摘要
他是360补天万人排行榜第八名,二〇一六年九月份,他提交的漏洞获得了精品漏洞榜冠军。他的名字叫做华不再扬,意为流逝的时间不再回来。
华不再扬从小学二年级开始去网吧打游戏,在很长的一段时间里,他是一个游戏狂人。他文化课成绩不佳,从职高毕业后,他的第一份工作是鞋厂工人,可就在他毕业四年后,他以安全分析师的身份,站到了诸多安全沙龙的讲台之上。
见到华不再扬是在二〇一六年十二月360补天白帽沙龙深圳站,他是当天第一个上台的讲师,他的演讲内容为“渗透测试中的一些突破口”,其中包括信息收集的方法、企业安全问题的常见类型、企业常见的安全漏洞,以及为什么企业最大的安全漏洞是人。
议题讲演的过程中,华不再扬虽然不像专业演说家一样妙语连珠,但他的一字一句平稳清晰,在内容上的专业性足以令人信服。
游戏狂人华不再扬
一九九二年,华不再扬出生于江西萍乡,从小对文化课不感兴趣的他,小学二年级就偷溜着去网吧打游戏,从此一发不可收拾。
二零零一年,热血传奇以迅雷不及掩耳之势横扫整个神州大地,时读小学三年级的华不再扬每日躲在网吧“一刀,两刀,三刀地砍砍砍”,热血传奇把它带入了一个疯狂而易满足的“传奇”世界。
华不再扬说:“从小到大没有做什么伤天害理的事,就是玩游戏,但因为这个也没少挨打挨骂。”随着华不再扬学习成绩的一路下滑,起初不知情的父母发现了他打游戏迹象,并下严令禁止华不再扬去网吧,如果再被抓到立刻“家法伺候。”
严令没有超越游戏带给华不再扬的刺激感,令他印象深刻的是有一次被连续“家法伺候”了三天。
华不再扬说:“我是星期五在网吧被抓了,向爸妈保障以后再也不去了,结果星期六又被抓了,再次保证说永远也不去了,星期天被抓到时候我都傻眼了——父母把我的屁股‘伺候’的根本坐不下来,沾到一点点,肉就会疼。”
屡教不改的华不再扬,令父母有些绝望。无奈的父亲索性跟着华不再扬一起去网吧,他想亲眼瞧一瞧儿子在网吧究竟在干些什么。华不再扬说:“当时的场景是,我在打传奇,一刀刀的砍,爸爸站在我旁边看我有没有在网上学坏,有没有跟黄赌毒沾上边。”
看到儿子只是在打游戏,也没有想象中的那么糟糕,不解的父亲问华不再扬:“这个就那么有意思吗?”
华不再扬回答:“有意思啊,你给我买电脑,我就天天呆在家里,肯定不来网吧了。”
出乎他意料的是,父亲同意了。二零零五年,华不再扬拥有了自己第一台个人电脑——那是一台内存128MB,硬盘80G,价值一千元的二手电脑,如果把电脑比喻成人生阶段,那台电脑大概就是一个机能已经退化过半的老人,每天软硬件问题不断。
电脑一出故障,华不再扬首先想到的就是他最熟悉的网吧老板,他抬着沉沉的电脑到网吧,向老板请教一些基础的软硬件知识——多年后回头看,这段经历竟成为了华不再扬的计算机启蒙教育。
华不再扬说:“当时买了电脑,但对计算机除了打游戏外还能干什么是完全不懂的,每天就学别人,打开电脑先杀一遍毒,因为不懂,以为只要电脑打开了就有病毒,可当时家里都没有联网,也没有接收更新包——说到底那时候很无知。”
一直在打游戏的华不再扬在九年义务教育结束后,选择不再考取普通高中,而是直接去职高念计算机科学与技术专业,华不再扬说:“因为自己打游戏,所以文化课成绩不行,又觉得很喜欢计算机,所以不如就直接去读这个专业。”
黑客传说中的孤胆英雄
二〇〇八年是华不再扬在职高的第二个年头,有一天,他和往日一样在电脑上打游戏,一次偶然的抬头,华不再扬瞟见旁边同学正在做很“神奇”的事情——他发现该同学正在远程看一个女生的电脑桌面,而且是一边聊天,一边偷看对方在电脑上进行的操作。
华不再扬说:“当时我心里就特别好奇,诶,这是怎么回事?”——正是这一秒钟生长出的好奇,改变了华不再扬整个的人生轨迹。
