白帽群侠传_参考网

白帽群侠传

2017-01-11吴俊宇

南都周刊 2017年1期

吴俊宇

多数时候，黑客所从事的行为是破坏性的、反社会的，但白帽子恰恰是自发制约黑客的一群人。但他们一直游走在法律的灰色边缘，虽然给自己加了白帽子的光辉，但黑白本相间，除了天知地知己知外，谁又道得清说得白？

10月24日的GeekPwn大会（极棒）上，一个个“黑客”向观众们展示他们如何让插座发微博、用鼻子解锁手机指纹密码等一系列不可思议的场景。

说起“黑客”二字，大多数人会想起的应该是制造“熊猫烧香”“蠕虫病毒”的一群“电脑高手”。但对于麦香浓郁、Chu以及他们背后的FlappyPig战队而言，“黑客”这个词显得有些过时。他们更愿意用“搞网络安全的”这种称谓来形容自己。如果要用更准确的词来形容这个自己，那就是“白帽子黑客”。

这是一群技术高超的白帽子，也是一群90后技术怪咖。

1024

GeekPwn是国内顶尖信息安全团队碁震（KEEN）以及腾讯玄武实验室举办的。在国内被誉为“白帽子黑客奥运会”。每年GeekPwn大会上，都会有国内外互联网安全领域的大牛进行技术展示。麦香浓郁、Chu、Joker三位队员组成的FlappyPig战队，在GeekPwn上拿下了跨次元CTF（Capture The Flag，字面意为夺棋）大赛的冠军。

“白帽子”是和黑客相对应的一个词。多数时候，黑客所从事的行为是破坏性的、反社会的，但白帽子恰恰是自发制约黑客的一群人。白帽子做的事情主要是主动去发现和报告网络安全问题，把问题交给企业，让企业修复问题。

GeekPwn选在10月24日这天是有深意的，因为1024早已经成为了程序员们的节日。这个节日是从硬盘存储的容量中延伸而来的，因为1024M=1GB，谐音为“一级棒”。再加上程序员们大多是单身狗，爱逛草榴这样的情色社区，早期草榴新手“每隔1024秒才能发帖一次”，所以网友们常常用1024这样的暗号形容某个资源“一级棒”。1024这个数字在经历一系列的演绎之后，逐渐成了一整套黑话系统。

GeekPwn拆开来看的话，是Geek和Pwn的合成词，其中Geek来源于美国俚语，被用于形容对计算机和网络技术有狂热兴趣并投入大量时间钻研并到登峰造极的一群人，在国内被译为“极客”。而“Pwn”是黑客语法的俚语词，发音类似“砰”，意为成功实施黑客攻击的声音——“砰“的一声，被“黑”的电脑或手机就被操纵了，指攻破设备或者系统。

当天的跨次元CTF（Capture The Flag，字面解释为夺棋，指网络安全技术竞赛）大赛，被主办方称作是“以代码对抗其他战队，争夺无人机控制权，在数字世界与物理世界的较量”。

主办方在赛前用极度夸张而科幻的语言向观众介绍游戏规则——2XXX年某区四国为了争夺稀缺的生存资源，四国攻防精英都被召集参加此次胜利或灭亡的战斗，开始了飞机争夺战。各队均可破解其他队所拥有的基地，攻破后可获得该队的飞机控制权并轰炸任意一个基地。

主办方甚至还在户外草坪上真的准备了四台无人机以及各色彩球，每当发起攻击时，无人机都会摇摇晃晃载着彩球投向所谓的“基地”。现场大屏幕对户外草坪进行同步直播。

游戏介绍看起来奇幻无比，似乎是一场非常激烈的对抗赛。但现场的压抑和沉闷却让气氛枯燥到了极点，全场昏昏沉沉，不少记者都离席外出透风，不少观众也打开手机，不断切换各个APP消磨时间。

这场持续一个半小时的代码大战中，四支战队的十二位队员眼睛直勾勾地盯着笔记本电脑，一边迅速敲击键盘写下代码，一边和队友窃窃私语。有些队员甚至额头上冒着细细密密的小汗珠，逐渐汇成大汗珠掉下来，溅落在演示台上。

舞台上唯一的看点在于舞台电子屏幕上的四台无人机。无人机时不时飞进其他战队领空，投下彩色的小球，“轰炸”对手的基地。只有这个时候观众们才会放下手机，不明所以地发出尖叫声。

经历了一个半小时的鏖战后，FlappyPig战队以大比分优势取得胜利。这场胜利纯属意料之中。因为在更正规的XCTF国际网络安全技术对抗联赛2015-2016年积分榜上，FlappyPig战队位居第二，仅比排名第一的“国立台湾大学”的217战队低5分，领先第三名50多分。

