网络安全黑白道
2015-09-10徐辉
徐辉
一群技术天才,在时代的洪流下能演绎出怎样的商业化“战争”?
近年有几场全球、全国性运动你也许参加过。
2015年8月,全球最大婚外情网站Ashley Madison有超过10亿用户的信息被黑客组织公布,瞬间引发了全球性的“查出轨运动”。
9月,苹果遭遇XcodeGhost木马攻击,超过1亿用户被黑,牵涉了包括腾讯、网易、滴滴出行、高德地图在内的多家互联网企业,还有12306、联通、同花顺等数十家民生、金融类企业。中国网民们也由此掀起了声势浩大的“改密码运动”。
再往回追溯,2014年由于酒店数据泄露而引发的“查开房运动”,以及京东、支付宝、网易、携程等互联网企业接连遭遇“隐私泄露门”……
活跃在这些“运动”背后的,是一个另类的、常常被忽视的行业江湖。扛起正义大旗、吹响创业号角的白帽黑客,暗中运作黑产谋利的黑帽黑客,以及对漏洞欲遮还掩、把网络安全当作“遭遇战”的企业,交织成了当今复杂的中国互联网安全生态。
这是一个半封闭的圈子,却是一个全球化的、没有边界的产业;这是一场以技术驱动的“战争”,也是一场离我们最近,却最不易觉察的江湖纷争。记者尝试走近这个圈子,从产业的视角来为大家呈现不一样的黑客江湖。
现实世界只有灰度
“我要不是评委我就想抽你了!”周鸿祎当场发飙。但赵伟没有退缩,他从座位上站起来,直直走到了周的面前,惊得主持人赶紧将他拉开。
赵伟是互联网安全创业公司“知道创宇”的联合创始人兼CEO,他在黑客圈里有个更知名的网名叫“IC”。在2011年的这场创业大赛上,他当着周鸿祎的面公开指责360“抄袭并毁了”自己团队的杀毒软件。周鸿祎大怒,双方差点当场干架。
火药味很快被主持人巧言化解。但由这场争执,我们已经可以看到黑客江湖内部分流的三股力量。
以周鸿祎为代表的资本力量,收编了行业内不少顶尖的技术人才,他们主攻大众级的个人用户网络安全市场。
严格来说,周也算不上黑客圈内人。“黑客”本是指的热爱计算机技术且水平高超的电脑玩家,后来逐渐有了“白帽黑客”和“黑帽黑客”的划分,区别就在于黑客把自己高超的技术用在了“白道”还是“黑道”上。
在赵伟所处的白帽黑客圈子里,大家因兴趣而聚集,不少都是自学而成的技术天才,仰望的从来都是技术实力。他们创业的原始动力也并非盈利,而是多少掺杂着一丝“为国为民”的理想主义情怀。
——这不是喊口号,白帽黑客的元老级公司绿盟的创立就为这种情怀定下了基调。
绿盟科技的前身是“绿色兵团”,这个黑客组织成立于1998年,创始人是公认的“中国黑客教父”龚蔚。绿色兵团的论坛有着自己的黑客准则,主张技术共享和互助交流,最不齿的是利用技术攻击别人和以此牟利。包括赵伟在内的中国第一批白帽黑客,基本都在绿色兵团有一席之地。
让他们路见不平一声吼的是爱国情怀。绿色兵团因1998年的印尼排华事件、1999年中国驻南斯拉夫大使馆被炸事件,而向海外发起了攻击,由此几战成名,也宣示了真正意义上的中国黑客崛起。
