张翠翠
追求技术的纯“屌丝”
在2010年6月的一次安全更新中,苹果公司针对iPhone操作系统发布了64个新补丁,其中只有6个漏洞是苹果自己的研究人员所发现,12个由Google研究人员发现,有15个漏洞都是由中国黑客—吴石发现的。
美国《福布斯》杂志在一篇文章中曾写道:
自2007年以来,这位35岁的上海研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞。如果用户浏览被感染的网页时,黑客就可以借助这些漏洞劫取用户电脑中信息。仅在去年一年,他就将其中的50多个漏洞卖给了Zero Day Initiative和iDefense等漏洞购买组织,他们专门花钱从研究人员那里购买漏洞信息,并在安全产品中使用这些数据,随后再将其交给受影响的软件销售商。
将漏洞卖给收买组织或者软件商,这是吴石这样的黑客的“生存空间”。
安全专家查理-米勒表示:“或许苹果应当聘请吴石来帮助他们,因为他发现的漏洞比苹果整个安全团队发现的两倍还多。”
在中国这样缺乏信息安全意识与保护信息安全技术的国度里,吴石一样的黑客们摸索了很久才走到了“漏洞”行业,在经历一系列的工作失败经历之后才在发现漏洞方面实现了突破。
尽管如今吴石成为了“漏洞”界最敏锐能干的捕手,骨子里仍就是个“屌丝”:他对商业缺少概念,害怕外界不必要的干扰,多次拒绝国家安全部门的“招安”,也拒绝商业利益背后的“挖角”,带领一个15人左右的“组织”——Keen ,并严格地定性为研究机构,享受“捕捉漏洞”带给他的快感。
美国VeriSign网络安全公司东亚地区总监周铭说:“在他身上,我看到了另外一面的自己。他自由的生活是我的一种向往。”的确,习惯了自由自在生活的吴石不愿意为了稳定的收入而委身于大企业。
《福布斯》的那篇文章中盛赞他独特的方法论:fuzzing法,这是他在复旦大学数学系的实验室里研究出来的,借助此方法他可以关注到整个软件架构,而不是具体的细节,这使得他常常能捕捉到其他方法根本触及不到的漏洞。
“现在像我这样独立做漏洞挖掘的人越来越少了,因为难以竞争得过大公司。比如微软,他们的安全人员可以拿到内部的文档,同时Fuzzing要求的计算量特别大,大公司机器多显然有优势。”不过吴石对自己的技术相当自信,他说:“单纯依靠企业内部,或者安全公司,总是会有漏网之鱼出现。一个漏洞很可能就会造成上亿美元的损失。2002年的‘红色代码病毒出现,大企业一半的工程师都跑去接电话,听用户的投诉去了,网络直接堵塞,甚至瘫痪。”
安全漏洞背后的生意
在微软找到吴石之前,美国ZDI公司就主动联系了他。这家公司的一个主要客户是五角大楼,它号称比全球任何一家安全厂商都要更快地提供补丁,这使得它不得不在全球花重金向吴石这样的人购买漏洞和解决方案。
当众多公司看到吴石等“漏洞猎手”的价值时,2007年的一天,当时在微软供职的刘盛(化名)突然接到美国老板的电话,“你们认识一个叫吴石的人吗?”如今刘盛成了吴石的合伙人,甚至是对外发言人。
微软是那时对系统安全最重视的公司。“他拿的薪水比我都高。”作为微软高级别职位,安全工作人员刘盛坦言,微软看重了吴石的价值。
在做漏洞捕手前,吴石就体会到了“漏洞”的“价值”:卖漏洞给ZDI,每个价格至少5000美元,而iDefense也偶尔支付过1万多美元,购买了少量的漏洞。吴石没有透露至今为止在此方面的具体收益数量,但简单计算即可知道,其在此方面的收益应当超过25万美元,这在中国可算是一笔不小的数目。ZDI还为吴石授予白金奖,该奖项的获得者可以拿到2万美元的奖金,并免费参加在美国拉斯维加斯举行的“黑帽”安全大会。
其实,“黑色产业”,也就是“黑客”们的收入是个惊天的数字。当游戏产业出现之后,那些研究信息安全的人突然有了“变现”的通道。盗号,帮公司攻击竞争对手的服务器,盗取游戏公司的代码而后开私服……太多的人在那个时候可以月入千万,是刘石团队一年的收入。
然而吴石表示,曾有黑市买家愿意支付比ZDI资金多10倍的价格来购买其发现的一些IE漏洞,“不会冒任何风险而卷入犯罪之争。”他只会将漏洞卖给那些“不做坏事”的企业,而且会直接将漏洞报告给受影响的软件公司。
然而,360出现以后,一切都开始脱轨,这也令吴石等颓丧。
按照刘盛的说法,如果美国总部当时采纳他们的意见,360也很难得到机会。当时他们发现了国内流氓软件的兴起,第一时间就请求总部利用现成的技术去拦截这些问题软件,但被总部驳回了。 “那时我们都快气死了,360根本不用做什么,只要判断特定的文件名,然后删除就好了。”刘盛说。微软从此失去了在安全领域的话语权,这家公司也不再像之前那样雄心勃勃。
另一方面吴石和他的团队也一直在避免被“国家安全部门”招安。“但实际上,去到总参等军队部门的那些人,最后过得都不好。” 刘盛说,为了避免受到国家安全部门的“骚扰”,而挂掉了非常多风投的电话,往往谈判不在一个轨道上,“他们总是问我们的商业模式和预期收益,但这些我该怎么去回答呢?”
