1. 威客安全首页
  2. 安全资讯

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

​​安在新媒体5月28日上海讯

撰稿 | 蓝河

编辑 | 图图

 

 

 

5月3日,青岛警方因“违法侵犯消费者隐私”对当地某民宿做出了“行政拘留20天,罚款500”元的判处。

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

事情的起因是一名游客在入住民宿期间,凭借其敏锐的嗅觉和自身储备的专业技能,成功找出了隐藏在房间WiFi路由器内的偷拍设备。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

幸运的是,该游客是一名信息安全从业者,也通过商业安全和隐私保护的培训掌握了检查偷拍设备的技能。不幸的是,“民宿偷拍翻车”事件的曝光,让我们真正醒悟到,电影《楼下的房客》里展现的一切,不仅真实存在,而且就发生在我们身边。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

我们总说信息安全、个人隐私,当我们自以为已经足够重视,用各种各样的杀毒软件、安全管家将我们的电脑、手机等电子产品全副武装的时候,却发现我们“人”本身,却还处于“裸奔”之下。

 

什么才是real care?什么才能让给予我们每一个个体,每一家企业甚至全社会,网络层面和物理层面双重的“真正安全”?一脚踏出传统安全圈的杨叔——杨哲,带着RC²回来,交给了我们答案。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

那个曾经痴迷于“无线安全”,酷爱野外生存和挑战极限,不羁洒脱的杨叔,又以他自己“喜欢”并认定的方式,为“安全”这两个字,填补起几乎所有人都不曾意料,也鲜有重视的空白。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

Real Care & Response Carrier

 

“如果一家企业,对外既有防火墙、IDS、抗DDOS等各种各样阻止黑客攻击的设备和工具,对内又有数据管理平台、无线入侵防御、病毒防御系统等,但还是没能逃脱在会议过程中内部信息外传、商业机密泄露的命运,那应该是我们现有信息安全体系的责任吗?”

 

一上来,杨哲就用这样的“灵魂发问”,让我陷入了沉思。

 

“上缴了手机,也许身上还有录音笔,检查出了录音笔,可能某个部位还藏有窃听器。就算每个人都光着身子来开会,谁又能保证这个会议室里的角落,不是早已被内鬼安放了拾音器材,已经被竞争对手恶意窃听监听?”

 

杨哲说,在实际工作中,尤其是大型企业的商业环境中,总会多少发生类似上述“窃密”的或更为严重的事件。而当泄密事件发生后,很多企业和客户,不知道该找谁求助,如何处理,有时甚至因为顾忌曝光影响企业形象而不能报警,但却仍需要继续赶赴下一个“安全”的环境开会。

 

而这些基于物理层面的渗透、商业刺探,就是传统信息安全极少考虑到,甚至很多人也不知道该怎么处理的物理安全风险控制环节,这恰恰是当前企业信息安全防护体系的短板。保护“商业安全”和“个人隐私”,也正是被杨哲以“物理风控”为切入的新技术创业。

 

杨哲现在的公司叫RC²(Real Care Response Carrier),中文名音译为锐勘。“敏锐地勘察”代表着RC²不会放过任何一个角落,确保客户商业安全和个人隐私;而Real care的二次方,则寄寓了杨哲从传统安全到物理风控双重防护确保“真正安全”的期望。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

他告诉我,RC²是国内目前第一家专业做TSCM的公司,也就是Technical Surveillance Counter Measures——用专业手段开展全方位检查,锁定并扫除一切商业级别的窃听、偷拍、偷录等等非法器材,来保护客户隐私不被外泄。

 

自2016年从阿里巴巴离职以后,杨哲先是陪着家人好好地去世界各地给自己“放了个假”,接着婉拒了很多朋友抛出的CIO、安全研究部负责人等传统安全岗位的橄榄枝,最终将目光锁定在“技术反窃密”这个侧重商业及个人隐私保护的物理安全防护领域上。

 

创业前,杨叔亲自做了圈国内市场调研,他发现国内其实一直都有反窃密市场的存在,比如办公室反窃听、车辆GPS检测等。但由于没有标准规范的落地,这个行业始终处于非常混乱的状态——“怎么做”、“做什么”、“做得怎么样”,根本没有统一的参考,各个行业公司即使是量级很大的某些安保公司,实际能力也是参差不齐。

 

他给我举了个例子,一间30平米的办公室,可能布置了办公桌、书架、柜子、沙发、办公椅等等,虽然看上去并不大,但包含的“个体数量”却非常多。按照他们当前的检测模式,是要派遣一支由三人组成,专业专家领头,并携带9大类共计13种装备的专业TSU检测小组,而整个检测时长,至少也要3小时左右,甚至还曾出现过4个小时的情况。

 

但市面上的绝大多数检测公司,则往往只需要一两个人,20分钟至多半小时搞定。

 

很多人不理解,为什么RC²的团队做检测需要花费这么长的时间?与此同时,身为RC²创始人的杨哲也想不明白:那么点时间的检测到底有什么效果,难道仅仅只是图个安心吗?

