黑客圍獵（下）

丁一鶴

·連載

黑客圍獵
（下）

丁一鶴

超級火焰

鄭文彬發現，藝術家、建筑家、發明家等創造力豐富的族群，似乎特別容易做夢，經常能從睡夢中得到靈感。德國著名的有機化學家凱庫勒，在睡夢中看到一條蛇咬著自己的尾巴旋轉，就提出了由6個碳原子構成的苯環的概念。

做夢，本來，鄭文彬生活中的一種特殊狀態，在一個時期內，卻變成了一種常態。

10年來，鄭文彬每天睡眠時間基本維持在四五個小時之間，只有狀態比較好的時候才能有六七個小時的睡眠，只要差一點點就睡不著。就像時刻盯著前沿陣地防止敵人打冷槍的哨兵，鄭文彬在與黑客的戰斗中，長期處于高強度的精神狀態之下，慢慢把自己修煉成了神經衰弱。

他最大的奢求是能夠多睡一點，但一進入夢鄉，就會有黑客襲來，就會進入夢中的戰場。每次醒來，他都認為睡得很沉，但實際上睡眠質量因為夢的打擾，其實并不好。

夢多了，以至于他經常分不清現實和虛擬世界。

在沒醒來之前，鄭文彬看到的世界，都是程序建造的。他甚至通過每個窗戶，看到窗戶后面所寫的程序代碼。有些程序，冥冥之中仿佛是在夢中完成的。

直到完全醒過來，回到現實世界，他還能夠清晰地回憶起來。在他看來，無論現實世界還是虛擬世界，都是息息相關的，這個世界的一切都是通過程序安排的。

日有所思，夜有所夢。當鄭文彬整天琢磨程序的時候，所有的程序代碼在夢里出現的時候，就變成具象的實物，他眼前的整個世界都是可以自由操縱的數字化世界。

鄭文彬之所以成為業內高手，是因為癡迷，熱愛是成功的要素。沒有深入就沒有深情，沒有深情哪里來的夢幻？

甚至在現實生活里，他都像是在夢游的狀態中。

在360工作的9年時間里，鄭文彬名滿天下，在內部也是神一樣的存在，但他走在四惠橋或者酒仙橋的360總部的樓道里，能認出他的人很少，他所認識的人也極少。事實上，這位360公司的首席工程師，生活中也是很平凡的一個人，他木訥、遲語、憨厚、可愛、不諳世事，可他是黑客江湖中令人聞風喪膽的超級防火墻。

只是在技術上比普通人走得更遠，影響了更多人，比如我們電腦上用的XP盾甲、360云查殺、360云防御都是出自他手。但是在生活中，正如他所說的那樣，只是職業不同而已，其他和普通人并沒有什么不同。也許這個世界上并沒有那么多的不平凡，有的可能只是一份執著追求，一份不懈努力。

9年來，鄭文彬幾乎每天都在與網絡木馬和漏洞過招兒 。同時，鄭文彬也明白，即便能夠主動防御，即便有先進的云查殺系統，即便有難以逾越的防火墻，也無法百分之百阻擋病毒。與病毒制作者你來我往地交手，是一個艱難的博弈過程。

2012年6月2日，全國各大媒體轉載了來自新華社的消息：《席卷全球的“超級火焰” 病毒已入侵中國》。

由新華社發布消息宣布一種病毒的來襲，是前所未有的，可見這種病毒的猖狂與可怕。這則消息稱，政府機構、大型企業一旦感染，將迅速蔓延，面臨機密信息泄露的風險。國外多家網絡安全團隊指出，超級火焰病毒很可能是由某些國家投入大量資金和技術支持而研制的，目的為用于網絡戰爭。

鄭文彬迅速投入超級火焰的阻擊戰中！

鄭文彬研究發現，如果說以往的蠕蟲、木馬等病毒都是小毛賊和江洋大盜，那么，超級火焰這種用于網絡戰爭級別的病毒，就是正規軍，就是戰爭機器，這是令所有網絡安全人員都不寒而栗的。在此之前，伊朗國家計算機緊急情況應對小組發布聲明說：經多月調查，已確認一種名為超級火焰的新型電腦病毒，并且這種病毒可能與伊朗境內部分機構出現的大規模數據丟失事件有關。

