中國互聯網安全傳奇:「看」那一場「雪」,下了17年
作者|H4cd
編輯|田光
2000 年建立的看雪論壇,作為中國互聯網安全歷史上一個舉足輕重的角色,17 年來一直在專業安全領域堅韌地發展著。在創建之初,它是國內唯一一個討論加解密技術的論壇,從最初單一的「軟體調試論壇」版塊,發展到如今以軟體安全技術為主題多個版塊的綜合論壇,無論是那個時候,還是現在,關注安全領域的人應該沒有不知道看雪的。
寫在前面
17 年來,不斷有人成為看雪的一員,不斷有人在分享安全技術,同時也有越來越多的人在看雪得到成長,成為各個安全公司的專業人才,這也是看雪被稱為中國安全領域的黃埔軍校的原因。十幾年來,很多安全論壇已成昨日黃花,但看雪論壇卻始終保持著活力,11 月 18 日看雪在北京舉辦了「2017 安全開發者峰會」,以一種全新的方式與關注安全領域的人共聚。
作為中國互聯網安全的見證者,這十幾年來,看雪見證了整個國內安全領域大環境的發展,我們希望通過看雪來簡單了解一下,這樣一個大環境與看雪的發展是如何相輔相成的。我們在會場採訪了看雪創始人段鋼老師,請他為我們講述了那一段看雪的故事。以下內容由採訪整理而成。
1
星星之雪
上個世紀 90 年代,中國互聯網剛開始普及,那個時候,人們上網還不太方便,很多人是去網吧上網的,而網吧其實也不多,家裡的電腦用來打打單機遊戲,上網這個功能還處在初期階段,基本無法滿足需求。段鋼說他在那個時期,也是用家裡的電腦來學習一些知識,但是也沒法怎麼上網,所以他獲取知識的方式主要有兩種,一種是買書,另一種就是買光碟,而光碟在那個互聯網早期階段其實是一個最好的傳播知識的途徑。
「在這個過程中我開始學習,開始對安全感興趣。」
說到為什麼是對安全感興趣,段鋼說因為他在 94 年接觸 PC 機,那還是 DOS 時代,在學校里看到機房裡有人用 PCTOOLS,一種二進位工具在改遊戲。他看到這個工具裡面的「01ABCD02」這種後來明白它叫十六進位的「亂碼」,覺得很神秘,於是開始對安全這個東西產生興趣。
之後就開始自學計算機的相關知識,因為沒法上網,他就自己買了些書,按著書上的教程學習著,學到後來,買了個黑客入門的光碟教程,這時就開始涉足安全方向。
「但是因為上不了網,所以黑客技術學了也沒什麼用。」那時候相比大陸,在安全領域上台灣是走在前面,很多技術內容也是從台灣輸入的。後來在光碟里看到一篇台灣的關於逆向軟體的文章,這使他往破解軟體方向上去發展了,因為這個不需要連著網路就可以做到,所以就作為一個方向來鑽研。跟著文章教程,他對一個軟體進行了研究、破解,搞定之後得到了成就感,「很上癮,很興奮,覺得有一種成就感。」這時的他覺得自己在安全領域總算是入了門。
入門之後,實踐越來越多,技術也在不斷提升,到了 99 年,那時候已經可以很正常地上網了,段鋼覺得,技術需要通過和其它技術人員交流來進步。於是他做了一番調查,把國內國外的安全網站都搜了一遍,整理了出來。在整理的過程中他發現,國內的網站,一般就只是給你個結果,告訴你這個軟體被破解成什麼樣了,而不會教你破解這個軟體需要些什麼技術。但是國外的網站,會設置有系列教程,讓有興趣的網民去體系化地學習如何破解分析一個軟體。這使他萌生了建立一個站點的想法,他想通過這個網站,讓大家來交流真正破解軟體的技術。
於是,看雪網站出現了。
「當時外面正下著雪,起名字蠻頭疼的,我說起什麼名字呢?就『看雪』吧。」段鋼回憶著,笑得很瀟洒。
那個時代,大家都以分享技術為一種榮耀,會將安全研究心得發到論壇交流,除了能交流技術,還能交到朋友。就這樣,陸續有人來到了看雪。
天時地利人和,看雪就這樣一步步發展起來了。「網站到目前為止經過了 17 年,留下一萬多篇文章,這是一個歷史的沉澱,放遠一點來看,有燕過留聲,人過留文章的感慨。」
「由於看雪這邊將技術交流作為網站主要目的定位,論壇精華文章是個人才華的一個標籤,所以很多人很快就被吸引過來了。」星星之火以燎原之勢襲來,看雪的出發點在這其中具有重要的作用。
2
看雪的堅持
說到網站的建立,段鋼表示,網站建立之後的發展速度遠遠超出他的想像,這時候他覺得需要有一些準則來作為網站的觀點,不然容易跑偏。他考慮了兩點,一個是網站定位。「論壇只交流技術,不能發布你的破解程序,如果你發布的文章是破解了某個軟體,把別人的產品補丁放過去了,那這是一定要刪帖的。」
第二個他說是不能進行有償破解,不能有帶著黑產性質的活動,看雪只允許純交流技術。這兩點一直到今天看雪還在貫徹著,這是看雪的堅持。