很多公司包括苹果这样的大公司对安全问题的忽视,才让黑客经济大兴。吴石表示:“iPhone和Mac操作系统比Windows 7更容易遭受攻击。在我看来,苹果软件将会遭遇更多的攻击。”当一些漏洞找不到卖家,他就干脆直接发送给出现漏洞的厂商。“苹果过去压根儿不给钱,现在每个漏洞在两三千美元。”吴石认为出售给出现漏洞的企业是最理想的选择,“感觉这比卖给安全公司更加合法。”
跟国内的IT企业做买卖让吴石觉得不划算,“腾讯、迅雷、搜狐也都跟我联系过,希望我帮他们给软件找漏洞。”吴石开价50万元,吓走了这些企业,“其实他们让我做的工作很简单,但是比较繁琐,他们企业的安全人员水平还是和国外的有很大差距,一个程序,我写得清清楚楚,他们还是会不停地问。”endprint
新黑客转型style
吴石和刘盛还是希望给国家和社会做些事情,否则他们没必要放着更客观的薪水不赚,而去过着当下并不十分理想的生活。
但一切都不如想象中的那么快,政府自然需要一个过程,而很多意识到信息安全重要性的公司也还摸不清门道,“他们从来都没有操纵过一次攻击,根本就不知道黑客在想什么。而且他们在接到任务后,直接把工作甩给那些工程师,可想而知结果会怎么样。”刘盛说。
刘盛他们想到一些事还是会很受挫,“我们在上海想要见一个有关部门的处长都办不到,想想其实挺不值的。”
未来,吴石会不会转身投靠“组织”,这个不得而知。但曾经风光一时的黑客联盟们在中国都相继解散,很多最牛黑客们都转而投身“信息安全”而间接实现黑客理想。
作为中国元老级的黑客教父,与许多“被黑产、黑金拽跑了”的黑客不同,曾经“鹰派”黑客联盟的万涛,其转型尤其值得关注。
今年40多岁的万涛,是1997年前后中国最早一批接触互联网的黑客,曾因组织参与了中美黑客大战而名噪一时。2001年创立的中国鹰派联盟网,被认为是中国首个民间网络公益社团,在经历了“黑客技术”、“技术爱国”、“困惑顿悟”后,鹰盟逐渐转型为投身公益领域的鹰眼安全文化网。而万涛本人,也完成了一次从黑客到公益人的蜕变。
“为公益组织提供信息技术一体化服务,探索当ICT(信息技术与通信技术相融合而形成的新的技术领域)碰上公益时将产生的神奇效应。”这是万涛为鹰眼做的定位,“公益是解决现实中的问题,而我们是通过自身的专业优势来帮助公益组织更好的实现目标,这也是间接地实现我们的黑客理想,为社会尽一份力。”
从关注儿童打拐的“宝贝回家”、儿童阅读的“乐朗乐读”、残障人士出行的“出门网”、关注视障群体的“声波网”、致力于环境保护的“自然之友”、助力大学生创业的“黑苹果”,到为包括壹基金、真爱梦想基金会、北师大公益研究院在内的公益机构升级维护网络公益平台等,鹰眼成立以来,所服务的公益组织几乎涵盖了各个公益领域。
“很多公益组织,特别是一些草根公益组织,它们不太可能买得起专业安全公司的服务,而我们就通过我们的技术优势,为这些组织提供包括网络基础服务、信息系统建设、培训IT人员等在内的免费的安全服务。”万涛说。
“转型是主动的,也有社会的促动。”在万涛看来,公益文化与黑客文化两者所倡导的价值观也是相通的,都包含“平等、自由、分享、互助”的思想。转型后的万涛,坦言自己的目标之一就是“在业界树立一个样板,证明黑客群体也能找到一条很好的转型道路”。
优质服务为公司赢得直销客户
2013年12月20日,电话销售服务中心座席员刘小云像往常一样认真的处理着每通来电,这时一位姓张的先生焦急的声音从电话那头传来……
张先生11月10日在代理处购买当日青岛-三亚航班,在经停郑州时因台风原因取消,后张先生进行了退票,但此票一个多月都没退成功,在多次联系代理无果情况下,无奈拨打96777寻求帮助。刘小云马上对旅客的机票进行查询确认,但发现机票的状态是不正常的,向张先生要了代理电话进行咨询。
代理告知这个是由他们的上一级代理提交的退票,于是刘小云继续联系此代理的上一级代理,代理说自己按照备降提交了退票,但是不知道为什么还没审核。在此期间,值班班长协助刘小云对张先生的机票历史操作记录进行了恢复,了解到此票出自深圳的一个代理商,于是与深圳营业部联系查询,原来当天的航班郑州三亚段取消后,本打算飞第二天的补班,但是第二天仍旧因为台风原因无法飞,所以直接由郑州飞回青岛,属于返航航班,而非备降。这时事情才算找到主要症结,于是刘小云再次联系出票代理商,并在线指导进行退票操作,同时又与深圳营业部联系,请营业部的同事第一时间完成审核,尽快退款给旅客。
刘小云一直与张先生保持联系,告知每个处理步骤,并跟踪到机票最终退款完成,直到张先生收到票款。张先生对此非常感谢,并表示以后出行订票第一首选96777。endprint