几乎所有观众和媒体都以为舞台上四支战队是通过代码侵入其他战队的无人机，真的是用这种方式控制无人机，“轰炸”其他战队。

事实并非如此，这场比赛本身就是枯燥的。赛后麦香浓郁解释，当天的比赛只是分别给了四支战队四道有关网络安全的题目，每当解答出一道题目时，可以选择攻击其他三个战队，解题和无人机没有任何关系，无人机的存在仅仅只是为了照顾舞台效果。

当我吐槽这一个半小时真难熬的时候，麦香浓郁却轻飘飘地说了一句，这场比赛够轻松了，舞台效果也不错，正规的XCTF国际网络安全技术对抗联赛持续48个小时，要做Web渗透和防护、二进制服务漏洞挖掘利用与修补、系统防护和攻击分析之类的任务，除去睡觉和讨论的时间，经常一口气打十几个小时，中途饿了就随便吃点薯片填肚子甚至不吃不喝。

麦香浓郁给我看了几张记录FlappyPig战队在CTF联赛的照片，赛场上每人一台电脑、一张桌子。桌子上放着泡面、薯片、可乐、咖啡、矿泉水，活脱脱像个临时搭建起的小卖铺。

叫我代号

FlappyPig战队是在去年8月成立的，和参加XCTF联赛的其他队伍大多以一所学校为单位不同，他们是纯自发建立的跨高校战队。

麦香浓郁和chu还在上大四，但他们的FlappyPig战队却在国内顶尖信息安全大赛中多次折桂。战队里12位还在象牙塔的队员大多已经提前进入国内知名互联网公司的安全岗位。

战队队长代号叫bibi。bibi 说这个战队的名字来源于两个款游戏，一款是FlappyBird，另一款则是愤怒的小鸟。FlappyPig拿愤怒的小鸟里的捣蛋猪作为原型，加上翅膀，直接变成了自家的队徽，寓意为“笨猪先飞”。

bibi是某军校的研究生，出身于军人家庭，高中时开始接触网络信息安全。大学期间，bibi就专攻信息工程。每每参加联赛，他都是匿名参战。当被问起有关学校的相关信息时，bibi显得有些讳莫如深，他笑称，“本来我是不能接受采访的。”事后，我点开bibi的微博发现，仅有的两条状态都早已被删除，而bibi的QQ空间也处于未开通的状态。

事实上，每当问起真实姓名，以Chu为代表的队员们大多会犹豫一秒回答道，“你就叫我的代号吧，这是圈内的习惯。”

麦香浓郁是个特例，他是FlappyPig战队中唯一一个文科背景出身的队员，12位队员中，也只有他的代号是中文。11月10日，他把自己的微博从麦香浓郁改成了MMMxny。他自嘲称，之前的名字太不利于我的国际化发展道路了。

麦香浓郁和Chu都是高中时期就开始接触网络安全技术。高一那年，他们接触到了《黑客防线》《黑客X档案》这样的杂志，在激发兴趣爱好之后，时常浸泡在和相关的黑客论坛中钻研技术。这段经历让他逐渐了解到了黑客的职业方向，发展学习路线，还结交了一批起步早的大牛。

用Chu的话来说，圈子里80%的人都是这样，中学阶段积累起了兴趣爱好，凭借着对技术的一腔热血便在其中不断钻研，逐渐自学成才。事实上，自学成才是这个“高智商”群体的普遍现象。

麦香浓郁和Chu之后发展路径完全不同。一个是完全放养，一个则是科班出身。

高中文理分科时，麦香浓郁并没有因为对网络安全的喜爱选择理科，反而为了能有时间钻研技术而选择了文科。别人评价他是“智商过剩”，而用他的话来说，“文科好考大学，还能结余时间用来发展兴趣爱好。“高考那年，麦香浓郁填报志愿时，前三个志愿都和历史相关，在他规划中，他未来会从事考古事业。但阴差阳错间，他在本科阶段所学的电子商务专业不但和历史无关，和网络安全更是相距甚远。

麦香浓郁在大学期间走上了“三不管”的道路，全凭对网络安全的兴趣自由发展，在大学期间系统性了解网络安全相关知识，慢慢走上正轨。

Chu的自学成才之路同样充满了曲折，高三那年他考上西安电子科技大学，但因为身体问题被迫休学一年。休学那年，他选择了在家钻研技术。2014年12月，等他休学结束回到学校的时候，西安电子科技大学成立了网络与信息安全学院。这个学院在铁血论坛上常常被不少“中华田园军事专家”称作是“培养中国黑客部队”的地方。

