Loading
0

专访知名民间黑客Rices:没有思维的东西很安全, 有思维的人不可预知

本系列文章由土司论坛策划,假说(js@t00ls.net)撰稿,本系列人物采访中的任何观点、立场均是采访作者与采访人物所持,不代表8090-sec观点。

在土司上,Rices的故事很多人都知道:写过lpk、渗透过各大开源程序、挖过很多0day,作为知名的民间黑客,Rices的背后又有哪些鲜为人知的故事?带着这样的疑问和好奇,小编走近Rices,并试图还原一个真实黑客Rices。

Rices自述

光阴的故事

初中辍学后,我炒过菜、端过盘子、搬过砖,后来在街上发过小卡片,做成一单就能赚20块钱。08年的时候因为发不良卡片被强制教育了2个月, 每天看警察们接案出案并且不被理解。当时励志要做一名为人民服务的人民警察, 后来才知道自己太天真了。

04年(小学)接触电脑, 我经常看计算机老师登录一个叫做"黑客基地"的网站, 于是我也去那个网站上学习。后来我在学校的电脑全部种上这个qq盗号的木马, 然后改我喜欢的女同学的密码,并威胁她成为了我的女朋友。

08年因为玩游戏接触到了外挂,并开始学习起写外挂, 也算是从这个时候开始入行了吧。期间认识了很多朋友, 然后二进宫,原因是和一个朋友做了个刷QB的软件来骗钱。

虽然写过程序, 弄过免杀, 搞过外挂, 也玩过破解, 但Web渗透方面真正是11年才通过T00ls接触到。

后来自己建立了4FuckerTeam, 现在已经是第5个年头了, 朋友们转行的转行,上班的上班。但是一聊起来, 还是有聊不完的话题, 这也许就是我们的青春, 组织就是我们彼此的家。烦心了可以来倾诉,高兴了可以来装装逼。

关于技术

说到技术,我现在觉得实战胜于一切, 我是比较反感书本那套的。思路和想法最重要, 不谈0day的话,技术也好, 手法也罢, 现在国内有很多成熟的平台给大家学习, 所以我觉得最重要的还是思路。有了思路才会有各式各样的手法, 才会有更多的运气, 任何思路和想法都是需要无数次的实战来产生的。还有一个就是坚定的信念, 当你想渗透一个目标时, 你一个月搞不下, 一年搞不下, 我相信再不济你花两年总是能突破的。

Web程序的话以前会比较喜欢挖一些, 因为以前喜欢搞comsenz的程序, 所以旗下的挖的比较多。要问我有多少我只能说现在comsenz旗下程序的都能秒(装逼的)。phpwind也有一些, 国外的一般就是smf phpbb phpmyadmin (装逼的)。

还有的就是一些设备的0day了, 很多安全公司的设备都比较多的溢出。现在倒是觉得0day其实没有那么重要的, 如今用开源程序的感觉不怎么多了, 国内的互联网企业安全意识也在提高。大部分都是直接弃用Discuz等开源程序转而自己开发, 反正现在程序员廉价, 所以感觉重要的还是实战经验。

ID的由来

网名Rices是我最爱之人的简称. 可如今她已经不在, 我会永远记得她的。

履历与现状

1.你的性格是什么样的?

喜欢结交各种基友(不以利益为前提), 神烦那些太过于看重名利的人, 神烦那些不会装逼的人, 神烦那些自视清高的人。

2.现实中的你与网络中的你一样吗?

现实中比较稳重一些, 和网络的区别无非就是网上敢骂敢喷, 现实中可是会被打的。

3.你的黑客价值观是什么?

做黑客前先要学会做人,千万不要看不起任何人,今天你看不起别人,没准以后别人就能超越你。我不喜欢那些自视清高的人,这是我的人生箴言。还有看准的事情一定要去做,尽管可能一败涂地,人的一生本该如此,没有的经历的人生算什么呢。

4.现在的状况是什么样的?未来的打算是什么样的?

现在从事服装行业, 主要是做实体, 所以近些年上网时间不是那么多, 还是和我以前在T00ls说的一样, 这方面只是我的爱好。而且这是一个非白即黑行业, 若要踏入此行我必定会走上黑产的路, 个人性格使然, 所以还是当个爱好吧。也希望在圈里的黑客们能够保持本心, 不要被利益蒙蔽了自己, 不管黑帽子也好白帽子也罢, 本是同根生, 相煎何太急呢?

5.仅靠一个SQL注入点如何快速安全的脱裤?

12年就想这样脱某浪的7000w, 当时十多台服务器一起跑, 跑了3天也不过一百万数据。感觉用注入点就脱全库还是有点不现实, 不过按照现在的情况来说的话, 可以组一个强力的云端,多线程脱。现在再遇到那个7000w我想我可以在一个月内脱完。

6.你觉得你是系统黑客呢?还是脚本小子?

我不是黑客, 我是神。

7.163网易邮箱泄露事件你怎么看?

双击查看

对当前网络、信息安全的看法

1.网络安全事故频发,你如何看?

出事故的毕竟还是在少数, 真正危险的是那些还"没有"出现事故的, 就国内这些企业而言, 近些年就没有一片干净之地,基本上都是马场,而核心的数据是否泄漏,这个谁也不敢去保证。就像网易一样, 今天一个保证, 隔天就被打脸。而且在今后的5年或更长时间内, 这种安全事故还是会频繁发生, 遗留下来的老东西会慢慢的浮出水面。

2.国内外的企业应该怎么样避免这些事件的再次发生?

