楊坤是一個(gè)有技術(shù)的男人。他和幾位同樣技術(shù)高超的青年男女愉快地生活在一起。他們的技術(shù)是：從看似平靜如水的網(wǎng)站環(huán)境中找到漏洞的暗流。

目前楊坤有三個(gè)身份：

• 藍(lán)蓮花網(wǎng)絡(luò)安全競(jìng)技戰(zhàn)隊(duì)隊(duì)長(zhǎng)

  
  

  
  

• 清華大學(xué)計(jì)算機(jī)系在讀博士

  
  

  
  

• 安全公司長(zhǎng)亭科技創(chuàng)始人之一

這三個(gè)頭銜聽(tīng)起來(lái)不甚性感，不過(guò)這幾個(gè)身份之下，隱藏著一個(gè)相同的任務(wù)——撕開(kāi)面前的網(wǎng)絡(luò)結(jié)構(gòu)，在黑暗森林般的賽博世界擎起火把，開(kāi)啟“為所欲為”的上帝模式。眼前這個(gè)吃吃笑著的童鞋竟然是能夠在虛擬世界縱橫捭闔的“諸神”之一。意識(shí)到這個(gè)事實(shí)，讓人頓感神清氣爽。

【長(zhǎng)亭科技創(chuàng)始人全家福  劉超 楊坤  朱文雷 陳宇森】

根正苗紅的藍(lán)蓮花

“我對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)，都是通過(guò)黑客大賽得來(lái)的?！奔词挂呀?jīng)創(chuàng)業(yè)一年，楊坤仍然對(duì)自己“藍(lán)蓮花隊(duì)長(zhǎng)”這個(gè)身份非?？粗?。

藍(lán)蓮花，這個(gè)聽(tīng)起來(lái)素雅且超然的組織，主要任務(wù)是和各國(guó)黑客撕逼。這種撕逼采取了一種相對(duì)友好的方式，名曰“CTF”。CTF是很多國(guó)內(nèi)外黑客大賽的高潮環(huán)節(jié)。主辦方搭建好一個(gè)網(wǎng)絡(luò)環(huán)境，然后設(shè)定若干目標(biāo)，讓?xiě)?zhàn)隊(duì)們施展各自不同的姿勢(shì)進(jìn)行滲透攻擊，最后以積分論英雄。

世界頂級(jí)黑客大會(huì)DefCon上的CTF是黑客界的“世界杯”。2012年楊坤加入藍(lán)蓮花之后，這支隊(duì)伍便成了“世界杯”上的常客。

2012年，藍(lán)蓮花以絲毫之差未能進(jìn)入決賽。

2013年，藍(lán)蓮花殺進(jìn)決賽，排名11位。

2014年，藍(lán)蓮花在總決賽中獲得第5名的成績(jī)。

這幾年間，戰(zhàn)隊(duì)還在各類(lèi)國(guó)內(nèi)外的其他黑客大賽中獲得了好成績(jī)。雖然成績(jī)斐然，但說(shuō)起來(lái)本科學(xué)電子的楊坤算是半路出家的黑客。在清華讀研究生的時(shí)候加入藍(lán)蓮花，是他接觸互聯(lián)網(wǎng)安全的開(kāi)始。新兵干得比科班選手更加風(fēng)生水起，這種事還挺讓人惱火的。

【藍(lán)蓮花戰(zhàn)隊(duì)在 2014年DefCon上的CTF比賽】

雖然是半路出家，但楊坤并不認(rèn)為自己是“野路子”，相反，他對(duì)自己的計(jì)算機(jī)基礎(chǔ)知識(shí)有相當(dāng)?shù)男判摹?/p>

像這種國(guó)際比賽，它的專(zhuān)業(yè)性就在于不可能用現(xiàn)成的工具破解。必須自己有著非常強(qiáng)的底層基礎(chǔ)知識(shí)。野路子不僅沒(méi)辦法做安全技術(shù)，也同樣沒(méi)辦法做產(chǎn)品開(kāi)發(fā)。

