[[120968]]

QQ號、信用卡密碼、企業(yè)核心數(shù)據(jù)庫，在地下黑色產(chǎn)業(yè)鏈上，互聯(lián)網(wǎng)上的一切信息都可能成為黑帽子黑客牟利的工具。處于防御姿態(tài)的白帽子黑客在與黑帽子黑客的較量中，贏一次不能算贏，輸一次就永遠(yuǎn)輸了。

“世界上有三種人：一種是被黑過，一種是不知道自己被黑過，還有一種是不承認(rèn)自己被黑過。”

一位穿著灰襯衣黑長褲的年輕人在發(fā)表演講。他中等個(gè)頭、精瘦，略顯緊張地單手插在口袋里。臺(tái)下黑壓壓地坐著三百多人，大多是來自各地的黑客。聽眾們只知道這位年輕人的網(wǎng)名叫“豬豬俠”，他的身份是烏云社區(qū)的頭號白帽子黑客。

在黑客的世界中，黑帽子和白帽子的稱呼分別代表兩種對立的角色——以網(wǎng)絡(luò)信息牟利的惡棍和保護(hù)網(wǎng)絡(luò)安全的英雄。這種說法緣于美國早期西部片以白帽和黑帽區(qū)分正邪雙方。

這是在2014年9月12日烏云首屆安全峰會(huì)上。峰會(huì)的主辦者是國內(nèi)著名第三方安全漏洞平臺(tái)烏云網(wǎng)。烏云網(wǎng)由原百度安全專家方小頓在2010年創(chuàng)建，逐漸成為白帽子黑客的聚集地。他們相當(dāng)于互聯(lián)網(wǎng)的“啄木鳥”，隨時(shí)監(jiān)測各家網(wǎng)站漏洞，發(fā)出警告。

“后來我又想到第四種，就是正在被黑。”“豬豬俠”繼續(xù)用他的南方口音說道。他并非危言聳聽，在講臺(tái)的另一側(cè)，一個(gè)針對現(xiàn)場聽眾手機(jī)的攻擊正在進(jìn)行——至少有3個(gè)人的銀行卡余額、1個(gè)人的股票買賣等隱私信息出現(xiàn)在大會(huì)投影屏幕上。

在由信息流構(gòu)成的網(wǎng)絡(luò)世界中，這樣的攻擊幾乎每時(shí)每刻都在發(fā)生。人們越離不開互聯(lián)網(wǎng)，就越是身處險(xiǎn)境。

在黑客誕生那會(huì)兒，其實(shí)世界不是這個(gè)樣子。“黑客（Hacker）”一詞原指用斧頭砍柴的工人，1960年代這個(gè)詞匯才被引入計(jì)算機(jī)圈。據(jù)《黑客： 電腦時(shí)代的英雄》一書記載，這個(gè)群體起源于1950年代的麻省理工學(xué)院。一群學(xué)生認(rèn)為，信息都是應(yīng)該公開的，可以被平等地獲取。于是，他們闖入了當(dāng)局限制 使用的一個(gè)計(jì)算機(jī)系統(tǒng)。

中國的黑客直到1990年代才露面。他們最初多是破解軟件、用軟盤復(fù)制小軟件開始，第一次集體行動(dòng)則頗具時(shí)代特色：在印尼排華事件后，向印尼政府網(wǎng)站的信箱中發(fā)送垃圾郵件。

最初的理想主義逐漸被金錢的誘惑所取代。在黑帽子隱身的地下世界中，一條買賣信息的產(chǎn)業(yè)鏈業(yè)已形成，并給黑帽子們帶來了巨大利益。烏云創(chuàng)始人方小頓 曾在接受采訪時(shí)稱，可能一個(gè)并不起眼的黑客，某一天你就會(huì)發(fā)現(xiàn)他住上了好房，開起了好車。“目前最強(qiáng)的黑帽子和白帽子的收入差距大概是日薪一萬和月薪一萬 的差距。”

