提到黑客攻击,最先想到的就是去年轰动全球的好莱坞女星艳照门事件,牵连大表姐詹妮佛劳伦斯在内的100多位女星;国内则所谓开房记录动不动就上微博热搜;诸如京东商城充值平台也曾出现用户可以使用积分无限制兑换手机话费、游戏点卡的重大漏洞,导致京东损失上亿软妹币。
隐私安全危机的频发,一次次的向我们证明了智能化时代系统安全的重要性。
尽管各大公司的产品或是平台已经经过无数次质检,但仍会出现系统漏洞,一般第三方漏洞检测机构这个时候会站出来发声,提醒公司和用户,这是目前的常态。机缘巧合,我们近期有幸与一家本地专注安全服务的专业机构四叶草信息技术进行了接触,该团队之前接触最多的是北上广等一线城市的系统安全领域的外包业务。
正义感黑客
四叶草的创始人兼CEO是马坤,信息安全专家,专注于网络安全前沿研究。早年经历讲出来,用现在时髦的话来讲,是相当炫酷。
他是中美黑客大战组织人之一,曾经成功渗透美国暴雪公司引起国内安全圈子内的轰动,参加过国内多家hack爱好者组织,写有多篇文章发表于《黑客X档案》和《黑客防线》等刊物。在更早的一颗红心愿报效祖国的学生时代,也做过黑掉泥轰网站挂上五星红旗的热血之举。
△马坤
马坤是典型的80后,利落直接的谈吐和爽朗的笑,虽然如今望过去俨然一副稳重奶爸的模样。多年之后回看当年的黑客经历,那种路见不平一声吼的气概大约在少年时代就已经扎根,精忠报国七侠五义之类的故事耳濡目染,便日渐有了侠义肝胆的江湖气。
然而真正练就顶尖技术,用刺骨的功傲视群雄还得益于阴差阳错的高考失利。一向排年级前三十名在高中就学完大学数学和物理的学霸马坤因为高考作文发挥失常,与向往的清华失之交臂。在许多人的励志故事里,遭遇小挫折通常是不甘平凡最终成功的画风,而这一转折对马坤却是不小的打击。
「当时年少的自己,甚至想到了自杀」马坤吐出烟圈继而大笑,自嘲当年的幼稚,也感慨命运的奇妙。因为选了自己并不特别心仪的工科院校,马坤坦言在大学几乎没怎么好好学习,曾经的学霸彻底变成了游离课堂之外的「怪」学生。
八十年代初生人的青年是很特殊的群体,即便再少有放言文化批判海阔天空,宿舍几个人煮一锅大白菜,喝上十来瓶啤酒,纵论体制改革畅快淋漓,不知东方之既白的豪迈,却还是有残存的理想主义和壮志未酬誓不休的信念。
那是「情怀」还未被拿来贩卖的时代。因为一些时政事件,青年群情激愤。马坤也是在那些年开始对黑客产生浓厚的兴趣,带着某种说不清的荣誉感接触了网络安全。
正义满腔的他已经不满足于帮同学找回被盗QQ号和破解密码的小成就,也用大部分黑客都常用的挂黑页方式证明自己。「有的黑客会篡改别人的网站,在首页挂个骷髅头或者放段音乐什么的,我属于给国外网站挂国旗的那种,那时法律在这块儿还没什么约束。」
刷过一阵黑页之后,马坤开始潜心学技术,因为之前的数学和逻辑等功底,他学习黑客的编程很快,在黑客的世界里也找到了更多的存在感。
也正是那几年的专心打磨,恰恰为他后来专注为客户提供网络信息化安全服务打下了坚实的基础。考入国家政府部门就职有过惊世骇俗之举,在百年知名外企四年工业品销售业绩超过千万,拒绝年薪百万的大公司邀约,2012年马坤在西安创办了四叶草安全,经过三年的发展,四叶草已成长为国内知名的安全公司,旗下有国内首个社区化的扫描平台BugScan。
关于四叶草
传说中幸运草的四片叶子代表幸运、健康、名誉、财富。而取名四叶草安全无疑也寄托了马坤对安全事业的希冀。「网络安全在整个世界范围之内被当作国家安全的重要形式之一,信息网络和重要信息系统设备国产自主水平低,安全形势严峻,安全比较薄弱,是我们比较缺失的,取名四叶草是希望在各个方面我们安全能做的更圆一点。」
安全服务其实是一种很抽象的东西,行业壁垒也很高,比如运营商等某些网络应用出问题了,会影响所有用户的使用,或者企业服务器出现漏洞,大家看不到但它可能真实存在。
「安全服务的特别之处在于出事之后,人们才知道它的价值。」黑客的攻击力量很强大,强大到基于通讯和信息化的东西,都能拿到权限并且伪造身份,四叶草安全做的就是防黑客的事,马坤坦言安全服务会被黑客衬托的越来越有价值。
在去年一整年,四叶草的触角涉及包括运营商、科研、金融、交通、能源、医疗、企业、政府等各个领域。帮陕西铁通和电信完成年度安全检测服务、承接国家电网攻防演练项目、承接航天某集团的安全培训项目、与西电签订人才战略合作基地等。
还举办了首届SSCTF全国信息安全挑战赛,技术支撑宁夏首届全国网络安全攻防赛,协办陕西首届互联网大会安全分论坛和中国IDC大会安全分论坛,承接某知名打车平台和某宝安全检测任务并发现多个高危漏洞。这一系列成绩,也奠定了其在西安本土最专业安全服务公司的地位。
四叶草最近新出的产品是面向站长和安全爱好者的社区化扫描平台BugScan。站长使用它检测自己的网站,并针对扫描出的漏洞进行修复。安全爱好者则在做渗透测试的时候将自己常见的漏洞检测方式编写成插件,然后在扫描器扫描时检测出新漏洞。
当插件越来越多的时候,BugScan能检测的漏洞种类也将越来越多,越来越准确。集中社区的力量,扫描平台不断更新完善,节点越多,并发的优势也就越明显,扫描速度也会更快。
就是这样一个纯技术团队,在公司没有市场和销售的情况下,自我转型调整以安全服务切入,以陕西为支点厚积薄发,证明了本地也可以有媲美一线城市的专业安全服务公司。
「本地安全意识形态可能还弱一点,但是我希望有更多人了解这个领域,知道本土也有像四叶草这样专注于此的企业,一起为信息安全做点事。」马坤最后透露今年四叶草也将再次举办SSCTF全国信息安全挑战赛,并邀请极客窝协办此次盛事。