“白帽子”成長記

范英華

后來，張瑞冬通過漏洞搶到一個兩百元的紅包，上面寫著“強哥，補補身子”的留言，他覺得過意不去，又把紅包還給了人家。之后，他在烏云網上提交了這個漏洞

“微信任意用戶密碼修改漏洞”，這是白帽子張瑞冬在測試微信時的一個發現，這個漏洞讓他找到騰訊國際業務部副總裁的微信賬號，并給馬化騰留了言“馬哥，我QQ號碼被盜了，能幫我找回來么？”

“你瞧，互聯網行業的帶頭大哥的安全意識都這么薄弱，可想而知，整個行業的安全生態了。”張瑞冬對《方圓》記者感嘆。

不考高中做黑客

張瑞冬并不是一名科班出身的白帽子。

15歲是大多數的初三學生正在為考取理想的高中而懸梁刺股的年紀。但15歲的張瑞冬所想的卻是“如何成為一名黑客”。他的決定是放棄升入高中，自學黑客技術。這并不是一時沖動，事實上，此時的張瑞冬接觸計算機技術已經四年有余，輟學只是讓他“走得更快”。

如今，25歲的張瑞冬是雙螺旋攻防實驗室負責人、四川大學特聘網絡安全專家。身為“90后”的他接觸黑客技術已經十五年。

張瑞冬出生于內蒙古，家鄉就在草原上。他愛好自由，不愿被束縛的性格也是在這里形成的。

他曾獲得內蒙古奧數的冠軍，在接觸網絡之前他一直是個“優秀學生”。

改變發生在接觸了網絡的那一天?！斑@個虛擬的世界，依然充滿了各種規則和限制，但是在這里，我可以不僅僅是個執行者，我可以去破壞這些規則，去重建規則，去做規則的制定者。這對我充滿了致命誘惑力。”那一年，張瑞冬11歲。

張瑞冬沉浸在網絡帶來的“自由”里。年少輕狂的他在網絡游戲的世界中難以自拔，學習成績直線下降。但是為了證明自己不單單是在“玩游戲”，他很快找到一種酷炫的方式來展示自己——“做了一個自己的網站。”張瑞冬輕描淡寫地說，“很快，我對黑客技術產生濃厚的興趣，并且開始自學黑客知識?！?/p>

在網絡世界和現實面前，他選擇了網絡。2005年，他當著授課老師的面撕碎教科書，初中一畢業就輟學開始從事網絡相關工作。在他看來，“每個人擁有的時間和精力都是相同的，當你選定目標之后，你需要巨大的時間、精力來學習，為了成為一名黑客我愿付出全部的精力?！?/p>

張瑞冬的網名，也有一個蠻有趣的進化過程?？偨侵甑膹埲鸲W名叫作“不哭”，有點小矯情，后來他覺得這個名字太不成熟，于是改成“無淚”，算是“不哭”的升級版。再后來他發現圈內人喜好用英文名，聽起來很高大上，他也要取個英文名提升一下規格。黑客圈有一句話叫做“黑客技術再好，我在你的心里永遠也只是過客。”這說到了他的心坎上，遂直譯為0nly_guest，這個名字一直跟隨他至今。

“網絡仲裁者”

輟學之后，張瑞冬先去網吧當了管理員，他要慢慢地進入黑客圈。時日漸長，在圈里浸淫日久，他結識了一群志同道合的朋友。十年前，一個叫做“網絡仲裁者”的黑客組織小有名氣，這個組織專挖一些違法網站的不法行為，它是由張瑞冬和圈子里的小伙伴兒建立的。他們這些人散布于天南海北，謀職于不同的企業，有安全從業人員，有程序員……但是在網絡世界中他們都以“正義使者”自居，要在網上“懲惡揚善，除暴安良”?！熬W絡仲裁者”的線上活動辦地如火如荼，幾個人興沖沖地搭建論壇、錄教程、寫文章。

“仲裁者”們自恃手握黑客技術的“尚方寶劍”，在網絡上仗劍行俠，重點打擊網絡賭博、兒童色情這類違法網站。“我們當時發現了很多這樣的機構，入侵到一個網站發現賭博、色情的內容，就把這些內容全刪掉。”張瑞冬他們用自己認為正確的方法維護著網絡的正義。然而俠客還沒當過癮，他們就遭到這些違法網站經營者反擊，因為他們的行為觸動了以賭博、色情謀利的地下黑色產業鏈的“奶酪”。持續的攻擊占據了他們論壇的絕大部分流量，他們匆忙應戰，換了好幾個主機商，上了各種硬件防火墻和流量清洗設備，仍然承受不住這種攻擊，沒有主機商愿意再放他們的論壇。不得已，“仲裁者”們聚在一個聊天頻道開了個會，“要低調，不然無法繼續?！边@是他們當時的結論。

“現在想想，當時我們覺得對方做了違法的事情，我們去打擊對方，那我們這個行為當然是正義的。但是當我真正了解法律之后，我發現，就算他做的是違法的事情，我們去入侵他，我們這個入侵行為也是違法的，就像是有一個殺人犯，你把殺人犯殺了，你其實也犯法了?！睆埲鸲瑢Ξ斈甑摹靶袀b仗義”進行了深刻的反思。