 

实际上,很多体验过RC²商业安全和隐私保护培训课程的客户都亲自感受过,仅仅只是某一种设备的粗略扫描,可能就需要耗费近一个小时的时间甚至更多。而产生这市场上种极端差异的最主要原因,就是国内“反窃密”领域标准化的缺失和企业高管普遍意识的欠缺。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

培训、认证,用意识灌输的方式来改变行业和人们对于“反窃密”重要性的认知,就成了眼下补足传统安全最重要的事。

 

因此,杨哲“聪明地”找到了背书——调查业协会。

 

在中国香港、日本及韩国,“商业调查”是属于完全合法的行业,并且日本的调查业和韩国及中国香港地区一样,一直在亚洲乃至世界范围内被广为认可。所以与全日本综合调查业协会及香港侦探总会的合作,引进授权认证,从而推动国内相关商业隐私保护标准的制定与落地,就成了解决行业乱想的办法之一。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

为此,杨叔在RC²独立开发了L1和L2两种分别以普及和实战为主的课程,通过模拟酒店等一些场景实训,让学员学习使用各种便携式检测设备,来快速检测目前国内外民用领域中常见的偷拍、窃听器材以及车辆跟踪器等、从而提高“反窃密”意识和实际技能,在确保个人隐私安全的基础上,再上升到办公室/会议室安全及研发环境安全等商业安全的高度。

 

杨哲告诉我,RC²单独一支检测小组的装备配置投入在150-200万之间,整个公司现设有三个小组,虽然有很多合作厂商,但无论是设备配置还是人员培养,成本都非常高。

 

但在他看来,一个好的“技术反窃密”团队,比设备好坏更重要的,是商业检测流程的制定。在时长3个小时的检测过程中,如果因流程设计缺陷导致某个环节的遗漏,那就算从100个窃听器中找出99个,剩下的1个也会导致商业机密的流出,最终宣告所有工作彻头彻尾的失败。

 

对此,杨哲花费了大量的时间来完善“流程”这条“生命线”,也正因这种专业、严谨的态度,才让RC²在短短创业一年半的时间里,就迅速在行业里塑造了好的品牌形象,成功留下了口碑。

 

他相信“技术反窃密”这件事本身是非常有意义的,因为作为安全细分领域中的细分领域,可以帮助到很多当前正面临困境、不知所措的企业和人。随着日后社会需求的越来越大,也可以做一些“铺路”的事情,提早形成标准,对未来行业规范的建立,提供力所能及的帮助。

 

一脚踩出了安全圈

 

杨哲说,以往做信息安全,接触的大多是甲方的安全部门或是乙方的安全公司,而现在,虽然以“物理风控”切入,也是为了保护商业信息安全和个人隐私,但更多的开始和律师业、司法取证、安保业、调查业,甚至侦探行业打交道了。

 

这样一来,说他“一脚踩出了安全圈”似乎也不为过。

 

这可能会让认识他的人有些不适应——因为大家对杨哲的印象,大抵还是那个热爱并精通无线安全,孜孜不倦做着安全服务的追风少年。

 

毕业于西安电子科技大学通信工程学院的杨哲,老本行就是通信工程。我们熟知他,或多或少是关于他在无线安全领域发表的一些文章或是出版的书籍,他也曾坦言自己是因为“喜欢”才研究无线安全。

 

但其实,大学四年,他的专业课学的简直惨不忍睹,原因竟然是,他压根就“不喜欢”通信工程。

 

这听上去似乎令人匪夷所思,而那时候都把心思花在了哪?