后来,龚蔚带领兵团成立了上海绿盟公司,尝试让日渐壮大的团队商业化发展。这在无形中带领了中国第一代黑客向网络安全领域的集体转型,也形成了后来白帽黑客的创业模式——一个技术高手领头,带领一群志同道合的小伙伴,为理想而不是为盈利而创业。
资本很快相中了这个标杆性的公司,绿色兵团与投资方合作在北京成立了中联绿盟。但后来双方很快便分道扬镳,绿色兵团也宣布解散,龚蔚在内部BBS上总结说“输在不懂商业”。
这大概是白帽黑客们与商业世界的第一次碰撞,结果不尽如人意。但是,绿盟的成立和发展,至少也为后来的白帽黑客们,提供了一个正规化和产业化的发展方向。
这样的碰撞后来还有很多。比如离开百度创立乌云网的方小顿,比如差点与周鸿祎干架的赵伟。“人与人之间没有01,也没有对错和黑白。”创业多年,赵伟仍然改不掉他的“兵团气”,但他也不得不看清,“现实世界只有灰度。”
不过,这样的碰撞越多,越显示着这个行业的朝气蓬勃。参照国外的网络安全行业,由于技术壁垒的存在,安全产业链上的每个点都是值得深挖的发展空间。因此互联网巨头覆盖面再广,仍然有创业公司们的出头之地。
买网络安全服务就像买保险
黑客可以用技术征服,也可以用理想招揽,但养黑客总归是要钱的。这就是抱着理想创业的白帽黑客们直面的现实问题。
赵伟没有想到,知道创宇的第一次危机,竟是因为他的辞职引起的。赵伟的成长经历很有代表性:幼时自学技术成才,接受过绿色兵团的洗礼,大学读的并非计算机专业,但毕业后直接进入了网络安全公司实习,后来成为美国著名杀毒软件公司“迈克菲”安全实验室的分析科学家。这不但让他收入颇丰,也见识了许多美国的前沿网络安防技术。
2006年,赵伟为了反流氓软件开始创业。最初的团队,也是一个兴趣圈子。创业初期的思路,是做免费杀毒软件。而支撑团队运转的工资,就是他自己的工资。在他为表诚意先行辞职创业之后,团队一下子就入不敷出了——因为中国的网络安全行业,在很长一段时间里是根本没有需求的。差不同一时间,周鸿祎也通过投资奇虎360进入了免费杀毒软件市场。
虽然赵伟团队也看准了行业的发展方向,但他们的基本思路是“为网民造福”,带有理想化的公益性质,这在当时的资本看来是很不可思议的。
赵伟和同事拿着这个方案跑到银行贷款,银行隔壁恰好就是当时卖得火热的江民杀毒软件的门店。银行一位副行长把两个年轻人教育了一番:你们俩傻啊,哪有做杀毒软件免费的?
后来360的崛起搅和得大众消费市场腥风血雨,为了生存,知道创宇转向了企业网络安全市场。他们开发的服务使用了基于云端的技术,但当时国内市场“大家只需要买盒子这样的‘合规产品’。”当时,所谓的网络安全只是政府和国企的“预算需求”,他们需要购买一些合乎规定的硬件产品应付检查,甚至购买回去也不见得会使用。
知道创宇不得不“曲线救国”,生产了一些硬件,后来慢慢做成私有云,再引导成共有云。正是这样的弯路,让赵伟了解到中国网络安全市场的独特需求,也为知道创宇后来接地气的创新提供了灵感。
