网络安全战争里，白帽黑客与攻击者的较量

王海燕++张雷

WannaCry勒索病毒横扫世界，其实起点并不是5月12日，而是4月15日，微软的漏洞利用工具被公告天下时。那一天，行动起来的黑客有两种，一种在准备血洗全世界的网络，另一种试图发出预警阻止战争。虽然勒索病毒事件让国内众多一线网络安全公司股票全线飘红，但对试图阻止战争的黑客来说，战争早就发生了，他们并没有获得胜利。

未被重视的预警

“3月的补丁，4月的预警，早知道的事情……”这是陈宇森在病毒事件爆发一周后发的朋友圈。这句话看起来有“事后诸葛亮”之嫌，但他的确有资格这么说。他的团队早在4月15日就作为国内首家，发出过跟这次事件相关的公开详细预警，他们当时预估，“这次事件影响力堪称网络大地震”。一语成谶。

陈宇森是一家叫长亭科技的网络安全创业公司CEO，4月15日，公司高级安全工程师李昌志在知乎专栏发表了一篇文章“方程式又一波大规模0day攻击泄漏，微软这次要血崩”，称黑客组织“方程式”放出了一批微软漏洞利用工具，所有Windows服务器将暴露在危险之中，堪称“核弹级爆炸”。

方程式据称是美国国家安全局下属的黑客组织，握有大量的顶级网络漏洞利用工具。2016年8月，一个名叫“影子”的黑客组织号称入侵了方程式，盗窃了大量工具，希望公开拍卖，要价100万比特币（价值接近5亿美元）。或许是为了证实自己握有工具，“影子”团队曾陆续放出部分工具作為先声。在拍卖一直无法成功的情况下，“影子”团队放出了更多的漏洞利用工具。

漏洞是一个网络安全术语，指网络硬件和软件的设计缺陷，黑客可以根据这些漏洞，开发出专门的工具，任何人都可以下载这些工具，使用漏洞进行入侵。0day攻击则通常是指使用未知漏洞进行攻击。虽然文章中的部分漏洞，微软已经在3月给出了最新补丁，但是泄露出来的工具生产时间是2011年，之前一直在使用未知漏洞，所以仍然称得上“0day攻击”。而因为工具被公开，对没有及时升级补丁或使用特定端口的所有用户来说，立刻如赤膊现于重炮之下。

关于“影子”团队放出漏洞利用工具的消息，长亭内部是几名实习生最早在Twitter上看到的，时间是4月14日晚上10点左右。因为预感事态严重，公司安全团队连夜组织了员工讨论，一边确认消息的准确性，一边开始组织测试。测试完毕，团队将危害的等级确认为最高，随即写文章在知乎发布。长亭确定危害等级主要是从两个维度，一是危害程度，二是影响范围。而根据长亭团队的经验，国内众多政府机关、国企、高校甚至部分互联网公司依然在使用未升级的老版本Windows，使用的也正是几个易被攻击的端口，需要特别注意。到4月16日，国内还有其他网络安全公司如360也给出了简短的预警信息。

但也许是因为预警太专业，也许是缺乏一线运维安全人员，对包括多所著名高校和部分地方公安在内的网络系统，这些预警信息并没有发挥作用。清华大学计算机安全中心倒是于4月15日贴出过一则“预防攻击、关闭相关端口”的公告，在病毒爆发后的微博和朋友圈里火了一把，成为“为什么要努力考清华”的新梗。

当然，无论长亭还是其他安全公司的预警，都没有提到“病毒”两个字，因为他们也无法预知其他黑客下载这些工具会如何使用，实际上，勒索病毒只利用了那批工具中的一小部分，根据美国网络安全公司Proofpoint的调查，在勒索病毒爆发之前，黑客已经利用这些工具入侵了全球数十万台PC和服务器，远程操控这些设备进行数字货币挖矿，入侵规模可能比勒索病毒更大，只是无人察觉，正如安全圈内流传的那句名言，“互联网世界里，只分被黑过的和不知道自己被黑过的”。