所谓“培养中国黑客部队”的说法来源于《纽约时报》在2015年1月6日的一则报道。当时报道称，该学院成立表明，网络安全已成为中国政府和军队越来越重要的学科领域。今天回想起这则新闻，Chu的脸上至今还充斥着不屑的神情，在他看来，“培养中国黑客部队”的说法“纯属扯淡”，但他恰恰是在这个时候以安全技能排名第一的成绩进入了这一学院。

如果说麦香浓郁和Chu还算是“圈子里80%的人”，那么FlappyPig战队的Jarvis则是属于另外20%的人，Jarvis被队长bibi誉为是战队的杀手锏。

2014年7月17日，奇虎360举办的Syscan 360安全会议上，安全研究人员称特斯拉电动汽车Model S存在安全漏洞。当时Jarvis和他的同伴正是发现这一安全漏洞的人。Jarvis通过逆向破解手机应用、无线射频等方式远程控制了那辆Model S，并成功启动车辆。当时，Jarvis刚上研一，是在场最年轻的参赛选手。

2000年，Jarvis小学三年级时便开始接触到电脑，和所有同龄人一样，他沉迷于游戏。家里电脑没有联网，当时优盘也没有普及，他就去同学家，把游戏拷贝进软盘之中，偷偷带回家里。父母为了管束他，给电脑设置上了开机密码，而他寻找各种方式破解开机密码方式。

在道高一尺魔高一丈的攻防战之中，父母最后妥协寻找到了一个新的出口，让他学习编程。他通过自己阅读书籍，参加编程的兴趣班逐渐构建起了自己的知识体系，随后在初中、高中的经历中，Jarvis从一开始参加一些编程大赛到后来参加网络安全竞赛，逐渐为今天的白帽子之路打下了基础。

一群怪咖

自学成才之后的白帽子总是会做一些在常人眼里很“怪咖”的事情。但其实，这帮“怪咖”就是一群简单纯粹的热爱技术的极客。

当时还是小学生的Jarvis经常自己写各类小游戏，并且给同学测试，在自己能写出游戏的情况下，他对游戏越来越不感兴趣，对技术的钻研反而成为了更大的乐趣。

在QQ还需要付费注册的时代，还在上小学五年级的Jarvis就开始琢磨着要自制一款可以取代QQ的产品，在他看来，QQ的用户体验太差，而且还需要花钱，他要做一款“不需要注册，不需要登录，只需要打开网页就可以聊天”的聊天室。

当时他自制的这款聊天室简陋到只能发文字，不能点对点私聊，只能所有人在一个房间里公开聊天，而且也没有昵称的标注，在发言前还需要自己自报身份。当时这个聊天室网站汇集了Jarvis的亲人、同学、同学家长以及一些因口碑传播慕名而来的人，最高时同时在线人数达到100人以上，人数多时，界面就会卡顿严重。

Jarvis现在回忆这个产品，至今觉得有些神奇。这些往事也被FlappyPig战队的其他成员编成了段子——这届小学生不行，只知道玩王者荣耀。

Jarvis的“极客范儿”后来愈演愈烈，成为了一种趋近“变态”的个性。上大学时，他为了在同学间炫技，给自己的电脑装上了一款名为Gentoo的操作系统，在这个系统上，所有软件都需要编译才能使用，他甚至只能在这个操作系统上使用网页版的QQ。他的手机也是当时在极客圈里很流行的Nexus4，因为可以用上原生的安卓系统。

无论是电脑还是手机都给他的日常生活带来了很多不便，而他的乐趣来源于如何解决这些不便，并且在解决不便之后能在同学面前“装逼”，在他当时看来，“电脑、手机越难用越好，越复杂越装逼。”

不过，在研究生阶段，这位怪咖经历了一次创业，这次在互联网医疗领域的创业对他的改变是彻底的。过去他沉迷技术，不爱与人沟通，但在创业之后，他逐渐变得健谈，也越来越感受到，产品简单即是好用，这位“怪咖”也逐渐回归现实生活。

提起Jarvis时，麦香浓郁不止一次感慨，“这才是真正的大神。”和Jarvis一样，麦香浓郁同样也是一个把技术融入生活乐趣的人。麦香浓郁租住在西安科技大学附近的小区内，第一次踏进他的房间便可看见，门口摆满了各色参赛证和奖杯，而在书桌旁边有两个箱子，一个箱子里堆满了零食，里面大半都是辣条，另一个箱子则是堆满了玩偶，里面有哆啦A梦、长草颜团子等很萌的动漫形象。

