破晓团队,起源于米安网。团队成员从米安网优秀学员中选出。“路虽远,行则必达;事虽难,做则必成。”是他们的口号。2014年7月在360补天平台,以提交过百漏洞、团队排名首先的形式,宣布“破晓”的到来。如今,破晓已出版书籍《Web安全深度剖析》,获取多家出版社的合作,同时持续不断的向企业输送了大量信息安全方面的优质人才。今年,破晓团队二次重塑,获得了多所高校认可。“破晓”以后,“黑暗”缄默,让漏洞银行(BUGBANK.cn)带领大家一同走近这个安全教育界贡献卓越的团队,了解他们的心路历程。
我们教的是安全,不是培养黑客
说到破晓团队,自然离不开米安网,更离不开米安网的两位创始人——xxser (张天)和K0r4dji(小K)。
K0r4dji(小K) xxser (张天)
在张天和小k看来,过去WEB渗透技术的培训和传授,大多数是“黑产式”的教学模式。“入门看教程,教程都是入侵别人企业公司网站为例子的教学。看完之后想学习,怎么办?就模仿教程去攻击别人的网站。这一模仿,就出问题了!因为就这动作本身而言,是违法的。”米安网的创始人之一小K这么跟我说。
基于对构建出一套WEB安全合理、合法的教学模式的渴望。张天和小K这对志同道合的朋友,决定自己做出一套完整的WEB渗透测试课程体系。2013年十月,一家名叫米安网的网站在互联网的某个角落静悄悄地成立了。米安网的成立,使红黑联盟少了一个实地讲课的大牛,使白帽圈少了一个专攻在线教育的红人,但在网络上多出了两个WEB渗透技术的讲师——张天、小K。
米安网顺顺当当地办了起来,张天和小K也踌躇满志地投入到首先期渗透课程培训的筹备中去。但是当米安网开办的首先次培训课程正式开始的时候,张天和小K才发现,一切并不像自己想象的那么简单。
“很多人骂我们,说米安网啊,只教点理论的东西。他们为什么会这么说?因为我们没有那些入侵别人服务器拿数据的课程。在圈子里,拜师,好多人都是教这些的。”小K这么告诉我们,“他们会说,你看我们500块,就能学到入侵服务器,各种越权限拿数据,你们行吗?上千元还不如我们呢!”
而实际上,是因为米安网正在做的事情,实实在在地触犯到了一些黑产者的利益,所以一时在网络上充斥着对米安网的抹黑。质疑能力者有之、恶意揣测者有之,甚至某些学习者的态度,更是超出了两人的预期:有些刚刚接触WEB渗透技术的新人,他们认为谁的“门派”价格便宜、效果直接,谁就是对的。
所谓的效果直接,是指刚学习完课程,马上就能入侵网站。面对这样的状况,张天和小K有着一种深深的无奈,“我们教的是安全教育,不是培养黑客啊。”小K苦笑着告诉我们。
就这样,当时众多负面的信息冲击着这个新生的网站。面对这样一个有些糟糕的情况,张天和小K这两个对互联网安全有着深深执拗的年轻人并没有退缩。反而觉得自己更加有必要将法律意识、白帽精神传播给刚刚踏入安全行业的新人,来避免他们走上弯路。小K告诉我们,现在很多互联网犯罪的实施者都是未成年人,症结的根本就在于“黑产式”的学习方法,他们没有学到良好的自我把控价值观。入侵别人网站这种教学在未成年人看来很刺激,也可以炫耀自己是黑客,但是这种缺乏正确观念的教育很容易将未成年人引入歧途。“常在河边走,哪有不湿鞋?”当然,对于这一点也有人经常反驳,常说:“哦,你看别人这样玩也没事情啊!”在这些人眼中,认为同样的事情,别人做了没事,自己也不会有事。但往往这种的错误想法仅仅是侥幸心理,一旦触犯计算机安全法律,公司、企业追究起来,肇事者一定会追悔莫及。
所以,虽然外界阻力颇大,但是小K和张天还是坚持开办了米安网WEB安全培训的首先期课程。首先次的开办培训,又赶上2014年的春节,原本打算一个月的培训课程延期了不少。但是最后的结果却是出乎意料的成功。多家平台类似法客、免费黑客吧、资源共享吧的无私帮助,让小K和张天感觉自己并不是孤独的行者。这也坚定了张天和小K在这条路上走下去的信心。