黑帽子的威脅使網(wǎng)絡(luò)安全的市場需求激增。在《信息安全與通信保密》這份專業(yè)雜志的一份報(bào)告中稱，2012年，中國網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模達(dá)到216.40 億元，同比增長20.9%。在A股上市公司中，涉及網(wǎng)絡(luò)安全概念的至少達(dá)12家，這還不包括在美國上市、最高市值達(dá)100億美元的奇虎360公司（紐交所 代碼：QIHU）——這家公司自稱擁有“東半球最強(qiáng)大的白帽子軍團(tuán)”。

在隱秘的戰(zhàn)場上，白帽子和黑帽子的較量早就開始了。他們看不見對方，只能在一次次過招時(shí)才能感受到對方的存在。

“黑白”攻防戰(zhàn)

每一個(gè)“信”就像一頭牛，剝皮，拆骨，切肉，到了早上7點(diǎn)，只剩一攤血污。

[[120969]]

烏云聯(lián)合創(chuàng)始人孟卓，他在烏云上的ID是“瘋狗”。 

在黑客的世界中，黑帽子和白帽子的稱呼分別代表兩種對立的角色——以網(wǎng)絡(luò)信息牟利的惡棍和保護(hù)網(wǎng)絡(luò)安全的英雄。他們看不見對方，只能在一次次過招時(shí)才能感受到對方的存在。

與想象中的魔法世界不同的是，黑白帽子的對抗常常不發(fā)生在同一時(shí)間。奇虎360公司攻防實(shí)驗(yàn)室副主任林偉對南方周末記者說，他們面對的往往是事前的漏洞挖掘，或是黑帽子在事后留下的犯罪現(xiàn)場。

根據(jù)痕跡順藤摸瓜修復(fù)漏洞，甚至找到攻擊者是他們最經(jīng)常的任務(wù)。白帽子同樣可能使用攻擊手段——在入侵者的網(wǎng)頁中植入木馬，當(dāng)其試圖操作時(shí)，定位入侵者。

“漏洞”是雙方攻防的焦點(diǎn)。所謂漏洞，即在網(wǎng)絡(luò)系統(tǒng)中可以被利用的缺陷。黑帽子一旦發(fā)現(xiàn)漏洞，即可迅速展開攻擊。

以“信封號”（即被盜的QQ號）產(chǎn)業(yè)為例。31位曾在微軟、百度、麥肯錫工作過的分析師組成了研究團(tuán)隊(duì)TOMsInsight，他們在一份報(bào)告中描 述了銷贓的全過程：通過發(fā)現(xiàn)漏洞、植入木馬或其他攻擊手段獲得的一組QQ用戶名和密碼稱為一個(gè)“信”，一個(gè)信封就是一萬個(gè)（或者一千個(gè)）信的集合，拿到這 些信息被稱為“取信”。

隨后是“洗信”，將號內(nèi)的Q幣、游戲裝備轉(zhuǎn)移出售，挑出本身就比較值錢的“靚號”。洗過之后，這些“二手信”變成了推送各種消息的絕佳平臺(tái)：群發(fā)廣告、欺詐信息、QQ空間植入廣告。最后，被榨凈的QQ號還會(huì)賣給黑客用來編寫密碼字典。

到了第二天天亮，被盜號的用戶通常會(huì)發(fā)現(xiàn)QQ號被盜，從而修改密碼或者采取安全保護(hù)，讓信封中大量的號失效。所以整個(gè)銷贓的過程都集中在晚上12點(diǎn)至早上7點(diǎn)之間。每一個(gè)“信”就像一頭牛，剝皮，拆骨，切肉，到了早上7點(diǎn)，只剩一攤血污。

黑客的攻擊，常常是通過入侵網(wǎng)站，植入木馬，給廣告商做推廣引流量；盜取QQ號等有價(jià)值的賬號信息；在“黑鏈”中用SEO負(fù)面信息實(shí)行敲詐；更直接 的，通過破解廠商核心數(shù)據(jù)庫，勒索或在網(wǎng)上售賣。企業(yè)的核心代碼、金融信息和積累的巨量用戶數(shù)據(jù)，這些商業(yè)價(jià)值巨大的信息也是黑帽子攻擊的重點(diǎn)。

