“白帽子”成长记

范英华

后来，张瑞冬通过漏洞抢到一个两百元的红包，上面写着“强哥，补补身子”的留言，他觉得过意不去，又把红包还给了人家。之后，他在乌云网上提交了这个漏洞

“微信任意用户密码修改漏洞”，这是白帽子张瑞冬在测试微信时的一个发现，这个漏洞让他找到腾讯国际业务部副总裁的微信账号，并给马化腾留了言“马哥，我QQ号码被盗了，能帮我找回来么？”

“你瞧，互联网行业的带头大哥的安全意识都这么薄弱，可想而知，整个行业的安全生态了。”张瑞冬对《方圆》记者感叹。

不考高中做黑客

张瑞冬并不是一名科班出身的白帽子。

15岁是大多数的初三学生正在为考取理想的高中而悬梁刺股的年纪。但15岁的张瑞冬所想的却是“如何成为一名黑客”。他的决定是放弃升入高中，自学黑客技术。这并不是一时冲动，事实上，此时的张瑞冬接触计算机技术已经四年有余，辍学只是让他“走得更快”。

如今，25岁的张瑞冬是双螺旋攻防实验室负责人、四川大学特聘网络安全专家。身为“90后”的他接触黑客技术已经十五年。

张瑞冬出生于内蒙古，家乡就在草原上。他爱好自由，不愿被束缚的性格也是在这里形成的。

他曾获得内蒙古奥数的冠军，在接触网络之前他一直是个“优秀学生”。

改变发生在接触了网络的那一天。“这个虚拟的世界，依然充满了各种规则和限制，但是在这里，我可以不仅仅是个执行者，我可以去破坏这些规则，去重建规则，去做规则的制定者。这对我充满了致命诱惑力。”那一年，张瑞冬11岁。

张瑞冬沉浸在网络带来的“自由”里。年少轻狂的他在网络游戏的世界中难以自拔，学习成绩直线下降。但是为了证明自己不单单是在“玩游戏”，他很快找到一种酷炫的方式来展示自己——“做了一个自己的网站。”张瑞冬轻描淡写地说，“很快，我对黑客技术产生浓厚的兴趣，并且开始自学黑客知识。”

在网络世界和现实面前，他选择了网络。2005年，他当着授课老师的面撕碎教科书，初中一毕业就辍学开始从事网络相关工作。在他看来，“每个人拥有的时间和精力都是相同的，当你选定目标之后，你需要巨大的时间、精力来学习，为了成为一名黑客我愿付出全部的精力。”

张瑞冬的网名，也有一个蛮有趣的进化过程。总角之年的张瑞冬网名叫作“不哭”，有点小矫情，后来他觉得这个名字太不成熟，于是改成“无泪”，算是“不哭”的升级版。再后来他发现圈内人喜好用英文名，听起来很高大上，他也要取个英文名提升一下规格。黑客圈有一句话叫做“黑客技术再好，我在你的心里永远也只是过客。”这说到了他的心坎上，遂直译为0nly_guest，这个名字一直跟随他至今。

“网络仲裁者”

辍学之后，张瑞冬先去网吧当了管理员，他要慢慢地进入黑客圈。时日渐长，在圈里浸淫日久，他结识了一群志同道合的朋友。十年前，一个叫做“网络仲裁者”的黑客组织小有名气，这个组织专挖一些违法网站的不法行为，它是由张瑞冬和圈子里的小伙伴儿建立的。他们这些人散布于天南海北，谋职于不同的企业，有安全从业人员，有程序员……但是在网络世界中他们都以“正义使者”自居，要在网上“惩恶扬善，除暴安良”。“网络仲裁者”的线上活动办地如火如荼，几个人兴冲冲地搭建论坛、录教程、写文章。

“仲裁者”们自恃手握黑客技术的“尚方宝剑”，在网络上仗剑行侠，重点打击网络赌博、儿童色情这类违法网站。“我们当时发现了很多这样的机构，入侵到一个网站发现赌博、色情的内容，就把这些内容全删掉。”张瑞冬他们用自己认为正确的方法维护着网络的正义。然而侠客还没当过瘾，他们就遭到这些违法网站经营者反击，因为他们的行为触动了以赌博、色情谋利的地下黑色产业链的“奶酪”。持续的攻击占据了他们论坛的绝大部分流量，他们匆忙应战，换了好几个主机商，上了各种硬件防火墙和流量清洗设备，仍然承受不住这种攻击，没有主机商愿意再放他们的论坛。不得已，“仲裁者”们聚在一个聊天频道开了个会，“要低调，不然无法继续。”这是他们当时的结论。

