安全圈子的猎洞获奖金的新闻扑面而来,仿佛“白帽黑客”这几个字都自带光芒,闻起来都是满满的侠客味道,以及,金钱的味道。
当白帽黑客们说,“只是一个小洞”,“10分钟不到,挖到一个 RCE”,“奋战3个月,我们挖到55个苹果漏洞,获得近30万美元奖金”,相信不少人都会心痒痒,一心只求踏入安全圈子。
那,猎洞的真相是什么?
恰巧,Synack 公司的红队研究员 Cristi Vlad 发布了这样一个视频,讨论了这个问题。
如下是编译自该视频的文字版本。
你是否身陷猎洞或网络安全研究困境?这里可能有你想要的答案。
为什么只有少数人才能成功且持续成功?我认为答案很简单,简单到被我们大多数人忽略。
近几年,网络安全行业发展迅猛。因为门槛低,每天有很多人加入。社交媒体似乎都在说,某个研究员获得数千美金的奖励,就像世界没有了明天一样,而你生怕自己错过。几行代码、魔力工具教程、似乎上不完的初学者课程层出不穷,但这一切最后却让你一败涂地:最好的情况不过是,你找到了漏洞但和别人重复。
虽然我是一个乐观主义者,但我也是一个脚踏实地的人,而不是一个空想主义者。所以,我打算向你传递一些实用的信息。
如果你正在参加 hack the box、HTB、Tryhack、Pentester、Websecacad 等,那么你要知道,所有人都在这样做;如果你追随着巨额奖金的猎洞人和研究成果,那么你要知道,所有人都在这样做;如果你从推特或其它地方复制粘贴了一行代码,并部署到 Bugcrowd 或 HackerOne 平台的公开漏洞奖励计划,那么你要知道,所有人都在这样做;如果你在阅读邮件列表或其它流的安全报告,那么你要知道,所有人都在这样做。
如果你正在做的就是上面说的,那么你基本上就相当于把时间花在了回音室里。你和别人并无两样。这并不是说上面的做法不好,相反,这样做对于入门者尤其是构建基础知识而言,帮助很大。
但,如果想获胜,必须独行,必须挣扎,而且,必须和别人不一样。无限风光在险峰。欣赏美好的风光需要做很多工作,并不那么令人鼓舞,是一个孤独的旅程。因此,只有那些少数值得的人才能登顶。
我们又该如何践行呢?如下是一些建议:
1、花费20%或更少的时间开展如上提到的活动;
2、将余下80%的时间用于构建自己独特的方法。在获得成绩之前,先浸润至少一到两年的时间,夯实基础。
具体应该怎么做?
1、(场景1)可以在免费网站学习并实践 JS 技术(如 freecodecamp.org),然后练习这些技能(如免费平台 edabit.com 和 codewars.com)。熟悉 JS 生态系统知识后,你就可以通过一些程序磨砺代码技术或投入网络安全研究了。你应做一些代码安全审计练习,像一个真正懂的人那样做审计,而不是像脚本小子那样抓一些 API 密钥或安全令牌,你需要应付一些紧急情况。你就会成为不同于其他人的某个人。
2、(场景2)你也可以学习并练习 Golang、Python、Bash 等语言(如通过视频或上述网站学习或一些免费书籍)。你将专注于这些语言安全方面的知识,你也将学会如何为自己构建安全工具和自动化工具,或者也可以将这些工具开源,让这个社区因为你而蓬勃发展。你将会成为不同于其他人的某个人。做好在一两年内沉下心来做这些事情的准备,直到开花结果。
3、(场景3)学习关于某种技术的一切知识。随着该技术的发展,努力学习它复杂细微的知识,提升你的技能。例如云计算技术,你可以花多年的时间学习亚马逊的 Web Services、Azure、谷歌云或其它生态系统,直到你发现它们的弱点。
时间是你的盟友。虽然真相残酷,需要投入很多时间和工作,无法立即见效,但除此以外,你还有其它选择吗?这样,你方能从人群中脱颖而出,成为不同于其他人的自己。
听了这些真相,很多安全老兵和新兵纷纷留言,表达自己的感受(如下)。
总的说来,可以一句话概括:谢谢你澄清或告诉我们这些难以听到但需要聆听的真相。
实际上,奇安信代码安全实验室的人才培养路数也贴合 Cristi Vlad 的理念:认清了猎洞的真相后,依然热爱猎洞。每天一点点的不同做法,让安全研究员的成长过程更为扎实,人生变得不一样。
在奇安信代码安全实验室,有刚从学校毕业的应届生,短短时间内就发现国内外多家技术巨头产品中的高危漏洞并获致谢;有沉迷于安全领域遂转行的软件工程师,在短短一两年时间内就发现微软、苹果、谷歌等大厂的高质量漏洞并获致谢;也有久经沙场的老兵继续精进,日新月异,国内外获奖无数。他们就像一群守护者,并肩同行,奔向光明。
奇安信代码安全实验室是奇安信集团旗下,专注于软件源代码安全分析技术、二进制漏洞挖掘技术研究与开发的团队。实验室支撑国家级漏洞平台的技术工作,多次向国家信息安全漏洞库 (CNNVD)和国家信息安全漏洞共享平台 (CNVD)报送原创通用型漏洞信息;帮助微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、以太坊公链等大型厂商或机构的产品发现了数百个安全漏洞。目前,实验室拥有国家信息安全漏洞库特聘专家一名,多名成员入选微软全球TOP安全研究者。在Pwn2Own 2017世界黑客大赛上,实验室成员获得Master of Pwn破解大师冠军称号。
如果你也想加入他们,请关注近期在招岗位。也许你是零基础,也许经验丰富,无论哪种情况,请直接投简历,我们一起聊聊,或许能给你的旅程带来一点光亮。
推荐阅读我发现了3572个漏洞 今天又是崭新的一天高中生,一年,从 0 到 0day 的秘密聊聊 | 他在Google Play安全奖励计划贡献榜单上排名第一
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。