来源:http://blog.bullog.org/2016/04/blog-post.html
江金涛穿着粉红色的上装和白色西裤来北京出差,女朋友要求他今年不能再穿“奇装异服”了——反正他自己买的衣服都是奇装异服。他们计划在6月把结婚证办了。江金涛今年29岁,创办了一家网络安全公司,名字叫Sobug。此外,他是一名黑客。
现在,他习惯了人们直呼他的大名“江金涛”,但放在前几年,就连跟他走得最近的人也未必知道他姓甚名谁,只知道他的ID:冷焰。
直到2011年,“冷焰”变成了“江金涛”,走到了阳光下。那一年,他入职腾讯,成为一名网络安全工程师;两年后,被深圳湾的一缕夕阳触动,他决定创业,从众包测试网络安全入手,想为这个行业做点什么。
像冷焰这样的黑客,也被很多人称为“白帽子”,即网络安全从业者。黑与白,是他们人生的两面。一个是前世,一个是今生;一个是隐秘世界里的快意和踌躇,一个是大庭广众下的使命与荣耀。而真正的他们,栖居在黑白交错的光影里。
冷焰和他的朋友——影子、伤心的鱼和白嘎力们,发迹于黑客圈的“前社交网络时代”,尽管不及更早的前辈wushi、yuange、TK和冰河等黑客知名,但毕竟也曾在黑客圈获得过不可替代的江湖地位;他们做过“黑产”,也替国家做过事;他们挣过大钱,也曾困顿不知如何自处;他们享受当“暗黑破坏神”的快意,也希望网络安全能变成阳光下的生意。
资深IT从业者曹政曾在一篇文章里写道:“黑客其实并不神秘,他们背后也有领导,有决策者,有利益诉求,有价值观,有禁区,有法律和道德的约束。”
电影《无间道1》里,刘德华饰演了一名黑社会安插在警方内部的卧底,但是被梁朝伟饰演的警方卧底发现了身份。生死关头,刘德华一半真诚一半无奈地跟梁朝伟说:“我以前没得选,现在我想做一个好人。”
暗黑破坏神
回武汉之前路过北京,与一些在网上神交已久的其他黑客见面。一位ID是“小志”的黑客招待他去一所大学旁边的夜总会KTV,“学生妹,随便摸!”,花钱不眨眼。这让刚挣完辛苦费的冷焰大开眼界,“我操吓傻了,那会儿都是小孩子,哪儿见过这个”
现在,在北京出差的冷焰要想住四星级酒店“放松一下”,就不得不先忍几天的二星级以平衡差旅开销。作为Sobug的创始人,他必须得替自己的公司算账:招一个网络安全实习生的成本就是每月8000元人民币。像360这样的大型安全公司,支付给1-3年经验的安全工程师的月薪大约在26000元。
乌云漏洞平台的创始人方小顿(ID:剑心)发出警告,安全行业目前普遍浮躁,薪资虚高。
对冷焰这样的网络安全创业者来说,运营一家公司的成本压力越来越大。但在5年或更久远的时间以前,黑客和网络安全还都是冷门。
在2010年之前,从任何一个角度看,网络安全都没有得到应有的重视。中国互联网用户对网络安全事件的认识,只能从传统的盗窃概念理解——“盗窃虚拟财产”,而刑法当中也没有相应的条款来准确定罪量刑。
“没有什么问题是刷钻解决不了的,三钻不行就加个靓号。”冷焰读书的时候就用黑客技术帮同学搞定了许多事。他说,这给他带来了一种最原始的成就感。
做“黑产”来钱快且容易,早年的法律法规也不健全。许多活跃且深藏绝技的黑客或多或少地都挣过“黑产”的钱。
2008年大一暑假,冷焰在内蒙古跟着黑客前辈Goodwill做完一个安全项目,挣了四五千块钱。回武汉之前路过北京,与一些在网上神交已久的其他黑客见面。一位ID是“小志”的黑客招待他去一所大学旁边的夜总会KTV,“学生妹,随便摸!”,花钱不眨眼。这让刚挣完辛苦费的冷焰大开眼界,“我操吓傻了,那会儿都是小孩子,哪儿见过这个”。