 

没错,就是黑客技术的学习。

 

杨哲说,他至今都记得,自己人生中第一本有关Unix黑客攻防的书籍,是高一时在一个公园旧书摊淘到的,初次阅读,他一个字也没看懂,很是受挫。

 

大一暑假,他报名参加了MCSE微软系统工程师认证的考试,而那一次考试,不仅成了他技术上的转折点,更是他信息安全生涯的正式开篇。

 

熟悉了微软的全系列OS及服务器架构以后,再阅读网络攻防相关书籍的时候,便不再有阻碍了。从那之后,杨哲便“疯狂”订阅网络安全的刊物,也开始尝试地写一些自己在网络攻防上研究的心得,还成为了《黑客防线》、《黑客X档案》的专栏作者,陆续发表过“无线攻防”“微软LCS高级服务器渗透指南”“打印机攻防”、“碎纸机安全”等十多篇文章。

 

大学毕业后,杨哲并没有第一时间像同学们一样,进入安全公司,做一个传统意义上的“安全从业者”,而是选择在西安不同的培训机构做讲师,教授MCSE、CIW认证课程,以及信息安全和Windows系统架构的相关课程。

 

所以,那个“不喜欢”通信工程的杨哲,竟然真的一开始,捣鼓起了和通信工程毫无关系的活计。

 

不过,命运就是这么地喜欢造化弄人。2006年,新婚不久的杨叔到香港蜜月游,却被香港街头满大街的WiFi信号震撼不已,那个时候大陆的一个思科K9无线网卡,要卖到1000元。于是出于对无线安全未来的肯定,杨叔产生了浓厚的兴趣,他在香港当地购买了大量WiFi安全相关的PDA、无线网卡等设备,开始尝试使用不同芯片无线网卡Hacking无线路由器的内网渗透技术学习。

 

就连他自己都哭笑不得地说:“当自己重新拾起大学里那些通信教材来看的时候,真觉得啪啪打脸。”

 

在研究WIFi Hacking技术的那段时间,杨叔以Longas这个ID在当时国内最大的无线门户网站做起了安全版块的小版主,开始了不断发技术教程,成为国内无线安全超版之路一直到2008年,已经发展成了国内最大的无线安全技术版块,最高时注册人数超过了120万人。

 

但这时,出版完人生第一本无线安全攻防技术书籍的他却发现,自己虽然会讲课,又会写书,还搞了很多方面安全的研究,却其实一点项目经验都没有。

 

他说,每当在课堂上,有学生问及关于项目实施的问题,他只能拿出过往的研究成果和论坛上交付的文章来回应,话题往往草草结束。这时他才意识到,自己需要真正地到安全公司里做项目,才算是真正的做安全。

 

2008年,杨哲进入了绿盟,虽然没能如愿从事无线安全的研究,但安全服务的工作,也算是让他正式与安全“接了轨”。

 

2011年,在绿盟工作了3年以后,他转而进入了华赛,两年后并入华为,这样算下来,他也算是在华为度过了5年的时光。

 

回忆起华为的经历,他印象最深刻的是一次内部的千万级安全评估项目。由于项目性质特殊,总共协调了6个部门,十几个专家才凑成了项目组,开始了封闭式的内部安全评估工作。这个项目压力大,之前的项目经理就是因为协调处置不当被撤换,杨哲临危受命担任新的项目经理。

 

在项目推进过程中,某个部门领导用“通知式”的口吻要求将自己部门的员工撤回。时任项目经理的杨哲淡淡地说:“项目没有结束,就不可能,我只对项目本身负责,如果你执意如此,那我只能在周报里向上级如实汇报。”结果惹得对方勃然大怒,但最终还是妥协。

 

但杨哲认为,他作为项目经理,就必须要保证项目实施的质量管控。事实上,在杨哲做项目经理负责的那段期间,项目进行得确实非常顺利,直到一年后进入第二阶段前,杨哲一直顶住了压力,顺利完成了项目经理的职责,得到主管认可和部门表彰。而这种“唱黑脸”的工作态度,一直到今天仍然是他秉持的原则。

 

有同事不理解,为什么平日里平易近人的杨叔,工作时会变得那么严苛。但对于杨哲而言,工作就是工作,只有严守服务及实施的质量管控,才能保证企业品牌生命线。而闲余时间就要彻底的放松,这样才能活得快乐。

 

2015年,杨哲离开华为,脱离安全服务领域,到阿里巴巴做起了安全研究的工作。只可惜因为某些原因,一年后安全研究部门解散。当时有部门试着说服他留下,继续做其他的安全工作,也有同事让他继续忍耐直到拿到一半股权再说,但身为P8的他考虑再三,宁肯放弃,也还是更想做一些让自己喜欢的事情,便在征求妻子的意见后,离开阿里,陪着家人去世界上好多个地方游玩,到仙本那学潜水、在花莲骑摩托、坐邮轮去济州岛、在甲贺追寻忍者村、在马六甲看郑和大船、在北海道泡温泉滑雪、在普吉岛带父母海钓……放空自己,看了看不一样的风景。

