低调是最牛X的炫耀方式--采访Amxku

| 2008年10月2日星期四

PS:九月黑手杂志刊的是经过编辑处理了的,这是原版的~~:-)
---------------


应小编土豆的邀请下俺成了临时记者来采访Amxku牛人,大部分的读者可能不太了解Amxku是谁,即使经常有访问sebug漏洞公告以及在红狼论坛灌水的朋友都不太知道其管理员是谁,并且,Amxku也是曾经的中国被黑站点统计系统的创始人哦!

可大家为什么感觉陌生呢?归根其底,主要是Amxku一直低调行事。顺便说下他喜欢SWAN的话:“低调是最牛B的炫耀方式”。那么Amxku在网络与现实是怎样的人呢?他开发的众多程序的背景是什么呢?且看从采访中走近低调的Amxku,认识他,并熟悉他……


Lizaib:Amxku,听说你专注于PHP开发,对么?

Amxku恩,是的。主要关注PHP,LINUX ,信息安全,目前服务于上海的一家安全咨询公司。


Lizaib:红狼的创始人听坏坏说你是其中之一,你是啥时候加入的?

Amxku我是创始人之一,我们是06年3月开始筹划这个站点的。其它创始人分别是自在轮回、孤独坏坏、冷漠。


Lizaib:嗯,记得当时我就开始从红狼起步的,常灌水 。那时候原创的氛围特好。什么时候有做Sebug漏洞公告(www.sebug.net)站点的想法呢?

Amxku是06-08月吧。我当时就想做一个收集吧。没想太多,后来在一些朋友的建议下,才把它进行了一些标准化。


Lizaib:国内外的漏洞都有收集,未来会不会打算弄成程序化的查询呢?参与翻译、编辑、收集的工作除了你外还哪些牛人呢?

Amxku这个是肯定的,现在已经开放了一些相关的接口了。都是一些朋友业余维护的。在这里也谢谢他们了。


Lizaib:未来的时间打算做一个团队吗?不错,设计上提供了RSS输出等。

Amxku未来的变化太多,哈哈,做一个专业的团队是我一直的想法。在设计上,主要以人为本。人性化才是WEB系统的核心。


Lizaib:做sebug一方面是个人的兴趣,还有深层的意义吗?

Amxku为相关的用户提供方便吧,看到有很多站点一天到晚被入侵什么的,sebug也是为他们提供了一些帮助吧。


Lizaib:刚在你博客(www.amxku.net)才知道中国被黑站点统计系统(www. zone-h.com.cn)是你建立的,你何时建立的呢?

Amxku这个是我和三尺寒冰在05年8月建立的。当时我们在武汉做工作室,哈哈。


Lizaib:对于zone-h这样的站点是否会靠成负面的影响啊,比如不同的黑客爱好者相互比排名。

Amxku恩。是啊,当时我们没想到这点,所以说这个站点可以说是一个相对失败的站点,现在我也没有参与维护了。


Lizaib:sebug的发展过程也困难么?那么多的记录都是人工编辑的,目前的数据库容量多大了?

Amxku困难肯定是有的。哈哈。现在基本上是人工的,也有想过有采集的,但测试后发现效果不怎么好,所有没有用,而且人工的质量也会高一点。现在差不多有8000多条记录吧,类似于milw0rm,用户可以提交漏洞公告。


Lizaib:sebug概括了哪些类型的漏洞公告呢?可提供语法搜索精确定位么?

Amxku主要有基于OS的,漏洞类型的。没有,是单纯的关键字,对用户来说方便查询吧。


Lizaib:今天的互联网,WEB 2.0的SNS横行,你会不会计划更加人性化?sebug是非营利的么?可否带有商业性质?

Amxku我希望是可以开放所有的接口,所有的用户都可以来维护这个数据库,可能会在年底做一次大规模的升级。是,没有任何商业性质在里面,不过曾经有想过投放广告,但是这样就体现不出这个数据库的专业性了。


Lizaib:amxku比我大么?你从何时才接触计算机安全的呢?

Amxku85年。差不多是03年吧,不过当时什么都不知道,哈哈。


Lizaib:哪有啊,这几年就成长的很快,膜拜下,嘻嘻。完全一个人自学吗?

Amxku04,05这两年让我学到了不少东西。没有啊,有很多朋友的帮助。当时在GodKiller学到了很多东西,不知道你听过GodKiller这个小组没,哈哈。


Lizaib:PHP会,C++会,WEB攻防也会,LINUX也会,风险评估也会,牛人哈,你还精于哪些专业?嗯,没听说GodKiller小组,请前辈赐教,看上去我没找到这个小组的信息。

AmxkuC++倒是不怎么会,就会点VC,DELPHI 。GodKiller老大是小轩吧,当时也就一个简单的站点。还有一个群吧,我就在这个群里认识了影子、小蛋、雨夜……好多好多朋友,现在也见不到几个了,小轩把我当小弟一样看,教了我很多东西。


Lizaib:NB的上帝杀手(GodKiller:www.godexp.com)哦,网站好像打不开了,你那里呆过一段时间了吧,看网上历史信息,小组写出的作品技术含量也很高的,为什么没有深入发展呢?