为了弄清楚朋友实施的远程监控的原理,华不再扬去图书馆将硬件、软件、攻防以及所有计算机相关的全部书籍借来翻阅,甚至连黑客小说他也不放过,读的最快的时候,他可以一天看完一本书。
没过多久,诸多传奇黑客进入了华不再扬的视野,其中包括世界头号黑客凯文·米特尼克、有黑客罗宾汉之称,创建“维基解密”网站的朱利安·阿桑奇——这些人物亦正亦邪的传说令华不再扬感到无比好奇,也使他对由数字、符号组成的代码世界产生了浓厚的兴趣。
华不再扬说:“当时除了技术和传记书籍,我还看了很多黑客小说,看完后感觉心里挺恐怖的,特别是面对许多战争和阴谋时,一些集权贪腐官员所隐藏的不可告人的秘密十分肮脏,比如监听或者策划暗杀,与他们对抗的黑客显得神秘又有力量,像是孤胆英雄,我在脑子里可以感受到那两股力量相碰撞——这让我特别想做一个正义的黑客,一方面是我对技术很好奇,另一方面是可以自我保护,不被侵犯。”
将图书馆内的黑客书籍全部读完后,华不再扬开始通过网络学习基础的编程知识,他每天出入于中国黑客联盟、邪恶十进制等知名黑客网站,阅读技术文章、下载技术工具,他甚至买来冰河洗剑(ID)撰写的《黑客防攻大揭秘》逐条学习。
一年后,华不再扬成为了一个自学“武林秘籍”的技术门徒。有些遗憾的是,他在中专、大专想要渗透进校园官网帮忙挖掘漏洞的愿望,却没有实现,他说:“当时技术还比较差,去扫描网站,没有找到真实的数据。”
在职高毕业前的实习期,华不再扬经人介绍南下深圳,成为了一名宽带安装维修员,他说:“虽然与黑客技术还不沾边,但好歹跟网络还有些关系。”
初到深圳,华不再扬与八个人合租在一个三室一厅的房间里,每月五百元,华不再扬第一次体验到了工作上的艰辛与苦楚。在其他人都在打游戏时候,他却在房间里读起了社会心理学。
华不再扬说:“他们打游戏对我没有影响,他们打他们的,我看我的,我之前游戏打太多了,已经没有瘾了。”
独身去到深圳的华不再扬看着大城市的繁华,心中有些落寞,他发现自己不但学历文化难与同龄人竞争,技术也没学的十分扎实,除了撸起袖管,埋头闯荡之外,他似乎再没什么更好的办法。
在走出校门,踏上一片迷茫的未来征途之前,华不再扬做了一个决定,他要先去见一个人,一个与他通讯了八年,却从没见过面的人。
网恋四年,每月一信
二〇一二年,华不再扬即将从大专毕业,他希望在毕业前,完成一件心事,华不再扬说:“网上认识她八年了,中间有四年是网恋,我当时就想无论能不能在一起,算是人生的一个交代,对她,对我,对我们的感情。”
华不再扬和“那个姑娘”二零零四年在网上相识,虽然从来没有见过面,但他们却隔着声音和文字在八年中感受着对方生活中每个微小的细节。
他们的情感,也曾经在10、11年时遭遇过危机,姑娘认为网恋最终可能会没有结局,便逐渐减少了与华不再扬的联络。收不到姑娘音讯的华不再扬,心中失落却没有强求,他每月给她写一封信,问寒问暖的同时诉说自己的生活。
在深圳八人的合租公寓,华不再扬给姑娘写了一封信,讲述他在做宽带安装维修员中的一个小经历:“我给一个外国客户安装宽带,结果他的房间里已经有宽带,他让我把宽带移到卧室,我说移动宽带要看房间的布线方式,强行移动要钻孔,把墙钻个孔是装修队的工作,我很难操作,结果,那个外国客户还没听完,就骂骂咧咧起来,一会儿骂我,一会儿骂中国人,叫我赶紧离开。”
将近两年没有回信的姑娘,发回来一封劝慰的邮件,大意为:“凡事想开点,这种事不要太放在心上。”
华不再扬说:“当时我的感觉是,天呐!冰山融化了,我激动的…...怎么形容?可以说是坐立不安,又惊又喜,我马上加她QQ,希望跟她恢复聊天。”
两个人聊了半个月后,华不再扬的心早已不在深圳,他辞去了宽带安装维修员的工作,去湖北找那位令他心心挂念了八年的姑娘。