在学校里待了不久,冷焰去上海一家中型互联网公司做安全工程师,在本职工作之外短时间地参与了一个私密的黑产团队,接过一些项目,丰收的一个月可以赚十万块。
现在360安全应急响应中心(SRC)担任负责人白嘎力,读大学的时候边自学边跟着前辈做项目,做一次可以赚不到一万,算得上算不上黑产他自己也不清楚,但对2009年的大学生来说,一个月生活费才几百块钱,一万元已经是天文数字,做几个项目就把四年的学费加生活费都挣到手了。
“那会儿心态真的不一样了,你也不用学习,你也不用工作,我觉得很好啊,一天还可以赚多少多少钱。”刚开始挣到钱,白嘎力就计算一天挣了多少,这样的话一个月就能挣多少,一年五年就能挣多少,“晚上高兴得睡不着。”
2013年,一个在厦门做境外博彩项目的黑产团队,且不算能挣多少钱,整个团队一两天的花销就是一辆奥迪A4。
一般家庭出身的年轻人,突然获得超过他日常生活费几十倍、几百倍的收入,而且是自力更生,很容易让人自信心爆棚。这些年轻的黑客们,对酒吧和夜总会的玩法了如指掌,一夜一夜地豪掷千金,没有人会去想要把这些钱存起来,没有人会为以后结婚买房做准备,只会担心没时间花。
“基本上是想着今朝有酒今朝醉。其实最简单一个想法就是,反正有技术,今天我能弄这么多钱,明天我可能还能弄这么多钱。”比冷焰还大三四岁的黑客“影子”说。
但做黑产很不稳定,钱来得快、花得也快,而项目如果不好做了,就会突然没钱可赚,由奢入俭难,没钱的时候很痛苦。做黑产时期,冷焰经常遭遇这种起伏,月收入从六位数降到四位数,对20岁出头,习惯了花天酒地的年轻人来说,是无法承受的心理关卡。
“很难有人能驾驭金钱。这种大起大落,我当年有一段时间都快抑郁了,”冷焰说。一个项目停掉了的时候,他晚上睡不着觉,不知道没钱该怎么办,他觉得太不可思议了。他想去看心理医生,价格800到2000元之间不等,冷焰记得很清楚,太贵了看不起,只好一个人待在很小的出租屋里,躺着发呆,不断地打掉自己的欲望。
有通过黑客技术改善了生活的,就有最早是因为“被黑了”要寻求报复而踏入行业的。俞华辰(ID:伤心的鱼,朋友们都叫他鱼)就是这么成为黑客的。
2004年,跟很多年轻人一样,鱼特别喜欢玩网游《千年》,刚用一个月的生活费买了一个装备,第二天账号就被盗了,特别彻底。伤心郁闷之后,鱼决定“反击”,在西单图书大厦发现了一本《24小时黑客入门》,如获至宝。很快看完了书,鱼又奔向中关村,见人就问哪有卖远程控制软件,把很多商户都吓着了。当时他还以为“灰鸽子”那些东西跟Office和Adobe这类软件一样,有正版能买到的。
这样自己瞎看了一年半,期间还上了北大青鸟的编程培训班,但是鱼放弃了软件工程师的工作,选择去《黑客X档案》当编辑。就是在这段时期,伤心的鱼认识了冷焰,两个黑客从未见面,以ID相交近10年。
当年因为“被黑”一怒之下自己修炼的鱼,义无反顾地选择成为一名黑客,玩了很多票大的,也赚了很多票大的。
另一个跟冷焰走得很近的黑客张祖优(fooying),从来没进入过地下黑色产业,一直就是“好学生”的形象,但这不妨碍他跟一群曾经沾染黑产的哥们混得很好。在他看来,黑产“也是一种体验”,这种体验“可能会对技术思路的打开有很大帮助,”他是个技术控。
fooying在著名的网络安全公司——知道创宇已经工作了4年,他至今记得高中时在网吧自学技术的岁月:第一次进入一个网站的后台,第一次写程序弹出一个框、根据《黑客X档案》的教程第一次绕过网吧系统免费上网。“我现在学会一门新语言都没有那种感觉了,”fooying说。
