人物简介:
方兴,湖北恩施人,网名“flashsky”,中国最顶尖的白帽黑客之一。2003年,他第一个在世界公布了微软RPC DCOM漏洞的技术细节。外国黑客借此制造出臭名昭著的“冲击波”病毒,引发了微软史上最严重的一场安全危机。
方兴是数百个高危级安全漏洞的发现者,先后在知名信息安全公司如启明星辰、美国eEYE、微软的MSRC工作。2010年他创办的安全公司翰海源是国内第一个普及APT攻击检测和威胁情报的公司。五年后,翰海源被阿里收购,方兴进入阿里任安全专家。
2017年,方兴再次创业,新公司名为全知科技,主攻数据安全。这一年他44岁,财务自由和中年危机之间,他选择中年危机。
(想了解方兴对数据安全的看法,欢迎点击这篇对话安全专家方兴:保障数据安全不能靠“保险柜”,数据流动才有价值)
人物简介:
方兴,湖北恩施人,网名“flashsky”,中国最顶尖的白帽黑客之一。2003年,他第一个在世界公布了微软RPC DCOM漏洞的技术细节。外国黑客借此制造出臭名昭著的“冲击波”病毒,引发了微软史上最严重的一场安全危机。
方兴是数百个高危级安全漏洞的发现者,先后在知名信息安全公司如启明星辰、美国eEYE、微软的MSRC工作。2010年他创办的安全公司翰海源是国内第一个普及APT攻击检测和威胁情报的公司。五年后,翰海源被阿里收购,方兴进入阿里任安全专家。
2017年,方兴再次创业,新公司名为全知科技,主攻数据安全。这一年他44岁,财务自由和中年危机之间,他选择中年危机。
(想了解方兴对数据安全的看法,欢迎点击这篇对话安全专家方兴:保障数据安全不能靠“保险柜”,数据流动才有价值)
自认为不适合学计算机的下岗工人
1994年,中国实现与Internet的全功能连接,成为国际互联网大家庭当中的第77名成员。两三年之后,以搜狐、网易等早期门户为代表的互联网浪潮,将逐渐开始席卷中国。
彼时刚刚大学毕业的方兴,正在湖北一家大型民企的下属企业当酒楼经理,还没有感受到这股浪潮。他的日常工作与互联网和计算机没什么关联,最常见的业务是跟形形色色的客户拼酒。
分配到同一企业同宿舍的大学同学痴迷计算机,建议方兴也学学。方兴翻了两页书就感觉“头疼无比”,很快还了回去,并决绝地表示:“我实在不是学计算机的料,估计这辈子都不会跟计算机打交道了。”
如果不是当年的另一股浪潮,方兴可能会顺着原有的道路走下去,而不是成为一名安全专家。1993年底,中共十四届三中全会通过《中共中央关于建立社会主义市场经济体制若干问题的决定》。改革的过程伴随着阵痛,改变千万人命运的下岗潮开始在全国出现。
展开全文
方兴也在此时迎来了并不美好的人生岔路口:得罪领导被“发配”到深山当工人,极寒的雪夜里躺在稻草上席地而眠。工厂效益不好后工资停发,方兴得跟老乡讨红薯吃维持生存,每天都不知道明天的生活在哪里……23岁的他,经历了一个年轻人所能遭遇的一切恐惧。
压垮方兴的最后一根稻草是不知哪里传来的社会新闻:某地一对夫妻双双下岗,由于找不到新的工作,他们在绝望之中杀了一双正在读书的儿女,随后自杀。
“难道我的未来也要如他们一样?当一个身无所长的工人,到中年的时候突然接到下岗的通知,找不到工作,然后等待悲惨的结局?”方兴突然意识到,他和新闻里悲惨的下岗工人一样,身无所长。唯一的优势,或许就是自己还年轻。