 

如果要给自己的人生划定一些转折点,杨哲说,大一时考取微软的MCSE奠定了他在安全行业工作的技术基础,让他可以在建立体系化的基础上学习更多的知识;下定决心获得项目经验加入绿盟,真正意义上让他属于了安全这个圈子;在华为参与的几次千万级项目,让他明白“个人的精力终究有限”的道理,也让他学会了善用身边的资源来实现自己的想法。

 

而离开阿里巴巴,一脚踩出安全圈,则是他人生中的第四个转折点。对他而言,这是个新的挑战,但也是他最专注、最喜欢,并且正在享受的过程。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

 

乐观的悲观主义者

 

我问杨哲:其实从阿里离开到创立RC²的这段期间,虽然名义上是在“环游世界”,但实际上还是在观察行业的动态,思考自己未来的路该怎么走吧?

 

没想到他却回答我说:“我是真的纯在玩。”

 

杨哲告诉我,从阿里离职时,他的级别是P8,而在华为的时候,他也是技术专家组的组长,所以他对自己能力有信心。也正因如此,他才真的放下所有的疲惫,彻彻底底地享受了一整年的“天伦之乐”。

 

回到玩这件事情上,我们都知道,杨哲是个不折不扣的“生存派”,不但玩了8年户外,从室内攀岩、室外速降、户外徒步、自行车两省骑行、皮划艇这类的标准户外运动,还有OW潜水、单引擎飞机驾驶、丛林滑降、摩托艇等项目,而他在阿里期间也专门成立了一个户外俱乐部“生存派”。在他眼里,“活下来”才是创造价值的希望,才是工作和生活的基础。所以,无论是射击、弓箭、匕首还是格斗术,都成为了杨哲热爱,并且带领俱乐部成员一同学习的生存技能。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

他给我做了一个很形象也很“好笑”的比喻:国内街头发生事件,中国人的第一反应往往是“探”着头张望,但如果是在持枪合法的国家,恐怕就会被天降横“弹”,击伤甚至死亡。

 

人之所以恐惧,是因为对未知事物的“无知”,但就像EVA(新世纪福音战士)里“人类补全计划”说的那样,越是内心脆弱的部分,就越是应当补全。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

所以杨哲是自诩是“乐观的悲观主义者”,他坚信末日的存在,也就坦然接受了最坏的结果,正因如此,他才更要乐观去面对,才要更去直面恐惧。

 

回过头来说,无论是“户外生存”还是创业,都是需要黑客思维的。所以即使创业,他也保持着极高的热情,拒绝设限,定期给自己放假,每年至少旅行两到三次。因为他必须要做他喜欢的事情,这才是他工作的动力,而这也是RC²的企业文化——要让每一个员工做自己觉得有意义、有价值的事情。

 

他特别在意“碎片式”的梦想,因为这与长久的人生规划无关,有时可能只是在某一个时间点突如其来的念想。但杨哲觉得,如果能把这些“碎片式”的梦想一点点实现,那人生也会因这些碎片一点点的拼凑而变得完整。

 

这些在旁人眼里看来有些另类甚至出格的行为,在杨哲的眼神里,却是那么的真诚和笃定。

 

可能对于RC²这样一个还处在创业初期的公司而言,不一定会有很高的收入,满足金钱的欲望。但我相信,在这里,任何人都会享受到此前不曾预见,甚至不敢想象的经历,有美食、美景、有趣的人、有趣的事。

 

“反窃密”最重要的也是“信任度”

 

话题回到创业和“反窃密”这件事情上,杨哲说,一般而言,在经济形势不是很好的时候,一些个体或者企业,可能不愿意在IT建设和程序员培养上投入更多的经费,而是采取收买内鬼、物理渗透、非法定向监控的方式,去窃取竞争对手的商业机密。

 

所以,在原本就竞争残酷的商业环境下,还需要同时面对四面八方暗流之下的非法竞争,这对企业的生存无疑是空前巨大的考验。

 

往小了说,一名企业高管在外出酒店住宿的过程中遭到偷拍,个人隐私的暴露影响的是自己的声誉和形象;但往大了说,这种个人隐私泄露所造成的影响,会与公司利益直接关联,最直白的就是公司形象受损、股票下跌。因此,“生存感”就绝不再是某一个“人”自己的事情了。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

