时候,黑哥将他的研究成果《2次漏洞的利用》投稿给了xcon,后者是中国最权威的黑客大会,但被主办方无情的拒绝了。这可能与主办方评委们的技术背景有关,他们大多是研究OS安全与网络安全的,而缺少一个真正的web安全专家。因此他们把最好的web安全专家拒之门外,也不算什么奇怪的事情。

xcon主办方在2008年第二次拒绝了黑哥的投稿,这次投稿的内容是《高级PHP应用程序漏洞审核技术》,这颗PHP应用安全研究领域中最璀璨的明珠。由于这次的拒绝,这篇paper在黑哥的电脑里被雪藏了两年,直到2010年才正式在幻影的webzine中公开 —- 也许这就让中国的PHP应用安全领域的发展迟滞了两年。

黑哥一直对一句话耿耿于怀,这句话记载于《网络渗透测试技术》 —- 这本书是《白帽子讲Web安全》问世以前中国最权威的安全著作 🙂 —- 它是这么说的:

“许多搞系统底层安全的高手对CGI安全总是不屑一顾,认为那些只是scriptkid做的事情。按caoz的说法这是技术与技巧的区别,技术是需要很长时间积累的,要看懂底层研究成果需要很多其他知识和时间,而技巧更多属于一点就通的技术,比如CGI的渗透技术。笔者觉得技巧其实是技术的子集,作为一个渗透测试者需要了解各方面的技术,但切不可沉迷于奇技淫巧。”

也许是“奇技淫巧”四个字刺痛了黑哥的心,这是对黑哥研究领域的全盘否定。从这段话,也不难看出xcon组委会为什么会两次拒绝黑哥了,他们是一伙的。

“技巧也要点一下你才会通啊,不点你可能永远也通不了”。黑哥如是说。

黑哥是性情中人,对于他看了不爽的事情,就会直言以对。

他曾经给我推荐过一个小伙子,但由于种种原因,最终未能录用。他第二天就打电话来把我劈头盖脸的骂了一顿,我自然是成了那个有眼无珠的小人。黑哥提携过很多这样的新人,这是他对这个行业做出的比本身研究成果更重要的贡献。

不光是对我敢于直言,面对腾讯这样的巨头,黑哥同样无所畏惧。

在2013年2月 ,腾讯的安全团队公布了2012年提交漏洞给腾讯的组织与个人。黑哥以一人之力,在没有用任何扫描器的情况下,完败所有提交漏洞的安全公司,获得了“漏洞之王”的称号,并以2144分的绝对实力,遥遥领先于第二名的446分。

但之前有过一个小插曲,腾讯把黑哥的分算错了,以黑哥的脾气,当时就在博客上劈头盖脸的把腾讯骂了一顿。不久,腾讯负责此事的lake2就老老实实的跑来道歉,并且在黑哥的督促下改进了漏洞提交平台的规则。

但黑哥着实没有什么商业头脑,他脑子里永远都只有技术、技术、技术。简单说,他是一个没有什么商业判断力的人,可能他自己对此并不在乎,就像他并不在乎自己的薪水一样。

我和黑哥最早相识是在2002年,之后不久我就邀请他加入幻影,成为一位核心成员。

后来我加入阿里后,曾经三番五次的想请黑哥出山,但他就是不愿意离开那个偏僻城市的小医院,甘愿领着每个月两三千的薪水,原因只是因为他的父亲认为这个饭碗比较稳定。

鉴于他在安全行业的地位,曾经有过很多谣传,有人说黑哥开着宝马,可实际上他有时候连上网都是在医院蹭。

在2011年底的时候,黑哥在微博上发了条求职信息,只有三句话:

准备辞职转行,

寻找一个看的上我的boss或者创业伙伴,

只是目前有个要求就是可以在家里工作,待遇要求不高。

这三句玩笑般的话,最终让他找到了现在的工作。事后我问他为什么终于想通还是出山了,他回答说,中国的医疗环境太差了,做医生看不到出路在哪里。

也许,安全才是他应该在的地方。没有他,这个行业,会少很多精彩。

在黑客的世界里,总有一些人是会为理想而活,黑哥就是这样的人。

—— 后记 ——

这篇文章是我的一个尝试,我希望展示给大家看一些真正的中国黑客故事。

我会尽可能的把我身边这些朋友的资料收集起来,但本身这个过程也不会那么容易。

黑哥一直很害羞的不肯提供一张高清的照片,所以,我只能从其他渠道,搞到了这张偷拍的照片了。

虽然现在就写这些人的故事可能为时过早,因为他们仍然在不断的为这个行业做着贡献,眼下可能还不是他们事业的巅峰。

但我想,如果我不写,也许没人会写。如果我现在不写,也许以后也不会写了。

========================昨天没说完的事========================

昨天的文章似乎又让大家爽到了,这点是我不好,爽的频率太高了一点,所以以后会控制发这种文章的频率,要过段时间才会有了。

关于黑哥的故事,再补充几件事吧。

一、黑哥是在益阳的医院,而不是衡阳,他是在衡阳读的书。这点在taosay.net和长微博里都改过来了,但微信发出去后无法更改。

二、黑哥的大学是复读后才考上的,不过好歹也是读了个大学,而很多传奇黑客,是连个正经点的文凭都没有的。

三、黑哥目前用的mac笔记本、两台ipad都是从腾讯挖漏洞赚来的奖品,我们都很期待看他啥时候能从腾讯那边把苹果系列给收集全了。

四、黑哥也是国内最早提出“第三方内容安全”问题的人,当时他写了篇简单的博客,被ring04h看到后,就跑去黑掉了discuz官方。后来ring04h还用这个技巧黑掉了我百度空间的博客,因为我在博客里插入了一个来自优酷的视频。

五、《网络渗透测试技术》的作者之一杨冀龙现在是黑哥的老板。

六、黑哥的技术贡献还有很多,不一一写的。篇幅总是有限的,只能拣些最重要的写写。

黑哥的故事就写到这里吧。

可能有的朋友已经看出来了,我起这个标题的本意,是想要写一个“中国黑客传说”的系列。已经有不少朋友在回复给我的消息中开始点菜了:我想看这个大神,我想看那个大神。

但是很抱歉的是,我无法满足所有人的要求。

因为收集这些人的材料本身就比较困难,我完全是以一人之力,在工作之余来写。所以无法像写个人传记那样考据详实,只能尽可能的凭借自己的记忆,以及一些朋友的访谈来写。

我曾一度想将这个系列命名为“中国黑客列传”,但是考虑到在考据功夫上还很不足,所以这个系列肯定是无法达到传记的程度,因此,就当一些闲闻逸事来读吧。不过尽管笔调会写的好玩一点,我还是会尽可能的还原真实的人物形象,所以不一定只写好话。

由于写作方法的限制,我只能优先写身边能接触到的人。而这个圈子里还有很多很优秀的人,有的人已经离开,有的人还在继续奋斗。虽然和有些大神们神交已久,但无奈生活的圈子不同,也难以做到详实的记录他们职业生涯的重要时刻,所以暂时不会写到他们,这点还请谅解。也许,记录他们的故事,由他们身边的人来完成,会更合适。

我所写的人,不会写已经退出这个行业的人,同时写的这个人,一定是要对这个行业有过重要贡献。所以,也许有些技术很好,但很低调的人不会被我写到。可是低调从来都不是一种美德,黑客的精神应该是乐于分享,所以,哪怕你技术再好,但只要对行业没什么贡献,我也不会去写。

写这些故事,是因为现在网上流传的很多黑客故事,包括一些黑客排行榜,翻来覆去都是那么几张老面孔。而他们其中的有些人,早就不再做技术了,有的人也已经退出这个行业。这样的黑客故事太贫乏和苍白了。

呵呵,那就让我来写点真正的黑客吧。

======

本文内容来自微信公众账号:道哥的黑板报。微信ID:taosay


发表评论

(必填)

(必填)

(以便回访)