“我应该还能改变什么。”抱着这样的想法,1995年底,方兴主动下岗回到老家,先是在家人的帮助下进入信用社工作,后来又去太保集团当寿险推销员。也巧,保险系统在那个年代开始装配电脑,曾让方兴头疼不已的计算机又出现了。
经历过下岗一事,恐惧提供了强大的驱动力,方兴深知只有靠自己的能力才能掌握自己的未来。计算机科班出身的姐夫把教材借出,方兴就此开始了自学计算机之路。
“我咬着牙,一遍又一遍地看,看不懂的,先记下略过,下次再看。每条指令,先从英文的角度去理解他的意思,就这么着,一遍一遍,我不记得这两本书我看过多少遍,但最终,我都看懂了。”方兴回忆,几年间,他从寿险推销员、电脑出单员,再到系统维护人员,终于进入湖北省一家公司的电脑部负责程序开发和网络建设,走上了计算机职业人员的道路。
就像武林侠客一样,此时的方兴虽然还没有真正接触安全研究,却已经掌握了“内功心法”,具备了扎实的汇编功底。 也是在这一时期,偶然的一次跟哥们儿喝酒,方兴给自己取了后来响彻全球安全界的名号:flashsky。
而立之年转向安全研究的业余黑客
方兴最初的工作方向并不是信息安全,而是应用开发和系统分析。直到几年之后,方兴认识了喜欢研究安全的同事、知名黑客“独行客”,第一次学会了利用安全漏洞和相关利用工具,但也只是玩玩。
“黑客”一词首次出现在中文期刊上是在1991年。90年代中期至末期,随着互联网的普及,中国最早的一批黑客开始出现。那些年还没有所谓白帽、黑帽、灰帽之分,中文语境里的黑客是个褒义词,意指热心于计算机技术、水平高超的专家,而非利用病毒和漏洞获取经济利益的罪犯。
1999年,黑客 XUNDI创立XFOCUS,即安全焦点网站。这是中国第一个专注于信息安全的网站。冰河、alert7、shotgun 等知名黑客,都是团队成员。在安全焦点上,黑客们发布安全技术文章,围绕业界风向进行热烈探讨,使得网站一度成为国内民间信息安全行业马首是瞻之地。
“刚开始那批做安全研究的人,对安全是真爱的。”方兴的好友、同为顶尖安全研究人员的王伟(alert7)回忆,2001年左右,国内安全圈还普遍在学习阶段,大家很喜欢聚集在安全焦点上交流。此后5年,安全圈黑客快速成长,大有赶超美国之势。“安全焦点的口号是from the internet , for the internet。纯粹的黑客精神。对很多人来说,那是一座真正技术黑客圣殿和安全圈的黄埔军校。”
方兴加入安全焦点,则是因为一次“不打不相识”的抄袭风波。为了证明自己的技术文章不是抄袭,他接连写了多篇文章证明原创性,一来二去和安全焦点的人熟悉起来,随后在核心成员季昕华(UCLOUD创始人)和黄鑫(冰河)的邀请下加入了团队。王伟说,方兴的加入是团队成员投票通过的,因为“能力得到大家认同”。
此后,方兴跟其他黑客交流得更多,对安全研究的兴趣也越来越浓。以前做系统开发,他是传统的程序员思维,总认为程序就是按照代码来执行的。做了安全研究他才发现,攻击者可以控制开发者写的代码,让代码在开发者的逻辑之外运行。这对方兴的冲击很巨大。
“为什么会有这些超出你认知之外的东西,发生了什么,意味着什么,人们又该如何信任和控制这些不可靠的系统或人呢?”方兴说,安全研究让他打开了新窗口。其中最大的乐趣,就是“发现和认知这个世界其他人都还未知的事情”。
