清华黑客在创业:FreeBuf专访登上BlackHat的长亭科技杨坤

清华黑客在创业:FreeBuf专访登上BlackHat的长亭科技杨坤

清华大学计算机系博士、全国CTF冠军蓝莲花战队队长——杨坤顶着这样的光环从零开始。2014年7月,和伙伴们一起创业,其研发的无规则SQL注入检测与防御引擎SQLChop被世界顶级黑客大会BlackHat 2015选中,杨坤带领团队在Arsenal分会场进行讲解并接受现场测试。

杨坤在全球黑客圣地BlackHat现场说:

“经历了一年的磨练与思考,我们在技术中融入了恰当的企业需求。现在,我们非常有信心为中国的互联网企业提供专业的安全服务。我们也希望通过分享和交流,提升自己的实力。同时也希望这个来自中国的防御‘兵器’能够给让中国互联网安全现状变得好一些。”

FreeBuf独家对话杨坤,聊一聊这位“清华黑客”是如何创业长亭外、心系古道边……

CTF非一战成名,而是厚积薄发

FB:身为百度蓝莲花战队队长,你们用了 4 年时间,连续三次带领队伍打入 DEFCON CTF 总决赛,实现国内历史性突破。在这个过程中,有哪些经历是最让你印象深刻的?

杨坤:第一个是第一次进入全球总决赛的时候。当时的激动现在也是不能忘记的。

第二个就是得到0ops也进入了今年的总决赛的时候。这意味着我们不会再孤单,也意味着我国的实力在持续增强。

FB:百度蓝莲花战队有多少人,在CTF比赛中是怎么分工的?比赛中48小时都不睡觉吗?

杨坤:核心成员有十多个,每个人都有自己擅长的方向。解题形式的比赛就按照各自擅长的方向分,像DEFCON这种攻防形式的比赛,我们会有一小部分的人力做服务维护和流量分析,剩下大部分人力做逆向分析、漏洞挖掘与利用。48小时的比赛不睡肯定撑不住,一般第一天晚上会睡一下,到第二天冲刺时再熬夜。

FB:在CTF比赛中,从对题目一筹莫展到第一个夺旗,是什么样的体验?

杨坤:会很郁闷,特别是你一筹莫展但别人却一个又一个搞定的时候,这时候的体验就是话不想说,饭不想吃,觉不想睡,只想赶紧把这个题目搞定。

FB:国内CTF队伍相比国外战队差距在哪?是什么造成的?

杨坤:目前看来国内队伍在二进制方面的能力比国外弱很多,自动化方面的能力也差一些。这有几个原因,一个是国内做安全的选手们半路出家的比较多,计算机基础好的比较少,那么web这样一个学习曲线平滑的方面就适合入坑,而二进制方面会有一个比较陡峭的学习曲线,能入门的人就很少,自然整体水平会差一些。

对于自动化方面的能力,就是很多安全搞得不错的选手的开发能力不够强,平时代码写的不够多。

FB:你觉得国外的CTF比赛与国内的比赛最大的区别是什么?

杨坤:国际CTF竞赛考察的知识面比较广,解题需要靠扎实的计算机基础,比如密码学、算法、网络协议、操作系统、体系结构等等,而不仅仅是hacking的技巧或者工具使用。另外在二进制安全方面,难度要大很多。近年来,我们和 0ops 等经常参加国际比赛的战队正在努力把国际风格的比赛引入到国内,相信不久之后,二者的差距会越来越小。

“创业是因为想改变现状” 

FB:谈谈你为什么选择创业吧?

杨坤:有几个点吧,一个是想挑战一下自己,创业算是对个人综合能力的一个大型考验,一个是大家之前在一起打比赛,互相之间配合觉得很默契,性格也合得来,想一起做点事情,还有一个是觉得国内安全方面实实在在的技术进步的确屈指可数,想改变这个现状。

FB:您属于大学生创业,你如何看待大学生创业?有什么优势和劣势?

杨坤:大学生创业是现在很火热的一个话题,但是实际上却真的是一个风险很高的选择。如果要谈优势那只能说年轻有梦想,有拼劲有闯劲,剩下的都是劣势:没钱、没人脉、没资源、没经验、管理混乱、招人困难、商务谈判吃亏等等等等,太多太多。

在我们看来,虽然全是劣势,我们也毫不畏惧,打拼的过程中自然有成长,风雨之后才会出彩虹。

清华黑客在创业:FreeBuf专访登上BlackHat的长亭科技杨坤

FB:都说创业维艰,那你在创业中都有遇到哪些困难?可以和我们分享一些。

杨坤:没有困难就不叫创业了,即使明星前辈创业也都会困难重重,更不用说我们大学生创业项目。

现在想想,基本上每天都在困难中度过,缺人的时候如何将自己立刻转型补充过去,太多不懂的东西需要每天学习,每月发工资的时候就要愁账上钱不够,许多项目尾款拖欠追帐辛苦,事情太多每天都忙不过来 7 x 14 工作几乎没有假日,等等等等等等此处省略一万字。

FB:传闻长亭是“一个连实习生都能写出 0day 级别的 exp 的公司”?