“现在想想，当时我们觉得对方做了违法的事情，我们去打击对方，那我们这个行为当然是正义的。但是当我真正了解法律之后，我发现，就算他做的是违法的事情，我们去入侵他，我们这个入侵行为也是违法的，就像是有一个杀人犯，你把杀人犯杀了，你其实也犯法了。”张瑞冬对当年的“行侠仗义”进行了深刻的反思。

最低调的方式莫过于改头换面，他们改名为“破壳网络精英小组”，英文名为PKER。寓意是他们愿意像破壳初生的小鸟一样重新开始，同时也会像小鸟一样慢慢成长，早晚会展翅高飞。PKER团队的成员平时各自在自己的城市生活工作，团队的活动主要是不定期地提供线上的网络安全培训，给大家普及安全知识。其间，核心成员走走来来，张瑞冬他们几度聚合离散。

从进攻的黑客到防护的白帽子

2010年，正在长沙某个大型教育机构担任技术总监的张瑞冬接到PKER团队伙伴“来北京”的邀请，没有任何迟疑，他给就职公司留下一封辞职信，当天就买了到北京的机票。到北京之后，他在某涉密集成商的技术总监岗位上做了一年。这一年，他做了很多大型企业和涉密机构的网络集成项目，他疯狂地为自己补充相关知识，这使他对企业的网络结构、各类网络设备、安全设备有了系统的认知。他甚至捕获到了几个设备的0day漏洞（系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息），这些成为他日后从事专职网络安全工作的良好基础。

来北京整一年后，可能还是爱自由的天性使然，张瑞冬和当时叫他来北京的小伙伴觉得北京的生活不自由，不适合他们，于是他们又毫不迟疑地辞职走人。这一次，对于将来的生活道路他们进行了认真的选择，“要找个适合生活的地方长期待下去”，他们相中了“天府之国”成都。

来到成都之后，他们开始召集PKER的核心成员，有两人响应他们的号召，辞职来到成都。“现在还不具备单干的条件，先去专业的安全公司工作吧”是他们当时的共识。他们几个找了一家当地的安全公司，开始从事专业的网络安全工作。

之后，他们磨刀练剑，一起交流学习。小团队也慢慢壮大，所需要的人员和技能也补充完整了，团队有负责做渗透的、逆向的、开发的、前端安全的……“这时，我们早已不是昔日的小菜鸟了，于是乎PKER团队更名为PKAV。我们的口号是‘少年，拿起你的鼠标，跟我们一起拯救世界吧。”在张瑞冬言语间，仍然流淌着原来“仲裁者”们的霸气。

从PKER到PKAV，张瑞冬又成立了专业的网络安全咨询公司——双螺旋攻防实验室。双螺旋攻防实验室其实就是PKAV，一个团队两个名字。曾有媒体告诉张瑞冬，PKAV难以出现在媒体的报道中，只因名字中带有“AV”，“你知道，中国人对AV很敏感。”张瑞冬笑道。团队的二哥是生物学博士，脑袋一拍，攻防兼备跟DNA双螺旋结构相似，干脆就叫双螺旋攻防实验室，主攻方向网络安全防护。

打击电信诈骗背后的安全公司

网络江湖闯荡多年，PKAV积累了不俗的人气，成立安全公司后，他们的业务有了正规的对外联络的端口。PKAV的客户群遍及政府、公安、军队、运营商、金融、能源、教育等领域。

网络犯罪频发，PKAV经常需要跟公安打交道，协助警方办案。他们研制了一套防止电信诈骗的反制平台。这个平台实时搜索各个网站，一旦发现某个网站正在进行诈骗，平台就会自动通知受害者、银行、警方等相关方，平台可以实现多维自动化地打击电信诈骗。张瑞冬举例说：“相信我们每个人都收到过这样的手机短信，短信告诉你，你的银行卡有多少积分，可以兑换什么礼品，然后附带一个链接，当你点击这个链接，那么你就上当了，银行卡上的钱可能就会不翼而飞，这个平台会在你点击链接的时候自动把这个链接所在的网站信息提取出来，实时通知当地公安机关和银行，在诈骗未完成的时候就实现有效拦截，大幅度降低诈骗成功率。”

金融行业是网络安全的“重灾区”，张瑞冬说：“金融行业涉及金钱，系统很多安全漏洞被扑灭在系统上线前，但是也并不是毫无破绽。”张瑞冬曾经给一家商业银行做安全测试，两个月的时间发现了170多个高危漏洞，其中有将近50个高危可以直接动到资金。他向银行的系统开发人员演示最简单的时间竞争的漏洞，“你要完成一笔5000块钱的转账，你的账户只有5000元，你通过不同的业务处理器问银行数据库有没有5000元，数据库说有，这时候你用两台不同的业务处理器同时转钱，那么对方就会收到两笔5000元。因为银行内部的信息同步是需要时间的，你同时转账的话，数据库同时处理这两条请求，就会把两笔钱转出去，事实上你的账户只有5000元。”系统开发人员看完之后冷汗淋漓。