毕竟对普通用户和媒体来说，“漏洞利用工具”是一个陌生的名词，病毒才是可以理解的。在勒索病毒事件爆发之初，甚至有媒体将之冠名为“比特币病毒”，虽然比特币只是黑客要求的支付手段而已。更多的人则将这款病毒与“熊猫烧香”联系起来，看起来，那个屏幕上弹出来的红框和10年前无数人电脑里弹出来的熊猫颇有相似性。

正负面黑客的交手主战场

但勒索病毒和“熊猫烧香”除了名声，几乎没有可比性。熊猫烧香是用蠕虫侵入个人电脑，修改文件，损人不利己，更像一场“事件营销”。勒索病毒却直接指向经济收益，是一门可观的生意。并且，随着以比特币为首匿名支付手段日渐成熟，从2014年开始，这门生意的市场就在持续翻倍增长，目标则逐渐从个人用户向高价值机构用户转移，带来影响更广泛的公共影响。

除了动机不同，勒索病毒与“熊猫烧香”的不同还在于，熊猫烧香是通过用户主动在网站上下载的文档植入计算机并传染，可以预防也可以治理。勒索病毒则是，利用“方程式”已经为攻击者找到并铺好道路的Windows漏洞，横扫所有符合攻击条件的用户，快速传播，直接开启了上帝模式。

陈宇森介绍，挖掘并利用类似的漏洞，也是所有从事网络安全攻防的黑客的核心技能。1992年出生的陈宇森毕业于浙江大学竺可桢学院求是科学班，从大学时代进入网络攻防领域，曾是源自清华大学的著名网络安全技术竞赛和研究团队“蓝莲花战队”的一员。陈宇森的创业公司伙伴也大多来自这个战队。

如果利用病毒入侵网络只需要一个简单程序，那高水平的漏洞挖掘和利用，则需要掌握系统的计算机知识，从编程、汇编到操作系统，以及逆向工程，都要有所涉猎，同时还需要如同排雷手般丰富的经验。虽然媒体经常曝光一些“天才少年”，以后者入侵了大型重要网站为例彰显他们的水平，黑客圈也充斥着各种掌握极大量数据的传奇黑客。但在陈宇森看来，这些人都算不上真正的或者说顶级黑客。

对，和大众的固有印象不同，相比安全人员这个标签，陈宇森更希望称自己是一名黑客。对他来说，黑客应该如同其英文母词“hacker”一样，是对计算机有狂热爱好和深入研究者的中性描述。他引用第一个破解iPhone的著名黑客Geohot的话，说黑客精神的核心是：“我渴望权力，不是针对人的权力，而是针对自然力量和技术目标的权力。我只是想知道这一切是如何运作的。”

在黑客圈内，黑客也有白帽黑客和黑帽黑客之分，两者都会挖掘漏洞，这也是他们交手的主战场。不同的是，白帽黑客将漏洞交予厂商和第三方平台，帮助修复产品;黑帽黑客则利用漏洞获得非法收益。陈宇森也不知道为什么，在中国，黑客直接成了一个负面词语，“有点逼良为娼的意思”。

長亭科技公司高级安全工程师李昌志长亭科技公司首席安全研究员杨坤

长亭的首席安全研究员、还在清华大学就读博士的杨坤，就是一名典型的白帽黑客。他经常带领公司和学校的团队进行各类攻防比赛，挖过模拟漏洞，也挖过真实的互联网产品漏洞，他做得最多的事情是，长时间枯坐在电脑前面，从上百万行代码里面找出开发人员的纰漏。这是一件看起来丝毫不酷的事情，却也是一名黑客走向顶尖高度的必经之路。

通常，一般的大型互联网公司在自己的安全部门，都有负责挖掘漏洞的白帽黑客，同时，无论国内还是国外，都有来自政府、企业和第三方的漏洞平台负责收取白帽黑客们挖掘的漏洞，并给予现金和物质回报。其中如BAT等大型互联网公司，根据对不同漏洞的评估，单个漏洞的收购价格上几万是常事。

