痴人赵武:我还没打算和命运握手言和 | 浅谈·白帽汇(一)
《浅谈》由科技新媒体浅黑科技出品,是对科技企业的深度报道系列。
世界太大,我们自顾不暇。但那些疯狂的试图用科技改变世界的人,或许值得你驻足凝望。
我们会探访那些执着的技术人和科技企业,并试着用简单的笔触书写下他们心中的技术和未来,希望这些真实的解读,可以帮你理解这个世界。
《浅谈·白帽汇》,是对网络安全企业白帽汇的深度报道,此为第一篇对 CEO 赵武的专访。
是为《浅谈·白帽汇》的第1篇文章,也是《浅谈》总第1篇文章。
痴人赵武:我还没打算和命运握手言和
采访对象 | 赵武 文 | 史中
夕阳西下,我和赵武对坐吃着盒饭。
这一刻,他没有戴着标志性的鸭舌帽。恍惚间我觉得,他不是那个曾经用几十行代码就可以黑掉中国大半网站的黑客“zwell”,不是那个十万黑客在电脑前盼着他发布“Pangolin”新版本的网红,不是那个挑起一杆“补天”大旗网罗天下网络漏洞的狂人,不是那个试图用一块屏幕洞悉整个互联网攻防暗流的梦想家。
这一刻,他就是赵武。
赵武的电脑里,有一个“秘密清单”,每当他脑海里出现了一种可以保卫网络安全的“武器蓝图”,他就把这个构想加入名单里。至今为止,名单上已经有五十多项。每年,都有很多新的武器加入,远远超过赵武把它们做出来的速度。
不过赵武觉得没关系,来日悠长,值得把血肉浪费在这些美好的事物上。
过去的岁月,赵武在人们眼中有不同的侧面。我好像认识了无数个他,这些面孔相互联系,却又泾渭分明。
一、做一件好东西
当时 Pangolin 火到什么地步。没有人不用。如果没听过,那说明你就没在技术圈。
赵武回忆道。
Pangolin
Pangolin,是英文穿山甲的意思,再硬的山岩都可以被凿穿。这听上去很黑客。
那个时代,Pangolin 基本就是“黑客工具”的代名词。它就像一把凶悍的自动化步枪,几乎可以攻陷任何一个网站。
使用“黑客工具”的人永远有两种:
1、保护网站的“白帽黑客”用它来测试网站有没有漏洞;
2、攻击网站的“黑帽黑客”用它来攻击网站盗取数据。
正邪两方相互攻伐,争夺阵地,无止无休。Pangolin 成为了赛博战争中各路部队的标配“机枪”。没有它就不可能赢得战争。
2009年 Pangolin 全球日活十万,这甚至超过了作者赵武的想象。在那个互联网的蛮荒年代,他像一尊神。
赵武甚至挑起了一场“中美战争”。
黑客世界没有国界,那时候全世界的工具下载站上,Pangolin 都排在前列。由于赵武在互联网上的 ID 是“Zwell”,美国人天真地觉得,这么好的技术,这么完美的代码,Zwell 肯定是个美国人啊!
