網絡安全戰爭里，白帽黑客與攻擊者的較量

王海燕++張雷

WannaCry勒索病毒橫掃世界，其實起點并不是5月12日，而是4月15日，微軟的漏洞利用工具被公告天下時。那一天，行動起來的黑客有兩種，一種在準備血洗全世界的網絡，另一種試圖發出預警阻止戰爭。雖然勒索病毒事件讓國內眾多一線網絡安全公司股票全線飄紅，但對試圖阻止戰爭的黑客來說，戰爭早就發生了，他們并沒有獲得勝利。

未被重視的預警

“3月的補丁，4月的預警，早知道的事情……”這是陳宇森在病毒事件爆發一周后發的朋友圈。這句話看起來有“事后諸葛亮”之嫌，但他的確有資格這么說。他的團隊早在4月15日就作為國內首家，發出過跟這次事件相關的公開詳細預警，他們當時預估，“這次事件影響力堪稱網絡大地震”。一語成讖。

陳宇森是一家叫長亭科技的網絡安全創業公司CEO，4月15日，公司高級安全工程師李昌志在知乎專欄發表了一篇文章“方程式又一波大規模0day攻擊泄漏，微軟這次要血崩”，稱黑客組織“方程式”放出了一批微軟漏洞利用工具，所有Windows服務器將暴露在危險之中，堪稱“核彈級爆炸”。

方程式據稱是美國國家安全局下屬的黑客組織，握有大量的頂級網絡漏洞利用工具。2016年8月，一個名叫“影子”的黑客組織號稱入侵了方程式，盜竊了大量工具，希望公開拍賣，要價100萬比特幣（價值接近5億美元）。或許是為了證實自己握有工具，“影子”團隊曾陸續放出部分工具作為先聲。在拍賣一直無法成功的情況下，“影子”團隊放出了更多的漏洞利用工具。

漏洞是一個網絡安全術語，指網絡硬件和軟件的設計缺陷，黑客可以根據這些漏洞，開發出專門的工具，任何人都可以下載這些工具，使用漏洞進行入侵。0day攻擊則通常是指使用未知漏洞進行攻擊。雖然文章中的部分漏洞，微軟已經在3月給出了最新補丁，但是泄露出來的工具生產時間是2011年，之前一直在使用未知漏洞，所以仍然稱得上“0day攻擊”。而因為工具被公開，對沒有及時升級補丁或使用特定端口的所有用戶來說，立刻如赤膊現于重炮之下。

關于“影子”團隊放出漏洞利用工具的消息，長亭內部是幾名實習生最早在Twitter上看到的，時間是4月14日晚上10點左右。因為預感事態嚴重，公司安全團隊連夜組織了員工討論，一邊確認消息的準確性，一邊開始組織測試。測試完畢，團隊將危害的等級確認為最高，隨即寫文章在知乎發布。長亭確定危害等級主要是從兩個維度，一是危害程度，二是影響范圍。而根據長亭團隊的經驗，國內眾多政府機關、國企、高校甚至部分互聯網公司依然在使用未升級的老版本Windows，使用的也正是幾個易被攻擊的端口，需要特別注意。到4月16日，國內還有其他網絡安全公司如360也給出了簡短的預警信息。

但也許是因為預警太專業，也許是缺乏一線運維安全人員，對包括多所著名高校和部分地方公安在內的網絡系統，這些預警信息并沒有發揮作用。清華大學計算機安全中心倒是于4月15日貼出過一則“預防攻擊、關閉相關端口”的公告，在病毒爆發后的微博和朋友圈里火了一把，成為“為什么要努力考清華”的新梗。

當然，無論長亭還是其他安全公司的預警，都沒有提到“病毒”兩個字，因為他們也無法預知其他黑客下載這些工具會如何使用，實際上，勒索病毒只利用了那批工具中的一小部分，根據美國網絡安全公司Proofpoint的調查，在勒索病毒爆發之前，黑客已經利用這些工具入侵了全球數十萬臺PC和服務器，遠程操控這些設備進行數字貨幣挖礦，入侵規模可能比勒索病毒更大，只是無人察覺，正如安全圈內流傳的那句名言，“互聯網世界里，只分被黑過的和不知道自己被黑過的”。