在冷焰刚刚创立Sobug的时候,说话不多的fooying就主动与冷焰交流安全众测的心得,并一本正经地写成了文章,发布在自己的个人网站上。fooying不理解为什么有的同事 有那么多时间看美剧,按照他的时间安排,下了班做完工作上的事,就要抓紧时间做自己喜欢的安全研究,每天都会弄到凌晨两三点。25岁的fooying在知 道创宇负责一个十多人的漏洞社区团队,除了技术之外有许多事务工作要fooying解决,他时常对没有人能帮他分担工作发愁。
聚散离
就像古代国家打仗要抢夺铁匠和裁缝一样,“技高人胆大”的黑客,有的时候也是一种国家资源。
用冷焰的话说,这些没有正规刊号的黑客杂志“不仅仅是中国黑客界的历史瑰宝,更多是一个许多人最纯真的年龄段的回忆。这个年龄段的人是目前国内安全行业一线的中流砥柱,如同文艺青年之于《萌芽》这本杂志的感情一样。”
这群ID在5-10年前还都是学生,大家的眼睛里都放着光,但都囊中羞涩,没什么财力和精力搞全国性的聚会,黑客们相见最多在同城以内。冷焰和伤心的鱼通过《黑客X档案》认识了10年,一直在密切联络,但从来没见过面,直到2015年才第一次有机会线下见面。
冷焰曾在知乎问题“如何评价诸如《黑客X档案》、《非安全黑客手册》和《黑客防线》之类的杂志或读物?”里撰写答案描述这次迟到的见面:“感觉跟恋人未满一样,大家双眼都噙满泪水”。
在网络安全圈现在已经独当一面的黑客们回过头看,都会觉得这段纯粹由兴趣驱动的时期是最珍贵的。
另一些黑客通过集体的“大规模行动”互相熟识。这种“大规模行动”主要是几年前的一系列政治事件:日本首相小泉纯一郎多次参拜靖国神社事件,每一次都会引起 中国黑客的攻击;2008年,从南方雪灾和西藏事件,到汶川地震和奥运火炬事件,中国网络民族主义达到了一个高潮,甚至濒临失控。
现在360SRC的负责人白嘎力以前参加过这种“爱国黑客行动”:“每次可能遇到一些事情,政治上的一些舆论,网上发新闻什么的,觉得挺气人的。也会组个队, 民间组织,相当于去发泄一下,或者是攻击一下。”但随着年龄和阅历的增长,他现在承认自己年轻气盛时做的这些事都太傻了:“那些企业、那些网站又没有做错什么,攻击他们有什么意义呢。”
比冷焰大几岁的影子是冷焰在早年就见过的为数不多的异地黑客之一。还在冷焰读大学的时候,影子就去武汉蹭过他的宿舍,但冷焰至今想不起影子的真名,只记得他叫赵某某。
不记得甚至有意地不去记住对方的“真名”,是这个圈子里的一个普遍做法。
2012年夏天,一则新闻出现在各大报纸、网站、电视台上,“湖南香港警方联手摧毁攻击香港金融业网站犯罪团伙”,6名主要犯罪嫌疑人其中之一就是影子。
警方抓捕当天,影子正像往常一样在上海一家安全公司上班,开会之前想去倒一杯水,就有户籍警过来查暂住证和身份证,确认身份之后,更多警察奔向影子的工位,封存了他的电脑和手机,将他一并带走。
“后来我说好久没听到影子的消息了,朋友竟然直接就甩过来一条新闻链接。”冷焰说,“他运气不好,撞在了香港回归15周年的当口上,这种新闻能营造大陆和香港紧密联系的气氛。”
当时影子放弃做“黑产”都已经好几年了,但是黑产时期遗留下了错综复杂的利益关系,有些事不是想脱身就能脱身的。
“其实我挺冤的。”在长沙王府井的一家湘菜馆子里,还在缓刑期的影子眨巴着眼睛,他不能随便离开羁押地,“我的规划全被毁了。”