但是,沉浸在初次成功喜悦中的张天和小K,没有想到,不久之后,还会有一个更加严峻的问题,需要他们解决。
既然想看实力,那我们就证明
首先期的培训课程圆满地结束了,课程的效果也是喜人的。但是接下来的一个问题却让张天和小K陷入了尴尬——学员的去向问题。
在张天和小K的计划中,米安网的学员将被输送给国内各家网络安全公司。但是首先期学员的求职反馈,却给了张天和小K当头一棒。
“米安网,没听过。”这是米安网初期学员在求职过程中,听到的最多的一句话。
在米安网学习的学员,大多不是信息安全专业的科班出身,米安网作为一个新成立的在线教育培训机构,当时在行业内也确实拿不出令人信服的资历。这个问题难倒了张天和小K,资质是需要时间去证明的,而证明是需要机会的,机会是需要资历才能获取的。一切似乎是陷入了一个死循环之中……
如果这个问题不解决,首先期培训的成功将会立刻成为泡沫。更加重要的是,在学与教的过程中,首先期的学员们与小K、张天二人早已经建立了深厚的感情。这帮朋友的工作问题,也成了小K和张天关心的问题。
思考良久,张天和小K以及其他学员们讨论之后,决定把眼光锁定在了各大漏洞平台和SRC的榜单上。
“既然他们想看实力,那就证明给他们看。”
于是,一个活跃于各大平台的白帽团队——破晓,就这样诞生了。或是为了亟待证明自己的实力,或是为了对初期外界质疑作出回应。2014年7月,由米安网学员组建的破晓团队在补天平台取得了漏洞提交过百,月榜活跃度首先的成绩。他们用实力证明,“破晓”来了!这也是破晓团队的首先步脚印。
破晓的成功,离不开米安网教学模式下产生的优秀学员。
Kongll是首先期学员中比较有特点的一个,目前任职于漏洞银行(BUGBANK.cn)渗透测试部,同时也是破晓团队的骨干之一。有一句话叫做“男人永远是孩子,只是玩具越来越昂贵。”这句话在Kongll的身上,得到了充分的诠释。这个从小就对一切充满好奇的真汉子,在偶然接触的计算机之后,就疯狂迷恋上了这个在当时价格不菲的“大玩具”。从计算机的DIY和系统安装开始玩起,渐渐转入了黑客攻防。目前Kongll做过的最昂贵的“玩”法,是尝试修改发动机ecu参数,尝试canbus总线的学习,用电脑来控制汽车的一些行为。他成功地黑掉自己的汽车,结果就是自己的车子再也关不用钥匙开门了,但弊端是会锁不上车门,后来只能老老实实去4S店重新做了一次钥匙匹配。
和kongll类似,骨干成员岩少也是一位非常个性的年轻人。今年虚岁才堪堪21岁的岩少,目前已经是国家电网直属公司的渗透测试工程师了。而你相对想不到的是,就在几年之前,这个年轻人还在鼓捣着轴承生意。对技术的偏执追求和人生中与破晓的邂逅,彻底地改变了岩少的人生轨迹。岩少在工作之余也会担任一部分米安网培训讲师的工作,他谦虚地告诉我们,虽然他可能教的不够好,但是他会尽自己的全力把所学知识无私地奉献给学员们。
除此之外,还有很多非常低调,技术出色的学员在一直向着自己梦想的方向努力。
Kongll(空灵) 岩少
只有团队不倒,我们就还要走
团队建立了,学员也就业了,第二期第三期的培训也一次比一次顺利。甚至作为个人来讲,张天也出版了自己的web安全书籍——《WEB安全深度剖析》。破晓或者说米安网似乎已经到了发展的一个高峰,但似乎也是个瓶颈。
破晓之后的道路又会怎么样呢?是始终作为一个新人的历练场所,还是有更多其他的发展。面对我们的这个问题,小K给我们的回答是:“我们不会忘记最初的想法。只要团队不倒,我们就会一直走,因为学无止境。”