最低調的方式莫過于改頭換面，他們改名為“破殼網絡精英小組”，英文名為PKER。寓意是他們愿意像破殼初生的小鳥一樣重新開始，同時也會像小鳥一樣慢慢成長，早晚會展翅高飛。PKER團隊的成員平時各自在自己的城市生活工作，團隊的活動主要是不定期地提供線上的網絡安全培訓，給大家普及安全知識。其間，核心成員走走來來，張瑞冬他們幾度聚合離散。

從進攻的黑客到防護的白帽子

2010年，正在長沙某個大型教育機構擔任技術總監的張瑞冬接到PKER團隊伙伴“來北京”的邀請，沒有任何遲疑，他給就職公司留下一封辭職信，當天就買了到北京的機票。到北京之后，他在某涉密集成商的技術總監崗位上做了一年。這一年，他做了很多大型企業和涉密機構的網絡集成項目，他瘋狂地為自己補充相關知識，這使他對企業的網絡結構、各類網絡設備、安全設備有了系統的認知。他甚至捕獲到了幾個設備的0day漏洞（系統商在知曉并發布相關補丁前就被掌握或者公開的漏洞信息），這些成為他日后從事專職網絡安全工作的良好基礎。

來北京整一年后，可能還是愛自由的天性使然，張瑞冬和當時叫他來北京的小伙伴覺得北京的生活不自由，不適合他們，于是他們又毫不遲疑地辭職走人。這一次，對于將來的生活道路他們進行了認真的選擇，“要找個適合生活的地方長期待下去”，他們相中了“天府之國”成都。

來到成都之后，他們開始召集PKER的核心成員，有兩人響應他們的號召，辭職來到成都?！艾F在還不具備單干的條件，先去專業的安全公司工作吧”是他們當時的共識。他們幾個找了一家當地的安全公司，開始從事專業的網絡安全工作。

之后，他們磨刀練劍，一起交流學習。小團隊也慢慢壯大，所需要的人員和技能也補充完整了，團隊有負責做滲透的、逆向的、開發的、前端安全的……“這時，我們早已不是昔日的小菜鳥了，于是乎PKER團隊更名為PKAV。我們的口號是‘少年，拿起你的鼠標，跟我們一起拯救世界吧?！痹趶埲鸲哉Z間，仍然流淌著原來“仲裁者”們的霸氣。

從PKER到PKAV，張瑞冬又成立了專業的網絡安全咨詢公司——雙螺旋攻防實驗室。雙螺旋攻防實驗室其實就是PKAV，一個團隊兩個名字。曾有媒體告訴張瑞冬，PKAV難以出現在媒體的報道中，只因名字中帶有“AV”，“你知道，中國人對AV很敏感。”張瑞冬笑道。團隊的二哥是生物學博士，腦袋一拍，攻防兼備跟DNA雙螺旋結構相似，干脆就叫雙螺旋攻防實驗室，主攻方向網絡安全防護。

打擊電信詐騙背后的安全公司

網絡江湖闖蕩多年，PKAV積累了不俗的人氣，成立安全公司后，他們的業務有了正規的對外聯絡的端口。PKAV的客戶群遍及政府、公安、軍隊、運營商、金融、能源、教育等領域。

網絡犯罪頻發，PKAV經常需要跟公安打交道，協助警方辦案。他們研制了一套防止電信詐騙的反制平臺。這個平臺實時搜索各個網站，一旦發現某個網站正在進行詐騙，平臺就會自動通知受害者、銀行、警方等相關方，平臺可以實現多維自動化地打擊電信詐騙。張瑞冬舉例說：“相信我們每個人都收到過這樣的手機短信，短信告訴你，你的銀行卡有多少積分，可以兌換什么禮品，然后附帶一個鏈接，當你點擊這個鏈接，那么你就上當了，銀行卡上的錢可能就會不翼而飛，這個平臺會在你點擊鏈接的時候自動把這個鏈接所在的網站信息提取出來，實時通知當地公安機關和銀行，在詐騙未完成的時候就實現有效攔截，大幅度降低詐騙成功率。”

金融行業是網絡安全的“重災區”，張瑞冬說：“金融行業涉及金錢，系統很多安全漏洞被撲滅在系統上線前，但是也并不是毫無破綻?！睆埲鸲浗o一家商業銀行做安全測試，兩個月的時間發現了170多個高危漏洞，其中有將近50個高?？梢灾苯觿拥劫Y金。他向銀行的系統開發人員演示最簡單的時間競爭的漏洞，“你要完成一筆5000塊錢的轉賬，你的賬戶只有5000元，你通過不同的業務處理器問銀行數據庫有沒有5000元，數據庫說有，這時候你用兩臺不同的業務處理器同時轉錢，那么對方就會收到兩筆5000元。因為銀行內部的信息同步是需要時間的，你同時轉賬的話，數據庫同時處理這兩條請求，就會把兩筆錢轉出去，事實上你的賬戶只有5000元。”系統開發人員看完之后冷汗淋漓。

