一群技術天才,在時代的洪流下能演繹出怎樣的商業化“戰爭”?
近年有幾場全球、全國性運動你也許參加過。
2015年8月,全球最大婚外情網站Ashley Madison有超過10億用戶的信息被黑客組織公布,瞬間引發了全球性的“查出軌運動”。
9月,蘋果遭遇XcodeGhost木馬攻擊,超過1億用戶被黑,牽涉了包括騰訊、網易、滴滴出行、高德地圖在內的多家互聯網企業,還有12306、聯通、同花順等數十家民生、金融類企業。中國網民們也由此掀起了聲勢浩大的“改密碼運動”。
再往回追溯,2014年由于酒店數據泄露而引發的“查開房運動”,以及京東、支付寶、網易、攜程等互聯網企業接連遭遇“隱私泄露門”……
活躍在這些“運動”背后的,是一個另類的、常常被忽視的行業江湖。扛起正義大旗、吹響創業號角的白帽黑客,暗中運作黑產謀利的黑帽黑客,以及對漏洞欲遮還掩、把網絡安全當作“遭遇戰”的企業,交織成了當今復雜的中國互聯網安全生態。
這是一個半封閉的圈子,卻是一個全球化的、沒有邊界的產業;這是一場以技術驅動的“戰爭”,也是一場離我們最近,卻最不易覺察的江湖紛爭。記者嘗試走近這個圈子,從產業的視角來為大家呈現不一樣的黑客江湖。
現實世界只有灰度
“我要不是評委我就想抽你了!”周鴻祎當場發飆。但趙偉沒有退縮,他從座位上站起來,直直走到了周的面前,驚得主持人趕緊將他拉開。
趙偉是互聯網安全創業公司“知道創宇”的聯合創始人兼CEO,他在黑客圈里有個更知名的網名叫“IC”。在2011年的這場創業大賽上,他當著周鴻祎的面公開指責360“抄襲并毀了”自己團隊的殺毒軟件。周鴻祎大怒,雙方差點當場干架。
火藥味很快被主持人巧言化解。但由這場爭執,我們已經可以看到黑客江湖內部分流的三股力量。
以周鴻祎為代表的資本力量,收編了行業內不少頂尖的技術人才,他們主攻大眾級的個人用戶網絡安全市場。
嚴格來說,周也算不上黑客圈內人。“黑客”本是指的熱愛計算機技術且水平高超的電腦玩家,后來逐漸有了“白帽黑客”和“黑帽黑客”的劃分,區別就在于黑客把自己高超的技術用在了“白道”還是“黑道”上。
在趙偉所處的白帽黑客圈子里,大家因興趣而聚集,不少都是自學而成的技術天才,仰望的從來都是技術實力。他們創業的原始動力也并非盈利,而是多少摻雜著一絲“為國為民”的理想主義情懷。
——這不是喊口號,白帽黑客的元老級公司綠盟的創立就為這種情懷定下了基調。
綠盟科技的前身是“綠色兵團”,這個黑客組織成立于1998年,創始人是公認的“中國黑客教父”龔蔚。綠色兵團的論壇有著自己的黑客準則,主張技術共享和互助交流,最不齒的是利用技術攻擊別人和以此牟利。包括趙偉在內的中國第一批白帽黑客,基本都在綠色兵團有一席之地。
讓他們路見不平一聲吼的是愛國情懷。綠色兵團因1998年的印尼排華事件、1999年中國駐南斯拉夫大使館被炸事件,而向海外發起了攻擊,由此幾戰成名,也宣示了真正意義上的中國黑客崛起。