在安全研究的吸引之下,方兴做了一个非常有风险的决定:转入安全领域。是年方兴29岁,许多比他小得多的人已经是安全领域的知名人物了。即将而立的方兴却必须从零开始,此前工作几年积累下来的应用开发系统分析经验都将被抛弃。对此,方兴形容自己是“决定了就会全力去做”。
让微软“恨之入骨”的安全大牛
2003年,几经波折之后,方兴终于进入启明星辰的攻防实验室。成立于1996年的启明星辰是安全领域的顶尖企业。在此,方兴很快就迎来了安全职业生涯上最具盛名的一战。
当年7月,微软通报称RPC DCOM(远程过程调用接口)有严重的安全漏洞,攻击者可以通过漏洞植入木马控制计算机,所有的WINDOWS操作系统都受影响。鉴于漏洞的严重程度,微软只发布了补丁程序,没有给出漏洞的任何细节。三天后,方兴独立分析出漏洞细节——当时,能通过对比补丁和原来程序间差异来快速查找漏洞的自动化工具还没有出现,分析漏洞时需要高水平的技术人员阅读二进制汇编代码去还原漏洞逻辑,其难度不亚于独立挖掘一个新漏洞。
方兴完成分析文章后,安全焦点的朋友季昕华和XUNDI将文章润色,以安全焦点的名义发布在外国漏洞网站BUGTRAP上。这是世界上第一篇公布 RPC DCOM漏洞技术细节的文章。
让方兴没想到的是,文章很快在全球各个安全社区流传,引起了全世界黑客的注意。尽管微软此前就发布了补丁程序,但当时的 WINDOWS 系统还不具备自动化补丁机制,用户缺乏打补丁的意识和习惯,大量主机因此成了岌岌可危的待宰羔羊。美国知名黑客HD MORE依据方兴发布的POC(注:漏洞原理验证代码)开发出了更具威胁通用的Expolit(注:能带来实质性威胁的漏洞利用代码)。
8月初,据RPC DCOM漏洞开发的“冲击波”蠕虫病毒袭来,瞬间影响了上千万台主机。有数据显示,“冲击波”造成的经济损失至少达到5亿美元。随后,还有数十个蠕虫同样利用了这一漏洞。
重创之下,微软很快在美国举办了一个记者会,指责方兴不负责任地披露了漏洞细节,同时首次悬赏50万美金捉拿“冲击波”蠕虫病毒的作者。“当时的安全环境不比现在,企业认为黑客是坏蛋,公布漏洞是挑事儿。”当时在国家信息中心网络安全部做工程师的李少鹏回忆,冲击波一事影响非常大。
事实上,按照安全业界的潜规则,针对已经有补丁的漏洞撰写技术文章,是完全没问题的。但在此次病毒风暴中,方兴还是做了反思:作为安全人员,一些行为确实可能给用户带来危害。安全从业者需要更加负责地对待漏洞。
而微软方面,虽然对方兴“恨之入骨”,也由此认识到了中国安全人员的实力。中国安全人员向微软提交的漏洞逐渐得到重视,不再像以往般石沉大海。同时,微软对安全体系作出重大变革,建立了自动化补丁机制。
2004年,方兴在全球首先公布WINDOWS内核缓冲区远程溢出利用技术,被誉为“国内WINDOWS内核漏洞第一人”。2005年,他加入美国安全公司eEYE,挖掘了微软的更多漏洞。2005年底,负责微软全球安全业务的ANDREW CUSHMAN来到中国,邀请方兴为微软工作,双方一笑泯恩仇。
一个小插曲是,多年之后,方兴又碰到了在酒楼当经理时劝自己学计算机的同学,对方得知他做了安全研究,无比惊讶。“我相信应该是当年我那种决绝的样子给他的印象太深了。”方兴笑道。
再度出发的“高龄”创业者
时光转换,距离中国初代黑客出现已过去20多年。如今人们再谈起黑客,更多的印象是罪犯,是麻烦制造者,是制造冲击波蠕虫病毒的一类人物,而非方兴这样以技术研究为乐趣又拥有高水平的专家。
