风口浪尖的白帽创业老兵 “漏洞银行”创始人 罗清篮
图1 人物照片
八月的上海,空气带着难以抵御的灼热,所有事物都因为太阳的炙烤而变得绵软。
上海松江一间咖啡厅,下午两点整,当罗清篮准时推门而入的时候,似乎整座咖啡厅的空气都冷冽了不少。
已过而立之年,仍旧锐气逼人热血满腔。创业数十年,他更偏爱称呼自己为白帽老兵。如今"白帽"这个群体被媒体推上了舆论的风口浪尖,他依然选择在此时发声。他笑言,一个时代一个群体,总是需要有人站出来,就站在那里,坚守下去。
和漏洞银行创始人兼CEO罗清篮的一番畅谈,谈创业、谈投资、谈理想、谈人生。但他谈的最多的,依旧是他奉为圭臬的白帽精神。
记者:罗总您好,我看材料介绍说罗总出生在信息安全世家,研究安全接近20年,也算是中国早期第一代信息安全的爱好者和从业者。
罗:世家有些夸张了,家里正好有亲戚是中国知名代的信息安全公司的创始人之一,所以从小就耳濡目染。小学时候就开始研究网络安全技术,逆向过CIH病毒,用WPE修改过游戏封包,用Softice动态调试过破解软件,逐渐开始热爱起了这个行业。
记者:请罗总介绍下自己当时在从事的安全研究吧。
罗:一开始我个人比较喜欢研究逆向技术吧,写过一批安全工具在小凤居(Chinesehack.org)发布,现在估计很少有人记得这个网站名字了,呵呵。后来国内有一本黑客杂志叫《黑客防线》,他们的主编吴田峰(WTF)当时找到我说让我写一些文章,后来我就成了黑防的特约作者,认识了好多圈内朋友,那时候特别荣幸进入这个行业。
记者:我看材料介绍说罗总在2005年在反病毒领域就已经获得了多项大奖,经常被人称作天才少年,高二就获得了高考保送资格?
罗:过奖了,当时初中和高中,自己基本上都没有怎么学习,所有时间每天通宵研究网络安全。那时候不像现在,网络安全还没有很多法律的约束和条例,所以那时候我感觉有技术真的非常自由,比如那个知名的Win2000的RPC溢出漏洞,基本上自己随便写一个exploit可以进入任何人的机器。所以当时我对缓冲区溢出非常感兴趣,就想要开始研究一些能够主动防御黑客入侵的防护系统。后来写的一个驱动级的进程授权工具被第二十届青少年科技创新大赛入选,有幸在人民大会堂颁发了当年的计算机网络安全方向的全国一等奖,当时科协主席周光召把奖杯放在我手上的时候,我从未想过自己写的工具居然得到了那么多专家的认可,所以后来才有的保送资格。
记者:看材料写"罗清篮谢绝了交大的保送特招,追随曹奇英教授到了东华大学学习信息安全专业",当时是什么情况?
罗:曹奇英教授也是中国知名代研究信息安全的老专家,经验非常丰富,而且他奉行非限制性教育,他的女儿是上海第一批保送耶鲁大学的高中生,追随曹老师是我一生做的最正确的决定之一。
图2 罗清篮和他的恩师 曹奇英教授
记者:后来听说您在大三的时候就和你的大学同学成立了自己的第一家公司开始创业?当时做的什么产品?
罗:是的,那是2009年,那时候社会还没有推行现在的"双创",那时候创业环境非常难,没有人看好创业者,特别是网络安全创业者。我的大学同学也都是我的铁哥们,很多在初中、高中就认识超过7、8年,而且他们都是权威的技术专家,我们是正好依托上海市世博会的安全项目,开始了创业的旅程。我们的第一个产品叫"WEB宙斯盾",是装在主机上的软件应用防火墙(WAF)。那时候网络安全市场完全没有起来,必须依靠一些政府和大型机构的项目才能存活,所以那时候过得相对也比较艰难。第一个正式的商业客户是35互联,一家提供IDC服务的公司。这里我需要特别感谢一下当时跟我们战略合作的一家安全公司,叫上海柏安,也是上海老牌的信息安全服务公司,他们的总经理张照龙当时为我们提供了相当多帮助,至今和他还保持着良好的关系。
记者:您正式进入安全圈后,有哪些人为您提供过帮助呢?
罗:很多人,导致我现在还感觉自己当时非常幸运。像三零卫士当时的总经理张建军,冰河的作者黄鑫、沈传宁等。太多太多,我就不一一列举了。
图3 第二届中国创新创业大赛全国总决赛 罗清篮与NetScreen创始人邓峰
记者:您当时2009-2010年的时候,拒绝过360的收购请求,当时是什么原因?