第一次见面的样子,华不再扬无法用言语描述,他只记得,2012年的4月15日,在湖北,他和姑娘见面的第二天,他们确定了现实中的男女朋友关系。
华不再扬留在湖北陪女朋友考了一个月的驾照,那短短的几十天是华不再扬过去八年里最快乐的时光,谈起那段日子,他露出了淡淡的笑容。
快乐的时间转瞬即逝,华不再扬在深圳实习攒下的几千块钱很快就花光了,家中父母见他四处游荡,既生气又着急,多次打电话敦促华不再扬马上返回江西老家找一份安稳的工作。
从鞋厂工人到安全分析师
回到江西后,父母反对华不再扬从事与计算机有关的工作,他们受到华不再扬儿时过激游戏的影响,认为所有与电脑、网络相关的内容都是“毒药”,是使人堕落的骗局。
华不再扬不想整日在家中与父母对峙,便去附近的鞋厂找了一份工作,专门负责搜集对应尺码鞋子的刀模,以辅助流水线生产。一个半月后,曾经的老师打来电话,问华不再扬是否愿意再次走出家门,去深圳做一份网络工程师的工作。
这对华不再扬来说无异于雪中送炭,虽然去了之后,他发现那只是由他的学长办的一家小公司,而他主要就是担任一个小网管,但相对鞋厂的工作,已经足够令他欣喜,至少他已经可以摸到电脑了。
第二次来到深圳,华不再扬依旧住在集体宿舍,有一天夜里,有人说公司网络断了,叫华不再扬起床去修理,可是他不愿意起床。
华不再扬说:“他们叫我,我就不愿意起来,我有自己的时间安排,如果是非工作时间,我本能是抗拒的。”此时的华不再扬很清楚的知道,如果他不快速成长会有什么后果。
华不再扬说:“以我当时的状态,如果再没有一个清晰的目标,第一,我早晚要回老家依赖父母,他们是反对我从事计算机相关工作的,我会一直不快乐下去;第二,虽然和她在一起了,但我还是没能力给她一个归宿。”
在做网管期间,华不再扬每天记账,他一个月的消费大概是600元上下,他打算将剩余的工资存上几年,有了一定积蓄就去湖北娶亲。
华不再扬说:“当时比较单纯,一心就想着早点娶她。”
可攒钱似乎没有那么容易,华不再扬和异地恋的女朋友每三个月要去旅行以巩固感情,玩一个星期费用大概会花掉他两个月的薪水,一年下来,尽管两个人在旅行中对彼此有了更深的了解,情感进一步发酵,但现实是,华不再扬几乎没能攒下来多少钱。
华不再扬说:“那时候压力挺大的,网管的工作对我来说已经维持不下去基本的生活开销了,无论是考虑到现实的生活,还是未来的发展,我都必须要换一份工作了。”
二〇一三年九月份,华不再扬正式辞职,他说:“我觉得自己还是要充电,要把之前看的攻防知识继续深挖,去找信息安全方面的工作。”
几周之后,华不再扬在一家游戏公司找到了一份与安全相关的工作,他负责公司的安全运营,包括简单的安全扫描、加固安全系统、配置防火墙,在公司,有一位安全方面的前辈会写一些开源框架帮助华不再扬开展工作,华不再扬说:“当时那位前辈帮了我很多。”
也是从那时候开始,华不再扬培养了一边学习,一边找网站漏洞的习惯,他注册了360补天平台的账号,在业余时间去补天、Freebuf、安全牛搜寻技术知识,观察常见漏洞的来源,培养挖洞经验。
短短的一年多时间里,华不再扬对安全体系的把控能力突飞猛进,在漏洞挖掘方面积累了大量的实战经验,就在一切看似顺风顺水的时候,一件令他措手不及的事情发生了。
二零一五年六月份,游戏公司出现了较大的人事变动,上层准备裁员二分之一,解雇五百名员工。
华不再扬说:“当时公司的HR找许多人聊,旁敲侧击的询问是否愿意离开公司,离开了去哪儿,弄得大家人心惶惶,我觉得如果办公室环境是那样儿的话,就有点没意思了,所以就主动辞职。”
祸兮福所伏,华不再扬在失业一周后接到了猎头打来的电话,原因是某家大型金融企业看到了华不再扬的简历,非常感兴趣。
面试前,华不再扬问猎头:“那家金融企业有没有什么相关网站吗?”
