标题: NSFOCUS旧友记--caoz《NS往事》 作者: 曹政(caoz) 创建: 2022-02-14 02:06 《NS往事》 总觉得怀旧是衰老的标志,所以一直以来不是很愿意写所谓回忆录这样的东西。 禁不住scz要求,要整理连载绿盟老同事的点滴回忆,一言既出,莫敢不从,只好乖 乖写作业交稿。 其实我跟绿盟的渊源,在入职之前就已经开始了,我还在广州打工的时候,说来还是 上个世纪末的时候,我的一个大学同学,谢博士,自己琢磨出了一个大杀招,SQL注 入,入侵了当时我开发的一个系统,还改了管理员密码,当时一头雾水,不知所以, 后来这哥们才告诉我是怎么做到的。那么后来我回到北京,一边挣扎创业,一边给一 家小公司打工,做OA,CRM系统,和几个老同学合租,闲着就琢磨这些玩意,发现这 东西真好使,当年几乎所有需要登录认证的网站都能突破,当然也想靠这个赚点钱, 但知道不能违法,不能搞黑的,咱这个素质还是有的,想去通知那些有漏洞的网站换 点钱,但不知道怎么去跟有漏洞的网站说,而且一交底这东西修复成本又不高。不交 底不知道怎么沟通,很容易被当作敲诈勒索对不对,也怕钱没赚到,人被抓了。(所 以后来非常同情白帽,也是真的深有体会)。那时候网上看到绿色兵团,一群黑客高 手,刚刚开始企业化运作,我就想,是不是可以找他们合作,毕竟人家专业服务的, 看看有没有合作变现的空间。 我就去了,反正脸皮厚,那时候网上联系各个创业公司老板很容易,也不太会被当作 骗子,眼圈跟我聊,我说有个特别厉害的东西,可以通杀几乎所有主流网站,但是又 不敢透底,反正随便聊着,然后好像是backend吧,如果记错了莫怪,进来说,你讲 的不会是SQL注入吧,好尴尬。 不过后来他们还是很重视这个话题,专门出了公告给互联网预警,可能也是我的提醒 下,重新定义了这个问题的严重性。后来眼圈还拉着我们几个同学一起吃饭,然后发 现另一个尴尬的事情,当时有个小门户网站,有个网上美女拉票的活动,我们几个同 学也是闲着,就想给一个看上去很漂亮的妹子刷票,有个同学写刷票代码,看,今天 回看都是黑历史,幸亏当年网上监管没那么严格,然后被对方的系统发现了,刷票被 处理掉了,于是我们就玩对抗,当然有点恶俗了,把最丑最奇葩的刷到顶,反正搞了 那么几天,吃饭的时候聊天发现,那个网站的技术负责人,和我们默默对抗好多天的, 已经入职绿盟了,研究部的老大w3,尴尬二次方。 怎么说来着,从那时候起我就意识到,行业圈子真不大,千万别做坏事。 那时候我自己的创业跟中公网有合作,中公网当时谢文老师操盘,还收购了联众游戏, 算是当年比较有实力的互联网企业,那么我就提到了绿盟他们,然后这边就请绿盟去 做了一个安全检测,一下子被绿盟这帮黑客突破个底掉,于是成单了,后来眼圈说这 是绿盟第一个有价值的服务单。 那么和眼圈熟了之后,才发现其实他和我师兄,孙博士一直有深度合作,孙博士和谢 博士也是很好的朋友,看来行业圈子真不大,孙博士又推荐了叶博士去绿盟,貌似现 在叶博士是绿盟高级副总裁。那么我后来也陆续推荐了三个同学去绿盟,王冬,段小 华,何剑波。后来老何同学重新考取了清华五道口金融学院的研究生,回校读研,后 来一度做到了美国上市公司的副总裁,那是后话。王冬负责绿盟测试,后来去了360 担任测试总监。 由于以上(包括孙博士,叶博士)都是清华力学系毕业的,以至于当年安全焦点论坛里 有个帖子是这样说的,有人问,请问读什么专业可以入行信息安全,(那个年代大学 里就没有信息安全专业一说),然后有人就回答,清华大学力学系,这个回答真不是 我写的。 啰嗦了这么多,还没进入正题,2000年我创业的时候,财务紧张,为了支付服务器费 用,还找眼圈借了2万多,那时候2万多真不是个小数字,后来2002年去还债的时候, 他居然没有保留借条,他说当初就没打算我能还,汗。借钱难道可以不还的么。当然, 没有给利息是真的。那么后来我所效力的那家创业小公司运转困难,欠薪。自己又背 了房贷,创业没有太大起色,想想还是要找份工作,恰好何同学考回清华读研,我说 我去填这个坑吧,眼圈给了我这个offer,从此成为绿盟的一名程序员。 其实那时候还错过了一个机会,当时百度王湛也找过我,那时候百度也是个刚起步的 创业公司,我觉得给的薪酬太低,没考虑。复盘一下,我觉得最大的问题不是没接百 度的offer,而是居然没有去看一看这家公司,看一下这个团队,去当面聊聊,这是 很遗憾的,所以后来我才不断强调,很多时候,面对一些新兴公司的招募,去不去两 说,保持沟通,保持了解,非常重要。 