超級火焰入侵伊朗、以色列、巴勒斯坦、敘利亞、黎巴嫩、沙特和埃及等中東國家和地區的大量電腦，收集信息情報，已經查明有幾千臺電腦中招兒。位于日內瓦的國際電信聯盟稱，這個病毒超過已知任何一種電腦病毒，是一種危險的間諜工具，世界范圍內受感染電腦數量會更高。

鄭文彬注意到，超級火焰區別于其他木馬程序的主要功能是，超級火焰只收集情報和數據而不進行破壞性攻擊。俄羅斯網絡安全公司卡巴斯基實驗室發言人維塔利·庫柳克介紹：這一病毒呈現木馬病毒和蠕蟲病毒的部分特征，可謂目前結構最復雜的電腦病毒，它的獨特之處在于，普通電腦病毒往往采用精練的編程語言，以達到瘦身隱藏目的。而火焰病毒是一個龐大的程序包，包含20多個模塊，其大小約為20MB。這種病毒不會中斷終端系統，其目的只是收集情報；除了具備普通電腦病毒的數據竊取手段之外，病毒還能記錄來自電腦內置話筒的音頻數據；通過藍牙信號傳遞指令也是火焰病毒罕見的功能。它能啟動被感染電腦的藍牙設備，使它成為攻擊周邊藍牙設備的燈塔。

鄭文彬研究發現，火焰病毒的設計十分復雜，絕非普通開發者能夠獨立完成。而且病毒的攻擊范圍很窄，主要針對企業、學校和科研機構。它既沒有被用來盜取銀行賬號，也有別于黑客常用的工具。

鄭文彬驚奇地發現，火焰病毒借助局域網絡、打印網絡和USB接口等傳播。在北美、歐洲和亞洲等地區，大約有80個服務器被超級火焰操控。這種強大無比的病毒，從復雜程度和功能效力，均超過已知的任何病毒。從規模上看，超級火焰作為一種網絡間諜戰武器，背后必然是一支看不見的黑客軍團。

通俗一點說，超級火焰就像《潛伏》里的余則成，更像執行斬首行動的美軍特種部隊，在悄無聲息中完成諜報行動。

超級火焰引發了各國的恐慌，也引起國與國之間的口水戰。伊朗懷疑以色列參與設計了該病毒，伊朗媒體公開指稱，美國和以色列具備設計“火焰”病毒的能力，利用電腦病毒攻擊伊朗關鍵行業及核設施系統是西方應對伊朗核計劃的手段之一。而以色列分管戰略事務的副總理摩西·亞阿隆則直言不諱地宣稱：“通過超級火焰等電腦病毒發起攻擊等方式阻止伊朗核活動的做法合理。”不過，以色列隨后否認他們與超級火焰病毒有關。

但多數網絡安全技術人員推測，從火焰病毒的復雜結構和廣泛攻擊范圍看，超級火焰背后可能有某國官方機構支持。

對此，中國頂級密碼專家王小云在初步分析超級火焰之后認為，這種間諜級的病毒，用正確的方法開發出來需要8年到10年，而破解它，即便方法正確，也需要8年到10年！

破解超級火焰顯然從時間上已經來不及。唯一可行的辦法就是找到它入侵的漏洞打補丁，阻止超級火焰的入侵！

這是一場事關國家安全、命運的阻擊戰。鄭文彬研究發現了一個有趣的現象，超級火焰病毒竟然采用游戲語言編寫，而且與超人氣游戲“憤怒的小鳥”的語言相同。構成火焰病毒的主文件有很多個，各病毒文件各司其職，共同完成系統入侵和情報收集，一旦感染病毒，就像奇襲白虎團的偵察排一樣，無往不利！一旦發動攻擊，無堅不摧！