第二天去面试的时候,该金融企业的网站已经被华不再扬攻破。面试官问:“你对我们的安全体系有了解吗?”
华不再扬回答:“你们的服务器有一些漏洞,我已经找到了。”
第三天,华不再扬成为了这家公司的网络安全工程师,他的薪水比初到深圳时翻了几倍。
二〇一六年三月,华不再扬收到曾经指导过他的那位安全前辈的邀请,前往青藤云安全公司担任安全分析师。华不再扬说:“那时候感觉是一种质变,不完全是因为薪水提高了,而是不会那么自卑了,不像在鞋厂的时候,觉得自己一辈子完了,什么也做不成——慢慢的积累学习,技术越来越好了才发现,原来我可以做到。”
十二年恋爱长跑终成眷属
二零一五年八月,华不再扬和女朋友互相拜访双方家长,两边父母得知他们十二岁相识,十六岁恋爱,内心百感交集,双方家庭不再给予两个孩子任何审视、观察,对他们的婚事,双方家长大力支持。
华不再扬说:“如果是13年我刚到深圳的时候去拜访她的父母,可能我自己会没底气,因为当时刚从鞋厂走出来,很自卑,很失落,但是15年去游戏公司学了东西,有了一定的自我认可后再去,会变得不一样,我感觉自己有能力给她一个家了。”
二零一五年11月28日,准丈母娘对华不再扬说:“该领结婚证了啊,别老拖着。”
华不再扬说:“我们这么多年了,就像谈恋爱谈不完似的,一直拖拖拖。”但这次,他们没有再辜负时间和家庭,从二零一五年十一月领证,到二〇一六年五月结婚摆喜酒,华不再扬和妻子终于走进的了婚姻的殿堂。
与此同时,华不再扬的人生角色也即将面临重大转变,他将由人子成长为人父,他的孩子将于明年三月出生。
即兴问答
问:“现在回头看,你会后悔自己年少时打游戏吗?”
华不再扬:“不会后悔,我觉得对我来说那是一段很有趣的时光,起码在那段时间我是快乐的,而且我觉得过去的事情就过去,整天回想如果当年怎么样怎么样,没什么意义。”
问:“请介绍一下在360补天的经历,你是如何攀爬到第八名的?”
华不再扬:“2014年7月份开始在补天进行漏洞挖掘,一开始提交的都是些简单的漏洞,直到2015年12月开始挖私有SRC,发现可以积累经验,还有丰厚奖金促使我投入更多的时间。2016年2月19日建立自己的团队,慢慢的就有一些志同道合的朋友加入,目前队内有14人,每个人都会发挥自己的专长,比如擅长代码审计就专门做代码审计,我们会找最适合的人做最专业的事。”
问:“每天会花多久的时间进行漏洞挖掘,本职工作繁忙的时候会不会累?”
华不再扬:“一般是下了班,晚上八点到十一点在挖漏洞,一个月差不多会用去一百个小时。通常不会觉得累,一个是有兴趣,二是有实在的回报,三是可以帮助到企业。会感觉累是在找不到问题的时候。”
问:“对未来有什么预期和打算?”
华不再扬:“也可以分三个方面来说,本职工作上,想多学一点东西,以后能扩大一些视野,做更多自己想做的事情。漏洞挖掘上,未来会在360补天平台上继续学习,通过补天私有SRC锻炼自己,找到知识缺陷,进行弥补同时积累经验。家庭上,希望能给妻子一个温暖的家,给即将出生的宝宝一个更好的成长环境。”
(责任编辑:安博涛)