只是，和回报巨大的黑色产业比起来，白帽黑客通过挖掘漏洞得到的物质奖励仍然显得单薄。已经关闭的国内漏洞平台乌云负责人方小顿曾将这种差距形容为，“月入一万和日入一万的差距”。陈宇森则认为这个差距还将继续增大。“很简单，连入互联网的东西越来越多了。”有过多年黑客经验的冯梓则提供了另外的信息，“过去一份QQ名单可能几百块就能买到，那时候的黑客不知道这些信息的价值，现在翻10倍也不一定买得到了。”

典型的黑客成长之路

事实上，在网络攻防这条路上，陈宇森和他的团队显得“根正苗红”，即使不创业，团队绝大多数成员都可以顺利拿到国内外著名互联网公司的录取通知书。他们进入安全领域，成为白帽黑客，都是从系统学习和模拟比赛一路打怪晋级，并没有进入黑色产业的动力和推力。但学霸型的黑客只是凤毛麟角，在中国，更多的黑客成长路径并不是这样。

1995年出生，已经有超过5年黑客经验的冯梓，代表了另外一条更典型的黑客成长之路。上高一时，因为打游戏误闯进黑客论坛，他进入了这个领域，一开始是在网上找人学习黑客技术，还交过学费，但对方收了学费后，随便给他些小工具，就消失了。这些小工具只能对别的计算机做一些简单的攻击，黑客圈把这种利用小工具，简单入侵的“菜鸟”称为“脚本小子”。大多数的入门黑客可能都会停留在脚本小子的阶段，不再向前。

冯梓在高二时，因为在学校打架被劝退。回家后，他天天在家里看书琢磨技术，终于有了一些进步。但一开始，除了去攻击其他黑客网站，偶尔参加诸如中越大战这样的国际网络攻击之外，他也不知道运用自己的技术。“也挺无趣的”，他说。他自己教过的徒弟中，有人因为入侵红十字会网站被拘捕。作为黑客，他明白“任何行为都会留下痕迹，踩了红线绝对会被抓的”。

之后，为了学习更多的计算机知识，冯梓去了一所软件学院读软件专业，同时加入了一个叫网络尖刀的大型民间安全组织。和网络尖刀的其他成员一起，冯梓得到一个在修复论坛做兼职的机会，帮一些小网站抵抗黑客攻击，修复网站。当时正在读书的冯梓平均每单收入几百块到几千块，每月能收入1万到2万元。

除了网站修复，冯梓也去乌云上提交漏洞。创办于2011年的乌云曾是国内最大的第三方漏洞平台，可以接收和审核白帽黑客提交的漏洞并发放奖励，同时将漏洞交予国家信息安全漏洞共享平台备案，督促厂商修复漏洞。所有白帽黑客提交的漏洞都会在45天后被公布。这一机制既引起了媒体关注，也督促了很多原来对网络漏洞不闻不问的厂商不得不领回漏洞并修复。

正是在乌云上提交漏洞，让冯梓成了一家旅游类大型互联网公司安全部门的负责人。进入这家公司时，冯梓19岁，是公司技术部门最小且学历最低的员工。和冯梓一样，网络尖刀团队里通过野蛮成长后进入互联网公司，专门负责安全部门的黑客不少。在找到这些白帽黑客之前，这些公司几乎都没有专职的安全人员。

1990年出生的曲子龙是网络尖刀团队的核心创始人和运营人。他坦承，网络尖刀团队是一个备受争议的团队，现有的270多名成员，尤其是早期成员里，大多数都是初高中学历，完全通过自学才从“脚本小子”大军里杀出一条血路，成为更严格意义上的黑客。实际上，在熊猫烧香病毒爆发时，正是中国全民使用黑客工具的时代，但2011年的中越黑客大战后，国内的很多黑客都走向了黑产、甲方公司或创业队伍。网络尖刀团队的许多“95后”成员则是在那次大战后逐渐成长起来的新一代草根黑客。

这样的草根黑客团队，因为做黑产或其他原因消失的不少。对于网络尖刀，曲子龙说：“我不敢说网络尖刀没有成员出过事儿，但是我们没有任何一个人做那种纯大型黑产，或者非常违背道德的事。搞黑客的哪个手都不会干净。”他说网络尖刀能从2008年平稳地发展到现在，是因为团队内部严格的风控系统，比如对成员进行长期监控后才能进入核心团队，建内部舆情系统反查成员，同时配备专业的法务团队，监控成员动向，如果有成员出事了，可以及时跟进处理。