不论是米安网也好,还是破晓团队也好。在张天和小K的最初计划里,自己所做的一切,是为互联网安全贡献自己的一份力量,要更多的人有法律意识,让更多的人成为合格、有素质的白帽子。小K说:“我们的目标很纯粹,就是营造出一个良性的循环链:良好环境(交流/切磋/气氛)--证明方法(提升/磨练/方式)--人才培养(思维/思想/人品)--生态推动(就业/跳槽/市场)--...如果靠我们的绵薄之力能持续推动这个循环,那安全圈子一定会越来越好。”小K说到这里时,我们被彻底打动了,因为这和漏洞银行(BUGBANK.cn)的理念也是非常相似。“漏洞银行(BUGBANK.cn),可以看出是个处于上升期的平台,有确实想关注白帽子的心,产品设计也是越来越用心,未来的潜力很大。希望你们能一直做下去,一定会越来越好。”Kongll这么评价我们,而小K的意见是:“希望你们能寻求有质量的多元化发展,看好你们。”
如今破晓的名气渐渐壮大,米安网的培训课程也越来越红火,但是小K和张天并没有被眼前的成功迷住眼睛。小K说,每一个学员入学的时候,我们都会把情况说明好,想提升自己的实力,道路方法有很多。“不一定非要让自己成为别人的机器,成为黑客的实验品。如果你是那种喜欢拿数据的,请绕道。尽管会有人骂我们,但是我们依然走的很稳,很好。”
成立至今,小K和张天面对抹黑、诋毁和谩骂已经淡然了太多。“来者即是缘,我们对得起自己的本心就好,所以没有去解释什么,他们没有来这里,不是我们的损失,是他们的损失。”张天如是说。
对于日后破晓的发展,小K和张天也有自己的规划。在今年,破晓团队完成了一次内部的大换血。对一部分另有发展或并不活跃的成员,进行了劝说暂时离开团队。这种大刀阔斧的人员精简,是为了让团队更加健康地发展下去。当问到张天会不会因一些非常有名望的成员的离去而感到可惜,他说:“我感觉一个团队,技术大牛是不一定是必须的,但是心必须是齐的,如果他不能同我们朝着一个目标、方向去努力,那么他可能并不适合团队。因为技术我们可以培养,但对团队的责任心、态度和人品,这些是天生的。”
在未来的日子里破晓除了向例如绿盟科技、安恒、启明星辰、互联网安全应急响应中心、中国电子、极限网络等安全公司或者甲方公司输送更多的安全方面人才之外,由小K和同事共同创作,在破晓团队有时间的情况下,会想尝试出版第二本读物——一本有关网络协议安全分析的书籍。
可以看到,米安网为了构建合理的web安全渗透测试课程体系,一直在持续不断的努力着。而破晓团队就如同它的名字一样,正在持续的为安全界做一些新的尝试。因为,破晓之后的光辉,足以驱散一切的黑暗。
在我们采访的最后,我们好奇的问了问小K名字的由来。他解释到:“K0r4dji = Koradji = 巫师,名字不是随便起的。这个名字缩写是个K,而我姓氏是孔,拼音缩写也是K,毫无疑问K这个字母已经跟我上了一定的缘分。巫师?比喻在互联网里能用一定的“神奇”能力,帮助更多的人,或者在其他方面提升自己。巫师这个角色在电影里一直很神奇,会各种各样的魔法,所以引申在互联网里也是相似的概念。我想要玩出属于自己的“魔法”天地!”
他一直笃信:没有高手和菜鸟,只有玩得多和玩得少,要相信勤能补拙,要懂得温故而知新。然而这句话出自小K多年的自学经验与网络江湖的经验。也点醒了无数正在努力的人!另外小K也想告诉大家:不管你用什么学习方式,在你喜欢的前提下,一定要做好道德与金钱的界限划分,和力度把控!
小K的这句话,也是希望现在没有走在正道上的人们能迷途知返。
“路虽远,行则必达,事虽难,做则必成。”
这,就是破晓。是一群有理想、有抱负、同时还很有意思的年轻人。为了打破黑暗,为了实现梦想,他们一步一个脚印,踏踏实实地行进着。
让我们一同期待,破晓带来的曙光吧!
(举报)