少年自有少年狂 —— ChaMd5安全团队专访

原标题:少年自有少年狂 —— ChaMd5安全团队专访

作为由解密网站衍生出来的团队,ChaMd5安全团队的成名应该还在建立之前。

2015年2月,一个名为“ChaMd5”的免费解密网站悄然出现。很快,越来越多的安全人士开始熟知这座网站,短短一年内注册人数超过了一万。

到了2016年3月,一支由网站创始人M组建的同名安全团队横空出世,触角由解密延伸到众测领域。这支成立不久,就在各大SRC和漏洞平台先后捧杯的安全团队,一路究竟走过了怎么样的旅程?

横空出世:ChaMd5.org的诞生

2015年某天一个偶然萌生的想法,促成了ChaMd5网站的建立。

彼时的M在一家公司担任Web开发工程师,随着对开发工作理解得愈发透彻,M就愈发深刻地预感到——安全将是未来行业的大趋势。

“有了这个想法以后,我就对渗透领域产生了兴趣。在渗透过程中有很多需要解密的地方,为了能够更加深入的研究下去,我就考虑要不要自己做个工具出来。”M补充道,“偶尔时间比较空闲,一来为了能够深入学习解密,二来方便自己查询,索性就自己开发ChaMd5解密网站。”

直截了当的命名,让网站的更容易被人记住和传播。从中也能窥探出M的几分性格:平和、直爽、不做作

以分享为主要目的的平台,免费是最理所应当的选择,最初的ChaMd5网站也的确足以称得上是免费——每个注册用户都可以获得66次解密机会,并且可以通过其它方式继续获取。“免费”模式让ChaMd5网站迅速获得了第一批用户,从众多的解密平台中脱颖而出。

看到自己打造的网站帮助了很多人,M认为自己做的一切很有意义。但是,好的开始并不能和成功划上等号,很快M就发现了“免费”模式带来的问题。

“免费模式”,暗藏危机

因为解密免费,ChaMd5网站即便没做什么硬性推广,用户数量增长得仍然极为迅速。在一片大好的形势下,M却觉察到了并不美妙的苗头。

初期用户数量不多的时候,网站的压力尚可承受。但用户增长的速度完全超过了M的预计,自始至终都是孤身一人在维护网站的M渐渐需要投入越来越多的时间来打理网站,并且无法确定这种投入是否是资源的浪费——因为M发现有人利用平台在大量破解。

“如果不重视这个问题,说不定慢慢就被拖垮了。而说自己没有丝毫没有动摇过,肯定是骗人的。有那么一段时间特别忙,也想过就把网站扔了算了,想破解就在其它平台充值。”话是这么说,但即便在工作最繁重的时候,M也没有放下网站的维护。

因为网站一路走来,获得了很多人的认可。在网站收获第一个用户的时候,在M的心里就已经担上了一份责任。

“对于正式的安全从业者来说,付费解密算不得多么难以负担的成本。”M告诉采访团,“但很多刚刚踏入安全行业,或者正在踏入安全行业的新人,相当一部分是学生甚至未成年人。免费解密,是希望他们踏入这个行业的消耗能低一点。”

“我希望尽我所能,为各大安全企业输送人才,让这个行业更快速的发展。”

当然M也没有对资源滥用现象束手旁观,2016年2月,在网站正式上线的一年之后终于迎来了一次重大改版——大幅度削减了注册之初的解密次数,但解密的次数仍旧可以通过多种方法获得。

改版之后的ChaMd5网站在减轻了运作压力的同时也损失了一部分的用户。M对此早有预料,“所有改变必将带来阵痛,这一点我很清楚。但因噎废食更不可取,为了能让大家感觉到这个网站的价值,即使损失掉一部分用户也是值得的。”说到底,网站注册用户数据有多漂亮M不看重,自己做出的东西切实发挥了多少作用、帮助了多少人才最重要。

“做出这样的改变,是为了让更多确实需要解密的人能够更充分地利用这个资源。”顿了顿,M继续补充道,“实打实的说,破解MD5的服务很多人在做,不乏一些老前辈的网站。我选择这种更低门槛的尝试其实是有点冒失的。但我想,这个领域该是时候需要一些新的尝试、新的竞争,去推动新的发展。”

一个出色的领导者可以在最繁华的境况下看到危险的先兆,这一点,M做到了。

新的起点:ChaMd5安全团队

精简了用户群体之后,M对网站的维护可以更加细化,网站功能实现了多点运作。基于新的内容,我们可以很清晰地看到ChaMd5网站已经从一个单纯的解密网站变成了一个信息对接的平台,松散的用户群体变得更加凝实。

正当网站运作得如火如荼的时候,不错的机遇又一次撞开了M的大门。

“当时正好遇上了一个很感兴趣的众测项目,就组建了团队。”团队的名称也一如既往地凸显出了M耿直的性格——ChaMd5安全团队。

M笑言有点后悔取了个这么随便的名字,和其它团队相比这个名字实在是显得不够大气。但是凭借着ChaMd5网站名气,成立不久的团队纳新显得相当顺利。艾斯、小不点、蓝冰和小meet几位技术不错的年轻成员相继加入,为ChaMd5安全团队注入了极有活力的血液。