更令人膽戰心驚的是，這個病毒早已啟動入侵程序！之所以最近才被網絡安全行業發現，主要因為火焰病毒利用微軟數字簽名欺騙漏洞，偽裝為微軟簽名的文件。

也就是說，即便被火焰病毒入侵并盜走了文件，幾乎所有用戶都茫然不知！

亡羊補牢猶未為晚，必須針對超級火焰病毒拿出解決方案。鄭文彬立即根據病毒特征找到漏洞，360安全衛士在第一時間為全體用戶推送了補丁，保護中國網民的電腦有效“滅火”。360安全衛士建議所有用戶，特別是政府和企業用戶，盡快使用此專殺工具徹底查殺。

與此同時，微軟也已針對漏洞發布了補丁。國內瑞星、金山等多家殺毒廠商同仇敵愾，紛紛推出了自己針對超級火焰的專殺工具。

超級火焰從中國的計算機用戶中盜竊了什么，對中國造成的損害有多大，目前沒有任何機構做出確切統計，實際上也難以統計，因為超級火焰來去無蹤，誰也不知道自己丟過什么。

而在對超級火焰的阻擊戰中，以360為代表的國內各大安全廠商群情激奮、合力阻擊，在第一時間內御敵于國門之外，卻是罕見的同氣連枝。

人機大戰中的東方白帽子軍團

網絡安全的本質是攻防對抗。在網絡安全攻防中，鄭文彬具有一種鉆洞打墻的直覺，就像高手對決時一出手便能分出高下。

簡單來說，只有了解攻擊的方法，才能升級防御的手段，只有開辟接受攻擊的試驗田，才能促進安全防護的水準。

隨著對網絡安全問題研究的深入，鄭文彬開始把視野拓展到國際黑客大賽上。自從2013年360公司組建以鄭文彬為核心的攻防實驗室之后，這支陣容豪華的戰隊躍躍欲試，準備到國際擂臺上一展身手。

Pwn2Own是全世界最著名、獎金最豐厚的黑客大賽，由美國五角大樓網絡安全服務商、惠普旗下TippingPoint的項目組ZDI（Zero Day Initiative）主辦，谷歌、微軟、蘋果等互聯網和軟件巨頭都對比賽提供支持，通過黑客攻擊挑戰來完善自身產品。

這是全球頂級的黑客大賽，也是鄭文彬夢寐以求的戰場！

在2015年3月的Pwn2Own大賽上，鄭文彬率領的團隊名為360 Vulcan Team。

Vulcan是著名科幻電影《星際迷航》里象征著理性和智慧的星球瓦肯星，Vulcan人素以高智商和冷峻的邏輯思考著稱。“生命不息，破解不止”。這是360Vulcan Team所有成員的極致追求。

出戰之前，鄭文彬給自己隊友鼓勁說：“你要了解攻擊者是怎么思考的，如果不懂得攻擊，就不知道如何防護。攻防都是互相影響的。我們之所以參加這個比賽，就是看對手是怎么攻擊我們的，就可以學習到很多技能。當然，我們也要給他們猝不及防的完美攻擊！”

鄭文彬的打法很簡單，斬首行動！就像美軍三角洲特種部隊直取敵人中樞！

首次參賽，360戰隊利用他們獨立發現的多個高危漏洞，僅用時17秒就成功攻破了Win8.1系統和64位IE11瀏覽器，成為賽事歷史上首支拿下IE最高級別瀏覽器的亞洲團隊。

沒有經久不息的掌聲，因為黑客們都是一群極端自負的家伙。面對這支來自東方的白帽子軍團，西方黑客們只有久久合不攏的驚愕下巴。畢竟，在所有網絡安全領域，瀏覽器安全是不可動搖的基石，就像作戰時的指揮部。

鄭文彬戰隊一出手，就端掉并控制了對手的指揮部，不能不令國外同行刮目相看。

大賽主辦方惠普以及多家西方媒體給予360戰隊高度評價，微軟安全專家Gorenc甚至用“令人驚奇”來形容360戰隊的攻擊技術。鄭文彬戰隊被外媒稱為“東方最強白帽子軍團”，成為亞洲唯一可與西方匹敵的安全團隊！

鄭文彬在國際賽場上小試牛刀便大獲全勝。2015年11月6日，在韓國首爾舉行的POC網絡安全大會上，鄭文彬帶領他的安全戰隊再次出戰，利用一個遠程代碼執行漏洞，通過對Edge瀏覽器的沙箱逃逸操作，成功攻破了Windows 10。鄭文彬因此獲得“最重磅黑客獎”，外媒稱，中國超級黑客鄭文彬，再一次讓人難以置信。