他看到我对这两个箱子感兴趣时，显得有些忸怩，他自嘲说，“这都是从腾讯和360的安全平台上提交漏洞换来的。很便宜，挖一个比较低级的漏洞，就能换一大袋，开心嘛！”

麦香浓郁所说的安全平台其实指的是腾讯安全应急响应中心和360补天平台这两个白帽子们经常活跃的平台。白帽子们常常会去寻找各个网站和平台的网络系统漏洞，在寻找到漏洞后提交到这两个安全平台上，安全平台会视安全漏洞的严重程度奖励白帽子部分积分，在平台的积分商城中，白帽子们可以用积分兑换现金或者其他礼品。

Chu在休学那年也经常在各个安全平台上积极提交漏洞，短短几个月的时间内，他就挖到了10个QQ空间的安全漏洞。回忆起当时挖掘漏洞、提交漏洞的心情，Chu至今还觉得有些激动，“当时提交完漏洞后，总是会强迫症一般登录网站看漏洞有没有通过审核。”

Chu算了一笔账，当时他在短短三四个月内陆陆续续挖了20余个漏洞，以每个漏洞800-1000元的现金奖励计算，他很快就拿到了2万余元的收入。用Chu的话来说，“生活品位明显上来，原来喝不起5块钱的牛奶，现在能买一箱了。“不过，白花花的现金收入并没有给Chu带来过多精神上的刺激，他自我评价这段经历为，“年纪小，想赚点零花钱，也想把自己学到的东西实践一下。”

对很多同龄的“半吊子”白帽子而言，挖漏洞很容易上瘾，因为一个漏洞对应着一笔收入，真金白银的很诱人，很多略通技术的学生可以利用自己掌握的知识不断重复使用，专攻一些小厂商的漏洞，这种方式一年可以收入十几万甚至数十万元。

但在Chu的眼中，这种做法单是为了钱，对自己的成长不利，“为什么不去做一些更好玩的事情呢？”

攻防之间

Chu边咬手指甲边抽烟，和我谈起了一本名为《我是个算命先生》的小说。这本带有封建迷信色彩的小说讲述了一个82岁的算命老先生如何解密算命背后的江湖猫腻的故事。书中有这样一句话：看的是面相，算的是八字，捕捉的是问卦人脸上不断闪烁的欲望：贪婪、虚荣、妒忌、恐惧、傲慢。

他很信奉这句话，在他看来，算命其实就是在利用人的心理漏洞来步步突破心理防线，在网络安全领域其实也是如此，绝对的技术攻破难度比较大、时间比较长，但利用人性的漏洞其实是最捷径的做法。

Chu曾经多次对国内互联网巨头的内网进行渗透测试。有两次测试都仅仅花了不到两个小时，就攻破了一家手机厂商、一家购物平台的内网。Chu每次都是通过以客服人员为目标，通过假装售后维权的方式，诱骗客服人员点击植入了木马病毒的链接，最终侵入了对方的内网。“人是最薄弱的点，我直接从人入手”，说起这两次渗透经历，Chu显得很平静。

但是，Chu所做的渗透试验其实在现在的法律中是空白，用知乎用户“律匠Matt”的话来说，白帽子是网络世界的蝙蝠侠，目前主流网络服务商都有专门的部门来接收白帽子的网络漏洞，甚至还向白帽子支付奖金，表彰那些为自己挖到漏洞的白帽子。但白帽子一直游走在法律的灰色边缘，其工作属性要求不可避免地需进入互联网网站，并和黑客使用同样的工具软件，查看、分析、提取、测试数据，从而发现网站漏洞。这一系列的动作其实早已是悬在白帽子头上的达摩克利斯之剑，随时会落下。虽然给自己加了白帽子的光辉，但黑白本相间，除了天知地知己知外，谁又道得清说得白？

矛盾很多时候来源于两个方面。事实上，部分白帽子就在黑白之间自由转换，一方面为厂商寻找漏洞，另一方面在寻找到漏洞的同时顺手牵羊拿走机密数据。很多重视网络安全、尊重白帽子生态的互联网大厂对白帽子的态度比较开明，但对于一部分被发现漏洞的厂商而言，不仅讳疾忌医，更是担心机密数据被盗。特别是银行、保险行业，出于公众舆论和信息安全的考虑，更是忌讳白帽子。恰恰如此，白帽子在挖漏洞的时候很容易在黑白之间被扣上非法侵入计算机信息系统的罪名。