所有人都清楚，沒有系統(tǒng)是完美不可破的。大多數(shù)安防系統(tǒng)的思路是，提高黑客突破的時(shí)間和技術(shù)成本，從而迫使攻擊者放棄。

處于防御姿態(tài)的白帽子黑客在與黑帽子黑客的較量中，贏一次不能算贏，輸一次就永遠(yuǎn)輸了。“豬豬俠”說，“只要被黑一次，只要被黑客帶走的信息足夠多，下次他依然能夠拿那些以往獲取到的信息，再次黑進(jìn)來”。

在烏云社區(qū)，白帽子們幾乎每時(shí)每刻都在搜索漏洞。“豬豬俠”自己制作了掃描器來搜索一切漏洞，比起辛辛苦苦一個(gè)個(gè)尋找漏洞，他已經(jīng)實(shí)現(xiàn)了自動(dòng)攻擊， 在烏云社區(qū)Rank值（提交的漏洞評分總和）高居第一。“只需要輸入一個(gè)域名，用掃描器掃，不費(fèi)體力。范圍現(xiàn)在是全世界。”他對南方周末記者說。

由于斷了黑帽子的財(cái)路，像烏云、奇虎360這樣的安防公司也成了黑帽子瘋狂攻擊的對象。

“每個(gè)月都有好幾次，這對于烏云這種規(guī)模的網(wǎng)站而言是很不正常的。”烏云聯(lián)合創(chuàng)始人孟卓說，他在烏云上的ID是“瘋狗”，盡管這與他本人的白凈形象相去甚遠(yuǎn)。

奇虎360公司董事長周鴻祎也曾險(xiǎn)遭暗算。有一次，奇虎360內(nèi)部信息安全部門發(fā)現(xiàn)一個(gè)內(nèi)部IP異常——這是一個(gè)訪客接入無線網(wǎng)絡(luò)后，試圖暴力破解 周鴻祎的密碼，以進(jìn)入360的內(nèi)網(wǎng)。由于周鴻祎的賬號即郵箱地址是公開的，一旦密碼被攻破，黑客將獲得進(jìn)入內(nèi)網(wǎng)的權(quán)限，長時(shí)間潛伏也難以發(fā)現(xiàn)，可能觸及的 信息將難以想象。

“我們派出人去跟蹤信號，幾乎就快要抓到了，最后在一個(gè)電梯口跟丟了。”奇虎360的一位內(nèi)部安全專家對南方周末記者說。這件事甚至促使360開始發(fā)展無線安全產(chǎn)品，以補(bǔ)齊無線這一塊短板。

白帽子崛起

在“知乎”上，“如何黑掉知乎”的問題被提出后，他就跟帖貼出了密碼庫的連接密碼和用戶數(shù)據(jù)的信息結(jié)構(gòu)。

360公司一份內(nèi)部PPT顯示，2008年前，安全公司普遍凈利潤低，而在BAT（百度、阿里巴巴、騰訊）等大公司里，安全部門又不是產(chǎn)生價(jià)值的部門，不受重視。

近年來，黑帽子地下產(chǎn)業(yè)鏈的興旺，卻在無形中抬高了白帽子的身價(jià)，這也成了很多黑客躋身白帽子群體的動(dòng)力。一批擁有傳奇故事的ID轉(zhuǎn)換成實(shí)名，出走創(chuàng)業(yè)，或者被印在了各大網(wǎng)絡(luò)公司的員工卡上。

奇虎360董事長周鴻祎甚至親赴外地尋找“網(wǎng)絡(luò)神童”，此前，憑借高薪吸引，他已經(jīng)打造了一支在業(yè)內(nèi)堪稱豪華的團(tuán)隊(duì)。曾被稱為“驅(qū)動(dòng)神童”的 MJ0011（本名鄭文彬）目前任奇虎360首席工程師，他在接受南方周末記者采訪時(shí)兩次提到，“老周很講義氣”。周鴻祎曾在某次部門變動(dòng)時(shí)點(diǎn)名將鄭文彬 留下。