2016年3月，鄭文彬帶隊再次出征加拿大，僅用11秒就攻破谷歌機器軍團！

2016年開年之后，人機大戰的消息就從未間斷。谷歌研究開發的人工智能阿爾法以5比0完勝歐洲冠軍、職業圍棋二段樊麾，并在2016年3月向世界最頂尖的圍棋天才李世石發起挑戰。消息一出，全球關注。

人們關注的，實際上是人類存在的價值。

人類在機器程序面前有一個劣勢，在長時間較量后，人類會犯錯，但機器不會。而且人類的運算速度遠遠不如機器，所以從理論上說，機器程序只要經過足夠的訓練，就能擊敗所有的人類選手。

在歷次人機大戰中，人類在電腦面前最終一敗涂地。人們對自身智力的安慰就是，還有變幻莫測的圍棋。畢竟，圍棋是機器難以完全模仿的東方智慧！是上升到哲學層面的智慧！

2016年3月9日至15日，在韓國首爾進行的韓國圍棋九段棋手李世石與人工智能圍棋程序阿爾法之間，進行了五番比賽。最終結果是，谷歌開發的人工智能阿爾法圍棋以總比分4比1戰勝人類代表李世石。

在這次人機大戰中，谷歌完虐李世石。谷歌的技術底氣，來自于他們擁有世界上最多最強的技術專家。

在黑客領域里的技術突破永遠沒有極限，隨時都有可能出現更高的安全難關。但鄭文彬更相信，他和他的團隊還會創造更大奇跡。

兩天之后的3月17日，另一場大賽悄無聲息地進行著。新的一場世界黑客大賽Pwn2Own在加拿大溫哥華舉辦。這次亞洲共有5個代表隊出戰，騰訊派出3個安全團隊，360戰隊依然由鄭文彬帶領，還有韓國一位傳奇的獨行黑客。

鄭文彬帶領的360戰隊，放開其他可以輕松摘取的獎牌，直奔難度系數最高的決賽而去。鄭文彬的打法依然是不與底層部隊交手，直接命中對方神經中樞！

比賽現場，主辦方將一臺經過層層防護的筆記本放在現場指定位置，通過一根網線將筆記本連接到360Vulcan團隊的筆記本上。主辦方用瀏覽器打開Vulcan團隊筆記本上的網頁，Vulcan攻擊11秒后控制了主辦方的電腦。

用時11秒！鄭文彬團隊攻破了本屆賽事難度最大的谷歌Chrome瀏覽器，并成功獲得系統最高權限，控制了瀏覽器。

這是中國安全團隊在Pwn2Own歷史上首次攻破Chrome。

谷歌瀏覽器代表著谷歌安全防御技術的最高水平。除了全球聞名的“黑客天團”以外，谷歌還擁有上千臺服務器以深度挖掘技術對谷歌瀏覽器等產品進行漏洞測試，其計算能力完全不亞于剛剛在圍棋“人機大戰”中戰勝李世石的阿爾法。

同時，谷歌瀏覽器還擁有全球唯一能夠鎖定Windows內核攻擊面的沙箱系統。當沙箱上鎖后，攻擊代碼對外部的資源不再具有訪問權限。谷歌瀏覽器也因此在歷屆Pwn2Own大賽中成為黑客面臨的終極挑戰。最新版的谷歌瀏覽器安全系數相比以往更高，攻破谷歌瀏覽器并獲得系統控制權，幾乎被認為是“不可能完成的任務”。

沙箱是近年興起的一種防范漏洞攻擊最有效的安全技術。如果在電腦中運行危險代碼，會通過沙箱隔離令其不能隨意獲取電腦中的數據和操控權，從而達到保護電腦安全的目的。蘋果的操作系統、谷歌的瀏覽器和360XP盾甲都采用了沙箱技術，以防范未知漏洞的攻擊。目前在國內，只有360在XP上實現了完善的沙箱防護。

