剑心:我觉得技术人才首先要有对问题本质的探求,对技术本身有一种渴望,而不应该单单把技术当做一种职业,如果对技术有更高的要求和对更本质的东西有渴望了解,那么成长起来就会很快,我觉得最高效的学习就是对未知事物的兴趣,安全领域里有一句话Hack to learn,挺对的,人人都应该当Hacker :)
主持人:请结合您的切身体会谈谈创业路上您都有哪些收获和思考,对于如今越来越多想要投身创业大海的年轻人,有什么建议?
剑心:我目前觉得整个互联网是偏浮躁的,能够踏实做事的人太少了,创业遇到的问题和磨难要比想象中要多很多,现在我都不建议年轻人创业,如果真要创业那能力上是不只在技术上有所要求,更多的要去了解行业和提升技术之外的视野和能力,这个不在一些大的公司或者跟随一些团队一起经历是成长不起来的;
主持人:对想在技术路线上走得更远的人,您都有什么建议和忠告?推荐一些您觉得非常不错的资料或者书籍吧。
剑心:我很支持大家在技术路线走得更远,特别是那些符合自身性格的人,我听到的很多人都是做技术到一定时候就转管理或者其他岗位,我觉得这是一种比较偏浮躁的想法,建议就是跟随自己的内心了,多坚持一定有收获的;
互动环节:乌云和360有合作吗?你们会对同行进行漏洞检测吗?
剑心:我们在技术分享上会有合作,都是开放的对整个互联网分享安全知识,可以在http://drops.wooyun.org 看到,我们会关注互联网的安全,所以只要是和互联网相关的我们都会关心,并不存在会关注什么不会关注什么的问题;
互动环节:你好,能分享一个信息数据是如何泄漏的案例么?
剑心:数据本身是有价值的,数据一旦有价值就会有人去尝试攻击,攻击者可能会利用多种方式,传统的可能就是商业间谍行为,但是目前更常见的有人利用流程或者管理漏洞的漏洞对数据进行窃取,常见的譬如APT渗透,SQL注射或者一些人员离职都可能会导致问题;
互动环节:系统检测机制 是不是类似于FM保险公司的各种风险机制一样 建立一个标准?
剑心:系统的检测机制并不是一个标准化的内容,因为技术本身也是多样化的,所以更多的也要以服务和根据技术特点来采取方案。
互动环节:我们对白帽子服务有兴趣,请问怎么联系和购买服务。
剑心:http://ce.wooyun.org 可以看看
互动环节:关于最近网上流传的乌云和360互黑,请问这个您怎么看?
剑心:我没有听说乌云和360互黑的问题,起码乌云没有做这个事情 :)
互动环节:对于互联网创业公司,从搭建项目开始就应该注意安全问题,但是项目快速发展以及安全投入预算又比较少,如何能较低成本发现自身的安全问题,并获得解决方案呢?您有什么建议呢。
剑心:互联网公司的确早期会更多关注快速发展而相对安全滞后,这是正常的思维也是我提到的安全的原罪,我建议是在项目不需要开始就引入很重的安全而是发展到一定的阶段一定要引入安全,这个时候可以借助第三方的服务譬如乌云来低成本解决问题,在更后期的发展里就可以尝试自己创建团队了。
互动环节:“作为游戏研发企业,能不能在外网开发的环境下,避免代码泄漏到外面,导致私服的出现?” 有啥好的建议?
剑心:能详细说下外网开发是什么意思么?
问:我们现在开始是分内网和外网,内网即公司内部局域网,外网即公网可以自由访问网络!
剑心: OK,这种是典型的一个互联网数据防护的case,本质还是要做好运维和数据的授权和访问控制,在引入二次验证和精粒度的访问控制基础上,你可以考虑如何让你的代码变得没有价值或者利用价值变低,这样可以杜绝掉这种私服的问题。
问:“你可以考虑如何让你的代码变得没有价值或者利用价值变低”这句怎么理解?
剑心:譬如 用户的手机号是有价值的 但是如果你在数据里脱敏去掉这些 就不会有人对你的这个数据有兴趣了。如果你的代码无法让别人搭建私服 或者 搭建私服无法获利就不会有人对这个有兴趣了 具体的得去根据具体的业务考虑了。要从业务角度解决,印象中典型的例子是暗黑破坏神 早期很多破解版 但是最新那一款基本没有破解版 做成了saas模式。靠技术对抗是不可以的 还是要把技术深入到业务里 :)