“演講之后，‘豬豬俠’的身價(jià)可能就要超過百萬了”，烏云的一名骨干團(tuán)隊(duì)成員說。

當(dāng)“豬豬俠”演講完后，南方周末記者通過QQ向他提出采訪要求。很快，他就用QQ傳過來一份2013年的南方周末通訊錄截屏，“你應(yīng)該是入職還不到一年吧？去年的通訊錄里沒有你”。

這樣的“炫技”對“豬豬俠”來說已經(jīng)成了一種習(xí)慣。他曾在2013年先后四次嘗試漫游騰訊內(nèi)部網(wǎng)絡(luò)最終成功，四次入侵的連載帖子被眾多白帽子奉為“神作”。他的前輩、騰訊安全的資深黑客lake2也將與他交手的經(jīng)歷寫成文章，作為對自己防御系統(tǒng)的檢討。

他在著名問答社區(qū)“知乎”上有另一個(gè)ID“王音”。在“如何黑掉知乎”的問題被提出后，他就在跟帖上貼出了密碼庫的連接密碼和用戶數(shù)據(jù)的信息結(jié)構(gòu)。

“豬豬俠”的真實(shí)身份依然是個(gè)謎團(tuán)。至少有包括騰訊安全部門的lake2在內(nèi)的三名資深黑客認(rèn)為，“豬豬俠”就是聲名遠(yuǎn)揚(yáng)但從不露面的傳奇黑客“V”。

曾任阿里巴巴高級安全專家的黑客吳翰清2013年在一篇博文中寫到一個(gè)名叫“V”的傳奇黑客，積累了一個(gè)去重后有13億條數(shù)據(jù)的數(shù)據(jù)庫。“每條記錄，都包含了用戶名、密碼、身份證號（社保ID）、手機(jī)號、郵箱、登錄IP等信息，覆蓋了半個(gè)互聯(lián)網(wǎng)。”

“V”在入侵后也從不刪除數(shù)據(jù)或進(jìn)行破壞，也不會(huì)用入侵獲得的成果牟利，“他至今仍恪守著古老的黑客守則，就如同中世紀(jì)的騎士們執(zhí)著于騎士精神一般”。

“豬豬俠”的黑客生涯緣起于一次游戲道具的失竊。初一的時(shí)候，他在盛大傳奇44區(qū)的一個(gè)35級魔法師號被盜。“剛打到一本魔法盾就被盜了，相當(dāng)失落。”時(shí)隔十多年，他仍把這段經(jīng)歷看做自己的恥辱。

魔法盾是游戲中魔法師角色學(xué)習(xí)關(guān)鍵技能的必需道具。而當(dāng)他去搜索引擎中查找相關(guān)資料時(shí)，“木馬”兩個(gè)字出現(xiàn)了。因?yàn)橘~號被盜而失落、無聊，從網(wǎng)游《傳奇》中走出，“豬豬俠”走進(jìn)了一個(gè)更大的游戲場。

叛逆、挑戰(zhàn)、對“突破規(guī)則”的渴望，也幾乎是所有黑客起步的機(jī)緣。如果不是為了繞過網(wǎng)吧的收費(fèi)系統(tǒng)，為了破解父母設(shè)置在電腦上的密碼偷玩游戲，或是為了獲得少量的Q幣，可能許許多多在互聯(lián)網(wǎng)上提交漏洞的白帽子們，還不知此刻會(huì)在何方。

方小頓說，“網(wǎng)絡(luò)安全問題本身就存在于破壞規(guī)范中，處理網(wǎng)絡(luò)安全問題的核心在于不守規(guī)矩。”這些知識(shí)不在傳統(tǒng)的課堂上，相關(guān)專業(yè)也直至近年才出現(xiàn)。

