中国黑客传说:周景平——我是超级黑

来源:岁月联盟 编辑:猪蛋儿 时间:2013-02-28
heige 

“你认识黑哥吗?”  “谁啊?没听说过。”  “哦,你可以回去了。”  ——阿里巴巴信息安全部面试题   这道题当然是杜撰的。但我还在阿里时,曾经有段时间,确实想过用类似的题目来考核面试者,看他是否对行业内保持着最基本的关注。正如我们在校招时,曾经出的最成功的一道笔试题 ——“0day是什么?”。这道题威力巨大,内行外行一题见分晓,勿须再问其他。   黑哥,就有着这样的威力。     黑哥真正的id是superhei,熟悉他的人喜欢叫他黑哥,也有无聊者直译为“超级黑”、“素破黑”。   在黑客的圈子里,有无数叫小黑或者黑哥的,但在资深黑客的眼中,只有一个黑哥,就是superhei。   黑哥真名周景平,目前是国内知名安全公司——知道创宇——的安全专家,这是去年(2012年)的事情了。在此之前,黑哥是湖南益阳一个小医院里的泌尿外科医生,每天的工作就是帮人切小JJ(割包皮)。   如果说切小JJ是黑哥的主业,而研究安全是黑哥的业余爱好的话,那么他对医疗行业的贡献,与他在安全行业里的成就比起来,就如同萤火与皓月一般。   如果说,最早是一名叫“分析家”的黑客,开创了中国安全行业的Web安全领域,那么,黑哥就是中兴这个领域的人。黑哥不仅自身对Web安全领域的研究做出了杰出的贡献,同时他还利用自身的影响力,带动了一批年轻人一起做出了一些意义不凡的成绩。而后者可能比黑哥本身的技术成果更有意义。     我一直认为中国从来不缺乏天才,中国缺少的是让天才们发挥出最大潜能的土壤。在安全行业的某些领域里,中国的水平是世界领先的,因为有像黑哥这样的人。可惜他们的成果往往不为世界所知,最大的一个原因就是英语的交流能力,限制了他们成果的传播。幸运的是,中国的天才们在阅读英语上没有太多障碍,这也是托了应试教育的福。   在SQL注入刚出来的时候,黑哥就已经对此技术做了深入的研究。他可以说是当时最了解这种攻击技术的人,曾被其他的小黑客称为“数据库专家”。   在安全技术的研究上,黑哥也极具创新性,他也是第一个提出了CSRF Worm概念的人,后来这项技术由安全组织80sec实现。而国外至今没看到过类似技术。   最令我印象深刻的,是在2008年,黑哥成立的80vul组织,发起了一个名为“PHP Codz Hacking”的活动,该活动是效仿德国的著名安全专家Stefan Esser发起的“The Month of PHP bugs”活动,为PHP内核找漏洞。最终该活动共计找出了10个严重的PHP漏洞。   这个活动最大的意义在于,80vul最终把这些问题,和发现问题的技巧,总结成了一篇paper——《高级PHP应用程序漏洞审核技术》,在googlecode上的代号是pasc2cat。   这篇paper在国内PHP应用安全领域上具有重要的地位。如果要把历史上所有PHP安全相关的paper排个序的话,这篇paper无疑是那颗最璀璨的明珠,没有之一 ——秒杀所有学院派的论文。我在写《白帽子讲Web安全》一书时,从此paper中也借鉴良多。   黑哥对技术领域的贡献还远不止这些。对于目前最热门的XSS盲打技术,最早可追溯到2007年黑哥写过的一篇文章《dz升级检测功能的黑盒测试》。在5年前,黑哥就极具前瞻性的产生了这个想法。   在2011年,黑哥受邀来淘宝给安全团队做一次培训。随着他来的还有他精心整理的一个PPT——《Web2.0下的渗透测试》,这个PPT后来成为了集Web2.0安全之大成者,是研究Web2.0安全最为详实和权威的一份资料。     但黑哥也有不愉快的时候。一直专注于Web安全研究的他,在Web安全并不受重视的那段岁月,在黑客圈子里,也被归为非主流的一类人。   在2006年的时候,黑哥将他的研究成果《2次漏洞的利用》投稿给了xcon,后者是中国最权威的黑客大会,但被主办方无情的拒绝了。