在2014年取得Defcon CTF好成績(jī)的隊(duì)員中，楊坤和同樣來(lái)自清華的朱文雷、劉超，還有浙江大學(xué)的陳宇森是主力選手，這些原班人馬順理成章地成為了長(zhǎng)亭科技的創(chuàng)始人。專(zhuān)業(yè)參賽選手自然水平了得，但這些“奧賽大咖”選擇面對(duì)企業(yè)安全的實(shí)戰(zhàn)，還是招來(lái)了不少人懷疑的目光。楊坤倒是一臉淡定?！案?jìng)賽最大的意義是開(kāi)拓人的思維方式。”他相信這種思維方式在網(wǎng)絡(luò)世界里是通吃的。

但是由一群初出茅廬的學(xué)生組成的公司，真的會(huì)像許巍《藍(lán)蓮花》里唱的那樣，“沒(méi)有什么能夠阻擋”嗎？

人肉排雷的“手藝人”

長(zhǎng)亭科技走上正軌，應(yīng)該就是2015年中的事情。而且四個(gè)創(chuàng)始人基本都處于博士、碩士在讀狀態(tài)，足以說(shuō)明隊(duì)伍有多年輕?；ヂ?lián)網(wǎng)“先烈”教育我們說(shuō)，沒(méi)有經(jīng)歷十次失敗是不可能創(chuàng)業(yè)成功的。而讓人有些“失望”的是，這幾個(gè)學(xué)霸組建的公司，從第一年開(kāi)始就不僅實(shí)現(xiàn)了收支平衡，還頗有盈利。

其實(shí)，長(zhǎng)亭科技能夠自負(fù)盈虧的關(guān)鍵法寶在于“省錢(qián)”。楊坤回憶：“我們幾個(gè)創(chuàng)始人每個(gè)月就領(lǐng)1000塊的生活費(fèi)。”一間民居、除了創(chuàng)始人之外的幾個(gè)人員工資，就構(gòu)成了這家公司初創(chuàng)期間的所有支出。不需要大量的金錢(qián)投入，這算是靠技術(shù)吃飯的“手藝人”的先天優(yōu)勢(shì)。

經(jīng)歷了“只要給錢(qián)什么活都干”的原始時(shí)期，長(zhǎng)亭科技把業(yè)務(wù)聚焦在了企業(yè)安全上。專(zhuān)門(mén)為企業(yè)排查漏洞風(fēng)險(xiǎn)，避免重要資料被竊取、網(wǎng)站被攻擊等安全問(wèn)題。他們的產(chǎn)品特點(diǎn)就是，全人工安全排查。他們對(duì)企業(yè)的服務(wù)可以理解為以企業(yè)為目標(biāo)進(jìn)行“CTF”，把自己在CTF中積累的滲透經(jīng)驗(yàn)全部用于測(cè)試企業(yè)的安全性。“別人能發(fā)現(xiàn)的問(wèn)題，我們一定能發(fā)現(xiàn)；我們發(fā)現(xiàn)的問(wèn)題，別人不一定能發(fā)現(xiàn)。”楊坤如此概括長(zhǎng)亭的優(yōu)勢(shì)。

【長(zhǎng)亭科技的童鞋在進(jìn)行漏洞排查】

即便是支出較小，實(shí)現(xiàn)盈虧平衡也遠(yuǎn)沒(méi)有說(shuō)起來(lái)那么簡(jiǎn)單。本以為藍(lán)蓮花的巨大光環(huán)可以加持長(zhǎng)亭科技所向披靡，但是四處談客戶(hù)的楊坤被問(wèn)到的最多的問(wèn)題，就是：“藍(lán)蓮花戰(zhàn)隊(duì)是什么？”

現(xiàn)實(shí)世界比網(wǎng)絡(luò)世界沉重得多，不可能輕易玩轉(zhuǎn)。長(zhǎng)亭科技經(jīng)歷的坑大概分為如下幾種類(lèi)型：

1、刷臉失敗型。生于1989年的楊坤是團(tuán)隊(duì)里年齡最大的一個(gè)，而正因?yàn)樗@個(gè)老人存在，才把團(tuán)隊(duì)的平均出生年份拉到了1990年。面對(duì)一群嘴上沒(méi)毛稚氣未脫的年輕人，要把十幾萬(wàn)甚至幾十萬(wàn)的單子交給他們，還真的需要好好說(shuō)服自己。