见惯了各种各样的安全漏洞，张瑞冬对于网络安全深有感触：“没有绝对安全的系统，最大的‘漏洞是往往都是安全意识：厂商的安全意识、用户的安全意识、全民的安全意识。能够被利用的往往不是技术壁垒，而是安全意识的薄弱，这个万物联网的时代，谁都可能面临网络安全的威胁，所以人人都应该意识到其实安全问题就在身边。”

测试“都在法律范围内”

文章开头让张瑞冬声名鹊起的微信漏洞事件发生在2012年。

2012年9月4号，张瑞冬在对微信进行常规测试的时候，发现“微信任意用户密码修改漏洞”。这个漏洞意味着不需要知道任何人的微信密码，只需知道账号，就能登录任意人的账户。

张瑞冬发现这个漏洞之后，为了让大家知道危害性，就想着要去测试一两个有分量的人的账户。他从网上找了腾讯的员工通讯录，“这个通讯录很好找，各大猎头公司会公布各大网站的员工通讯录，包括手机号邮箱等等，我当时花了一毛钱下载了这个通讯录。”

他在通讯录中找到腾讯国际业务部副总裁的微信账号，从他的账号中找到马化腾的微信，给马化腾留了言“马哥，我QQ号码被盗了，能帮我找回来么？”他是在凌晨四点给马哥留的言，这个时间马哥自然没给他回复了。之后，为了确认漏洞，“也是因为当时喜欢柳岩，所以我又找到柳岩经纪人的微信号，在他的联系人中找到柳岩。”

经过这两次测试确认漏洞后，他在乌云上发布了这个漏洞，腾讯当天就做出了回应：马总的微信账号被破解为误传，并无此事。该微信漏洞发现后已经第一时间修复。腾讯公司一直以来对用户账号安全非常重视，若您在使用过程中发现有任何问题，也欢迎您第一时间联系我们。

但张瑞冬又严肃地表示：“我的这些行为都是在法律范围内进行的。这次修改两个人的账户密码，尽管是为了引起大家的重视，但是也已经算是做得比较过分了。我们跟腾讯的沟通向来很好，有问题提前通知他们，所以没有出现法律纠纷。”

对于法律问题，张瑞冬很重视。据他介绍，PKAV内部每月会有一次普法讲座，之后员工还要进行考试，确保员工明晰法律的界限，避免发生法律纠纷。“行业内的人经常会把测试和入侵两个概念混淆，本来你对一个网站做测试，必须要拿到授权，没拿到授权的话，测试的轻重很难把握，因为不知道下一步测试会不会涉及对方的数据。法律上规定你获得对方多少组数据就会构成犯罪，但是多数情况下这些人并不知道什么叫获取，以为我只是看了，但是我没存，我就没有犯罪，但是很多情况下，你看的这个过程已经构成犯罪，电脑会在本地进行缓存，留下记录，这其实已经是犯罪了。”张瑞冬对法律规定十分熟悉。

退还漏洞抢来的红包

除去正常的网络安全工作，张瑞冬很认同自己白帽子的身份，在他看来，白帽子代表的是一种测试手法，目的是帮助企业发现问题。白帽子不会恶意利用计算机系统或网络系统中的安全漏洞，而是通过提示和公布等方式，促进漏洞的修补。

张瑞冬把每天在互联网中寻找安全漏洞视为他的乐趣和使命，他寻找漏洞并不是为了获得经济利益，更多的是为了提升自己的技术水平，得到别人的认可，最直接的说法就是“我可以找到很多漏洞，你没找到，我的技术就比你好”。每次发现漏洞的过程都是一件让他很开心的事，“网易手机邮箱任意密码重置强行绑定”、“中国建设银行刷人民币漏洞”、“交通银行免费买车漏洞”……他战绩赫赫。他挖掘漏洞是无偿的，企业最多给他寄一个代表企业的小公仔玩具，相比这些，成就感是他认为自己获得的最大的回报。

拥有一流的网络技术，他有时难免开点小玩笑，但是并不过火。比如“微信红包随便领（发家致富奔小康，日薪百万不是梦）”的漏洞，这个漏洞是别人通过微信发红包，你跟对方是陌生人，红包也不是发给你的，但是你通过漏洞就可以领取对方的红包，在验证漏洞的过程中，几毛钱几块钱的红包就这样抢到了。但是后来，他抢到一个两百元的红包，上面写着“强哥，补补身子”的留言，他觉得过意不去，又把红包还给人家。之后，他在乌云上提交了这个漏洞。

虽然张瑞冬十分认同自己白帽子的身份，但是对类似于乌云网这样的漏洞提交平台是否合法，他却仍困惑不已，他最大的希望是将来法律能给出清晰的界定和解释。