90后黑客：網絡世界充滿了不安全感

嚴冬雪

315晚會上演示攻破POS機的那家公司，沒有一個人敢用真名收快遞

往來于北京市海淀區學院路甲5號院的快遞小哥不會猜到，他每天敲開的紅色鐵門，喊下來的王一一、陳小明、李大帥，是一群每天與黑客打交道的人。鐵門后的26個年輕人，沒有一個用真實姓名收快遞。

陳宇森就是其中一員。去年8月，陳宇森所在的藍蓮花戰隊，第三次殺入DEFCON CTF總決賽。這是世界上最大的黑客“世界杯”賽事，挑撥著全球黑客們的好勝心，藍蓮花是全球首支殺入決賽的華人隊伍。從2013年開始，藍蓮花兩次取得第五名的好成績。百度總裁張亞勤也放下手中工作，到現場為他們助陣吶喊。

比賽日之外的時間，陳宇森的身份是長亭科技公司總裁。這家成立不到兩年的網絡安全公司攬下了國內安全圈最優秀的一群年輕人，比如，參加2015年CTF大賽的8位藍蓮花隊員中有5位都是長亭員工，包括隊長楊坤。與陳宇森同為隊友兼同事的，除了楊坤，還有朱文雷、劉超和崔勤。2014年7月，陳、楊、朱、劉四人作為聯合創始人，成立了長亭科技。一年后，長亭科技在2015年9月拿到真格基金的600萬元天使投資。

朱文雷親手敲下的幾行代碼，在今年的央視“3.15”晚會上被展現在大眾眼前。晚會展示了這段攻擊代碼的厲害之處：遠程操控某幾款智能攝像頭，不但能看到所拍畫面，還能控制攝像頭方向、角度，自動開啟拍照或錄影；遠程控制某款POS機，只要有人刷卡消費，就能立即復制這次消費，輕擊幾下鍵盤，就能讓這張卡反復在POS機上消費到透支，雖然實體卡仍在卡主手上，但其中的金額卻早就被盜刷一空。

“3.15”晚會上的這段影像其實是一次“原音重現”。去年10月，由騰訊主辦的GeekPwn智能硬件破解大賽上，長亭科技現場展示了三個項目：操控7款智能攝像頭；控制POS機，消費者刷卡時，攻擊者只要掠過他身邊，就能復制出那張卡，竊取密碼；路由器也被完全控制，電腦、手機隱私一覽無余。這三個項目，使長亭成為GeekPwn的大獎得主，取得了32萬元獎金。

“央視用通俗易懂的電視語言，將我們在比賽時的攻擊場景重現了。”陳宇森向《財經天下》周刊解釋，晚會中的安全專家，正是用長亭提供的原始代碼實現了攻擊展示。這段代碼在贏回32萬元獎金后，又意外上鏡。

32萬元，按照目前國內市場價，大概是4單企業安全服務的價碼，但如果是長亭的服務，則只能買兩單。“我們一手拉起了單價。業內同樣的case單價都在10萬以下，我們拉到15萬到20萬。”陳宇森向《財經天下》周刊說。作為向互聯網企業提供安全服務的公司，由于很多客戶本身處在創業階段，安全公司往往無法收取高額費用，安全服務人員的價值長期被嚴重低估。

同樣被嚴重低估的還有國內互聯網安全的重要性。在陳宇森看來，世界上只有兩種人，一種是知道自己被黑了，另一種是被黑了還不知道。中國的中小企業大部分屬于后者——還不知道網絡安全的意義。

兩年的創業經歷更支撐了陳宇森的這一看法：取得企業授權，派出安全工程師從黑客的角度，對企業的所有線上服務進行滲透測試，給出測試報告，并進一步提供漏洞修復服務。攻擊時，一般兩人一組，反復查漏，梳理完畢后輪換下一組，直到對方經受了全方位的攻擊，測試完畢，報告出爐。

