中国版“安全沙盒大赛”竟然选出个大忽悠?
导语:2000个0-day引发的“腥风血雨”
在刚刚结束的互联网安全大会上,周鸿祎要搞中国版的“沙盒大赛”,据说现场人气还不错,但评选结果一公布,就在安全圈里炸开了锅,获得现场“最佳人气奖”的95后黑客,被同行指出,比赛里使用的PPT里面居然把别人的研究成果据为己有,而号称挖了2000多个0-day漏洞更是被行业传为笑谈。
出于对年轻人的保护,我们就不放这个小哥的名字了。根据这个95后黑客的自我介绍,他参加比赛的产品是一款基于物联网的特性的无监控设备录入扫描系统。
他今年还在读大三,就已经建起了一支600人的技术团队,他的公司御风维安去年已经盈利190多万,今年预计有四五百万,是不是听起来妥妥的一个少年天才,我们仿佛已经看见下一个比尔∙盖茨、乔布斯缓缓向我们走来。
在他的PPT里还写到,通过“自主挖掘和互联网收集“,发现了2000多个0-day漏洞,结果被眼尖的同行看出是引用了其他人的PPT,很快疑似”事主“就发了朋友圈吐槽,这个天才少年拿着他们开源的内容去装X:
很快,“2000个0day漏洞”火遍安全行业的朋友圈,获得了安全圈自上而下的目光洗礼,然后迅速以表情包出圈。
所谓“0Day漏洞”,是指那些没有公开过,因而也没有补丁的漏洞,也就是通常所说的“未公开漏洞”。一个0Day漏洞的威胁有可能引发整个互联网的“地震”,所以2000个0Day可能是……不说了,狗头保命。
为了给没去现场的小伙伴补课,笔者负责任地扒了扒他的演讲,发现这位小兄弟逻辑流畅,打法清奇,完全是技术流玩家。
小哥上场先来了一段自我介绍,“95后黑客”、“团队在诸多挑战赛中斩获佳绩”、“2018年成立,获得中国互联网安全年度团队荣誉”标签贴一贴。
再来谈产品,近年摄像头被用到各种场景,一旦被黑后果不可估量。御风维安的一款自动化挖掘视频监控设备的专项漏洞扫描器应运而生,其有三大优势:弥补传统普通外部扫描器不足,更快更专项的进行监测;有强大的交互界面,基于固件APP协议三重系统的全方位物联网设备扫描,为用户提供了极大的便捷和专业性;团队掌握2000个0day漏洞以及上万个公开性的摄像头漏洞,为摄像头的安全保驾护航。
之后谈团队,其既有两个月取得了美国CMA证书商业奇才COO创始人,也有经验丰富的80后市场销售团队,2018年 5月份完成天使轮融资,年底完成数千万A轮的融值,目前御风维安估值一亿人民币。
进而谈规划,小哥表示未来将与公安部门、通信部门、行业部门等具有视频专网系统的单位合作,植入视频监控安全扫描器,完成一套整体解决方案。
最后谈愿景,“网络战时代,每个人被值得被守护,御风维安一直在这条路上。沙盒大赛是我心中的信仰,它由美国RSAC引进,我希望从御风维安开始,中国的年轻黑客,有一天也能与美国对标。”
至于评委们抛出的各种挑剔问题,小哥也答得有理有据甚至会来梗调侃,说句公道话,小哥的现场表现确实很吸粉,最后获得现场人气奖也算是实至名归。
所以这是选出个“大忽悠”吗?笔者并不赞同。
首先,众所周知,安全圈搞技术的大多欠缺表达,不少大牛都谈过曾经因不善表达,技术与商业无法更好结合走过的弯路,而这位小哥表达逻辑为他加分不少,技术人员能说服不懂技术的人也是一种能力。
其次,他能获得现场观众投票的人气奖,也是大家了解网络安全领域人才短缺现状,希望看到更多年轻人崭露头角的期望,是对他的鼓励。
另外,沙盒比赛评委可能来自安全行业、投资行业以及媒体行业,并非所有人懂安全技术,但是他们并没有像现场观众凭路演给出高分,最终的第一名是另有其人,而且在安全圈是得到承认的,这说明决赛评委是有辨识力的。
最后,不可否认,小哥“2000个0day漏洞及上万个公开性的摄像头漏洞”过于夸张,无论出于定义不清或是故意夸大都不可取。但对于这个99年的白帽子来说,可能是件好事,挨打就要立正,一场大会让他火遍朋友圈,但几天就会被抛之脑后,唯有沉淀下来的技术与产品可以让人走的更远。
也许有人对这个结果不满,不妨想想沙盒大赛的意义究竟是什么?拿到“最佳人气奖”的小哥会就此走上人生巅峰么?
老周似乎有独特的理解,“很多人以为沙盒都是VC等评比出来后去投资,但我的理解是沙盒不仅仅给VC们提供了投资方向和对象,也给了安全行业创业者未来行业趋势和方向一个信号。”
在他看来,历年沙盒中的企业,有的在发展中成长起来了,有的被证明是昙花一现,创新本身就代表了它未来九死一生,有90%以上的失败率,还有的被更大的企业并购了,这是一个健康的生态。
老周希望在这场沙盒大赛中,观众与嘉宾们都参与进来,选出的公司未必在商业上会获得成功,未必能做大。但在过程中每个人都能得到启发,意识到原来还可以这么做,这才是沙盒的意义。
从这一点来说,老周成功了。而这位99年的小哥能走多久,只有他自己知道。
发表评论