白帽子的世界里，少有科班出身的“網(wǎng)絡(luò)醫(yī)生”，更多的是草莽出身的“屠狗者”，在網(wǎng)絡(luò)世界闖蕩江湖，獲得各自的“魔杖”后，他們選擇戴上了屬于自己的白帽子。吳翰清對南方周末記者說，“以前在阿里巴巴，（安全方面）最核心的人，有一半就是沒有本科學(xué)歷的”。

像“豬豬俠”這樣的白帽子，在烏云平臺(tái)上注冊的有6214名，活躍的超過1000名，足以組建好幾家專注安全的互聯(lián)網(wǎng)公司。其中20名核心白帽子的技術(shù)實(shí)力，可能令任何一家專業(yè)廠商都無法小覷。在不少互聯(lián)網(wǎng)企業(yè)的招聘要求中，在烏云上提交過漏洞，甚至成為一個(gè)前置條件。

在擁有了諸多黑客高手之后，烏云也逐漸有了豐厚回報(bào)。整個(gè)烏云峰會(huì)期間，烏云管理團(tuán)隊(duì)成員楊蔚就不斷地在接電話、回信息，其中不乏“眾測”的業(yè)務(wù)電話。“眾測”是一種由廠商提供產(chǎn)品，由烏云組織白帽子專門為其尋找安全漏洞的眾包生產(chǎn)模式。

楊蔚沒帶名片。“我要是拿100張名片來，肯定早就發(fā)光了。現(xiàn)在眾測排隊(duì)已經(jīng)排到了10月份，一個(gè)月可能有十幾個(gè)項(xiàng)目，總金額也有五六十萬元了。”他的語速極快。

發(fā)現(xiàn)漏洞本身也有了價(jià)格。很多網(wǎng)絡(luò)公司、安防公司會(huì)發(fā)起懸賞，漏洞提交者可能得到不菲的現(xiàn)金獎(jiǎng)勵(lì)。有的漏洞帖子末尾，將會(huì)出現(xiàn)金燦燦的美元符號。在各大廠商每月的“土豪榜”里，依靠提交漏洞而獲得數(shù)萬收入者并不鮮見。

在危險(xiǎn)邊界游弋的灰帽子

絕大多測試在沒有授權(quán)的情況下進(jìn)行。

[[120970]]

參加烏云首屆安全峰會(huì)的13歲小黑客“汪哥”。 （劉志毅/圖）

首屆烏云峰會(huì)結(jié)束后的當(dāng)天晚上，超過百名白帽子聚集在北京798藝術(shù)區(qū)的一家名叫“WOOYUN CLUB”的酒吧里。這是烏云網(wǎng)2014年8月創(chuàng)辦的黑客酒吧，如今只是試營業(yè)狀態(tài)，酒水單都尚未印全。

酒吧玻璃墻上的代碼串和外墻上的涂鴉都來自黑客世界，幾乎每個(gè)名詞都對應(yīng)著一種網(wǎng)絡(luò)攻擊的形式。出入這間酒吧的人，多以網(wǎng)絡(luò)ID示人，酒單上也印著 只有黑客才能看懂的酒名，如“DDoS”這款雞尾酒。“DDoS”是一種常見的流量攻擊方式，以一段時(shí)間內(nèi)占用大量網(wǎng)絡(luò)資源，使服務(wù)器癱瘓為目的。

坐在酒吧里的白帽子在明處，黑帽子在暗處。事實(shí)上，還有一種不黑不白的灰色地帶。

“豬豬俠”在烏云提交的許多漏洞描述中，都會(huì)有一句聲明“未做深入研究”，意即為發(fā)現(xiàn)漏洞點(diǎn)到為止，但并未非法竊取數(shù)據(jù)。這也是大多白帽子在尋找漏洞時(shí)面臨的邊界。廠商在回復(fù)時(shí)，也常加上一句，“請各位白帽子在安全測試中注意遵守國家相關(guān)法律”。