也就是說，即使黑客發現新的漏洞，沒有沙箱逃逸技術，也難以利用漏洞侵害360用戶。

由于安全大賽是為了促進各大公司改進自己的產品，所以歷次大賽中被攻破的漏洞詳情并不會對外公布，而是會交給廠商進行修復。所以目前掌握這套漏洞的人，只有 360戰隊和谷歌。

盡管被攻破，但鄭文彬令人驚詫的攻防手段，卻令谷歌團隊贊賞不已。畢竟，360戰隊能夠攻破谷歌瀏覽器漏洞，大大降低了漏洞被外界發現的概率。

谷歌的阿爾法，打敗李世石用了4個小時，而中國黑客戰隊，攻破谷歌瀏覽器只用了11秒。

黑客大賽上東方力量的崛起，已經成了圈子里津津樂道的話題。

這次勝利代表了中國頂尖黑客在國際較量中完虐其他國家的黑客，他們值得擁有歡呼和掌聲。

當然，鄭文彬他們之所以用如此快的速度攻破谷歌瀏覽器，是因為在賽前他們做了充分的研究。在比賽現場，只要把預演的攻擊流程，重新呈現出來就可以了。

鄭文彬團隊當然有他們與眾不同的絕招兒，他發現使用單一的漏洞攻擊很難攻破谷歌瀏覽器，這次攻擊，他使用了4個漏洞的組合攻擊。就像韓信圍住項羽，玩了一場四面楚歌。

從2006年12月進入網絡安全領域，鄭文彬用不足10年的時間，成為國內外知名安全專家，在中國國家信息安全漏洞庫中，有14位特聘專家，鄭文彬是最年輕的一個。在業界，他還有很多稱謂，“國內內核第一人”“驅動神童”“東方最強白帽子軍團核心”。

這次出戰加拿大，中國有4支白帽子軍團出征，騰訊一次就派出3個安全戰隊出戰，中國安全戰隊都獲得了不俗戰績。但只有鄭文彬率領的360戰隊把主要目標鎖定在堅不可摧的谷歌瀏覽器，至于之前的其他項目，則純屬熱身，鄭文彬根本就不屑一顧。

連續兩年，360戰隊都果斷挑戰了世界黑客大賽的最高難度獎項，兩次都為世界奉獻了令人驚艷的表現。在世界舞臺上，證明中國擁有領先的網絡攻防技術實力。

鄭文彬和他的東方白帽子軍團，為何總能創造奇跡？

360戰隊有一句團隊座右銘，或許可以給出最簡潔的答案，那就是“生命不息，破解不止”。

這聽起來，仿佛有點愚公移山的意思。也許一個數字就能說明問題。

很多人眼里的鄭文彬是神童，是天才，但鄭文彬說：哪里有什么天才，你想比別人牛，你就得付出比別人更多的努力和時間，我所有的能力是付出的時間比較多。美國有個作家說過1萬小時定律，不管你做什么，投入一萬小時，就能成為專家。其次是要有細心有耐心，研究任何東西，必須一直跟蹤下去，直到把這個細節核心剝出來。同時，還有責任感的驅使，服務幾億網民，那種英雄主義的榮譽感是無法替代的。

愛好、專注與全身心的投入，這些都是所有人能夠成功的基本要素。但在實踐中，還要善于將奇思妙想付諸實施。鄭文彬并不是人工智能專家，但憑直覺，他認為人工智能可以與安全殺毒結合起來，盡管人工智能不是鄭文彬的特長，但他想到了，然后聯手人工智能專家，把自己的奇思妙想，通過跨界變成了現實。

鄭文彬安全團隊奉行的“1萬個小時”成功哲學，來自于美國作家格拉威爾關于成功學的著作《異數》中的一個重要結論：要成為某個領域的專家，需要在專業上花費1萬小時。

鄭文彬之所以有今天的成功，是每天超過10個小時釘死在電腦面前，按照這個時間計算，他9年時間里足足在電腦前面枯坐了3萬個小時。

鄭文彬對很多人說：“如果你下到了這個功夫，你也可能成為頂級專家！”

成功本來就沒有秘訣，正確的方法加上足夠的時間付出，愚公也能移山！鄭文彬坦言：“在黑客領域永遠存在未知的技術難關，不斷挑戰不可能的極限，才是我們的使命與追求。”