太多的企业都是在发生安全事故之后才开始重视安全, 而没有看重安全的本质, 基本上是衣服有一个洞补一个洞。最后越补越烂, 没有从根本上解决问题, 包括部署各种各样的安全设备一样亡羊补牢。还是没有从老旧的思想里转变过来,现在前端后端程序性的东西越来越安全了, 还是屡屡被攻破。我觉得还是忽视掉了人本身 "在安全中重要的一环"。

没有思维的东西可以很安全, 有思维的人是不可预知的。

只有当大家从思想意识上把安全当回事了, 这样才会有真正的安全。建议企业都对一些技术员工多做一些系统的安全培训, 而不是光建立各种安全部门, 万里长城不是一朝一夕就能建成的, 只有不屑的努力, 才能成功, 才能坚不可摧。

3.对黑产和白帽子的看法,你的倾向和选择,为什么一些人选择了黑产?

作为圈里的闲人来说, 是很反感白帽子的。以前也用过很激烈的语言骂过, 白帽子和黑帽子本质上也没有什么对与错之分。如果说只有白帽子是这个行业的指路灯, 可还有那么多政府名义培养的黑客呢,白还是黑完全看你为自己而活,还是为国家而活,或是为了信仰而活。

4.有人说黑客圈技术环境变了,在你看来之前的环境是怎么样的,现在的环境是怎么样的?

和朋友之间都要互相防范互相利用的时候, 就说明这个圈子已经是利益至上了。依稀记得以前, 大家畅所欲言, 说错了没关系, 没人会笑话你, 因为大家都实力相当。当年那种江湖情谊现在早就没有了。转眼在看看如今的圈子, 两极分化严重, 戾气太重。

前几日有个朋友对我说了一句话让我感触很深: "现在圈里连一个可以真心聊天的朋友都没有了, 不是为名, 就是为利。以前人少, 大家交流起来都没别的心思。"这句话充分反映出了现在圈子的现状, 人人都看重名利, 那种坦诚相待的交流已经没有了。

以前要认识一个大牛很容易, 志同道合就可以很聊得来。现在大家都有了层次之分了, 大牛的孤傲成了一种常态,讨论问题都变了味,不是为了问题而论,倒像是为了面子而争。也许这就是一个行业发展必经的过程吧。

5.健康的技术环境应该是怎么样的?

应该有一个成熟的生态链来支撑黑客的发展,现在已经有了众测、漏洞盒子等平台,可还是不够。只有当黑客能真正的把自己的技术转换为生产力的时候才算是一个 完整健康的环境。至少在我看来, 现在的黑客们不是做黑产就是在公司苦逼的干。黑产虽然可以说是实现了技术转换为生产力的目标, 可毕竟还是与大多国家法律所不相符。

6.黑客需要一个什么样的环境?国家,企业,社会,媒体,个人应该怎么做?

媒体不能过重的妖魔化黑客,社会也应该对黑客有更多的包容力,国家应该重视起这块行业。以后是信息化大数据的时代,黑客就是一把利剑,全看怎么用了。

对将要踏入信息安全行业的新朋友们提一些建议

1.有的朋友放弃学业专心学习技术你怎么看?你的学历是什么?

没学历,小学毕业证都没有,所以能深刻体会到那些艰辛和无可奈何。所以还是希望大家不要放弃学业。有这个爱好的童鞋们完全可以一边维持学业一边学习技术,因为现在是你人生中最无忧无虑的时光了。

2.有人认为信息安全行业对学历的要求并不高,你怎么看?

黑客非凡人所能及,没读多少书又能精于此行的更不是凡人哈哈,而且现在很多企业在这个行业并不是很看重学历,这是好事。

3.新手朋友应该注意那些问题才能更好更快的成为职场达人呢?

如果我进入职场那个公司必定免不了一场血雨腥风,所以无法给大家建议。

4.想成为信息安全行业的技术大咖,现在应该怎么做?应该注意那些问题?

在行业没有成熟前,进入了就是苦逼命,希望大家勿忘本心,否则只会停滞不前。勿忘本心,既然要做,那就要坚持,更不要去一味的膜拜谁,这是大忌,真正要做的是超越谁,只有这样你才能真正的成长。上天对所有人都是平等的,相信自己,别人可以的,你通过努力依然可以。

朋友眼中的Rices

Cond0r:Rices是个特喜欢开玩笑的人,毫不客气的说就是喜欢装逼和吹牛逼,但是在真正遇到困难的时候他毫不犹豫的会伸出他的手,在我看来Rices是个值得深交的人,就是这性格一般人受不鸟…

y35u:Rices这个人自负,但是有实力,在90后中实力我最佩服他,平时他吹牛只是在隐藏他的本领而已。

假说:弗里蒂克·布朗写了这样的一篇科幻小说:“最后一个地球人坐在家里, 突然想起了敲门声。”我在想,吹牛与装逼是不是也属于科幻的范畴呢?不要以自己的认识来认识Rices。自古怪才都是不被所有人理解的。有个性,有技术。

oldjun:Rices拿下的站,不能用斗量来计算;Rices拖出的库,无法用亿级来衡量。

【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。