后來,龔蔚帶領兵團成立了上海綠盟公司,嘗試讓日漸壯大的團隊商業化發展。這在無形中帶領了中國第一代黑客向網絡安全領域的集體轉型,也形成了后來白帽黑客的創業模式——一個技術高手領頭,帶領一群志同道合的小伙伴,為理想而不是為盈利而創業。
資本很快相中了這個標桿性的公司,綠色兵團與投資方合作在北京成立了中聯綠盟。但后來雙方很快便分道揚鑣,綠色兵團也宣布解散,龔蔚在內部BBS上總結說“輸在不懂商業”。
這大概是白帽黑客們與商業世界的第一次碰撞,結果不盡如人意。但是,綠盟的成立和發展,至少也為后來的白帽黑客們,提供了一個正規化和產業化的發展方向。
這樣的碰撞后來還有很多。比如離開百度創立烏云網的方小頓,比如差點與周鴻祎干架的趙偉。“人與人之間沒有01,也沒有對錯和黑白。”創業多年,趙偉仍然改不掉他的“兵團氣”,但他也不得不看清,“現實世界只有灰度。”
不過,這樣的碰撞越多,越顯示著這個行業的朝氣蓬勃。參照國外的網絡安全行業,由于技術壁壘的存在,安全產業鏈上的每個點都是值得深挖的發展空間。因此互聯網巨頭覆蓋面再廣,仍然有創業公司們的出頭之地。
買網絡安全服務就像買保險
黑客可以用技術征服,也可以用理想招攬,但養黑客總歸是要錢的。這就是抱著理想創業的白帽黑客們直面的現實問題。
趙偉沒有想到,知道創宇的第一次危機,竟是因為他的辭職引起的。趙偉的成長經歷很有代表性:幼時自學技術成才,接受過綠色兵團的洗禮,大學讀的并非計算機專業,但畢業后直接進入了網絡安全公司實習,后來成為美國著名殺毒軟件公司“邁克菲”安全實驗室的分析科學家。這不但讓他收入頗豐,也見識了許多美國的前沿網絡安防技術。
2006年,趙偉為了反流氓軟件開始創業。最初的團隊,也是一個興趣圈子。創業初期的思路,是做免費殺毒軟件。而支撐團隊運轉的工資,就是他自己的工資。在他為表誠意先行辭職創業之后,團隊一下子就入不敷出了——因為中國的網絡安全行業,在很長一段時間里是根本沒有需求的。差不同一時間,周鴻祎也通過投資奇虎360進入了免費殺毒軟件市場。
雖然趙偉團隊也看準了行業的發展方向,但他們的基本思路是“為網民造福”,帶有理想化的公益性質,這在當時的資本看來是很不可思議的。
趙偉和同事拿著這個方案跑到銀行貸款,銀行隔壁恰好就是當時賣得火熱的江民殺毒軟件的門店。銀行一位副行長把兩個年輕人教育了一番:你們倆傻啊,哪有做殺毒軟件免費的?
后來360的崛起攪和得大眾消費市場腥風血雨,為了生存,知道創宇轉向了企業網絡安全市場。他們開發的服務使用了基于云端的技術,但當時國內市場“大家只需要買盒子這樣的‘合規產品’。”當時,所謂的網絡安全只是政府和國企的“預算需求”,他們需要購買一些合乎規定的硬件產品應付檢查,甚至購買回去也不見得會使用。
知道創宇不得不“曲線救國”,生產了一些硬件,后來慢慢做成私有云,再引導成共有云。正是這樣的彎路,讓趙偉了解到中國網絡安全市場的獨特需求,也為知道創宇后來接地氣的創新提供了靈感。
而那些剛剛接觸到互聯網的民營企業們,對于網絡安全的基本理解就是:“賣殺毒軟件的對吧?”殺毒軟件和企業網絡安全其實是完全不同的兩個層面。