话扯远了,很感谢眼圈在我最困顿的时候给了我一个offer,特别是能和一批传说中 的人物共事的机会。当时我跟杨冀龙做扫描器,此外还有一些保密级的项目,就不展 开说了,坦白说表现不好,主要原因很简单,水平不够。每次看bug列表,当时san哥 给我们做代码审核,一堆注入漏洞,好惭愧,尴尬三次方。 在去绿盟之前,我有一些非常破碎的职场经验,也参与过创业团队,但坦白说,对职 场的概念其实是不完整的,毕竟,绿盟这样的公司,有太多想不到。 第一,发不出工资都没事。 曾经半年发不出工资,但是骨干居然没有流失,我去的时候其实已经缓过来了,融资 成功。但确实颠覆了对好公司的定义,发不出薪酬的公司,原来也不一定都是烂公司。 第二,老板居然没有权威。 我们理所当然认为职场里,老板权威最大,但是当时有一次产品方向,老板叫上副总 裁,还有deepin,还有谁来着,还叫上我,去跟zerg对决产品规划问题,当时zerg是 项目经理,全程高能反击,坚持己见,面对诸多公司高层(除我之外)决不妥协。最后 老板妥协,我开始还以为给老板助威肯定是稳稳的表现机会,结果感觉成了没有主见 的狗腿子,尴尬的四次方。 第三,老板又跑路啦! 当然,这是段子,但绿盟的长跑文化太吓人了。 老何刚去绿盟面试的时候,眼圈问他,有什么特长,老何当年是清华校运会男子乙组 的长跑冠军,所以得瑟了一下,眼圈直接回了一句,你去看看清华校运会长跑记录是 不是还是我的。 后来我问老何,是不是除了老板你跑的最快,他说不是,老板也不是跑的最快的,还 有一个刘继革,比老板还能跑。绿盟每年马拉松都会有一大票人参赛,老板在四十多 岁的时候还能跑到3小时10分以内的全马成绩,还是很牛逼的。 所以我编个段子。老板去哪里了,老板跑路了,老板又跑路了。 因为年代久远,很多老同事名字都记不住了,只知道牛人太多,很多研发部的牛人都 有点“不务正业”想着挖洞,杨冀龙整理个思路批量挖掘unix下的漏洞,反正听上去 就很牛逼,同部门的还有几个也是此中高手,团队里有个人后来去了美国,在 fireeye成为核心主力,很容易就财务自由了(好惭愧我记不得名字了)。我当时确实 做事不够专心,表现一般,后来觉得自己在安全领域的技术领悟力和这些大牛相差太 多,那么两年后就裸辞离开了,一段时间的挣扎创业后,感谢俞军老师发出邀约,有 幸进入了百度。 TK当时还是很青涩的,但特别热心,善于解决各种疑难杂症,不管是技术的还是非技 术的,几乎什么问题都可以找他,而且你永远不知道他还会什么。比如当时他在内网 分享了看片的工具,开源软件mplayer,包括播放器和各种插件,以及如何安装使用 的说明(当时网上视频格式繁多,所谓播放器只能播放最基本的几种格式,其他的都 需要独立的插件配合才能播放,有些还涉及版权问题,当年并没有所谓万能播放器)。 过了几年,暴风影音横空出世,就是mplayer+各种插件的汉化封装。所以后来为什么 我忽悠TK教主做影音工具,因为他其实很早就默默的干了这事,只是没有往商业化上 去思考。 TK后来还给他夫人做了很多电商管理的小工具,以及帮他夫人找到了在淘宝上优化排 名的小技巧。当年他夫人淘宝店比他收入还高,但其实背后这个男人真的各种不简单。 Quack, san, tk,杨冀龙他们还搞了一个安全组织,Xfocus。有一个社区,我在里面 很活跃,当然,由于能力问题,仅限在灌水区活跃。后来他们出了一本书,他们觉得 我比较懂营销,让我帮忙起名,我说这个简单啊,黑客技术揭秘,保证热销,但是不 行,人家不想碰黑客这种词,不能过于追求所谓的眼球,要实事求是,要朴实无华, 结果就只好叫做《网络渗透技术》,对,这个名字还是我帮忙起的,但是你们知道, 这个名字不吸睛,真不能怪我,他们自己要低调。 Xfocus搞了几次大会,我也凑趣去逛过几次,见证了一些故事,不过和nsfocus无关, 就不展开了。应该是国内最大的民间信息安全峰会,当然每次也都有政府的人会到场 围观,不过还好,都是正经技术讨论。 san后来想回老家,问我有没有工作机会,被我介绍给了51,后来51这个项目没有成 功,辗转去了朋友的游戏公司,几经辗转,并没有得到足够丰厚的回报,说来有些可 惜,以他当年全球安全大会上演讲嘉宾的实力,以他主写《网络渗透技术》的能力, 没有能发财,实在是有些可惜的,说来我也很自责,没有给他找到合适的发挥空间。 