当赵武在论坛上现出真身,说自己其实是中国人的时候。美国网友普遍表示,别逗了。
不过,当他们意识到 Pangolin 回连的服务器确实在中国境内的时候,又突然爆发了。“pangolin 是中国政府开发的间谍武器;中国在收集美国网络漏洞信息”这种说法此起彼伏。
赵武气不过,在网上和他们对骂。
实际上,在他心里,事情哪有那么复杂,没有人从中获得利益。最火的时候,Pangolin 都是免费的。
“我就是想做出一个很好的产品。”赵武说。
这句话成为了他的人生剧本。在未来的生命中反复上演。
“补天漏洞平台”,是赵武的另一个杰作。
2011年,赵武手握渗透工具 Pangolin、漏洞扫描软件 JSky、SaaS 漏洞扫描平台 iiScan 几大“法宝”,被周鸿祎收入360。
进入360,他就开始疯狂地延揽人才。他撩过的人,包括后来创立安塞科技的林榆坚;乌云的创始人剑心和疯狗;后来创立瀚海源的 FlashSky 方兴,后来阿里云云盾的创始人吴翰清。不巧这些人因为种种原因最后都没能加盟360,他们后来的境遇迥异,和赵武一样在天涯的角落各自演绎了有关热爱和命运的世相长卷。这是后话。
补天平台的原名库带计划,就是企业漏洞收集平台。库带计划这个名字是赵武起的。大意应该是勒紧裤带,保护重要部位。
当时独立漏洞收集平台在全世界蔚然成风。在中国乌云已经小有名气,但是乌云更多收集事件性漏洞,平台不为漏洞付费,并且采用强制公开漏洞的方法,让企业感到很大压力。于是赵武决定建立一个平台收集通用型漏洞,平台为漏洞付费,并且让企业可以自由选择是否公开漏洞。
建立漏洞平台,虽然和代码技术关系不大,但赵武完美主义的工匠精神还是上来了。
为了和其他平台竞争。我就要求付款速度快。甚至我专门和老齐(齐向东)申请,求财务特批,漏洞提交一周之内必须让白帽子们见钱。
就这样,补天平台硬是在乌云的强势围剿下生存了下来,并且与之分庭抗礼。
赵武的杰作数不胜数。你可能还记得,他有一个“秘密清单”,里面保存着几十个网络安全的“武器蓝图”,等待日后慢慢去实现。这些年说起赵武,人们大概说的就是完美主义者和敏感的产品嗅觉。从 Pangolin 到 Jsky 到 iiScan,再到 360 时期的网站卫士、补天平台,所有的这些产品,让赵武成为一个“极致产品”的符号。
但“痴人”赵武并不满足于这个符号。他要的是,自己的生命和这个产品血肉相连。
二、舵手的浮沉
高中的时候,因为看别人“盗QQ”而对黑客技术感兴趣;大学的时候因为自己帮学院开发的教务系统被同学黑掉改了成绩,从而对黑客技术疯狂着迷;大学毕业前,因为自己在黑客圈小有名气,而直接被华为按照研究生待遇特招,成为产品线的第一位安全人员;从华为离开创建诺赛科技,被 360 收购,离开360 二次创业白帽汇公司。直到今天。
赵武是一个人生中从未主动求过职的人。
赵武在华为时期的工牌,我很惊讶他还能找到这张照片。
赵武没有说,但我猜他并不是从小就有一个创业梦。
任正非做过一个著名的演讲《做百年不倒的教堂》。他说,每一个华为人都要成为蚂蚁雄兵,团队作战。
当时,赵武就坐在台下。
我断定,这不是我想要的人生。我连踢球都要当前锋。我要去创业而不是守业。
他说。
也许就是从那一刻赵武突然发现,生而为人,做别人的翻版是一种深入骨髓的悲凉。
2009年赵武从华为“裸辞”,决定创业。不过,这个业究竟是个怎么创法,对于刚刚工作四年的他来说,充满着巨大的未知和恐惧。
辞职之后,赵武回到老家,把四年的积蓄全部用来操办婚礼,迎娶了他的妻子,陪老婆生孩子。
2009年到2010年,这个名噪一时的大黑客就隐居在一个三线城市里,向天南海北的用户销售 Pangolin 和刚刚写好的 JSky。