在一家叫SECapability的安全公司做CTO的王侃说得更直白：“国内现在黑白帽子很模糊，白天拿着漏洞平台的奖，晚上卖着数据;白天站在领奖台上一脸校园的稚气，晚上就在KTV左拥右抱。”

黑客去哪儿

作为一个相对松散的线上团队，网络尖刀现在主要以团队的形式与各类企业和单位合作，相对个人黑客，团队可以拿到更敏感的测试项目和更高的回报。但无论团队还是个人，都面临着边界模糊的法律问题。网络尖刀团队遇到过的情况是，曾和国内某大型电商网站合作，得到对方授权后进行渗透测试，却在测试过程中因为碰触到敏感信息出了岔子。曲子龙强调，碰触到敏感信息是为了测试漏洞，当时只验证了动作的可行性后就立即终止了，也向对方上交了测试账号，做了说明。但对方的业务部门还是报案了。

正是这些来自正邪双方的风险和诱惑，让冯梓渐渐淡出了网络安全行业，开始创业做反欺诈相关的项目。对他来说，纯做黑客，无论白帽黑帽，都算不得一条好出路。他有时候也挺担心那些新入行的小孩，来自黑产的诱惑很大，又没什么经验，很容易踩雷。

19岁的郝萌则是另外的原因还在犹豫。和冯梓一样，郝萌也是尖刀团队中的佼佼者，也是上初中时想给游戏开外挂撞进了黑客圈。做了一段时间脚本小子后，开始学Web语言，练习挖漏洞，经常拿到乌云平台的漏洞奖励，高中时一个月最高拿到过3万元，大学时一个月最高拿到过10万元，即使在乌云全站，这个水平也足够引人注目。

因为喜欢挖漏洞，郝萌大学选择了重庆工程学院的软件专业，没有选择信息安全专业的原因是学校没有设置这个专业。他周围没有黑客，老师也不懂网络安全。他去打过CTF比赛，成绩一般，因为他不擅长比赛的套路。目前为止，他只擅长挖Web漏洞，其他类型的漏洞都还在学期起步的阶段。他说自己也不一定会持续做黑客。

但实际上，中国有黑客气质的安全人才又是缺乏的。根据上海交通大学信息安全工程學院院长李建华在2017中国网络安全年会的报告，中国目前平均每年增长的安全人才不过两三万，但总需求量却超过70万，缺口高达95%。李建华还认为勒索病毒背后表明，中国目前极缺源码分析专业人才和一线运维服务的安全人才。

与学院派看法不同的是，曲子龙并不觉得现在到了网络安全市场崛起的风口。从业接近10年，他接触过很多互联网企业，也接触过大量的传统企业和单位。甚至遇到过哭笑不得的案例。某次一个做企业的女士找到他们，签了一个20万元的合同，但具体做什么，并没有说。因为是有朋友介绍的，曲子龙当时就签了。后来才发现，女老板是听说他们是黑客，很神秘，想找他们帮忙调查自己的老公。曲子龙说，虽然互联网企业现在强调的是系统层和代码层的安全，比如系统是否有漏洞，但传统企业和单位仍然只注意到业务安全的层面，比如发生了电信诈骗，能否帮忙溯源。

作为一个民间团队，在乌云平台关闭后，网络尖刀团队的活动比过去少一些，挖到合作伙伴公司的漏洞会提交，一些没有合作公司的漏洞，即使发现了，也可能自己藏着，或者直接回收掉。至于素质不好的人在缺钱的时候，会不会拿去卖给黑产，利用率有多大，曲子龙也说不好。勒索病毒事件发生后，国内一线安全公司的股票通通飘了红，但对曲子龙来说，认准风口的人越多，圈子越混乱，矛盾就会越多。他得等这段混乱的时间过了，再回到市场。

（冯梓、郝萌和王侃均为化名）