被问起认为什么是真正的黑客精神,方兴说是“创新与自律”。“黑客最大的价值是发现有价值但未知的东西。任何时候都具备创新的精神与意识;黑客因为具备了攻击和控制网络设备的能力,很容易利用这种能力去获取利益并造成较大危害,一定要克制的使用这些能力。”他说。
他在公开场合很少谈论这些,只是一直默默践行自己的理念:做技术时,挖大家都认为没问题的漏洞。人工查找漏洞还是主流时,做自动化漏洞挖掘工具。研究漏洞时,关注还没人研究过的远程内核利用控制。
到了创业,方兴依然坚持要选“超前业界认知的方向”。2010年,他和老朋友王伟一起创办翰海源,成为国内首家专注于APT攻击检测和威胁情报体系的安全公司。APT 即“高级持续威胁”,指有组织的专业黑客团伙,针对锁定的目标发起的高级的、长时间的、攻破目标以获取重大政治、军事、科技或经济利益的攻击手段。
事实上,翰海源最初的方向并非ANTI-APT和威胁情报体系,而是安全测试服务。王伟说,随后APT攻击手段流行,外国安全公司FireEye崛起,翰海源经过内部评估,迅速转身。两人的想法很一致:要做就做国内第一家APT防御公司。
多年相处下来,方兴的“成长速度”让王伟印象深刻。“安全起步比我晚,居然跑得这么快,成长速度惊人。有大局观,有安全大局观,有体系化的思维。”王伟说,当年在翰海源,方兴的项目方案写得“那叫一个专业”。
2015年,翰海源被阿里收购,方兴进入阿里担任资深安全专家。阿里许诺在四年内分期给以兑现,方兴的资产达到八位数,终于担得起“财务自由”四个字。
这一年,方兴42岁,开始感受到原以为是媒体噱头的“中年危机”。在阿里继续待上几年,拿钱、退休、养老——在很多人看来,这已经是对抗中年危机的最好选择。
但两年刚过,方兴决定放弃未到手的兑现,跳出阿里二度创业。“我现在44岁,再拖两年46岁,到时候可能雄心壮志就消沉了,什么也干不了了,多拿了几千万在手上却把自己荒废掉了,有什么意义?”他说。
这一次,方兴的选择是数据安全:“我喜欢干很新的东西。没有人干过,你干成了,这是最有价值的。”在官网简介里,新公司全知科技的愿景,被描述为“在数据安全领域成为中国乃至世界的最具备前沿视野和技术能力与产品的公司”。
在方兴看来,网络安全正经历着时代的变革,由信息安全,演化到业务的安全,再到数据的安全。数据安全体系与传统的信息安全体系有着天壤之别。信息就像金银财宝,打造好保险柜金库就足够了。数据则像货币,必须流通起来才能获得更大的价值,这当中的安全风险与控制模式,和保险柜模式是完全不一样的。
二度创业,方兴在互联网创业大军中已属“高龄”。人社部2016年发布的一份创业报告显示,创业人群活跃在25-35岁年龄段。相较之下,互联网更是一个“嫌老爱少”的领域,普通行业中可算正当年的30岁已处于“歧视链”底端,被视为淘汰界限。在知乎, “30岁离开互联网”之类的讨论比比皆是,各个话题下无不弥漫着“高龄”互联网从业者对未来的恐惧。
但是对方兴来说,年龄造就压力的同时也带来优势,比如面对恐惧的从容与通透——毕竟,从23岁身无所长、濒临下岗时起,方兴已经与恐惧相伴多年。他坦言,每进入一个新的领域都是挑战,当然会害怕自己承担不起这个挑战或者选错方向。但是他更怕留在原地后,会在未来的某天因跟不上时代而被时代吞噬。“相对这个恐惧,其他的恐惧就不算什么了。”
他说近期最开心的一件事,是公司第一款产品测试版本推出,有兴趣的用户很多。