【转载】专访民间黑客7kbstorm:黑客和安全的初心与始终

百家 作者:尖刀制造 2018-02-07 09:30:12


7kbstorm,网络尖刀核心成员

本文来源:T00ls安全


上海下雪了。

屋里我和7kb边喝茶边聊安全,我们都在感叹这几年信息安全行业发展变化之大、速度之快。这次采访从SRC和白帽子开始,说安全行业。

7kb和我说,当初这个行业根本没有SRC的概念,自己也不混SRC,现在互联网公司基本都有了自己的SRC。当初学信息安全学挖漏洞也完全是兴趣使然,只是单纯的喜欢,不为赚钱。现在挖漏洞成了白帽子的赚钱方式。安全行业当初也没有这样浮躁,大家都比较喜欢低调的潜心学习。现在一些人挖到几个高危漏洞就觉得自己很了不起,各种榜单、各种会议、各种刷名气,不惜造假、吹牛营销自己。

我在很早之前就认识了7kb。7kb帮我写过很多工具,很多手工重复的工作程序实现,轻松了很多。

7kb很乐于助人。我认为7kb的成长是典型的“野路子”信息安全从业者。学生时期的他成绩还挺好。有一天,他偶然看到了一本黑客杂志,被黑客的自由精神深深吸引,这让他萌生了学习信息安全的想法。开始了真正的“黑客”之路。他认为人就应该做自己想做的事情,做自己喜欢做的事情。他不顾家人的反对,就选择了弃学,虽然后来也参加自考读了大学,但还是把主要精力放在安全学习上。

他弃学时期开始尝试自己创业,一方面加深技术,一方面维持生活。尽管很辛苦,但也为自己能自食其力感到欣慰。后因各种原因导致失败,这时他萌生了找点有意思的事情做的想法,于是去经历和体验了本不是他年纪所应该经历的社会生活。他做过很多份工作,其中两份让他记忆深刻。一个是在工地打工的时候,他年纪既小身体又瘦,每天工地一到开饭的时候,吃饭速度一慢,面前只有空盘子了。另一个是大学的图书馆的工作,那里的学生们都沉浸在书籍的海洋里。慢慢的,7kb也成为其中之一。他深受这种环境的感染,喜欢这份工作。不仅可以工作,还可以学习,做自己喜欢的事情,还能去听大学里的课。

多种生活的体验让他很快成熟了起来。

他在图书馆以及培训班里学了多种编程语言,也学习过平面与3D的设计,偶尔也被自己的设计作品陶醉不已。

他图书馆辞职后,抓住了一次机会开始了新的人生。家人起初很不理解他的工作,尽管后期家人里出了几个程序员,但涉及安全方面的只有他。

他开始踏入安全行业的时候,建设过安全论坛,当过版主,也组过团队。他那时候主要研究前端的渗透,随着认识圈子里的人越来越多,参与的交流越来越多,有了更多的知识积累,知识面也扩大了,懂得了“非知攻,焉知防”的道理,于是他又系统学习了数据库安全以及网站安全运维,慢慢的就又接触到了内网渗透。他在和别人的交流中,意识到持久维权的重要性,于是又专心钻研RAT查杀与反查杀,随后也加入了网络尖刀

尽管家教很严,7kb也始终追求自己想做的事情。当初他是在顶着随时被老爹拍死的状态下选择的学习安全。起初家里人的反对,一是不了解,二是觉得不安稳,毕竟现在大众的选择是一路读书而后找份稳当工作为好。后来,他家人也逐渐理解了整天喊着追求理想的他,明白他做得是正儿八经的工作了。

在2009年到2010年的这段时间,圈子里很流行各种漏洞文章。7kb就在虚拟机里做了一个环境来复现漏洞,这是他人生第一次漏洞复现。有了第一次漏洞研究之后,便有了第二次、第三次,从此一发不可收拾。

这一路走来,他早已不记得自己复现过多少漏洞,推倒重写了多少代码,更忘记了自己在多少个夜晚里干到天明。

有时候在渗透测试中因为前辈的工具用的不太顺手,他就尝试着写了有自己见解一系列工具,但由于各种原因他并不想公开发布。使用过的朋友们会提出建议,他会为了完美而一次次地更新。现在熟悉的朋友说他,安全做成了安全开发。他认为编程能力是黑客必备的技能。他说技术上的突破,使他认识到了自己的不足,开始了学业上的奋进,参加考试、阅读书籍、将碎片化的知识整理起来。信安也从他最初的兴趣,变成了一生的事业,从事所热爱的工作是一种幸运。