在这次事件之前,影子原本计划去上海交通大学或者复旦大学再读一个计算机方面的研究生,买了书,也开始做考试题,还去找相关的老师聊,等待着考试日期的临近。结果等待他的是警方的破门而入。最后,影子以敲诈勒索罪被判了3年有期徒刑,缓刑5年。
“很痛苦。”现在,影子和妻子两地分居,每个月只能见一次。妻子是北京人,独生女,不可能离开北京;而他仍在缓刑期,离开长沙都需要报备。
冷焰自己也经历过相似的一幕。
早在2007年,黑客界还是病毒和木马时期。那年1月初,李俊编写的熊猫烧香病毒肆虐了中国网络,当时还是高中生的冷焰与李俊在同一个QQ群里,李俊给冷焰发过熊猫烧香的代码。
冷焰的父亲是湖北某县的公安局领导,寒假里的一天,父亲的下属们根据QQ、IP地址和电话号码一路追查,开着警车竟然查到了冷焰家里。冷焰正在翻一本关于Linux的书,父亲一开门就蒙了。幸好因为并无实质传播行为,冷焰逃过了这一劫。
而“伤心的鱼”闹出了更大动静的事:2012年,他果然搞了一票大的,把东亚某国一个类似于QQ的通讯工具种入了自己的木马,而该国所有银行都在用这个软件通讯,随即转了“非常大”一笔钱到自己的事先准备好的瑞士银行账户,该国在中国设立的银行随即向中国警方报警,并要求引渡鱼。鱼和当时的女友正在吃饭,吃完回车上的时候,十几个警察将他扑倒,带回当地公安分局。分局领导见到鱼之后很诧异:“你到底犯了什么事,怎么公安部XX局来抓你?”
在亲戚朋友和这群黑客的眼中,鱼在事件发生后立刻人间蒸发了。冷焰当时绝对想不到在3年之后,他们竟然还能在北京第一次见面。
只有鱼的父母双亲能得到一点的消息:鱼不会被引渡出国。这一年是鱼的本命年,他24岁。
19个月15天后,鱼被免于起诉,“以技术换自由”,获释了。就像古代国家打仗要抢夺铁匠和裁缝一样,“技高人胆大”的黑客,有的时候也是一种国家资源。
没人真正清楚鱼在这长达一年半的时间在那里,在做什么,只知道他那段时间很忙,除了没有自由,活得还不错。
还有一个叫“凋零玫瑰”的ID,真正见过他的人很少。一份发布在网络安全社区“看雪安全论坛”的《2014年中国黑客榜》显示,“凋零玫瑰”的ID的排名位列第50,比现在声名鹊起的乌云安全网络创始人剑心低两名,比著名的网络安全公司知道创宇的副总裁余弦高一名,技术水平毋庸置疑。凋零玫瑰曾经做过黑产,也因为黑产被警方抓过,后来又被释放了。最近两年曾一度颇为活跃,但有一天又消失了。没人知道为什么。
对冷焰来说,这些跟他一起长大的ID们,一些人成了日后网络安全圈很好的朋友甚至合作伙伴;一些人很久不联系了,过着安静而避世的生活;一些人消失了,后来又出现,对自己消失的那段经历讳莫如深;一些人曾经很活跃后来彻底消失了,而其他的人不方便知道他现在哪里,过得好不好。
阳光下
“一个斯诺登相当于给我们整个行业搞了一个改革开放。”
进入2013年,一切都变了。
伤心的鱼现在是信息安全公司江南天安的技术负责人,江南天安位于北京北三环的公司写字楼里只有三间独立办公室,其中之一就属于他。今年1月,鱼用一个盛大而 浪漫的求婚仪式娶下了当年亲眼目睹他被公安抓走时女友,她漂亮而有才气,在豆瓣上拥有超过10万的粉丝。而那本改变鱼人生轨迹的《24小时黑客入门》现在 还收藏在家里。
跟鱼、冷焰、白嘎力他们一样,那一批黑客转型做安全的,都已成为各大科技公司网络安全部门负责人,或者网络安全创业公司创始人,一个个地都戴上了“白帽子”。安全行业看上去生机勃勃繁荣昌盛,但白帽子与黑帽子的关系,并非简单的兵与匪的平衡。