所以杨哲和RC²要做的,就是尽自己一点绵薄的力量,去帮助企业、个人更好地保护自己,如有可能,推动这个行业新的安全标准和安全要求的发展。比如“安保部门必须配备安检设备”,或是“新员工入职必须参加个人隐私保护培训”、“企业高管必须具备商业保密意识”等等,将这些意识和要求变成常态化的东西,让人人都有保护自己隐私和企业商业机密的意识,便能对整个社会的安全起到正面的促进。

 

“创业有困难吗?”杨哲点点头,但与其说是困难,倒不是如说是“自己给自己施加的压力”。

 

杨哲说,因为过往安全服务的经历,使得他清楚地明白,商业安全检测服务也像传统安服一样,最重要的是与客户建立“信任度”。

 

以一个很小的细节来说:RC²在给企业客户的办公室做“技术反窃密”检测服务的过程中,如果有检测人员想要去洗手间,那RC²一定主动要求现场企业负责人派出专人全程陪同,确保在整个检测过程中,无论RC²的检测人员的行为、行踪等任何细节任何行为,都是“可见”且“可信”的。

 

因为杨哲清楚,与传统安全可以通过多种策略干扰阻碍攻击不同的是,在事前和事中阶段,“反窃密”除了“商业安全隐私保护培训”和“搭建保密环境”外,就只有“安全检测”这一层防护,没有容错。所以决不能和很多小公司“只想着赚钱走人”那样,而是一定要从流程、管控等各方面严格设计和要求,与客户建立并维持长期可信任的关系。

 

同时也通过这种“严于律己”的方式,给整个行业划道线,为日后行业标准的建立,起到参考和表率。

 

当然,创业本身,由于“反窃密”行为,有一半以上是以无线的方式进行的,所以过去他在无线安全上的知识储备也正适用,相当于平滑地做了个过度。

 

不过,RC²自创建起,在做“技术反窃密”检测服务时就始终在坚持三个“不”的原则:不接政府业务、不接涉密单位业务、不接个人业务。

 

前两个“不”很容易的理解,但为何不接个人业务,我却想不明白。

 

杨哲给我举了个例子:如果有人委托你对他的住所进行检测,你接受并在现场成功检测出监控器材,本以为是件好事,但公司却被公安机关约谈——原来委托人是一名逃犯,而你检测出的器材是由某地方公安技侦部门布置的,也正因你的专业检测导致公安抓捕行动的失败。如此一来,就算跳到黄河也洗不清“你不是同伙”这个动机了。这个是绝对要避免的风险。

 

基于这三个原则,RC²目前的几十家主要客户均为互联网大型企业、金融机构、国内100强企业等。此外,RC²一直保持与公安、保密等相关部门的良好沟通和技术交流。

 

杨哲告诉我,从去年到现在,他已经婉拒了9家机构的融资,因为他缺的并不是钱,而是资源。他当然希望能有更多的投资方看中RC²,但能够给与他们的,一定的优质的可落地的资源。

 

与此同时,他们也在和大学实验室开展合作,推进“反窃密”具体方向实验室的落地。这样既可以定点把研究任务交出去,也能够为他们提供思路和测试方案,通过实验室落地隐私保护的相关产品,这全都在紧锣密鼓地进行着。

 

而关于培训课程方面,RC²计划在今年推动一批授权培训合作方落地,不但可以推广个人隐私保护实际知识,也可以让RC²可以覆盖到更广的地方。

 

“去年完成了战略目标,挖好了坑,今年把地基打牢,明年就能开始盖楼了。”

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

 

写在最后

 


 

 

杨哲的人生规划很简单,就是过自己喜欢的生活——“如果连自己喜欢的生活都过不上,那赚钱还有什么意义?”

 

所以工作之余,陪伴家人、好友外出游玩,增加人生的不同体验,就成了他所谓的“人生规划”。

 

回忆起有一年冬天去波兰专业机构的城市反恐训练,杨哲把火锅从中国背到了波兰。他们用二锅头与外籍教官举杯,而教官也用波兰当地的美酒回敬了他们。

 

他很喜欢这样的生活,所以他计划今年还要再带队出发,去狠狠地玩,去享受生活。

 

至于其他的,就随风远去吧。

 

人物 | 杨哲:从传统网安到商业反窃密,绝不只是防偷拍

 

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X