結果顯示，陳宇森和同事們幾乎能幫所有客戶發現嚴重漏洞——“嚴重”是一種級別，指的是能直接攻入服務器獲取非常敏感的數據。

作為初創公司，長亭為企業提供的服務直到這一步都是完全免費，如果對方足夠重視，就會購買接下來的收費服務：漏洞修復。但這個模式曾讓長亭科技在創立的第一年非常苦悶：沒人愿意付費。陳宇森發現，這是因為客戶本身沒有錢，原本就帶著不愿付費的動機只想試試。或是都已經融資到了C輪，但因為是to C的公司，覺得用戶隱私安全沒有那么重要，所以還是不愿意付費修復。

現實狀況讓陳宇森和朱文雷及時調整了方向：主攻金融P2P、電商、教育三大領域。他們總結這些企業特點是：離錢近，安全需求高。

去年8月底至今，長亭服務了約60家客戶，三分之一的客戶在拿到漏洞報告后選擇購買付費服務。其中，上述三大領域的客戶幾乎百分百下達付費訂單。

在安全領域，老牌安全公司的主要客戶是政府、大型國企等，客單價在百萬級別，他們不會對互聯網廠商投入太大精力。作為初創公司，無法與老牌企業正面交鋒，長亭便將服務對象定位在互聯網廠商，針對他們提供精細的安全服務。定價方案也與傳統安全企業不同，后者按照工作量計價，長亭則按照服務效果定價，分為高、中、低和免費四檔。前述“嚴重”級別的漏洞，就屬于高檔。高客單價，加上不斷攀升的付費率，使得長亭在創立第二年基本實現了收支平衡。

目前長亭科技一共26人，除了兩位1989年、一位1987年生人，其他均為90后。初創公司的身份使他們難以接到銀行等大客戶。“不是我們水平不夠，而是資質不夠。”為此，他們需要花費時間去接受國家相關部門的培訓，拿到相關證書。

在這群年輕氣盛的極客們看來，培訓老師的水平遠遠不如自己。但在現實面前，他們選擇服從，“畢竟，to B公司的目標就是做大客戶”，陳宇森總結道。

在國外，新興安全公司的壽命一般只有五到六年，隨著技術更新換代，企業更換硬件設備供應商，就會出現新機會，新的細分領域的公司也應運而生。而在中國，這個周期則更短，四五年前成立的那批安全公司，基本都逃不過被控股或收購的命運。

與長亭同期成立的新興安全公司有十來家，大家各自細分領域不同，做法也有差異。作為團隊的老大哥，1989年生人的朱文雷曾與陳宇森商定：我們先在安全領域做5年再說，最多做10年。畢竟，在中國，安全市場還是太小了，在可預見的未來都不會是個太大的市場。現階段，他們追求的是成為同期中最好、最大的一家。

但在未來，他們想涉足的不止安全領域。因為基本功扎實，這群科班出身的年輕人，經常會把人工智能、大數據等技術結合進來，用很多新方法來解決安全問題。2016年新的產品與大動作也在醞釀之中。

他們還想盡量保持低調。“我們不想被太早盯上。不想被挖人、被模仿，也不想被收購。”陳宇森說。他們從未想過被收購，融資時也格外謹慎。

身處安全圈內，同樣謹慎的還有他們的上網作風。他們會用VPN等加密方式聯網，只在手機里裝屬于“剛需”的應用。陳宇森甚至從來不在購物網站保存銀行卡信息，每次購物都會從頭輸入一遍。他也不會點擊“保存密碼”的選項，而是靠著強勁的記憶力輸入復雜的密碼。他的各類密碼也從不重復，他建議自己的父母也這樣做，并告訴他們如果記不住太多密碼，可以手寫在小本上。

在他們眼中，這個網絡世界充滿不安全感。他們從不去掃地推的二維碼，返利等互聯網牟利方式更讓他們退避三舍。輸入姓名和年齡來“算命”等小游戲，他們也不愿沾手。他們手機里還會有虛擬號碼軟件，在自己的真實手機號上套一個小號外殼，陌生人只能通過小號聯系，以杜絕騷擾。他們甚至不會擺出剪刀手來拍照，以防被從照片中提取指紋。

對于這些做法，陳宇森解釋道：“隱私是多維度信息的組合，包括姓名、電話、住址、身份證號等。在網絡上，你的信息組合就代表了你。”