我在百度负责反欺诈点击的时候,有一次有企业客服的负责人给我发来一些渠道id, 说流量激增,让我查查是否正常,我查了一下,有几个是异常的,直接就屏蔽掉了, 但有一个是流量都是真实正常的,而且增长非常迅速,我就好奇查了一下这个渠道的 背景,意外发现,竟然是老熟人deepin,于是我直接约他吃了顿饭,deepin是国内第 一批持证的安全讲师,技术上是非常牛逼的,但是毕竟从流量商业化上,我肯定比他 了解的更多。我当时给了他一些建议,我记得他第二天告诉我,当天晚上就实现了, 第二天直接上线。后来当然效果也非常好。然后他就辞职了,那么几经周折,现在 deepin的统信软件已经是领先的国产操作系统综合平台。而前文提到的,曾经搞过 SQL注入,还写过防火墙代码,后来转型做法律的谢博士现在负责统信的上市合规相 关。所以还是那句话,江湖很小,缘起缘落,聚散无常。 quack几次创业我也是没少出主意,当然,最后知识星球能做起来,起决定作用的另 有他人,不过说来多多少少也是有些许的贡献。 那么后续和quack,tk,san,deepin,杨冀龙,老同学王冬这些人还都一直有联系, 也有很多人常年没有联系了。那么后来在坡,突然发现老领导liqun也移民过来了, 很高兴,经常一起吃饭,他儿子非常出色,考进了新加坡最好的中学,华侨中学,而 且在坡还生了二胎,买了市中心的高层公寓。顺便,在坡我还帮他找了一份新工作, 但是这份工作是得是失,还不敢妄评。 也是因为liqun,2017年我在新加坡东海岸买的公寓入住,办暖房party,请了一波当 地朋友,liqun说scz正好在坡,意外惊喜,当然邀约,这是多少年了,才又见小四同 学风采。 这不,一晃又五年过去了。 絮絮叨叨一堆旧事,说来,从职场发展而言,绿盟并不是我比较有价值的职场经历, 主要原因是自己的能力和兴趣覆盖不到这个领域,以及当时确实职场意识不到位,主 动性不够,没有追求技术成长,所以如果简单来看,对我后续的职场发展并没有特别 多直接的助益。但换个角度看,正是因为绿盟这段经历,让我认识了诸多信息安全行 业的牛人,拓展了安全思维和风控意识,这些意识长久以来还是让我在工作中受益匪 浅。额外一点就是,可以用“我的好友TK”,“我的好友袁哥”来装逼多年。 最后,回到那个时代,我总结一点。 在世纪初,没有人知道信息安全是个怎样的行业,没有人觉得这是风口,这是赚大钱 的领域,也没有哪个高校有这样的专业,但是我们看到大量不同专业,不同背景的人, 凭借兴趣,凭借热爱,走到一起,哪怕半年拿不到薪酬,执着于拓展技术,最后,现 实给了他们丰厚的回报,那些技术大牛,无论是走向创业,还是仍然留在职场,从财 务回报来看,都远远超过了当年最乐观的想象。 感谢时代,但也要知道,每个人的坚持和热爱,才是能够达成成就的关键,现在经常 有人问我,什么是风口,做什么最赚钱,如果有一份工作,半年不给你薪酬,仅仅提 供基本生活费,你还能痴迷不拔,坚决追求自我能力的提升和价值体现。这才是你真 正值得追求的方向。 最后再说一个花絮,我最初接触信息安全还是在上个世纪末,在清华读书的时候,从 水木bbs找到了一份安全教程,作者是中国台湾的coolfire,我第一次的成功入侵尝 试和破解行为,都是参照这个教程实现的。后来偶然我在微博提及,TK就提醒我,此 人也在微博活跃,我立即加了关注并私信联系,很快加上了微信,在2020年初海外疫 情爆发前夜,去台北和他见了一面吃饭,当面表达了对他当年分享的感谢。后来得知, 包括quack,好像star也在内,很多国内早期信息安全的拓荒者,都曾经学习过他的 教程,可以说是非常传奇的一个行业前辈。在此一并表达感谢。 -------------------------------------------------------------------------- scz: caoz、tk这两人,都属于佛光普照之辈。我属于不以佛光论远近的道家弟子,此刻只 叙旧,不论道,管TA普照不普照,只当是旧友,逐一认真约之。应约旧友,十分承情, 无意应约,理解万岁。 caoz在直播时说他要去完成我给布置的作业,然后他的某位粉丝转头在某处说了这事 儿。我一般戏称caoz为"大仙",因为他总是能整出成功的花样来,啧啧之余佩服不已。 清华、北大的本科入学考试就是大过滤器,没啥好说的。 不过,我最佩服他的倒不是这些商业、技术方面的,而是另一个方面,不鸡贼,逻辑 一致。所以我经常围观他的微信公众号,听他忽悠。缺啥补啥,没脑子,说的就是我。 最后,内容我保持作者原貌,如有出入,未做修正,如有恩怨,认准caoz。