而那些刚刚接触到互联网的民营企业们,对于网络安全的基本理解就是:“卖杀毒软件的对吧?”杀毒软件和企业网络安全其实是完全不同的两个层面。
杀毒软件主要针对的是大众级市场,比如个人电脑的病毒查杀等,而企业网络安全则是针对企业服务器的。当云服务普及之后,企业网络安全则上升到了更广的层面:在一个没有边界的、立体的“赛博空间”中,企业面临着来自四面八方的完全不可预知的攻击。很多人甚至根本意识不到自己“中枪”了。
当越来越多的企业涉足互联网金融、网络游戏和电商公司,甚至只是把企业信息搬到网上,也就把自己毫无防备地暴露在了赛博空间之中。但哪怕是后来企业信息泄露事件的频繁发生,企业们也更愿意赌两把:自己不会遭遇黑客攻击;如果遭遇攻击了,只要钱没丢就不算大事。
“购买网络安全服务就像买保险,如果不遭遇攻击就等于是白花钱。”网络安全创业公司长亭科技的联合创始人、新生代黑客陈宇森说,需求一直都有,只不过大家并不重视。
而另一个问题在于,这个本应以技术实力对话的行业,首要面对的竞争方式,竟然仍然是价格战。“当时有一家公司要了我们很多产品和服务,我们报价700万元。”赵伟说,谁知另一家小型公司直接报价14万元。对方中标之后却根本拿不出产品,“因为这种成本根本就不可能提供相应的服务。”最后这个项目拖了三年,却始终没能完成。
直到2013年斯诺基事件,网络安全上升到了国家层面,这个行业才算真正为大众所关注。“直到今年,网络安全才算是开了头。”赵伟很心急却也很无奈,因为在白帽黑客熟知的赛博空间中,他们与黑帽黑客的战争早就打响了。
线上幽灵
听说“某某舰队”有成员因为一家知名工业企业的商业间谍案被抓的时候,陈宇森很是吃惊。黑客的圈子并不大,虽然被抓的人他不直接认识,但至少都是“朋友的朋友”。
有时候,连黑客们自己都很难分辨圈子里谁是白谁是黑。因为对技术天才们来说,越界的门槛太低,诱惑又太大。
陈宇森接待过一位来自博彩业的客户,其被“黑吃黑”盗去了几亿元。他怒气冲冲地找到陈宇森,一开口就是1000万元的酬劳,要把对方“黑”回来。“这差不多是我们一年的营业额,但我不想接。怕睡不安稳。”
颇为无奈的是,这也是网络安全行业难以获得公众信任的关键点——谁能确定你们不会监守自盗?白帽们各有各的答案。
随着技术的进步,黑客的攻击也在不断进化。“以前他们是用鱼叉,见一条叉一条,现在是撒网。”赵伟介绍说,如今,“重量级”的漏洞被公布出来的速度越来越快,黑客们利用这种通用漏洞,可以一次性黑掉成千上万的网站,甚至还形成了“黑色产业链”:“有人撒网捕鱼,有人分销变现。”
漏洞,简单来说,就是企业在赛博空间可能存在的缺陷。如何利用漏洞,是白帽与黑帽对抗的关键。
知道创宇通过“加速乐”“创宇盾”等服务企业的产品,利用大数据的方式采集了33万活跃的黑客“指纹”,还分门别类标注了描述标签和威胁等级,只要黑客一行动,很快就能锁定到户。知道创宇曾帮助警方锁定过一名黑帽,此人在入侵北京某高校时被盯上,很快被逮捕,他是一家电脑维修店的老板。赵伟不由感叹:“没想到修电脑比做安全赚钱多了!”