眾多白帽子都覬覦著“豬豬俠”多次祭出的大殺器——漏洞掃描器，希望能夠公開放出。但豬豬俠看起來沒有這樣的打算。顯而易見，保證自己都并非易事，他很難保證每一個(gè)得到“武器”的人，也“不做深入研究”。

吳翰清對南方周末記者表示，根據(jù)刑法新的修正案，未經(jīng)授權(quán)入侵他人計(jì)算機(jī)的行為，都是非法的。烏云也在《信息安全相關(guān)保護(hù)與聲明》中寫道，“白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性，烏云對此不承擔(dān)任何法律責(zé)任”。

事實(shí)是，絕大多測試在沒有授權(quán)的情況下進(jìn)行。眾多的白帽子，行走在無人把守的危險(xiǎn)邊界。

一位烏云白帽子談到黑白帽子的界限時(shí)說，前期分析、獲得漏洞的過程幾乎沒有區(qū)別，“白帽子會(huì)說自己是白帽子，黑帽子從不會(huì)說自己是黑帽子。大家只是最后的利用方式不一樣。”

曾負(fù)責(zé)管理某公司郵箱系統(tǒng)的一位管理員在被報(bào)告漏洞后進(jìn)行了系統(tǒng)修復(fù)，并向白帽子表示感謝。但他不太愿意和黑客們過多接觸，不論黑帽子還是白帽子。他害怕自己的隱私會(huì)無所遁形。

“畢竟是富有攻擊色彩的行業(yè)，（黑客）會(huì)讓人不信任。”奇虎360公司的一位安全專家說。

發(fā)展初期的烏云，在企業(yè)眼中簡直就是個(gè)黑客集中營，這樣的不信任感如同堅(jiān)冰。在企業(yè)眼里，提著自己的漏洞找上門來的，往往不是惡意競爭的同行，就是勒索要錢的黑客。一家大型國企曾要求烏云將自己的漏洞信息刪除，遭拒后，封掉了烏云的流量，后經(jīng)反復(fù)協(xié)調(diào)才重新開通。

事實(shí)上，白帽子和黑帽子的邊界本來就是模糊的。據(jù)多名圈內(nèi)人士印證，許多數(shù)據(jù)庫的漏洞被放出來前，價(jià)值就已幾乎被榨干。一些黑帽子先把黑錢掙了，再改頭換面進(jìn)入企業(yè)、白帽子團(tuán)隊(duì)或是加入烏云平臺(tái)，都是“洗白”的路徑。

大多互聯(lián)網(wǎng)公司用人的一條原則是，決不錄用有黑帽子經(jīng)歷的人。“曾經(jīng)就有案例，一個(gè)知名社交網(wǎng)站錄用了一個(gè)前‘黑帽子’，結(jié)果他在一個(gè)月內(nèi)把系統(tǒng)摸清楚，最后把公司的數(shù)據(jù)庫全拖了。”上述奇虎360公司的安全專家對南方周末記者說。

做過黑帽子的人幾乎不可能再成為白帽子，除非你可以成功隱瞞你的過往——換個(gè)馬甲，在網(wǎng)絡(luò)世界里一切就可以重新來過。

“我們只能看他在烏云平臺(tái)上做了什么，對于過往經(jīng)歷，我們沒有能力，也沒有義務(wù)去全部弄清。”方小頓的想法并不復(fù)雜，“讓好人可以做好人，讓壞人也想來做好人。”

他蓄著長發(fā)與短胡須，看上去更像一個(gè)藝術(shù)家。他的設(shè)想是，讓白帽子們過上干凈且自由的WOOHO（Wooyun Home Office）生活——不論你在哪，只要打開電腦，依靠自己的技術(shù)力量尋找漏洞、提交漏洞，就可以此為生，自在逍遙。

看上去很誘人。但事情的復(fù)雜性在于，整個(gè)網(wǎng)絡(luò)世界都是灰色的，如果有區(qū)別，也只是灰度的不同。方小頓和他的伙伴們承認(rèn)，在“帽子”們的江湖里，這一點(diǎn)也不例外。

本文鏈接：http://www.oschina.net/news/56023/hackers