畢竟對普通用戶和媒體來說，“漏洞利用工具”是一個陌生的名詞，病毒才是可以理解的。在勒索病毒事件爆發之初，甚至有媒體將之冠名為“比特幣病毒”，雖然比特幣只是黑客要求的支付手段而已。更多的人則將這款病毒與“熊貓燒香”聯系起來，看起來，那個屏幕上彈出來的紅框和10年前無數人電腦里彈出來的熊貓頗有相似性。

正負面黑客的交手主戰場

但勒索病毒和“熊貓燒香”除了名聲，幾乎沒有可比性。熊貓燒香是用蠕蟲侵入個人電腦，修改文件，損人不利己，更像一場“事件營銷”。勒索病毒卻直接指向經濟收益，是一門可觀的生意。并且，隨著以比特幣為首匿名支付手段日漸成熟，從2014年開始，這門生意的市場就在持續翻倍增長，目標則逐漸從個人用戶向高價值機構用戶轉移，帶來影響更廣泛的公共影響。

除了動機不同，勒索病毒與“熊貓燒香”的不同還在于，熊貓燒香是通過用戶主動在網站上下載的文檔植入計算機并傳染，可以預防也可以治理。勒索病毒則是，利用“方程式”已經為攻擊者找到并鋪好道路的Windows漏洞，橫掃所有符合攻擊條件的用戶，快速傳播，直接開啟了上帝模式。

陳宇森介紹，挖掘并利用類似的漏洞，也是所有從事網絡安全攻防的黑客的核心技能。1992年出生的陳宇森畢業于浙江大學竺可楨學院求是科學班，從大學時代進入網絡攻防領域，曾是源自清華大學的著名網絡安全技術競賽和研究團隊“藍蓮花戰隊”的一員。陳宇森的創業公司伙伴也大多來自這個戰隊。

如果利用病毒入侵網絡只需要一個簡單程序，那高水平的漏洞挖掘和利用，則需要掌握系統的計算機知識，從編程、匯編到操作系統，以及逆向工程，都要有所涉獵，同時還需要如同排雷手般豐富的經驗。雖然媒體經常曝光一些“天才少年”，以后者入侵了大型重要網站為例彰顯他們的水平，黑客圈也充斥著各種掌握極大量數據的傳奇黑客。但在陳宇森看來，這些人都算不上真正的或者說頂級黑客。

對，和大眾的固有印象不同，相比安全人員這個標簽，陳宇森更希望稱自己是一名黑客。對他來說，黑客應該如同其英文母詞“hacker”一樣，是對計算機有狂熱愛好和深入研究者的中性描述。他引用第一個破解iPhone的著名黑客Geohot的話，說黑客精神的核心是：“我渴望權力，不是針對人的權力，而是針對自然力量和技術目標的權力。我只是想知道這一切是如何運作的。”

在黑客圈內，黑客也有白帽黑客和黑帽黑客之分，兩者都會挖掘漏洞，這也是他們交手的主戰場。不同的是，白帽黑客將漏洞交予廠商和第三方平臺，幫助修復產品;黑帽黑客則利用漏洞獲得非法收益。陳宇森也不知道為什么，在中國，黑客直接成了一個負面詞語，“有點逼良為娼的意思”。

長亭科技公司高級安全工程師李昌志長亭科技公司首席安全研究員楊坤

長亭的首席安全研究員、還在清華大學就讀博士的楊坤，就是一名典型的白帽黑客。他經常帶領公司和學校的團隊進行各類攻防比賽，挖過模擬漏洞，也挖過真實的互聯網產品漏洞，他做得最多的事情是，長時間枯坐在電腦前面，從上百萬行代碼里面找出開發人員的紕漏。這是一件看起來絲毫不酷的事情，卻也是一名黑客走向頂尖高度的必經之路。

通常，一般的大型互聯網公司在自己的安全部門，都有負責挖掘漏洞的白帽黑客，同時，無論國內還是國外，都有來自政府、企業和第三方的漏洞平臺負責收取白帽黑客們挖掘的漏洞，并給予現金和物質回報。其中如BAT等大型互聯網公司，根據對不同漏洞的評估，單個漏洞的收購價格上幾萬是常事。