3
從一個論壇到一個峰會
網站建立之後,17 年來,看雪的發展過程中,有幾個事件讓段鋼感觸很深,他覺得在中國安全行業發展的大背景下,看雪在不斷地前行。
4
加密與解密
2001 年,段鋼出版了《加密與解密》一書。回憶起當初出書的細節,他說當時出書對他來說是高不可攀的一件事。當時面對的是兩個大的問題,首先是出版社方面,對他們來說,以往他們出書找的多是些傳統意義上的作家來執筆,「而那時候他們應該也是希望找新領域的作者」,段鋼認為那個時間出版社也在嘗試新的方式去擴展市場,於是他們會去網上找一些知名社區的站長或者一些有影響力的人來寫書,這對出版社來說其實是一種賭博。
另一個問題是段鋼本身沒寫過書,連文章都沒發表過,「我對出版社的人說我肯定完成不了」,但是電子工業出版社郭立鼓勵他把知道的技術寫出來就行了。
既然決定了,段鋼就著手去寫這本書,於是在 01 年他完成了這本意義深遠的《加密與解密》。
「在這之前,市場上並沒有這方面的圖書,然後一下子一炮打響,這本書獲得當年的暢銷書獎,同時它還輸出了一個版權到台灣」,段鋼說之前只有從台灣往大陸引進計算機圖書,而這本書讓這個事實改變了,這時候簡體輸出到台灣,由他們去翻譯了。在這本書之前,大家覺得軟體逆向或者軟體破解是很神秘的,這本書的傳播,突然間讓很多人了解到,其實這也只是一種計算機技術而已。
5
黃埔軍校
在那個時代,安全公司對於論壇來講也是很遙遠的,論壇無非就是一些技術人分享一些技術,但是安全公司屬於「正規軍」,他們的職業技能、工程化的能力對於看雪論壇來說,也是不可攀的。但是後來漸漸地,安全公司竟然主動到看雪論壇來尋找安全人才。
「我記得金山毒霸來看雪論壇招聘,我覺得我們討論東西是企業所需要的,並不是說我們搞破解是一種灰色的東西。」先後有一些安全公司來看雪挖安全人員,這在段鋼看來,雖然本來是不能想像的,但是他覺得這也是一個必然的結果,他說看雪交流的技術是可以落地的,這正是企業需要的東西。
隨著一批又一批安全人才輸出到專業安全公司,看雪的知名度也不斷提高,而「安全界黃埔軍校」也得名於此。回顧一下,段鋼覺得安全公司的這種「戰略轉變」是挺有意義的,這影響了安全公司之後,一直到今天的招聘思維,而且看雪在這其中因為輸出的萬千安全人員是有真材實料的,所以這使得招聘者與求職者雙方的訴求都得到滿足,這對於整個行業的進步也起到了向上的推動作用。
同時,國內各個安全公司在那個時期也漸漸發展起來。隨著這些轉變的出現,安全人員的待遇也跟著整個大趨勢得到提高,安全公司之間相互搶人才的事也很普遍,段鋼舉了個例子,他說那時候安全公司搶人才是「你出 4k 來請一個安全技術人,那我翻倍 8k 把他招過來。」這樣整個行業其實也得到快速發展。時勢造英雄,英雄也在影響著時勢。
6
兩個圈子的交集
看雪初期,論壇成員主要研究的是 Windows 的安全,後來覺得對 Windows 的逆向已經沒什麼激情了,因為玩來玩去都是那些東西,於是他們開始往移動、硬體等方向轉變,他們去做軟體的破解、殺毒軟體的分析、木馬的查殺等,但是他們做的也都屬於二進位安全方向。而另一方面,中國互聯網的快速發展,人們上網不再像之前那麼困難,這時候 Web 黑客開始多了起來,他們基於網路,做網站滲透,做伺服器攻防……雖然都是安全領域,但是這兩個圈子還是很少有交集的。
後來這兩個圈子開始相互滲透,安全是個綜合性的技術,而且安全問題越來越複雜,使得兩個圈子的人才需要學習對方的技術才能更好地去面對這些問題。「看雪論壇就是意識到了這一點,所以在之前,看雪裡大家就不僅分享加解密技術了。去看看雪網站上的資料,其實就是各種安全的內容的。」
「這一次安全峰會,為什麼還有這麼多人來,就是因為看雪是集合了這兩個方向的技術人的,這就使得受眾面比較廣。」段鋼解釋到。
7
社區轉變
「看雪跟我個人的性格有關係,本來我這 17 年來覺得我們不求論壇去盈利,也沒拿去做黑產,如果拿去做,經濟上我肯定是發達了。但是我沒有這麼做。」
段鋼回憶看雪的商業化轉型時,解釋說一直以來,只是把看雪當作一個形象很正面的技術交流社區,之前也沒有想到商業化的,沒想過用它來賺錢。他主要是利用業餘時間去維護這個社區,同時,也有一批批版主們在一起維護看雪。「但是這有個問題,你不是專業的團隊去運作你就發展不起來,而且更關鍵的問題是,現在很多安全公司出現了,而且他們是有資本支持的,可以有專業團隊來運作……」。