他遇到了一个贵人,一堆骗子和一场抉择:
一个素未谋面的人,通过网络找到赵武,要买他还没正式发布的 JSky,赵武随口报价四万,当晚钱就打过来了。赵武称他为贵人,这坚定了他对自己技术价值的信心。
一群来自德国、英国、美国的买家,通过 Paypal 给赵武付款,等赵武把序列号发给他们之后,他们马上点击撤回交易,赵武财物两空。世界用这种方式提醒了他商业的残酷。
更多的人通过QQ找到赵武要求购买软件。赵武在卖给他们工具之前,总要问一句:你是干嘛的?有人回答“安全公司用”,有人却回答“你懂的”。那时正好刑法修正案公布,为网络犯罪提供工具被列入犯罪行为。
我并不是那么正直。但我觉得如果和黑产同流合污,就像赌博一样。你可能赢,但更可能一无所有。
赵武说。
这场抉择的结果是:在生活最困难的时期,他选择坚持做一个好人。
赵武在2005年。
几年后他在 360 创建补天漏洞平台时,曾经在一篇文章中写道:
每天都有很多白帽子向我们提交很多漏洞,我们验证后给他们付费。有一个漏洞提交者居然是个初中生,技术非常非常初级,只能找到一些很浅的漏洞,所以付给他的钱也很少。他对我说:自己的家庭条件不好,自己学习努力挖漏洞就是想赚钱买一台笔记本电脑。
那一刻我的心被触动了,久违了的触动,仿佛看到了自己之前的影子,鼻子一酸当时就想送他一台。但一转念,我决定对他进行技术指导,帮他找到更多漏洞,同时引导他走白帽子的路。
我很清楚,挖漏洞提交赚钱比做黑产赚钱要难的多也要慢的多。这个孩子就像是一个站在十字路口的人,笔记本就是他的清晰目标,向左只需1步就可以拿到笔记本,向右却需要100步。我不确定自己是否真的能影响这个小朋友一直走白的道路,但我努力让更多的人在选择的十字路口能够看见这边的点点星火。
在未来的某个时间,赵武用这种方式给了当年的自己一个拥抱。
不过眼下,赵武刚刚准备结束自己为期一年的“个体户”生涯。他回到深圳,拉来了华为的伙伴,创建了诺赛科技,继续做大他的的核心产品。但是历史证明,同时期的创业者,即使是拿到BAT三家投资的马杰,抑或疯魔成活的ICBM赵伟,只要拉开阵势大干一场,都无一例外徘徊在生死的边缘。
赵武虽然手握全球一流的产品,却只把公司能艰难地打平。
当年诺赛科技在深圳的办公室,光着脚的这位是他的一位合伙人刘宇。
最终本来是去和360谈合作的他,意外被周鸿祎的话打动,加入360。
在赵武的语境中,加入360是去学习:
我去 360 学习如何做产品,如何做品牌,如何在腾讯的围剿下还能上市。
坊间传言,赵武在360完成的最后一个项目”补天“,本来说要独立运作的项目因为前景过于明媚又被集团收回,赵武负气出走二次创业。
但我更愿意相信,赵武并不是负气,因为他总有一天要走。
我想起《肖申克的救赎》里那段冷静的独白:有些鸟注定是不会被关在笼子里的,因为它们的每一片羽毛都闪耀着自由的光辉。
三、商人或是痴人
再大的业务那是别人的业务,而再小的事业那是自己的事业。
2015年底,新公司成立,名字叫做“白帽汇”。
对于赵武来说,白帽汇就是一个“梦幻工厂”,用来继续制造自己“秘密清单”上的工具。
他们做了数不胜数的产品。
其中之一,就是钓鱼网站反制平台。
通过技术手段,我可以进入所有钓鱼网站的后台,定位到后面的人。这样既可以止损,也可以打击追查。
这种武器被赵武形容得干净利落。
但他遇到了问题。
有一次他们打掉了一个钓鱼网站,拿到了四万个被坏人掌握的银行卡账号和密码。他们却犯了愁。
把数据放在那里不管,很可能用户会继续受骗;
把这些账号存下来,根据法律,白帽汇就变成了盗取用户信息的坏人;
把这些账号通知银行,但银行并不准备根据这个名单一一通知客户,以免造成恐慌。
连公安的朋友都和赵武说,你钱都还没赚到,替国家操什么心?