2、報(bào)完價(jià)后悔型。咬牙報(bào)價(jià)十幾萬(wàn)之后，發(fā)現(xiàn)對(duì)方爽快地答應(yīng)?；剡^(guò)頭來(lái)研究同類(lèi)服務(wù)的時(shí)候，才發(fā)現(xiàn)友商們的報(bào)價(jià)都是自己的三四倍。而實(shí)際操作的過(guò)程中，他們才發(fā)現(xiàn)所花的人力成本和時(shí)間成本要遠(yuǎn)遠(yuǎn)高于預(yù)計(jì)。

3、要賬無(wú)門(mén)型。此處省略一萬(wàn)字。

面對(duì)很多客戶(hù)不了解長(zhǎng)亭科技這樣一個(gè)“悲傷的現(xiàn)實(shí)”，團(tuán)隊(duì)推出了“免費(fèi)安全測(cè)試”的業(yè)務(wù)。只要企業(yè)提交申請(qǐng)，并且授權(quán)給長(zhǎng)亭科技，他們就會(huì)對(duì)企業(yè)進(jìn)行滲透測(cè)試，進(jìn)而出具一份40頁(yè)以上詳盡的檢測(cè)報(bào)告。如果企業(yè)選擇進(jìn)一步修復(fù)，再來(lái)談收費(fèi)的問(wèn)題。這種“先嘗后買(mǎi)”的模式勾勒出了“手藝人”的技術(shù)自信，也隱隱展現(xiàn)出新興安全公司爭(zhēng)奪市場(chǎng)過(guò)程中所面臨的血雨腥風(fēng)。

用老羅的話(huà)來(lái)說(shuō)，“跟前輩企業(yè)家們比，我們的創(chuàng)業(yè)過(guò)程只有些磨難，遠(yuǎn)談不上血淚?！遍L(zhǎng)亭科技大抵如此。雷鋒網(wǎng)探訪(fǎng)時(shí)，他們剛剛從民居搬到了新的辦公地點(diǎn)——某餐館的二樓空間。這個(gè)看起來(lái)絕談不上體面的辦公環(huán)境里聚集了列位創(chuàng)始人，還有團(tuán)隊(duì)挖來(lái)的各路大牛，以及少許經(jīng)過(guò)審核的慕名而來(lái)的熱血青年。幾位創(chuàng)始人白天承擔(dān)CXO的角色，到了晚上基本上全部變身碼農(nóng)。

平均每次測(cè)試大概要花費(fèi)兩個(gè)人一周的精力。

楊坤告訴雷鋒網(wǎng)，目前他們已經(jīng)服務(wù)了46家客戶(hù)，還有許多更大的業(yè)務(wù)在洽談中。而楊坤一眾并沒(méi)有拋棄藍(lán)蓮花的身份，在創(chuàng)業(yè)之余還繼續(xù)參加了2015年的DefCon CTF大賽，順便又拿了第五名的成績(jī)。一切看起來(lái)非常順利。讓楊坤引以為豪的是，公司里聚集了在他眼里最優(yōu)秀的一眾網(wǎng)絡(luò)安全大牛。這些“手藝人”在某些方面像極了村莊里的老泥瓦匠，對(duì)待自己熱愛(ài)的活計(jì)精益求精，不知疲倦。憑借旺盛的精力，這些年輕的網(wǎng)絡(luò)安全“匠人”可以整日馳騁在網(wǎng)絡(luò)空間中。

然而，老工匠難逃一個(gè)悲傷的現(xiàn)實(shí)——林立的工廠(chǎng)。這不禁讓人聯(lián)想：互聯(lián)網(wǎng)安全的“手藝人”是否更加速朽呢？在被贊嘆服務(wù)水平驚人的同時(shí)，長(zhǎng)亭科技也不止一次面對(duì)行業(yè)觀(guān)察者對(duì)于“人工排雷”商業(yè)模式的殘酷吐槽：狀態(tài)不穩(wěn)定，不容易做大。

