Flashky,真名方兴,windows漏洞挖掘骨灰级专家

我的安全之路05-四处打工之信用社出纳-1996

发布日期:2017-06-14 13:22:51 +0000

父母是最心疼儿女的,在这个时候,他们四处活动,希望能帮我找到一份工作。靠母亲老银行的关系,不久后找到一个去农村信用社当聘用制出纳的工作。在这之前,我表达了我想学计算机的想法。我姐夫是工行电脑科的,也是科班计算机专业毕业的,就在银行里找了一台报废但还能用的386的机器给我,抱这这台黑白显示屏的老机器,我开始了自学计算机之路。我姐夫把他大学里的计算机教材找出来,就成了我自学的教材。我用飞速的速度首先学会了打字和DOS基础命令操作, 当年正好是各个业务系统都开始上微机的时候,会打字出去找工作是一个很大的优势。去信用社当出纳,还必须考点钞手法和算盘,在压力的驱动下我居然几天就精通了它们,于是通过点钞和珠算考试之后,我成了农村信用社的一名出纳。

这个时候,我开始了我自学计算机。这是最艰难的时候,我姐夫是学硬件的,先开始我想跟着他学计算机维修,但很快我发现,我还是对软件和开发更有兴趣点,当初银行系统都是类UNIX的xenix系统,于是开始学xenix的操作与命令。这些都容易,最难的还是学计算机组成和操作系统原理,由于我姐夫是学硬件的,他的计算机组成和操作系统原理的教材,都是以汇编做例子来讲解的,对于我这样一个没有任何语言基础的人,想看懂这些汇编级的计组和操作系统原理的教材,其难度可想而知。我咬着牙,一遍又一遍的看,看不懂的,先记下略过。下次再看,每条指令,先从英文的角度去理解他的意思,就这么着,一遍一遍,我不记得这两本书我看过多少遍,但最终,我都看懂了。想来这或许是一个奇迹,但我宁可相信是对未来生存的恐惧驱使我获得了某种力量;未来我从事安全研究的汇编功底,或许就是这么来的吧。看懂了计组和操作系统原理这2本书,我发现我对计算机系统和语言的理解能力大副上升,我于是买来计算机高级程序员考试的教材,自学数据结构,FORTRAN和C语言,有了计组和操作系统原理的汇编根基,C语言中的指针这些很让人饶头的概念就很容易被理解了。

信用社的工作对我而言很轻松,但是对信用社其他的人就不一样了,她们基本上都是银行系统的女家属,年纪都比较大,新上的微机系统的操作和打字显然对他们是个很大的挑战,每笔业务都需要做很长的时间,而我则非常得快,自然我成了她们的威胁,每当我干完出纳的活抽空去看计算机的书时,而她们还在不知道怎么敲打字的时候,她们就会很自然地嘲笑我一个出纳还看这么高深的书,难道想一个人把活都干了之类的话,我也就当耳边风。不过另一个人让我更讨厌,就是社长的司机兼系统管理员。信用社没有搞计算机的专职人员,信用社这套柜员操作系统是武汉一家公司来安装调试的,是当年流行的NETWARE的系统,我们那里山高水远,那几年路也不好走,每年都会发生大客车翻车重大伤亡事件,所以那些武汉的人当然不会经常到这边来维护,于是就把一些日常如开机关机命令写好,让这个司机每天定期照着做,于是这个司机就升格成为系统管理员了,到处指指点点,俨然一副资深管理员的样子,每次看到我再看计算机的书都会鄙夷地发出一声冷笑,然后和这些大妈一起,开始在背后嘀咕着揶揄我,什么大学生,咋没工作当打工的出纳了,这么用功装谁看啊,会打几个字真以为自己是计算机高手了之类的话。

我那时候也比较气盛,就想给他们点厉害看看,我就想破破这个司机的密码试试。银行这个系统用的是NETWARE的终端模式,程序是采用FOXPRO开发的,用户一登录后就通过PROFILE启动进入银行柜员程序,但是当时没有什么安全考虑,居然没有屏蔽CTRL-BREAK。于是在程序进入之前按下CTRL-BREAK。中断银行柜员程序,我轻易就进入到了DOS命令行模式,就可以直接用TYPE命令看到一些数据库DBF文件的内部信息了,包括用户的信息库。这个系统的用户密码是用程序加密过的,但是是程序员自己写的一个算法实现的加密,于是我通过不断修改自己的口令观看自己密文变化的方法,居然把这个算法给推导出来了。于是我破解计算出了这个司机也就是管理员的口令。当然我破解出来后什么也没做,毕竟我只是赌口气,没想过去干什么犯法的事,不过我在纸上写写画画计算算法和口令的行为,被后面高度警惕的一干大妈时刻关注着。中午乘我吃饭的时候,她们把这张纸翻了出来,虽然她们看不懂写的什么,但她们拥有的特工一样高度敏锐的嗅觉还是告诉她们,此事不同寻常,于是她们拿着它集体去向社长报告我的异动行为,社长也不知道纸上我写的是什么,于是把信用社唯一的半IT人士,也就是这个司机兼系统管理员叫来让他分析,他虽然也看不懂,但最后一行是计算出来的他的密码他还是认识的,于是晚上,社长一行人到达了我家,鉴于我没有任何违法行为,但确实又破了管理员的口令,所以社长劝我主动辞职,理由是我太危险了,他在银行系统这么多年还没听说过出纳能破管理员密码的事情,他们担不起有我这样能力人在信用社工作的风险。于是2个月的信用社出纳的职业生涯,又到此为止。我的妈妈本来想埋怨我几句,但是被我父亲阻止住了,他只说了一句:“我的儿子肯定有前途,社长都说了,他在银行系统几十年都没听说过能破管理员密码的事情,但我儿子才学计算机几个月就能破,只要他不犯法,就说明了他有天赋”。我的父亲是一个严厉的父亲,从小到大,我挨他的打不计其数,记忆最深的两次,一次是我被父亲用荆棘条抽的浑身是血道,让我表妹看到都吓哭了,还有一次是我高中在街上的棋摊上下围棋被我父亲看到直接在众人面前一顿猛抽嘴巴。但这一次却让我深刻感觉到了父亲的爱。当然我也深刻反省到,在职场上有职场的规矩,虽然我无犯罪之心,但是行为上确实触犯了很多规章与制度,也必须承担相应的后果。信用社这么处理我,是我完全应得的。


方兴,原翰海源创始人,现任阿里巴巴资深安全专家,作为国内漏洞挖掘领域最顶尖的黑客,他被更多人所熟知的则是他的别号:flashsky(闪空)。他是数百个高危级安全漏洞的发现者,而关于他的故事,最著名的莫过于2003年由他发布的微软史上最为严重的LSD PRC DCOM漏洞,后者直接导致之后“冲击波”病毒在全球范围内疯狂肆虐。


鼹鼠看看推荐语:

外行领导内行,还能怎么着?