Amxku恩。05年的大半年时间吧,都因为工作各忙各的了。小组为什么没有发展下去,我也不是太清楚。


Lizaib:很酷的经历,除了现在呆的红狼,之前还是哪个安全小组的成员呢?

Amxku中国防黑网(www.fanghei.com),这个站点,这是我当时在CSN小组时的站点,三尺寒冰现在自己做公司了,可能没有时间弄这个网站了吧。


Lizaib:你从各个小组都在学习,这段期间都有一位对你产生深远影响的朋友吧,当时主要学习哪方面的技术呢?

Amxku小轩,三尺寒冰是两个对我影响最大的朋友。当时主要是学习LINUX,VC,PHP。在小轩的忽悠下。我还去学了CCNA,CCNP。哈哈。现在想想,还是很值得。


Lizaib:在我出版黑手图书那会儿,红狼的Gh0st远控在水区特火的,这是一款开放源代码不错的东东,你也参与开发了吗?

Amxku主要的代码编写还是逐云客(cooldiyer)完成的,我只是参与了设计和写了几个小的模块。


Lizaib:嗯,cooldiyer是一个很棒的牛人。我觉得gh0st与你的想法一样,简约、简单,你个人对这款远控如何评价呢?看上去市面上也有以gh0st源码为基础开发的作品,你知道这事不?

Amxku简单是我一直的想法。gh0st的优点不应该我来说,要让用过这个软件的朋友来评价,哈哈。知道啊。有很多。还有开发出来后出售的。


Lizaib:我在水区的截图看到集群控制特赞,即同时控制多个摄像头,酷!未来小组还打算除了开发远控还将开发什么类型的软件呢?

Amxku也没有什么,网上也有类似的软件了。多摄像头可能也是这个软件的一个亮点吧。计划开发基于应用层的扫描软件,因为我们有SEBUG这个强大的数据库做支持,软件设计说明书,我们正在设计,可能会年底或明年会发布吧。


Lizaib:是的,我有听过国内的启明星辰有开发这样的产品,但他们没有公布出来。这个项目将有几位负责呢?

Amxku启明星辰的软件是商业性的,我们是基于免费的,到时间也会考虑开源,这个一切都还在计划当中,项目的开发人员暂时不便透漏。软件设计还需要花费比较长时间,这样更方便我们后期的开发和维护


Lizaib:冒味问下,你所在的公司是不是红狼那友情链接的安泰?

Amxku不是,那是自在轮回的公司。我是在上海一家安全咨询公司。


Lizaib:我看到无论是SEBUG,Zone-h,以及4SEC的开发无不显示出这些产品都是新锐的创意,不可置非,你拥有国际上的前膽思维。

Amxku我觉得互联网的核心竞争力就是创新,所以说创新才有发展。一直有走向国际的想法,只是我们现在还没有达到那个层次,以后我们会逐步和国际接轨。


Lizaib:那倒是,发展的环境决定了一切。对于现在的安全产业,你觉得哪一种的安全是现在的主流?

Amxku挂马,只要和商业扯上关系的东西总是比较火的。


Lizaib:你的职业是信息安全风险评估,是否就风险评估上为黑手读者谈谈的一些经验呢?你现在主要为哪类型的公司服务?

Amxku风险评估最主要的是能够把握几个核心的控制点,具体可参考我在博客写《风险评估杂谈》(www.amxku.net/talking-about-risk-assessment)。我现在主要为金融,运营商,企业等服务。


Lizaib:可否让一个普通的读者粗略理解什么是风险评估吗?

Amxku风险评估就是一个亮化的过程。举个简单的例子吧,比如一个企业,会投资10万块钱在信息安全这块,风险评估可以帮助他们的是,现在这个企业急需的是杀毒软件还是防火墙。


Lizaib:这看上去是产品上的安全,人员的安全也需要管吗

Amxku安全不仅仅局限于产品和技术。而管理占到了信息安全的很大一块,可以说是七成吧。这其中就包括了人员的安全,管理制度,各种信息体系的建立等等。而技术又是为业务服务的。所有的安全技术,制度,体系,都将围绕着业务系统来展开。


Lizaib:最后,对于黑手新手的读者,他们学习的过程常常都有困扰,你觉得他们最好如何学习这项安全技术?

Amxku建议大家首先得定位好,定好目标后,然后在根据自己的目标去一步一步去努力,去实现。谁也不是一步登天的,比如angel在学习PHP时就把论坛的代码打印出来分析的。 引用SWAN的一句话,“低调是最牛B的炫耀方式,所以,加油吧~”

1 评论:

匿名 说...

专程来膜拜大牛
PS:前辈你评论板好复杂