工具是美麗還是哀愁？

作為從各類(lèi)CTF摸爬滾打成長(zhǎng)起來(lái)的安全研究員，楊坤一眾比任何人都了解工具的魔力。然而他們的專(zhuān)業(yè)知識(shí)卻告訴自己，對(duì)待工具需要極為警惕。

很多時(shí)候我們也會(huì)用到工具，比如漏洞掃描器。但是它只能找到最簡(jiǎn)單的漏洞。因?yàn)楣ぞ卟恢悄埽粫?huì)思考。而且工具有時(shí)會(huì)產(chǎn)生很大的副作用，比如有些自動(dòng)化檢測(cè)SQL注入的工具是會(huì)清空數(shù)據(jù)庫(kù)的。

對(duì)生產(chǎn)工具的崇拜和對(duì)工具智慧的不信任，構(gòu)成了楊坤心中的矛盾。他并不是反對(duì)工具智慧的人，相反，他在熱切期盼“高度可用的”互聯(lián)網(wǎng)安全“機(jī)器大生產(chǎn)”時(shí)代。只不過(guò)在創(chuàng)業(yè)的階段，為了對(duì)客戶(hù)負(fù)責(zé)，他更愿意相信自己的大腦和雙手。

【長(zhǎng)亭科技官網(wǎng)上的SQLChop 介紹頁(yè)面】

“SQLChop”是長(zhǎng)亭科技推出的第一款工具。它的功能很簡(jiǎn)潔，就是探測(cè)目標(biāo)是否被SQL注入。出于謹(jǐn)慎，楊坤并沒(méi)有把它包裝成為產(chǎn)品，而是以技術(shù)引擎的方式提供服務(wù)。楊坤說(shuō)，夠得上“產(chǎn)品”資格的成果，還在研發(fā)之中。

然而，時(shí)間并不等人。烏云團(tuán)隊(duì)開(kāi)發(fā)的漏洞檢測(cè)工具“TangScan”經(jīng)過(guò)半年的試運(yùn)行，已經(jīng)在2015年12月發(fā)布正式商用。360等老牌廠(chǎng)商也大力宣傳自己的檢測(cè)工具。在漏洞檢測(cè)領(lǐng)域，智慧工具的市場(chǎng)爭(zhēng)奪初見(jiàn)雛形。

對(duì)于這款在研發(fā)中的產(chǎn)品，楊坤顯得異常謹(jǐn)慎。他透露，這款安全檢測(cè)產(chǎn)品主打“高度定制化”，相當(dāng)于為每一家客戶(hù)單獨(dú)編寫(xiě)程序。這種深度的安全介入自然需要摸清企業(yè)的網(wǎng)絡(luò)環(huán)境，進(jìn)而根據(jù)獨(dú)特的企業(yè)環(huán)境去做定制化的工作。當(dāng)然，在其中必然還會(huì)涉及到大量的人工工作。從描述來(lái)看，這款自動(dòng)化產(chǎn)品因?yàn)樾枰疃热斯みm配而打上了“手藝人”的烙印，的確很有辨識(shí)度。至于這款產(chǎn)品的名字和技術(shù)細(xì)節(jié)，還要等到推出時(shí)才能知曉。

讓自己的技術(shù)智慧實(shí)現(xiàn)自動(dòng)化，某種程度上說(shuō)是黑客的自我顛覆。然而，對(duì)于自動(dòng)化產(chǎn)品的無(wú)限期冀和對(duì)實(shí)際效果的謹(jǐn)慎，更多地融進(jìn)了楊坤的欲說(shuō)還休。不過(guò)，這看起來(lái)并不是壞事。認(rèn)可長(zhǎng)亭科技技術(shù)的人，覺(jué)得他們的謹(jǐn)慎中恰恰傳遞出了專(zhuān)業(yè)的氣質(zhì)。

安全界像是一個(gè)生命體。一旦進(jìn)入，便成為了其中的一個(gè)器官。你的血管自動(dòng)枝蔓縱橫，最終連通心跳，一舉一動(dòng)，都可以感覺(jué)到實(shí)實(shí)在在的牽絆。如此深刻地嵌入中國(guó)安全的血肉之軀，恐怕是三年前在CTF上馳騁縱橫的楊坤沒(méi)有想到的。

（圖片來(lái)自錘子科技）

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。