您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
网络安全 正文
发私信给李勤
发送

0

白帽汇的赵武摘掉了他的“帽子”|专访

本文作者:李勤 2018-05-23 16:32
导语:这个赵武不再是用几十行代码就能黑掉中国大半网站的黑客“zwell”。两年前,他就逼迫自己一步一步成了技术商人“赵武”。

创办白帽汇的赵武摘掉了他的帽子。

他站在自家区块链安全报告发布现场的舞台上,没有戴那款标志性的鸭舌帽。就连其定向邀请的圈内嘉宾,定了定神,才认出他来。

一个月前,赵武也摘掉了“白帽汇”的“帽子”,他注册了一家名为“华顺信安”的公司,接受了丹华资本几千万的投资,但“白帽汇”没有消失,成了华顺信安旗下的技术研究院。

有些领域对“白帽子”群体认识不同,为了避免这种“不信任的错觉”,让公司走得更远,赵武干脆做出了上述举动。

他还摘掉了第三顶帽子。

这个赵武不再是用几十行代码就能黑掉中国大半网站的黑客“zwell”。两年前,他就逼迫自己一步一步成了技术商人“赵武”。

白帽汇的赵武摘掉了他的“帽子”|专访

文|雷锋网(公众号:雷锋网)李勤

他曾想改变世界

赵武有一个改变世界的梦想。

为了实现这个梦想,他尝试了第一步:自己先成为一个牛逼哄哄的黑客。

于是,他创建了一个全球日活十万的黑客渗透工具 Pangolin,随后,又做出了漏洞扫描软件 JSky、SaaS 漏洞扫描平台 iiScan 。但他很快发现,靠一个黑客不足以改变世界,因为“一个人的思维模式或者目标决定了他只能在某一方面是比较领先的,这是一个很大的问题”。

赵武决定加入一家公司试试。

2011 年,他加入了 360,并创立了补天平台。但他又发现,任何一个独立的安全公司,虽然手握很多技术人员,却不会产生更多价值,因为它只能在细分领域赚很多钱。

“TK 是挖漏洞的顶级人才,但 TK 想的不是你能挖出多少漏洞,基于这个假设,我当时想着,能不能把白帽子这个群体积累起来,再做点什么,达到一个更大的效果?”赵武说,这是他创建白帽汇的核心价值观,而且一直未曾改变。

他聚集了几万白帽子,但这些白帽子如何才能影响世界?

赵武想了两条路。

第一,让白帽子合法地为企业挖掘和修复漏洞;

第二,现在人们对物理空间的测绘已经比较完整,比如,出现了道路、施工建筑测量仪表等,之后绘制了精准的世界地图,但在虚拟空间里,还没有一套精准的虚拟网络资产地图。

比如,生产摄像头的企业并不知道自己的摄像头在哪些领域被启用,一旦发现安全风险,设备生产商也鞭长莫及。但是,一旦一个漏洞被黑客盯上,也许他只要花一个小时“扫描一下”,就可以发现待挖掘的脆弱的“宝藏”,与此同时,厂商的修补期可能是一个月,甚至一个季度。

这种“时间差”攻击往往能带来灾难性后果。

不过,这两件事情本质上可以关联起来,而且后者一旦实现,前者的努力将事半功倍。“在全测绘的基础上,才能进行精准的攻击和防护。”赵武说。

突然发现:我不赚钱?

刚开始,他只想通了上面第一件事,但第二件事所需的技术也想得差不多了。

即使身居 CEO 高位,技术狂人赵武依然醉心于一线开发,有时,他甚至不能理解,为什么有些事情自己可以在两个小时内完成,其他人却要花上一个星期也无果。

但对“老板”这个角色而言,在初创阶段亲自上阵搞开发给整个公司带来的影响不一定是“正面”的。赵武突然发现,自己这么拼,公司居然不赚钱。

“国家一些监管体系对我们的技术非常认可,我们拉投资,他们都帮我们说好话,但在这个过程中,我发现我不赚钱,我当时从大厂出来时,就感觉自己很牛逼,自带光环,个人平台、技术也很牛,谁都看不起。”他说。

这种状态下,白帽汇挺过了两年。发现自己不赚钱的赵武意识到了:“我的目的不是一定要赚钱,但是总不能让兄弟们跟着你亏,不然怎么吸引人才进来?这是个很大的问题。”

于是,他开始跟不同的人聊,期待搞定一笔投资,后来,他果真拿到了一笔天使轮投资。不过,这笔投资没有很多钱,赵武甚至没有对外披露过,以至于“华顺信安”接受丹华资本的投资时,很多人以为,这才是第一笔。

赵武刚开始很开心,觉得“伺候一个金主爸爸”就可以了,接着他发现,和他同步开始创业的一些人竟然“融了很多轮,也赚了大钱”,搞不好哪天会来一句“我把你收了吧”。

“谁都看不起”的赵武不能接受这种局面。

还有一次,公司的财务把他刺激到了。

财务跟他说,国家回款比较慢,公司没啥钱,要开始预警了。这句话把赵武吓了一跳,以前他老想着躺着把钱赚了,后来发现不是这么回事,再“牛”下去,公司就没了。

“为了兄弟们,就算要跪着把钱赚来,我也愿意,只有足够多的资金和资源,才能实现你的理想。”