杨坤:这个肯定是真的啦。这个微博中提到的POC就是我们长亭科技的实习生写的。

因为我们在技术上一直追求精益求精,这也吸引了不少志趣相同的小伙子,有些计算机基础非常好的小伙子虽然还没有毕业,愿意来长亭科技实习,我们也会给他这个机会。当然,到目前为止,我们的实习生都没有让我们失望过。而且,有不少的公司都有厉害的实习生啦——比如Keen Team 的实习生许文(许文是我们的偶像,么么哒!)【小编注:许文+么么哒第一次出现】

八月拉斯维加斯之旅

FB:今年无规则SQL注入检测引擎 SQLChop 议题被 BlackHat 选中。跟我们介绍下SQLChop吧。

杨坤:SQLChop 是一个无规则的 SQL 注入通用检测引擎,它的目标是使用新型技术解决 SQL 注入检测难题,将 SQL 注入的检测技术向前推动一个台阶。可以在它的网站了解一下。

FB:SQLChop的核心技术是什么?相比传统检测方式,它的优势在什么?

杨坤:SQLChop 的核心技术在于两点:一是递归编码分解;二是 SQL 片断词法语法分析。

递归编码分解是基础和起点,注入的 Payload 可能隐藏在各种编码之中,不分解不可能达到一个足够好的检测效果,它的难点在于如何猜测编码和保证运行速度,这是大部分 WAF 产品没有做递归编码分解的原因。

SQL 片断词法语法分析是 SQLChop 最大的核心,我们使用编译器类似的处理方法将 Payload 进行处理,但与标准编译器又有所不同,SQLChop 处理的是 SQL 片断,判断的是一个字符串是否有可能是一个完整 SQL 语句的片断,因此这里需要相当多的编译器、自动机领域相关知识去设计算法和调优,最终才能设计出 O(N) 算法去分析 CFG 层面(Context Free Grammer)的语法结构。

相比于传统的基于规则的检测方式,SQLChop 最大的优势在于无规则,无需任何人工干预,本身就具备一定的 0day SQL 注入检测能力,同时能非常有效地对抗绕过。此外,它的误报也相对低很多。

FB:有人对 SQLChop这种基于语义分析的检测率(包括的绕过可能性)表示质疑,尤其宣传语“永别了,SQL注入”更是遭到了不少非议,你怎么看?

杨坤:有质疑是肯定的,SQLChop只是比传统的waf提高了不少,达到了误报率和漏报率均小于1%,这个数据也就意味着还有百分之零点几。100%的防御,目前,就算是世界范围内也没有通用型的检测工具。但是,我们的提高以及创新无疑是将攻击门槛提高了非常多,想要绕过也不会像绕过规则那么简单了。

我们对 SQLChop 的检测防护效果有自信,这来源于两个方面:一是我们有来自互联网真实数据的测试集,在测试集中得到了明显优于现有防护产品的结果(可以参考阿里安全峰会演讲的PPT);

二是我们也部署了多次的真实防护测试,获取了大量实战注入数据。在某厂商众测活动中,只有部署了 SQLChop 的分站(这个分站之前满是SQL注入漏洞)没有被成功注入。

小编:欢迎SQLChop来漏洞盒子与白帽子过过招♪(^∇^*)

FB:科研性产品与商业产品的差别?SQLChop会如何应用于市场?

杨坤:SQLChop 目前来说还只是一个研究型技术引擎,算不上任何产品。商业产品需要更好的包装、简洁优雅的界面和普及大众的宣传,而科研则带来这些商业产品内部技术的核心。SQLChop 的目标是将 SQL 注入检测技术核心向前推动一步,也许仅仅是一小步,也达到了它的价值。我们希望未来将 SQLChop 整合进商业产品中,发挥它的作用。

FB:你去 BlackHat 最想听的议题或方向是哪个?

杨坤:Keen Team 许文的通用Android ROOT。许文是我们的偶像,么么哒!【小编注:许文+么么哒第二次出现……】

FreeBuf专访保留问题

问:最喜欢的日本明星是谁?

杨坤:好羞啊!脑中飘过好多名字都很喜欢不知道说哪一个好怕她们吃醋,此处省略一万字…

采访完毕,小编感悟:许文是我们的偶像,么么哒!

谢谢萌萌哒杨坤接受FreeBuf的专访,么么哒!

*本文来自FreeBuf独家专访,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

发表评论