2016年,徐玉玉事件发生。
赵武感到心碎。
我从赵武的微博里找到这张图。
另一个产品,是大数据泄露探测平台。
2016年之前,监管部门对于个人信息泄露似乎处于沉默的状态。
但在赵武的眼中,这些大数据平台漏洞百出,很多个人信息的泄露,都是通过这样的渠道产生的,急需修补。
赵武根据掌握的漏洞情况,预测在 ElasticSearch 和 MangoDB 数据库平台上将会爆发黑产,果然时隔不久,通过锁住数据库进行勒索的病毒就席卷而来。
但是,这个探测平台依然没有办法发挥效用。因为新的《网络安全法》出台,非授权扫描漏洞属于非法行为。
好人必须依规行事,坏人却天然肆意妄为。这本就是一个悖论。
赵武感到困惑。
像这样的系统,还有不少。
从一个技术人的角度来说,这些武器无比锋利。但从法规的角度来讲,它们都存在风险。虽然他无疑是一个良善的“白帽黑客”。
政策风险,让这个创业者走了很多弯路。但正如那句话:好看的皮囊千篇一律,有趣的灵魂万里挑一。我猜想,能够用产品赚钱商人千篇一律,梦想用技术拯救世界的痴人却万里挑一。
梦想家喜欢崩溃,但赵武不是。
赵武说,他从 360 学到最有价值的东西,来自总裁齐向东。没什么特别,只是“坚忍,执着和包容”。
这些挫折,还远不至于让他下牌桌。
这张图片拍摄于2016年,现在回想起来,那时候赵武刚刚推出几个“不太成功”的产品。
四、不愿握手言和
2016年底,赵武和白帽汇祭出了“佛法”。
其实,佛法这个系统早在360时期,就已经存在了。那时它还是赵武私人旗下的一款工具。如同百度可以在无数网站中搜索出你想要的结果一样,佛法可以在浩渺的赛博空间中搜索出符合条件的特定设备。这些设备包括摄像头、各种硬件、网络节点、服务器等等。
佛法大概长这样。
赵武毫不讳言,它最初是模仿了美国的网络空间测绘工具 Shodan。
但赵武也说,经过他的手,佛法不可能仅仅是 Shodan。
佛法可以做什么呢?
用来寻找设备的“关键词”,在这里叫做“规则集”。规则集里可以包含端口,也可以包含字段、特征、协议或应用。所有的这些信息,把一幅完整的赛博空间地图展现在世界面前。
虽然在市场上,佛法面对知道创宇 ZoomEye 等强大的竞争对手,但至少这次,赵武暂时不用面对政策的风险。
我们现在高度聚焦在网络空间测绘系统“佛法”和它的专业版“佛眼”上。
在国内市场,我要感谢知道创宇,他们确实是最早的。他们教育了市场,也让很多客户对我们的产品不陌生。不过我们的技术有很大的不同,大家各自体现优势就很行。独角戏不好。
赵武说。
故事讲到这里,赵武又回到了我的面前。金色的余晖笼罩着他,某一个瞬间,我觉得他像极了你我。
赵武给我照了几张图片,我最喜欢这张。
兜兜转转,二次创业到现在已经有两年。
我猜赵武过得并不平静。公司大部分的产品还都在他的亲自监督下完成,白天和客户纠缠,夜晚挑灯夜战思考方向。在艰难求生的喘息中,还要协调和合伙人、团队之间的不同想法。
成为一个企业的灵魂,就注定面对那些抉择的困顿:
他觉得公司要赚钱。但决不能跪着赚钱。他尊重大公司的成功,但如果这种成功是建立在销售人员三年换一个地方长期和家人分居之上的,是建立在35岁以上必须外派否则要降级的铁血政策之上的,他宁可不要。
赵武心中的白帽汇,每一个人都是精兵,每一个人都拥有自己独立的梦想。在这里,伙伴们能获得体面的生活,也能获得生而为人的自由。
如果有一天发现我不是合格的 CEO,我可以后退,找专人来管业务。但我必须保证自己的话语权。
我不贪恋权利,但这么多年的努力,只是为了能决定我不做什么。
他说。
我猜,他还远远没有想和这个世界讲和。那个“秘密清单”里的念头,就像诺曼底海岸的战士,等待 D-Day 降临。
---
对了,作为文章作者我再自我介绍一下。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以加我微信,fungungun。不要害怕,我不是什么好人。
不想走丢的话,你也可以关注我的自媒体公众号“浅黑科技”。
---
单击和长按二维码有不同效果哦