見慣了各種各樣的安全漏洞，張瑞冬對于網絡安全深有感觸：“沒有絕對安全的系統，最大的‘漏洞是往往都是安全意識：廠商的安全意識、用戶的安全意識、全民的安全意識。能夠被利用的往往不是技術壁壘，而是安全意識的薄弱，這個萬物聯網的時代，誰都可能面臨網絡安全的威脅，所以人人都應該意識到其實安全問題就在身邊。”

測試“都在法律范圍內”

文章開頭讓張瑞冬聲名鵲起的微信漏洞事件發生在2012年。

2012年9月4號，張瑞冬在對微信進行常規測試的時候，發現“微信任意用戶密碼修改漏洞”。這個漏洞意味著不需要知道任何人的微信密碼，只需知道賬號，就能登錄任意人的賬戶。

張瑞冬發現這個漏洞之后，為了讓大家知道危害性，就想著要去測試一兩個有分量的人的賬戶。他從網上找了騰訊的員工通訊錄，“這個通訊錄很好找，各大獵頭公司會公布各大網站的員工通訊錄，包括手機號郵箱等等，我當時花了一毛錢下載了這個通訊錄?！?/p>

他在通訊錄中找到騰訊國際業務部副總裁的微信賬號，從他的賬號中找到馬化騰的微信，給馬化騰留了言“馬哥，我QQ號碼被盜了，能幫我找回來么？”他是在凌晨四點給馬哥留的言，這個時間馬哥自然沒給他回復了。之后，為了確認漏洞，“也是因為當時喜歡柳巖，所以我又找到柳巖經紀人的微信號，在他的聯系人中找到柳巖?！?/p>

經過這兩次測試確認漏洞后，他在烏云上發布了這個漏洞，騰訊當天就做出了回應：馬總的微信賬號被破解為誤傳，并無此事。該微信漏洞發現后已經第一時間修復。騰訊公司一直以來對用戶賬號安全非常重視，若您在使用過程中發現有任何問題，也歡迎您第一時間聯系我們。

但張瑞冬又嚴肅地表示：“我的這些行為都是在法律范圍內進行的。這次修改兩個人的賬戶密碼，盡管是為了引起大家的重視，但是也已經算是做得比較過分了。我們跟騰訊的溝通向來很好，有問題提前通知他們，所以沒有出現法律糾紛?！?/p>

對于法律問題，張瑞冬很重視。據他介紹，PKAV內部每月會有一次普法講座，之后員工還要進行考試，確保員工明晰法律的界限，避免發生法律糾紛?！靶袠I內的人經常會把測試和入侵兩個概念混淆，本來你對一個網站做測試，必須要拿到授權，沒拿到授權的話，測試的輕重很難把握，因為不知道下一步測試會不會涉及對方的數據。法律上規定你獲得對方多少組數據就會構成犯罪，但是多數情況下這些人并不知道什么叫獲取，以為我只是看了，但是我沒存，我就沒有犯罪，但是很多情況下，你看的這個過程已經構成犯罪，電腦會在本地進行緩存，留下記錄，這其實已經是犯罪了?！睆埲鸲瑢Ψ梢幎ㄊ质煜?。

退還漏洞搶來的紅包

除去正常的網絡安全工作，張瑞冬很認同自己白帽子的身份，在他看來，白帽子代表的是一種測試手法，目的是幫助企業發現問題。白帽子不會惡意利用計算機系統或網絡系統中的安全漏洞，而是通過提示和公布等方式，促進漏洞的修補。

張瑞冬把每天在互聯網中尋找安全漏洞視為他的樂趣和使命，他尋找漏洞并不是為了獲得經濟利益，更多的是為了提升自己的技術水平，得到別人的認可，最直接的說法就是“我可以找到很多漏洞，你沒找到，我的技術就比你好”。每次發現漏洞的過程都是一件讓他很開心的事，“網易手機郵箱任意密碼重置強行綁定”、“中國建設銀行刷人民幣漏洞”、“交通銀行免費買車漏洞”……他戰績赫赫。他挖掘漏洞是無償的，企業最多給他寄一個代表企業的小公仔玩具，相比這些，成就感是他認為自己獲得的最大的回報。

擁有一流的網絡技術，他有時難免開點小玩笑，但是并不過火。比如“微信紅包隨便領（發家致富奔小康，日薪百萬不是夢）”的漏洞，這個漏洞是別人通過微信發紅包，你跟對方是陌生人，紅包也不是發給你的，但是你通過漏洞就可以領取對方的紅包，在驗證漏洞的過程中，幾毛錢幾塊錢的紅包就這樣搶到了。但是后來，他搶到一個兩百元的紅包，上面寫著“強哥，補補身子”的留言，他覺得過意不去，又把紅包還給人家。之后，他在烏云上提交了這個漏洞。

雖然張瑞冬十分認同自己白帽子的身份，但是對類似于烏云網這樣的漏洞提交平臺是否合法，他卻仍困惑不已，他最大的希望是將來法律能給出清晰的界定和解釋。