知道创宇还借助媒体力量,联合央视批露了大量与个人安全息息相关的安全漏洞,比如家用摄像头、路由器等,并与百度、腾讯建立了公益性质的“安全联盟”,把自己积累的大数据共享出去为用户鉴定黑白名单:比如用户在使用QQ转发链接时,有些网页被标注了“风险”,这些数据就来自知道创宇。这些数据最后形成了知道创宇独特的“钟馗之眼”,“抓捕网络上的鬼”。这防御,也是一种反击。
赵伟希望以此扭转大众对“白帽黑客”的印象,但“钟馗之眼”也频繁被外界质疑会“被黑客利用造成更大的伤害”。知道创宇看到了漏洞在社会化服务方面可做的贡献,而方小顿则把漏洞做成了沟通渠道。
方小顿网名“剑心”,也是黑客圈子里响当当的白帽。他在大学还没毕业时就找到了一家企业的漏洞,顺势进入了网络安全领域。他后来成为百度的安全架构师,还和百度CEO李彦宏一起上过湖南台的“天天向上”节目。
但他最终离开了百度,“不想只做百度的事,想给更多的企业提供价值。”2010年,方小顿和朋友一起创立了厂商和白帽之间的安全问题反馈平台乌云网,自此,企业们再难安于“遭遇了再说”的网络安全态度。
在黑产的世界里,漏洞就是产品,是可以直接卖钱的,还未公布的漏洞有时可以卖到几十上百万元。方小顿认为,很多白帽找漏洞其实是出于兴趣,或是“炫技”,应该给他们一个展示个人实力的平台,也能让厂商通过乌云来发现自身存在的和可能存在的问题,还能发现新的人才。为双方建立一种平等的交流关系。
通常,乌云会给企业一定的时间让其修复漏洞,超过45天便会向公众公开,也以此促使企业重视。前文里提到京东、支付宝、网易、携程等互联网企业接连遭遇“隐私泄露门”,都是乌云网的手笔。
企业们先是与乌云对抗,到现在,越来越多的企业开始用奖励的方式对待白帽,尽管相比黑产的收益,金额仍然差距悬殊,但“认可是一个很好的开始”。
在打击黑帽、与企业“相爱相杀”求发展的路程中,白帽创客们对商业化的认知也在慢慢成熟。
从商次时代
这是一张“实时作战”地图:在一张平面展开的世界地图上,美国与中国闪烁着无数的亮点。这些亮点由密密麻麻的红色和蓝色线条连接,显示着数据的流动,旁边一个小窗口快速滚动着大量数据。
——这大概是外行人能看懂的,最直观的“黑客对战”了。显示这张“实时作战”地图的显示屏足有一人高,旁边还有两个同样大小但显示不同“视角”对战地图的显示屏,赵伟拿着一个平板电脑站在三个屏幕中间,如同一位战斗指挥官。
他在平板上点击了其中一个点,地图之上弹出一个窗口,显示着一场实时攻击:来自菲律宾和越南的黑客正在攻击国内某网站。
“我们希望通过可视化的方法,让顾客更容易了解互联网安全是怎么回事。”赵伟介绍说。在结合了钟馗之眼、创宇盾、加速乐各个产品建立起“大数据安防生态”之后,他们的下一个创意是可视化的“创宇星图”,毕竟在一个仍处于教育阶段的市场上,更直观地让人们了解公司在做什么更为紧要。
他又点开另一个窗口,一个条形图显示了当下全球各国家和地区对某一漏洞的攻防能力:“反应最快的是新加坡,美国第二,中国的反应速度只排102位……跟中国男足的水平差不多。”
远在大洋彼岸的美国拉斯维加斯,陈宇森所在的“蓝莲花”战队成功入围总决赛,他和队友们坐在赛场中,紧张地注视着电脑,手指不停敲击着键盘。乍看上去,这像是一场游戏竞赛,实际上却是堪称全球互联网安全领域最高级别赛事的“黑客世界杯”。蓝莲花的成员基本都是学生,“我们要真正拿技术出去和世界顶尖黑客比,让他们知道中国黑客并不弱,也能引起政府和公众的关注。”
相较于前一代黑客,陈宇森认为中国网络安防行业的突破口在技术与名声的国际认同上。
而在商业化路上,新生代黑客的思路更加“互联网化”。比如长亭,先以“0元起步”的方式,免费为客户进行漏洞检测,并会出具一份简略的报告展示漏洞情况。如果客户觉得需要进一步的服务,长亭就会提供收费的服务,包括了详细的报告和修复建议,以及复检等。
而乌云网也推出了乌云众测(一种产品上线前的深度安全测试)、唐朝安全巡航(在线安全监测服务)等付费产品。
另外,还有为行业培养人才的i春秋、促进行业交流的世界黑客嘉年华GeekPwn……
环境变得更好了,技术天才们也迈出了商业化的第一步,更值得庆幸的是,理想犹存。