现在在土司论坛,7kb是一位新秀。他很早就知道了土司论坛,但由于不善与人在论坛内交流而一直未能加入,几年前偶然的一次机会他加入了土司论坛,开始尝试着在论坛公布自己的一些作品。他的作品非常受欢迎,使用者也纷纷给他提供了使用意见,使他更好的完善了自己的作品。

7kb的虽然不是专业开发,但他写过很多工具。比如web路径探测工具、企业资产搜集、常见网络服务弱点检测工具等。记得某一天土司论坛发布了一个帖子,说明了一个思路,可以将一句话爆破的速度提高千倍,11万行的字典大约15秒左右就可以爆破完成。7kb顺手写了一个工具出来。

今年爆发了IIS 6.0 WebDAV CVE-2017-7269远程代码执行漏洞,7KB为了方便企业排查存在漏洞的机器,写了批量的检测工具,受到企业一致的好评。

他是漏洞的复现者,也是漏洞的发现者。

他说一旦一个人的追求变了,即使有再多的资源,也不会像以前那样纯粹的研究技术了,技术也就没有那么大的诱惑力。技术成了工作,技术更成了赚钱的方式后,会与他当初内心的那份对技术自由的渴望渐行渐远。他一直让自己在一个安静下来的状态中前进,怕人变得浮躁,但有时候也难免被外界影响。

窗外的雪越下越大。我来上海的这些年,还从未见过如此大的雪。现在的安全行业确实变化很多,就业环境比之前好了太多,各种大公司小公司几乎都有了安全人员,对学历的要求也没有像其他行业一样卡得那么死,国家也开始重视这一块了,前景还是非常不错。安全行业一面朝阳的时候,也有很多背阴的地方。某些白帽子因为厂商奖励不满意,便四处攻击;也有某些安全人员四处收购SRC的漏洞,润色自己的简历;当然也有很多混圈子的,大家都心知肚明

上海的雪停了。雪的初心却没有终止。

朋友眼中的7kb:

oldjun:踏实钻研,潜心技术;低调做人、老成持重。t00ls精神的践行者,90后的典范!

lcx:现在在我眼中,他还算是个孩子,虽然他可能认为自己成熟了。他以后一定会成长为一个男人,一个技术牛人。

Mango:人很不错很仗义,坦荡直言,豪爽热情,勤勤恳恳猫奴叔叔。

国士无双:仗义的兄弟 负责的管理 高产的作者 狂热的coder。

鬼魅羊羔:很有分享精神的小伙儿,不自私,不焦躁,有北方人的仗义和豁达,是个不可多得朋友。

安全小飞侠:我认识Storm有好几年了,这几年他给我的印象就是那种理想主义的Hacker,擅长写工具搞渗透,但是却不喜欢显摆吹逼,踏踏实实,人也很实在,但是和他那张兼具帅气和可爱的脸庞相比技术已经不那么重要了。

接地气:谨慎 、刀子嘴豆腐心、仗义、北方爷们、性格直爽、乐于助人。

为吐司做了很多贡献,无以言表。在我看来他的付出是为了内心的舒坦,而不是回报。老七分享的工具以及热心帮助他人,都很直接的体现他的奉献精神。


【全文完】


关于网络尖刀


网络尖刀团队(JDSEC TEAM)成立于2013年,是一支专注于信息安全技术和人工智能的团队。安全团队核心成员大多来自腾讯、阿里、蚂蚁金服、银联、360、唯品会、小米、平安科技、绿盟、君立华域、梆梆安全、知道创宇等互联网厂商的安全工作人员及技术人员,当然也有一部分是互联网信息安全自由职业者亦或者来自学校的学生。


自成立以来与腾讯、阿里、网易、金山、360、新浪、携程、去哪儿、人人、小米、搜狗、迅雷、快播、一号店、今日头条、联想、Uber、微软、谷歌、苹果等国内外互联网厂商建立友好合作关系,成员因报告有价值的安全问题而获得厂商致谢两百余次,截至目前网络尖刀团队成员互联网累计漏洞提交总数已超越30000+。


网络尖刀安全团队的是核心价值是:致力于网络安全、应用安全与WEB安全领域的研究探索,帮助广大站长、厂商、企事业单位、政务机关等用户应对变化多端的互联网安全威胁。


团队官网


http://www.1aq.com/ 

(WEB查看效果更佳)


点击【阅读原文】了解网络尖刀团队成员动态

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接