殺毒軟件主要針對的是大眾級市場,比如個人電腦的病毒查殺等,而企業網絡安全則是針對企業服務器的。當云服務普及之后,企業網絡安全則上升到了更廣的層面:在一個沒有邊界的、立體的“賽博空間”中,企業面臨著來自四面八方的完全不可預知的攻擊。很多人甚至根本意識不到自己“中槍”了。
當越來越多的企業涉足互聯網金融、網絡游戲和電商公司,甚至只是把企業信息搬到網上,也就把自己毫無防備地暴露在了賽博空間之中。但哪怕是后來企業信息泄露事件的頻繁發生,企業們也更愿意賭兩把:自己不會遭遇黑客攻擊;如果遭遇攻擊了,只要錢沒丟就不算大事。
“購買網絡安全服務就像買保險,如果不遭遇攻擊就等于是白花錢。”網絡安全創業公司長亭科技的聯合創始人、新生代黑客陳宇森說,需求一直都有,只不過大家并不重視。
而另一個問題在于,這個本應以技術實力對話的行業,首要面對的競爭方式,竟然仍然是價格戰。“當時有一家公司要了我們很多產品和服務,我們報價700萬元。”趙偉說,誰知另一家小型公司直接報價14萬元。對方中標之后卻根本拿不出產品,“因為這種成本根本就不可能提供相應的服務。”最后這個項目拖了三年,卻始終沒能完成。
直到2013年斯諾基事件,網絡安全上升到了國家層面,這個行業才算真正為大眾所關注。“直到今年,網絡安全才算是開了頭。”趙偉很心急卻也很無奈,因為在白帽黑客熟知的賽博空間中,他們與黑帽黑客的戰爭早就打響了。
線上幽靈
聽說“某某艦隊”有成員因為一家知名工業企業的商業間諜案被抓的時候,陳宇森很是吃驚。黑客的圈子并不大,雖然被抓的人他不直接認識,但至少都是“朋友的朋友”。
有時候,連黑客們自己都很難分辨圈子里誰是白誰是黑。因為對技術天才們來說,越界的門檻太低,誘惑又太大。
陳宇森接待過一位來自博彩業的客戶,其被“黑吃黑”盜去了幾億元。他怒氣沖沖地找到陳宇森,一開口就是1000萬元的酬勞,要把對方“黑”回來。“這差不多是我們一年的營業額,但我不想接。怕睡不安穩。”
頗為無奈的是,這也是網絡安全行業難以獲得公眾信任的關鍵點——誰能確定你們不會監守自盜?白帽們各有各的答案。
隨著技術的進步,黑客的攻擊也在不斷進化。“以前他們是用魚叉,見一條叉一條,現在是撒網。”趙偉介紹說,如今,“重量級”的漏洞被公布出來的速度越來越快,黑客們利用這種通用漏洞,可以一次性黑掉成千上萬的網站,甚至還形成了“黑色產業鏈”:“有人撒網捕魚,有人分銷變現。”
漏洞,簡單來說,就是企業在賽博空間可能存在的缺陷。如何利用漏洞,是白帽與黑帽對抗的關鍵。
知道創宇通過“加速樂”“創宇盾”等服務企業的產品,利用大數據的方式采集了33萬活躍的黑客“指紋”,還分門別類標注了描述標簽和威脅等級,只要黑客一行動,很快就能鎖定到戶。知道創宇曾幫助警方鎖定過一名黑帽,此人在入侵北京某高校時被盯上,很快被逮捕,他是一家電腦維修店的老板。趙偉不由感嘆:“沒想到修電腦比做安全賺錢多了!”