商人的进击

想通了赵武放下了“技术范”的身段,开始学习如何做一名商人。

他首先想明白了上面两件事的实现路径。

既然有些厂商对白帽子群体有偏见,那么就让白帽子挖洞的成果“转接”给国家级的权威漏洞平台,其次,拿着自己的测绘系统“fofa”与政府部门合作,比如,他们与公安部一个研究所共同推出了一个安全盒子类产品,应用了自己的网络空间测绘技术。

随后,通过上到下的辐射方式,为自家的产品和技术“盖章”与推广。

“这个理想很美好。我们最终想通过企业自身的学习层面帮助国家提升防护能力,这是我们的预期,但是过程中我们遇到了很大的问题,比如,如何让白帽子持续提供价值;第二,我们产品已经成型,如何在全国范围快速铺开,我们和公安部门合作,要在全国各个省份和地区建立自己的服务站、渠道,只有把服务体验做好了,后面的路才好走,但我们没有足够多的数据、人、钱来支援。”赵武说。

这种困境可能从 2018 年才开始得到缓解——他们从今年开始,才有第一个销售人员。

除此之外,虽然自家的技术有一定前瞻性,但赵武不觉得这些技术都是走到头了的“天下无敌”,为了继续在技术上保持领先,他需要足够的技术人员燃烧智慧和心力。现在,赵武花了大把精力在招人,一周招进来4个技术和销售人员,都属于正常的节奏。

白帽汇的赵武摘掉了他的“帽子”|专访

【赵武和团队】

但是,这些都需要钱。

以前,赵武非常喜欢做研发,一天可能要花上七八个小时在技术开发上,意识到这一点后,他只敢每天出去跑累了回到公司后搞两个小时开发“放松大脑”。兄弟们还在一旁催促着:“老板,你别搞了,专心找钱。”

2017年底,永信至诚的老板蔡晶晶给赵武介绍了丹华资本的中国区合伙人许维娅。

机会来了。

丹华资本的创始人张首晟曾拿下欧洲物理学奖,而且发现了“量子自旋霍尔效应”。他告诉雷锋网,丹华早已关注了好几年区块链技术,而且投资了很多区块链公司。

赵介绍了自家的技术后,双方一拍即合,融资敲定。随后,他们在沟通中发现,区块链公司有强烈的安全需求,张建议赵带着白帽汇铺开区块链安全的业务。

于是,有了文头的区块链安全白皮书发布会及白帽汇的区块链安全解决方案介绍。

区块链安全涉及三层安全:底层的结构安全、业务安全以及上层的智能合约安全以及衍生的其它安全问题。

赵武是这样考虑的:自家的网络空间测绘系统涉及到很多领域,区块链是其中一个,而区块链的上层安全将是着力点,这一部分就是他们的优势所在——“国家安全平台上的漏洞 CVE 都是我们的联合实验室一起去发的,这块是行业内最顶级的,我们还发现了很多衍生的 0day,有 80 多个跟币和交易平台相关。”

除此之外,他们还可以在相关解决方案中加入针对业务安全的服务,对网站安全、数据库安全、终端安全、代码安全、移动端安全提出评估、审计与防护建议。

不过,赵武看得很清楚,区块链安全业务处于早期,不是自家的主营业务。他开始站在一个真正的决策者角度布局——“我想拿区块链安全的收益去补贴我们铺开的这个局面,我也跟投资商商量,实现规模化是很重要的,要把我们技术推广出去,注重好的产品体验,解决了问题,以后赚钱就不是问题。”

潜台词也是,既然一个分支的案例可以搞成,那么白帽汇网络空间测绘业务涉及的其他分支一个一个复制起来完全不是问题。

黑客赵武化身“赵总”,还学会了妥协与人员布局。

他不再怕和非技术型主管尬聊,接受了“不是全天下人都要按照他的想法走”,如果突发事故太多导致自己的规划完全失控,那就接受吧——毕竟自己的客户以中小型企业居多,这就是常态。这样想着,再安排好应急团队,他就没那么抓狂了。

他也懂得找人来弥补自己的“短板”。他挖来了曾在瑞星销售部门任一把手、连续创造了 5 年销售神话的郑政,让对方担任公司的销售副总裁与合伙人。“我想通了,得让专业的人干专业的事,放手让他带这个团队。”

放开了这些事的赵武,变得更从容了。他成了意气风发的“赵总”,指点江山,带领白帽子的千军万马,驰骋在自己梦想的疆场。

但另一个梦想泄露了他的秘密。

“现在不是我最舒服的状态,我是没办法,我真的最舒服的时候,会找一个与世隔绝的地方,带着老婆孩子,搭一个小木屋,通过我的技术黑遍全天下,也许我还会做一些劫富济贫的事情,这时,人不再需要太多外部的认可,这才是一个黑客与世界结合的最终形式。”

你看,也许赵武从未摘掉他的帽子。

白帽汇的赵武摘掉了他的“帽子”|专访

【赵武的朋友圈截图,他发布了很多张带小孩去野外的照片,他镜头里戴着帽子的小小孩也许也是“他自己”吧】

欢迎关注雷锋网旗下微信公众号“宅客频道”,获取更多网络安全信息。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

分享:
相关文章

文章点评:

表情
最新文章
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介