网络安全的概念历史其实并不久。在病毒与木马时代,熊猫烧香的影响力再大,也只是一个典型的盗窃案件,影响到的是有限虚拟财产。但互联网演变到现在,由于实 名制、线上支付越来越普遍,与现实的结合也更加紧密。任何一个网站数据库的丢失,都将对整个互联网造成不同程度的连锁反应,用户数据越多越真实的网站产生 的影响越大。你的真实姓名、身份证号一旦丢失,那都是永久性的,获得你身份信息的人,就能获取你在互联网上的一切。像《肖申克的救赎》里的银行家一样,冒充你的身份生活也并非难事。
几乎每个黑客都对刑法第二百八十六条、二百八十七条耳熟能详,但这种网络安全相关的罪名直到2009年才入刑,2010年才有“侵犯公民信息安全”追究刑事责任的第一个案例。
2013 年3月,“国家安全委员会”成立,2013年6月,“斯诺登事件”爆发。这两件事极大推动了中国从政府决策层对网络安全的重视。“一个斯诺登相当于给我们 整个行业搞了一个改革开放。”信息安全服务公司长亭科技创始人陈宇森对此评价。不久之前,他的公司刚刚因为对智能硬件安全问题的研究,而被中央电视台报 道。
而“乌云漏洞平台”自2010年成立以来,一直扮演着一种信息安全造势者的角色。2011年底,乌云曝出知名开发者社区CSDN数据库 600万用户资料泄露,一时间闹得沸沸扬扬,从此,数据库泄露问题逐渐得到了公众重视,无论是大中小互联网公司都陆续爆出“脱库”(数据库泄露)问题。
网 络和信息安全行业也因此得到风险资本与互联网巨头的垂青。红杉资本投资了乌云TangScan,线性资本投资了漏洞盒子,经纬中国投资了冷焰创办的 Sobug,真格基金投资了长亭科技。而腾讯、百度、阿里巴巴和360等巨头陆续成立SRC部门(应急响应中心),以“悬赏”的形式吸引“白帽子”来挖掘 漏洞,只要会一些黑客技术就能在这些SRC市场里赚外快,无论你是一名网管、保安还是厨师。
2016年1月,我参加了360SRC的年会,一些被360邀请到北京来玩的“白帽子”,年纪最小的才15岁,在360SRC平台上提交了一打漏洞,却不会与陌生人说话,主持人问的所有问题都答不出来。离开了计算机,就好像失去魔法的扫帚,灰头土脸,黯淡无光。
在国家意志、资本意志和公众意识与社会的共同推动下,网络信息和安全行业一下子繁荣起来,安全似乎不再仅仅是技术问题,更多的时候表现为了“公关问题”。知名黑客剑心觉得:这一切都太浮躁了。
而一些新“出道”的年轻黑客们,也有着与冷焰、影子和鱼他们的那一代黑客们截然不同的活法。
1994 年出生的洪宇(ID:redrain)在大学教授父亲的帮助下,小时候曾有过Linux系统及黑客和安全启蒙的经历,没有深入。高中生涯的末端,因为一些 原因,叛逆期的他又患上了抑郁症,觉得做什么都没意思,上学没意思,考试没意思,打游戏也没意思。有一天,redrain莫名其妙地想起了黑客这个东西, 就自己去接触去摸索,上课的时候经常拿一部诺基亚手机偷偷摸摸地按,用手机上网,学SQL注入的语法,查PHP是什么东西,ASP是什么东西。考大学的时 候,redrain选了信息安全专业,从基础开始重新学习,在大学期间,他经常去南京、西安参加黑客比赛,去山东、石家庄做项目,朋友圈非常忙碌,微博有近万粉丝。
22岁的Redrain在社交网络上以“敢喷人”的作风在圈内闻名。他常说现在一些“小屁孩都很蠢”,会一点基本的工具使用就敢去做黑产,但是他所崇尚的黑客精神中“Free,Share,Think”(自由、共享和思考),这些一点也沾不上,根本不配称之为黑客。