知道創宇還借助媒體力量,聯合央視批露了大量與個人安全息息相關的安全漏洞,比如家用攝像頭、路由器等,并與百度、騰訊建立了公益性質的“安全聯盟”,把自己積累的大數據共享出去為用戶鑒定黑白名單:比如用戶在使用QQ轉發鏈接時,有些網頁被標注了“風險”,這些數據就來自知道創宇。這些數據最后形成了知道創宇獨特的“鐘馗之眼”,“抓捕網絡上的鬼”。這防御,也是一種反擊。
趙偉希望以此扭轉大眾對“白帽黑客”的印象,但“鐘馗之眼”也頻繁被外界質疑會“被黑客利用造成更大的傷害”。知道創宇看到了漏洞在社會化服務方面可做的貢獻,而方小頓則把漏洞做成了溝通渠道。
方小頓網名“劍心”,也是黑客圈子里響當當的白帽。他在大學還沒畢業時就找到了一家企業的漏洞,順勢進入了網絡安全領域。他后來成為百度的安全架構師,還和百度CEO李彥宏一起上過湖南臺的“天天向上”節目。
但他最終離開了百度,“不想只做百度的事,想給更多的企業提供價值。”2010年,方小頓和朋友一起創立了廠商和白帽之間的安全問題反饋平臺烏云網,自此,企業們再難安于“遭遇了再說”的網絡安全態度。
在黑產的世界里,漏洞就是產品,是可以直接賣錢的,還未公布的漏洞有時可以賣到幾十上百萬元。方小頓認為,很多白帽找漏洞其實是出于興趣,或是“炫技”,應該給他們一個展示個人實力的平臺,也能讓廠商通過烏云來發現自身存在的和可能存在的問題,還能發現新的人才。為雙方建立一種平等的交流關系。
通常,烏云會給企業一定的時間讓其修復漏洞,超過45天便會向公眾公開,也以此促使企業重視。前文里提到京東、支付寶、網易、攜程等互聯網企業接連遭遇“隱私泄露門”,都是烏云網的手筆。
企業們先是與烏云對抗,到現在,越來越多的企業開始用獎勵的方式對待白帽,盡管相比黑產的收益,金額仍然差距懸殊,但“認可是一個很好的開始”。
在打擊黑帽、與企業“相愛相殺”求發展的路程中,白帽創客們對商業化的認知也在慢慢成熟。
從商次時代
這是一張“實時作戰”地圖:在一張平面展開的世界地圖上,美國與中國閃爍著無數的亮點。這些亮點由密密麻麻的紅色和藍色線條連接,顯示著數據的流動,旁邊一個小窗口快速滾動著大量數據。
——這大概是外行人能看懂的,最直觀的“黑客對戰”了。顯示這張“實時作戰”地圖的顯示屏足有一人高,旁邊還有兩個同樣大小但顯示不同“視角”對戰地圖的顯示屏,趙偉拿著一個平板電腦站在三個屏幕中間,如同一位戰斗指揮官。
他在平板上點擊了其中一個點,地圖之上彈出一個窗口,顯示著一場實時攻擊:來自菲律賓和越南的黑客正在攻擊國內某網站。
“我們希望通過可視化的方法,讓顧客更容易了解互聯網安全是怎么回事。”趙偉介紹說。在結合了鐘馗之眼、創宇盾、加速樂各個產品建立起“大數據安防生態”之后,他們的下一個創意是可視化的“創宇星圖”,畢竟在一個仍處于教育階段的市場上,更直觀地讓人們了解公司在做什么更為緊要。
他又點開另一個窗口,一個條形圖顯示了當下全球各國家和地區對某一漏洞的攻防能力:“反應最快的是新加坡,美國第二,中國的反應速度只排102位……跟中國男足的水平差不多。”
遠在大洋彼岸的美國拉斯維加斯,陳宇森所在的“藍蓮花”戰隊成功入圍總決賽,他和隊友們坐在賽場中,緊張地注視著電腦,手指不停敲擊著鍵盤。乍看上去,這像是一場游戲競賽,實際上卻是堪稱全球互聯網安全領域最高級別賽事的“黑客世界杯”。藍蓮花的成員基本都是學生,“我們要真正拿技術出去和世界頂尖黑客比,讓他們知道中國黑客并不弱,也能引起政府和公眾的關注。”
相較于前一代黑客,陳宇森認為中國網絡安防行業的突破口在技術與名聲的國際認同上。
而在商業化路上,新生代黑客的思路更加“互聯網化”。比如長亭,先以“0元起步”的方式,免費為客戶進行漏洞檢測,并會出具一份簡略的報告展示漏洞情況。如果客戶覺得需要進一步的服務,長亭就會提供收費的服務,包括了詳細的報告和修復建議,以及復檢等。
而烏云網也推出了烏云眾測(一種產品上線前的深度安全測試)、唐朝安全巡航(在線安全監測服務)等付費產品。
另外,還有為行業培養人才的i春秋、促進行業交流的世界黑客嘉年華GeekPwn……
環境變得更好了,技術天才們也邁出了商業化的第一步,更值得慶幸的是,理想猶存。
京公網安備 11010502049343號