如果我跟你说我有一个朋友是个微博业余段子手,和姚晨在微博互粉,你会觉得这人应该有点意思。 我如果告诉你我有一个朋友是顶级黑客,靠一个漏洞拿走了10万美金大奖,你也许会对这人肃然起敬。 如果我告诉你以上两者是同一个人,那你的感想应该像五仁月饼一样复杂。 我去年3月在温哥华招待了远道而来的tombkeeper,当时他在cansecwest给一帮黑客做演讲,底下有很多FBI, CIA的人,敢于挑战他的都被他拿英文给拍回去了,霸气侧露,也许是用力过猛,第二天约好要出去玩的结果他一觉睡到晚上,啥都没玩到。 会议那天我晚上赶到的时候其实已经结束了,不过party上还是认识了来自世界各地的安全牛人,有来自verisign(后来是symantec)中文说得特别利索的白人,还有外表完全看不出来的日本美女黑客等等。 见面寒暄了一阵,我问他讲的是什么议题,他说是DEP ASLR,我问你要ROP么?他说不用, 我问JIT呢? 他说也不是, 我说那这东西黑市怎么也得有个几十万美金了,他说能拿到点奖金,估计不多(后来发现是10万美金)。之后我发现插不上话了就说那我带你到处走走吧。 我们downtown到处转了一圈,也不知道他喜欢玩啥,感觉对脱衣舞和赌场都没啥兴趣,于是找了一个酒吧随便点了些小吃。 坐定之后我问了他一个永恒而又经典的问题:你有什么梦想。 他想了一会儿,习惯性地用力眨了几下眼睛,缓缓地说:我希望有能力的人可以被社会更加重视,获得应得的利益。 简单来说就是老生常谈的那些社会不太公平,上升渠道狭窄,资源分配不合理之类的。不过在安全行业这个比较严重,再深一点来说就要谈到过分单一的价值观对社会的扭曲。 即便是教主(tombkeeper简称tk教主)这样名震天下的黑客,也会感到不安,原因应该是安全行业的价值被太多人忽视了,尤其是正行的重视还远远不如黑色产业。 安全在很多公司眼里不过是一个锦上添花的东西,跟自己的饭碗并不挂钩,同样的预算,宁可多带一些客户或者流量。 至于安全漏洞造成的损失,完全可以摊到用户头上啊, 大不了推卸责任啊,说你看是你自己不安全,跟我们网站无关。 于是乎很多挺有潜力的黑客苗子,功夫还没练到家的时候就经不住诱惑就去做黑产,反正就是一搏,一旦赚到钱又安全洗白了,也就成人生赢家了。 而苦逼的白帽子一直都没有赖以生存的商业模式,传统安全公司面临转型的压力以及人才被高薪挖角的困局。 安全行业的环境令人堪忧。 不过今年年初Cansecwest之前,教主已经认为2014年是安全行业爆发的元年,对安全行业那是相当的看好。他自己也在微博上是妙语阵阵,段子连连。 到了cansecwest的时候,我因去年招待不周,此次特地安排了大奶村一条龙服务, 可惜他刚到之后就病了,还成了传染源差点坑了同行的整个keen team。 我对于安全行业的崛起还没那么乐观,大家热议的NGFW、云安全和BYOD都还没走上轨道,市场环境也不成熟,不过我对教主的研究方向和工作成果还是非常尊重的,一直也没跟他交流未来的方向,直到上半年QCon之后,道哥向我表达了要挖教主的意向,我那时才得知教主要离开工作了多年的绿盟(貌似上市不久?),巨头早已纷纷对他抛出了橄榄枝,尤其是互联网公司。 这对他来说是一件好事,毕竟安全行业未来也是需要互联网思维的。 据说阿里开了P10,360,百度都开出了不菲的条件(当然在我们眼中那样的条件还是低估了他的价值),最终他选择了鹅厂,并挑头成立了玄武实验室,进行安全方面的研究。 教主跳槽后行为颇为开放,首次公开露面是在GeekPwn,后来KCon也去上台讲了一场《ROP is for 99%》,今年1024的时候GeekPwn还会再次出来供大家膜拜。 文章的最后,友情帮他打一个广告,安全行业从业者如果有兴趣追随教主的,可以发简历到 [email protected] 。 安全行业以外的就当看个故事吧,大家中秋快乐。 人生如戏 厉哥 出品 【微信号】mintshow 人生如戏,全靠演技。
厉哥开放私人微信ID:royli82,妹子请加,男生加前请说明来意。
群主微信公众号:互联网干货收藏夹ID:markTMT
厉哥“孢子墙里墙外粉丝团”QQ⑤群: 193448643 回复“help”查看更多厉哥文章。。你懂的。 本文转载自:微信公众账号 - 人生如戏,版权归原作者所有! |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