只是，和回報巨大的黑色產業比起來，白帽黑客通過挖掘漏洞得到的物質獎勵仍然顯得單薄。已經關閉的國內漏洞平臺烏云負責人方小頓曾將這種差距形容為，“月入一萬和日入一萬的差距”。陳宇森則認為這個差距還將繼續增大。“很簡單，連入互聯網的東西越來越多了。”有過多年黑客經驗的馮梓則提供了另外的信息，“過去一份QQ名單可能幾百塊就能買到，那時候的黑客不知道這些信息的價值，現在翻10倍也不一定買得到了。”

典型的黑客成長之路

事實上，在網絡攻防這條路上，陳宇森和他的團隊顯得“根正苗紅”，即使不創業，團隊絕大多數成員都可以順利拿到國內外著名互聯網公司的錄取通知書。他們進入安全領域，成為白帽黑客，都是從系統學習和模擬比賽一路打怪晉級，并沒有進入黑色產業的動力和推力。但學霸型的黑客只是鳳毛麟角，在中國，更多的黑客成長路徑并不是這樣。

1995年出生，已經有超過5年黑客經驗的馮梓，代表了另外一條更典型的黑客成長之路。上高一時，因為打游戲誤闖進黑客論壇，他進入了這個領域，一開始是在網上找人學習黑客技術，還交過學費，但對方收了學費后，隨便給他些小工具，就消失了。這些小工具只能對別的計算機做一些簡單的攻擊，黑客圈把這種利用小工具，簡單入侵的“菜鳥”稱為“腳本小子”。大多數的入門黑客可能都會停留在腳本小子的階段，不再向前。

馮梓在高二時，因為在學校打架被勸退。回家后，他天天在家里看書琢磨技術，終于有了一些進步。但一開始，除了去攻擊其他黑客網站，偶爾參加諸如中越大戰這樣的國際網絡攻擊之外，他也不知道運用自己的技術。“也挺無趣的”，他說。他自己教過的徒弟中，有人因為入侵紅十字會網站被拘捕。作為黑客，他明白“任何行為都會留下痕跡，踩了紅線絕對會被抓的”。

之后，為了學習更多的計算機知識，馮梓去了一所軟件學院讀軟件專業，同時加入了一個叫網絡尖刀的大型民間安全組織。和網絡尖刀的其他成員一起，馮梓得到一個在修復論壇做兼職的機會，幫一些小網站抵抗黑客攻擊，修復網站。當時正在讀書的馮梓平均每單收入幾百塊到幾千塊，每月能收入1萬到2萬元。

除了網站修復，馮梓也去烏云上提交漏洞。創辦于2011年的烏云曾是國內最大的第三方漏洞平臺，可以接收和審核白帽黑客提交的漏洞并發放獎勵，同時將漏洞交予國家信息安全漏洞共享平臺備案，督促廠商修復漏洞。所有白帽黑客提交的漏洞都會在45天后被公布。這一機制既引起了媒體關注，也督促了很多原來對網絡漏洞不聞不問的廠商不得不領回漏洞并修復。

正是在烏云上提交漏洞，讓馮梓成了一家旅游類大型互聯網公司安全部門的負責人。進入這家公司時，馮梓19歲，是公司技術部門最小且學歷最低的員工。和馮梓一樣，網絡尖刀團隊里通過野蠻成長后進入互聯網公司，專門負責安全部門的黑客不少。在找到這些白帽黑客之前，這些公司幾乎都沒有專職的安全人員。

1990年出生的曲子龍是網絡尖刀團隊的核心創始人和運營人。他坦承，網絡尖刀團隊是一個備受爭議的團隊，現有的270多名成員，尤其是早期成員里，大多數都是初高中學歷，完全通過自學才從“腳本小子”大軍里殺出一條血路，成為更嚴格意義上的黑客。實際上，在熊貓燒香病毒爆發時，正是中國全民使用黑客工具的時代，但2011年的中越黑客大戰后，國內的很多黑客都走向了黑產、甲方公司或創業隊伍。網絡尖刀團隊的許多“95后”成員則是在那次大戰后逐漸成長起來的新一代草根黑客。