段鋼認為看雪發展到了一個危險的階段,如果再這樣靠一幫愛好者在業餘維護,那麼很快看雪將被資本打敗。另一方面,「看雪那些老會員們,還有受到看雪影響的兩代人,70 年代的一幫人,80 年的一代人,他們也覺得說看雪發展到現在能不能再往前走一步?他們不願意看著看雪這樣就被資本運作的市場給打敗。」於是,一方面是作為創始人的抱負,一方面是不想辜負支持者們用心,2015 年,段鋼與幾個版主出資成立了看雪科技,16 年做了眾籌,獲得了永州創投的 500 萬投資,之後有了資金,組建了團隊去進行專業化運作。
專業化運作到今天差不多一年時間,看雪舉辦了這次的開發者安全峰會。中國安全行業在發展,看雪也在向前。
8
安全行業在往一個好的方向發展
其實早在上世紀 80 年代,中國就成立了第一個專門的安全機構「國家信息中心信息安全處」,這意味著,我們其實很早就開始關注安全了,但是可以看到,其實國內的安全市場還沒成熟。有一個現象,國內安全行業的就業缺口在逐年上升,這一方面反映出早些年大家對安全的關注是遠遠不夠的,另一方面也顯示出,隨著影響全球的安全事件的曝發、政策的出台,最近這幾年,從上到下,國內對信息安全有了空前的重視。
這麼嚴重的人才缺口,段鋼認為這主要有兩個原因。一個是成本。成本分為資金成本和時間進度成本,資金成本是指人力物力的投入。時間進度成本是說,對項目來說如果不考慮安全,那麼項目進度會更快,也許就因為這一個快,就能抓住市場。
另一個因素是意識問題,段鋼認為早些年公司一般是沒有多少安全意識的,特別是在 80 年代末到 2000 年這段時間,真正有安全意識的可能就只是金融和信息相關的公司,因為畢竟他們的業務跟資金和信息相關,在這塊會比較嚴謹。「公司一般就是前期先佔住市場,先把產品推出去,以後再做安全,而真正做安全的時候,也不會花那麼多精力做。」他說意識是很有影響力的,「我們整個社會的安全意識不夠,包括很多大學開設安全專業,但是與社會需要嚴重脫節,就是你學的東西根本就沒有地方去用。但是現在情況真的改變了,我們的安全在往一個好的方向發展。」
確實,中國的安全行業在往一個好的方向發展著,簡單來講,隨著斯諾登事件、NSA 武器庫等事件的爆發,國家對網路安全的重視有了一個新的高度,2017 年 6 月正式實施「網路安全法」,對外對內都進一步保障了網民的信息安全,而這也勢必促進國內安全行業的積極發展。
其它一些法律法規也都在制度上為安全做了保障,給企業下了要求,「等保這種都形成了規章制度,就是從法律上讓企業必須在安全上去花這個錢,不能為省錢不做安全這塊了,國家給你這些標準,你要按著這個來做,讓產品真正安全。」段鋼覺得這就像環保,有些企業能省錢就省錢,不把環保當一回事,覺得不出事的話那在環保上的投資就是浪費了。但是他們不明白,如果真的出了事,那它的價值就體現出來了。「安全就是這樣,所以人們不願意去做,但是現在他們必須這麼做,這是一個意識轉變上的推動作用。」
另一方面是各種安全標準的出現。軟體、網站或硬體設備做到什麼樣算安全了呢?在安全上,我們有一些企業在積極推進位定各種安全標準,移動的安全標準、物聯網的安全標準、網路的安全標準等,「這樣的標準出來了,那麼對於行業間的交流,對於國內外安全業務的合作都是有積極促進作用的。」
具體到安全人員,人才的緊缺,正反映出了各個公司對安全的重視,在政府的帶動下,安全意識正變得越來越普及,安全技術也越來越有用武之地。另一方面,可以看到,當下安全人員的待遇也是處在技術型人才的前列的。
9
看雪,繼續燎原
安全行業越來越火熱,它的前途、它的市場似乎有無限可能,這使得接觸安全領域的人不斷增加,越來越多的人相約看雪。如今看雪舉辦了自己的開發者安全峰會,聚焦「安全開發」,為安全人員與開發人員搭建一個橋樑,引導企業與開發者關注移動、智能設備、物聯網等領域的安全,提高開發和安全技巧。這場雪,下了 17 年。
作為前輩,段鋼給了接觸安全的新人一些建議,他說不要盲目去跟風,首先興趣是很重要的,其次不要本末倒置,「不要為了去搞安全,放棄你正常的業務技能的提升,比如說開發技術不能丟掉了,開發是王道,這是個地基,你地基不打了而去做各種安全技術研究,導致你的水平到了一定程度就上不去了。」另一點他說得多動手、多實踐,不能只停留在理論上。
最後,他補充了一點,「學安全還有一個問題,思想一定得好,一些人掌握安全技術就去做壞事,或者說經不住什麼誘惑,一腳踏進去有可能就回不來了。」
今日薦文
TAG:InfoQ |