“一 个真正热爱技术的人,优先考虑的应该是赚技术而不是赚钱。”redrain说。他坚信黑产并不是追求技术进步一个非常好的方式。他的梦想是在25岁之前拿 到一个CVE(Common Vulnerabilities & Exposures,公共漏洞和暴露),这意味着他挖掘的漏洞能得到全球范围内的认可,而不仅仅是拿到厂商的一点物质奖励,目前的目标瞄准了一家世界级的 互联网公司。但是回到现实,包括redrain在内许多黑客选择从事安全服务和安全研究的原因还是投入产出比。
“你现在给我几十万,一百万上下,我不会动的。但是你给我两千万的话,”redrain停顿了一下,笑着说,“可能我会考虑的。”
现 在的中国黑客,大多掌握着“科学上网”的技能,英语阅读也不是障碍,他们既不会再轻易对西方企业和媒体网站发起攻击,也不会像西方黑客组织匿名者 (Anonymous)一样去向恐怖组织ISIS宣战。redrain说那些鹰派黑客的行为“好蠢”,而剑心则反问“就跟现在你去抗日,去砸日本车一样, 有意义吗?你说钓鱼岛是中国的就很爱国,有什么意义吗?没有任何意义。”
而已经“是大人了”的冷焰、鱼、影子、白嘎力和fooying们,有着更多需要关照的事,这一切都有关他们的热爱、坚持和妥协。
鱼 是混的最好的。重获了自由,收获了婚姻,管着一个规模不小的技术团队。而曾经被判缓刑的影子让妻子辞去了工作,用他在长沙一个人的工资供养着这个家庭,压 力再大也还得买一套北京的房子,他去中南大学讲课,因为可以挣点外快。以前全国各地跑做黑产项目,他就像个浪子;结婚生子之后,现在一切都以家庭为重,他 计划能自由行动后,可以回北京能给政府做一点“稳定的生意”。
影子和白嘎力都刚做了爸爸,他们相识10年,却只无意间见过一面。白嘎力刚付 了北五环一套房子的首付,对他来说,最发愁的是孩子未来的教育问题——他们夫妇都是传统的蒙古族,高考时都用的蒙语答卷,姥姥辈儿还是草原上的牧民,他挺 在乎民族传统文化的事儿,但现在北京没有蒙语学校。
fooying参加了世界顶级黑客大会Black Hat亚洲会议,这一向是黑客界的殊荣。但现实的压力是,他跟女朋友都是福建人,家里门第风俗观念浓重,他们想结婚,但没有房子结不了婚,在北京买房北京 是不大可能了,老家建房子的钱都不够。他是排行最小的男孩,有四个姐姐,嫁的也都不是有钱人,筹房子的钱只能靠自己。fooying时常迷茫,年纪轻轻说 起来也算公司中层一个小组长,但经常不得不帮他的领导去处理自己工作职责之外的事儿,因为别的小组长都拒绝了那些额外事务,他就不忍心再拒绝领导。他想不 明白自己为什么得承担那么多工作,而婚姻与房子又在另一边挤压着fooying。
直到创办了信息安全公司Sobug,冷焰才改掉在人前腼腆 到说不出话的毛病。当年带他第一次去夜总会的小志已经退出这个圈子很多年了,听说在青岛过着富足而平静的生活。冷焰的朋友圈时不时会发一些在机场、火车站 拍的照片,用鸡汤味儿的句子鼓励自己。他手机上的航旅纵横app显示,一年内的飞行里程超过了12万公里。他一心扑在公司业务上,也摔过那些属于创业者的 跟斗。
有的黑客喜欢在社交网络上对自己感兴趣的任何议题,写一些饱含价值观的简短评论,也许是一直以来的逻辑训练使然,他们会表达出明确的立场,比如微博上知名的 黑客大V tombkeeper。但冷焰不喜欢这么做,他更容易被一些精致的静物触动。他每次来北京,有事没事就喜欢去一家位于交道口胡同里的咖啡馆坐一下午。他觉得自己是一个有情感的人。
没有评论:
发表评论