罗:我们非常尊重360这家公司,当时他们还没有上市,他们的投资总监王奕找到我们,说接下来360要进入企业安全市场,然后我们做的硬件产品支持"Zero-Copy"的透明网桥WAF正好是一个他们认为还不错的产品。当时邀请我和另外一个合伙人去了北京,那时候360还不大,只有1千多人,在一个创业园区里。当时360请出了他们的WEB安全专家赵武来对我们进行技术考察,完成考察后带我们去见了当时的360VP谭晓生,跟他交流地非常愉快,也学习到了很多安全创业公司的发展思路。后来之所以谢绝了360的邀请是因为感觉我们还想自己尝试创业,毕竟没有体验过九死一生的感觉,想要在年轻的时候多体验下。
记者:然后听说你们又创立了一家叫利物盛网络科技的公司,专注企业安全?
罗:是的,那时候是2011年,我们接受了原上海东昌汽车集团(现为利物盛集团)的战略投资,成立了上海利物盛网络科技有限公司。专注企业安全服务。
图4 利物盛参加2013年ISG全国信息安全技能竞赛 死亡组颁奖
记者:当时你们主要做哪些事情?
罗:哈哈,当年年轻,喜欢挑战新鲜的事情,比如当时《魔兽世界》中国区的运营副总裁周宁就找到我们,对魔兽世界游戏反外挂和反入侵提供安全方案。另外我们还开发了一套防止被黑客下载和录屏的在线手术直播系统为中国最大的医学直播平台(24小时医学频道)提供安全保障。那时候这些成熟系统的稳定性测试工作让我们这个技术团队不断得到有效锻炼,迅速提升了我们对企业安全服务的能力成熟度。
记者:看你们后来就开始服务大型的互联网公司了?听说饿了么的创始人张旭豪主动找你们合作?
罗:当时服务了不少像1号店、大众点评、51JOB、返利网等互联网公司,当时于刚带领参观了一号店的物流系统,也被现在电商的系统复杂度感到惊叹。返利网是我们非常自豪的一个案例,他们从一开始不到30人的规模我们就认识并开始服务,现在已经上千人了,2015年年底他们拿到了乐天1亿美元融资,我们持续为他们服务了6年,中间和他们一起解决了各种各样的安全问题,见证了一个返利时代的开启。饿了么我们是2013年的时候接触的,当时他们规模也不大,刚刚起步,在闵行的一个小办公室里,总共人数不超过50人吧,当时他们的订餐系统遭受黑客攻击比较头疼,所以张旭豪找到我们来解决。
图5 罗清篮团队发现淘宝心脏出血Heartbleed漏洞
记者:是这些经历让您开始决定要做 "漏洞银行"(BUGBANK.cn)的漏洞接收平台吗?现在有多少员工?
罗:恩,目前刚刚达到百人规模。前面都是我早年的安全从业经历,我们做漏洞银行其实是为了服务白帽的,但后来在服务互联网公司接近5年后,我们发现了他们中间普遍面临的痛点,而这些痛点又可以和现在的白帽痛点相结合,所以我们就打算做一个平台来对接双方需求。
记者:漏洞银行获得了软银(SBCVC)的投资,这对你们发展是否有很大的帮助?你们下一步有什么发展计划吗?
罗:当然,这是我们接触的最为成熟的投资人,他们中肯的建议和对安全行业的眼光都让我们十分钦佩。其实漏洞银行希望打破行业中过去的漏洞曝光模式,让更多白帽和企业在合理合法的状态下获得双赢。
记者:现在白帽这个词有些风口浪尖,您对这个群体怎么看?
罗:其实我个人觉得这个群体非常低调,而且都是技术控,他们并没有太多获取利益的想法,更多是想展现自己的技术。白帽其实是很可爱的一群人。因为我之前也是技术出身,也算当过一段时间白帽,所以我对现在这种抵制白帽的声音不太认同,我觉得白帽这个群体有他们存在的价值,前段时间美国的五角大楼搞众测,也邀请了众多白帽参与,发现了相当多的漏洞,提前为国家封堵了大量的潜在损失。解决问题的关键是合适的流程和降低风险的手段,而不是去抵制一群人。
记者:现在国内的安全行业也正在起步,您对行业的竞争和发展这个问题怎么看?
罗:其实国内的安全行业远远没有到达可以竞争的时间节点,比如我们提供的众测服务,其实我们期望更多的安全公司来做这一块,因为孵化市场也是需要时间的。有更多的公司加入,市场的成熟度会更快,所以变相的会有利于自身的发展。这个时间节点上,合作远远大于竞争。
图6 "谋乐"公司一角
记者:漏洞银行(BUGBANK)的价值观叫"创造未知,惠及世界" 这个口号怎么理解?
罗:创造未知,指的是创新,未知是过去没有的东西,我们觉得未知的力量非常大,所以我们要去创造这种力量。惠及世界指的是,我们希望利用这些巨大的力量,去改变世界,让世界变的更美好。我们相信只要把力量往正确的方向去引导,就可以改变世界,造福世界,所以我们公司名叫"谋乐"。
记者:非常感谢罗总抽出宝贵的时间接受我们的采访。