下一步是什么

在很多人看來，鄭文彬像一座壯實的鐵塔，一堵密不透風的防火墻，這一點毫不夸張。當他像推土機或者坦克一樣移動到你面前，憑借經驗你會閃到一邊，與如此孔武有力的人發生肢體沖突可不是什么好事情。

實際上他看似壯碩的身體，因為長期熬夜已經受到嚴重損害。因此我說的不是他的蠻力，而是他裝著無數奇思妙想的碩大腦袋里，下一步會有什么樣的新想法蹦出來。他對產品的苛求，已經上升到美學和藝術的層面，他用程序構筑的網絡世界，提供給我們的不僅僅是一種工具，而是一種藝術。

因此，值得我們追問的是，究竟是什么樣的動力，讓鄭文彬如此追求完美不舍晝夜。

在他面前，成功的定義不是技術創新，而是只有他本人才能完成的登峰造極的攻防藝術。

鄭文彬不論做軟件還是查殺木馬，他的想法簡單又極具顛覆力：不斷創造出一些別人沒有想過的產品，影響他人、改變世界。他說，當一個人朝著自己夢想的方向拼命奔跑的時候，路上的風、天上的雨、身邊的路人，都不再是你的對手，因為此時你的對手只有你自己！

網絡安全攻防，在《黑客帝國》等影視劇里，這個職業充滿了緊張與刺激，但現實中的網絡安全攻防遠沒有那么戲劇性。鄭文彬說：“事實上這個領域里的同行們，99%的人永遠也不會取得成功。”

在漏洞攻擊的過程中，為了找到一處可能存在的漏洞，鄭文彬和他的團隊先后會嘗試幾十種攻擊方法，經常夜以繼日地破解了幾個月，一種攻擊路線在最后的關鍵兩步被證明是不可能的，只好第二天從零開始再找下一種破解方法。如此堅持很長時間，才可能成功攻破一個漏洞，并找到打補丁的方法。

鄭文彬說：“現在看來，當初選擇這個領域是有很大風險的，可能永遠不會取得實質性的成果，我只是對探究未知事物充滿興趣，就像一個淘氣的孩子喜歡去掏鳥窩，至于是掏出鳥蛋還是一條毒蛇并不重要，我享受的是爬樹的過程。”

大量的網絡泄密事件和信息安全事故均與漏洞的存在息息相關。隨著國家對網絡安全問題的認識越來越清晰深刻，鄭文彬的重要性越來越凸顯。為了實現漏洞資源共享，有效降低漏洞風險，2013年，中國信息安全測評中心組建了中國國家信息安全漏洞庫(CNNVD)，開展漏洞分析相關的技術研究。

作為國際頂級安全專家，鄭文彬成為中國國家信息安全漏洞庫14位特聘專家中最年輕的一位。

網絡安全問題至關重要，這不僅關乎個人信息安全，更是國家安全戰略的需要。最令鄭文彬高興的，作為東方最強白帽子軍團的核心，在他和他的同行推動下，國家網絡安全體系正在行業標準化道路上不斷前進。

過去10年間，網絡安全技術經歷了一場深刻的變革。基于特征碼識別的傳統軟件殺毒技術退出歷史舞臺，取而代之的是云查殺。以鄭文彬為代表的東方白帽子軍團，在互聯網技術與互聯網思維的運用中，顛覆、重塑了傳統安全產業的商業模式和技術模式。

不過，當所有人都被網在互聯網之中，網絡普及帶來的是安全形勢的急劇惡化：惡意程序數量爆發式增長與進化，海量的新型網絡攻擊方式威脅著萬物互聯互通的發展，間諜級、軍隊級病毒發動的網絡戰定向攻擊，以及未知的核裂變級別的高級病毒威脅。

下一步是什么呢？

鄭文彬預測，以大數據分析、未知威脅檢測和“云+端+邊界聯動”等為代表的新型安全思維，將成為引領網絡安全發展的潮流。而在下一場新技術變革中，互聯網技術與互聯網思維的交叉碰撞，必將成為網絡安全變革與發展的核心。