艾斯和蓝冰

艾斯是慕名加入ChaMd5团队的白帽之一。如今还在继续自己大学学业的艾斯虽然年少,但技术上一点也不含糊。

不但在世界级的机器人大赛上斩获名次,如今更是手握绿盟、安恒、创宇以及多家知名甲方公司的offer。

软件工程专业的艾斯,学业上也是名列前茅。是ChaMd5内名副其实的“学院派”。之所以加入ChaMd5安全团队,艾斯说在这个团队里找到了一直向往的老派黑客精神。

“高中时候就开始自学渗透了,那时候正好是中越黑客大战、中美黑客大战,受到纯粹的爱国情怀的激励。也是那时目睹了前辈们的风采。”

艾斯对于彼时的安全氛围非常神往,然而在他看来如今的安全圈已不同往日。“浮躁了很多,画下了太多等级制度和条条框框,可在我看来技术只有先后,高低都只是暂时的。”

“ChaMd5团队的氛围很好,每个人都注重交流和提升。技术更青睐能够坚持的人,时间是提升的必需品。”艾斯如是说。

与艾斯相似,蓝冰同样是ChaMd5安全团队里与网络安全缘分颇久的一名成员。蓝冰踏入安全的契机主要是当年互联网上甚嚣尘上的“灰鸽子”。初中时信息技术课上老师的一句无心之言,在当时的蓝冰心里埋下了一颗种子。

“当时学渗透可能是脑子还比较笨,磕磕绊绊地学了点。后来学业忙了就放到一边了,但是后来心里总觉得不甘心。”

这种不甘心一直持续到了蓝冰上了大学,重新捡起了Web安全的蓝冰意外地发现自己进步飞快。

在大学时期,蓝冰获得了多家乙方公司的实习机会,实习经历对蓝冰的技术提升有着不可估量的意义。为了钻研技术,“偶尔某些知识的小细节方面,搞不明白。比较纠结,就得花个几个小时、甚至几天,自己本地搭建环境慢慢研究明白。”

凭借着自己出众的技术,蓝冰在毕业后顺利入职一家甲方安全公司,对比在甲乙双方的工作经历,蓝冰深受启发:“甲方跟乙方区别很大,乙方与白帽子感受差不多。日常工作就是不断渗透网站。甲方更偏向于公司内部业务逻辑、业务安全。日常挖挖漏洞挖出来报告上去就可以了。其实体现不了真正的渗透流程。但毫无疑问,不论甲方乙方的工作,互相之间都存在借鉴的意义。”

SRC还是众测,这是一个问题

在ChaMd5安全团队里,有两位既相似又“相悖”的成员非常有意思。这两位成员年纪相仿、职业相仿、踏入安全行业的经历相仿甚至连ID都有一个字相同。只有一件事这两个人的选择截然不同——一人选择混迹各大SRC平台,一人选择混迹各大众测平台。

在结果上两人再度殊途同归,都取得了不俗的战绩。

这两位成员就是小不点和小meet,这两位成员大致都在大学时代踏入因为兴趣踏入安全行业。

小不点踏入安全圈子的契机稍显阴差阳错,大学时代被老师抓了壮丁参加了一场网络安全比赛。在参加比赛之前的小不点对于网络安全原本一窍不通。

“为了参加比赛拼命补课,但是几天下来也不觉得学到了什么。”提起往事小不点都觉得有点梦幻,“分组的队员也和我一样两眼一抹黑,没办法只能硬着头皮上,谁知最后还拿到了名次。”

这场经历激发了小不点对于安全技术的兴趣,“之后就开始自己研究安全技术。后来加入ChaMd5团队,和大家一起学习。”

与小不点相比,小meet进入安全行业的契机也很独特。一本小meet已经记不清名字的黑客小说,让他对渗透攻防产生了浓厚的兴趣。如今已经成长为了独当一面的渗透工程师,除了漏洞挖掘之外,小meet最常做的事情就是编写各式各样的工具和插件。

然而无论是艾斯还是蓝冰,是小不点还是小meet,或是在安全的道路上坚守,或是数年不忘当时的执念,或是用极短的时间自学拿到比赛的名次,或是仅凭着一本小说培养出的兴趣就成长到如今的高度。这背后对技术不懈追求的拼搏与狠劲,着实令人钦佩。

尾声:

“团队的出现只是为了让更多迷失方向的人,找准自己的路。”

“其实我最想做个幕后人,只是团队需要一个对接人,导致我这个性格一直在改变自己。”

漏洞银行(BUGBANK.cn)的本次采访中,ChaMD5安全团队队长M 的这两句句话,给我留下了很深刻的印象。

我相信很多奋战在第一线的技术者、团队的创始人都和M一样。

向所有为安全奋斗的战士致敬。

*文章系原创。作者:言西

链接:返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
免费获取
今日搜狐热点
今日推荐