這樣的草根黑客團隊，因為做黑產或其他原因消失的不少。對于網絡尖刀，曲子龍說：“我不敢說網絡尖刀沒有成員出過事兒，但是我們沒有任何一個人做那種純大型黑產，或者非常違背道德的事。搞黑客的哪個手都不會干凈。”他說網絡尖刀能從2008年平穩地發展到現在，是因為團隊內部嚴格的風控系統，比如對成員進行長期監控后才能進入核心團隊，建內部輿情系統反查成員，同時配備專業的法務團隊，監控成員動向，如果有成員出事了，可以及時跟進處理。

在一家叫SECapability的安全公司做CTO的王侃說得更直白：“國內現在黑白帽子很模糊，白天拿著漏洞平臺的獎，晚上賣著數據;白天站在領獎臺上一臉校園的稚氣，晚上就在KTV左擁右抱。”

黑客去哪兒

作為一個相對松散的線上團隊，網絡尖刀現在主要以團隊的形式與各類企業和單位合作，相對個人黑客，團隊可以拿到更敏感的測試項目和更高的回報。但無論團隊還是個人，都面臨著邊界模糊的法律問題。網絡尖刀團隊遇到過的情況是，曾和國內某大型電商網站合作，得到對方授權后進行滲透測試，卻在測試過程中因為碰觸到敏感信息出了岔子。曲子龍強調，碰觸到敏感信息是為了測試漏洞，當時只驗證了動作的可行性后就立即終止了，也向對方上交了測試賬號，做了說明。但對方的業務部門還是報案了。

正是這些來自正邪雙方的風險和誘惑，讓馮梓漸漸淡出了網絡安全行業，開始創業做反欺詐相關的項目。對他來說，純做黑客，無論白帽黑帽，都算不得一條好出路。他有時候也挺擔心那些新入行的小孩，來自黑產的誘惑很大，又沒什么經驗，很容易踩雷。

19歲的郝萌則是另外的原因還在猶豫。和馮梓一樣，郝萌也是尖刀團隊中的佼佼者，也是上初中時想給游戲開外掛撞進了黑客圈。做了一段時間腳本小子后，開始學Web語言，練習挖漏洞，經常拿到烏云平臺的漏洞獎勵，高中時一個月最高拿到過3萬元，大學時一個月最高拿到過10萬元，即使在烏云全站，這個水平也足夠引人注目。

因為喜歡挖漏洞，郝萌大學選擇了重慶工程學院的軟件專業，沒有選擇信息安全專業的原因是學校沒有設置這個專業。他周圍沒有黑客，老師也不懂網絡安全。他去打過CTF比賽，成績一般，因為他不擅長比賽的套路。目前為止，他只擅長挖Web漏洞，其他類型的漏洞都還在學期起步的階段。他說自己也不一定會持續做黑客。

但實際上，中國有黑客氣質的安全人才又是缺乏的。根據上海交通大學信息安全工程學院院長李建華在2017中國網絡安全年會的報告，中國目前平均每年增長的安全人才不過兩三萬，但總需求量卻超過70萬，缺口高達95%。李建華還認為勒索病毒背后表明，中國目前極缺源碼分析專業人才和一線運維服務的安全人才。

與學院派看法不同的是，曲子龍并不覺得現在到了網絡安全市場崛起的風口。從業接近10年，他接觸過很多互聯網企業，也接觸過大量的傳統企業和單位。甚至遇到過哭笑不得的案例。某次一個做企業的女士找到他們，簽了一個20萬元的合同，但具體做什么，并沒有說。因為是有朋友介紹的，曲子龍當時就簽了。后來才發現，女老板是聽說他們是黑客，很神秘，想找他們幫忙調查自己的老公。曲子龍說，雖然互聯網企業現在強調的是系統層和代碼層的安全，比如系統是否有漏洞，但傳統企業和單位仍然只注意到業務安全的層面，比如發生了電信詐騙，能否幫忙溯源。

作為一個民間團隊，在烏云平臺關閉后，網絡尖刀團隊的活動比過去少一些，挖到合作伙伴公司的漏洞會提交，一些沒有合作公司的漏洞，即使發現了，也可能自己藏著，或者直接回收掉。至于素質不好的人在缺錢的時候，會不會拿去賣給黑產，利用率有多大，曲子龍也說不好。勒索病毒事件發生后，國內一線安全公司的股票通通飄了紅，但對曲子龍來說，認準風口的人越多，圈子越混亂，矛盾就會越多。他得等這段混亂的時間過了，再回到市場。

（馮梓、郝萌和王侃均為化名）