这可能与主办方评委们的技术背景有关,他们大多是研究OS安全与网络安全的,而缺少一个真正的web安全专家。因此他们把最好的web安全专家拒之门外,也不算什么奇怪的事情。   xcon主办方在2008年第二次拒绝了黑哥的投稿,这次投稿的内容是《高级PHP应用程序漏洞审核技术》,这颗PHP应用安全研究领域中最璀璨的明珠。由于这次的拒绝,这篇paper在黑哥的电脑里被雪藏了两年,直到2010年才正式在幻影的webzine中公开 —- 也许这就让中国的PHP应用安全领域的发展迟滞了两年。   黑哥一直对一句话耿耿于怀,这句话记载于《网络渗透测试技术》 —- 这本书是《白帽子讲Web安全》问世以前中国最权威的安全著作 :) ——它是这么说的:   “许多搞系统底层安全的高手对CGI安全总是不屑一顾,认为那些只是scriptkid做的事情。按caoz的说法这是技术与技巧的区别,技术是需要很长时间积累的,要看懂底层研究成果需要很多其他知识和时间,而技巧更多属于一点就通的技术,比如CGI的渗透技术。笔者觉得技巧其实是技术的子集,作为一个渗透测试者需要了解各方面的技术,但切不可沉迷于奇技淫巧。”   也许是“奇技淫巧”四个字刺痛了黑哥的心,这是对黑哥研究领域的全盘否定。从这段话,也不难看出xcon组委会为什么会两次拒绝黑哥了,他们是一伙的。   “技巧也要点一下你才会通啊,不点你可能永远也通不了”。黑哥如是说。   黑哥是性情中人,对于他看了不爽的事情,就会直言以对。   他曾经给我推荐过一个小伙子,但由于种种原因,最终未能录用。他第二天就打电话来把我劈头盖脸的骂了一顿,我自然是成了那个有眼无珠的小人。黑哥提携过很多这样的新人,这是他对这个行业做出的比本身研究成果更重要的贡献。   不光是对我敢于直言,面对腾讯这样的巨头,黑哥同样无所畏惧。   在2013年2月 ,腾讯的安全团队公布了2012年提交漏洞给腾讯的组织与个人。黑哥以一人之力,在没有用任何扫描器的情况下,完败所有提交漏洞的安全公司,获得了“漏洞之王”的称号,并以2144分的绝对实力,遥遥领先于第二名的446分。   但之前有过一个小插曲,腾讯把黑哥的分算错了,以黑哥的脾气,当时就在博客上劈头盖脸的把腾讯骂了一顿。不久,腾讯负责此事的lake2就老老实实的跑来道歉,并且在黑哥的督促下改进了漏洞提交平台的规则。     但黑哥着实没有什么商业头脑,他脑子里永远都只有技术、技术、技术。简单说,他是一个没有什么商业判断力的人,可能他自己对此并不在乎,就像他并不在乎自己的薪水一样。   我和黑哥最早相识是在2002年,之后不久我就邀请他加入幻影,成为一位核心成员。   后来我加入阿里后,曾经三番五次的想请黑哥出山,但他就是不愿意离开那个偏僻城市的小医院,甘愿领着每个月两三千的薪水,原因只是因为他的父亲认为这个饭碗比较稳定。   鉴于他在安全行业的地位,曾经有过很多谣传,有人说黑哥开着宝马,可实际上他有时候连上网都是在医院蹭。   在2011年底的时候,黑哥在微博上发了条求职信息,只有三句话:   “  准备辞职转行,  寻找一个看的上我的boss或者创业伙伴,  只是目前有个要求就是可以在家里工作,待遇要求不高。  ”   这三句玩笑般的话,最终让他找到了现在的工作。事后我问他为什么终于想通还是出山了,他回答说,中国的医疗环境太差了,做医生看不到出路在哪里。   也许,安全才是他应该在的地方。没有他,这个行业,会少很多精彩。   在黑客的世界里,总有一些人是会为理想而活,黑哥就是这样的人。     ——后记——   这篇文章是我的一个尝试,我希望展示给大家看一些真正的中国黑客故事。   我会尽可能的把我身边这些朋友的资料收集起来,但本身这个过程也不会那么容易。   黑哥一直很害羞的不肯提供一张高清的照片,所以,我只能从其他渠道,搞到了这张偷拍的照片了。   虽然现在就写这些人的故事可能为时过早,因为他们仍然在不断的为这个行业做着贡献,眼下可能还不是他们事业的巅峰。   但我想,如果我不写,也许没人会写。如果我现在不写,也许以后也不会写了