黑客围猎（下）

丁一鹤

·连载

黑客围猎
（下）

丁一鹤

超级火焰

郑文彬发现，艺术家、建筑家、发明家等创造力丰富的族群，似乎特别容易做梦，经常能从睡梦中得到灵感。德国著名的有机化学家凯库勒，在睡梦中看到一条蛇咬着自己的尾巴旋转，就提出了由6个碳原子构成的苯环的概念。

做梦，本来，郑文彬生活中的一种特殊状态，在一个时期内，却变成了一种常态。

10年来，郑文彬每天睡眠时间基本维持在四五个小时之间，只有状态比较好的时候才能有六七个小时的睡眠，只要差一点点就睡不着。就像时刻盯着前沿阵地防止敌人打冷枪的哨兵，郑文彬在与黑客的战斗中，长期处于高强度的精神状态之下，慢慢把自己修炼成了神经衰弱。

他最大的奢求是能够多睡一点，但一进入梦乡，就会有黑客袭来，就会进入梦中的战场。每次醒来，他都认为睡得很沉，但实际上睡眠质量因为梦的打扰，其实并不好。

梦多了，以至于他经常分不清现实和虚拟世界。

在没醒来之前，郑文彬看到的世界，都是程序建造的。他甚至通过每个窗户，看到窗户后面所写的程序代码。有些程序，冥冥之中仿佛是在梦中完成的。

直到完全醒过来，回到现实世界，他还能够清晰地回忆起来。在他看来，无论现实世界还是虚拟世界，都是息息相关的，这个世界的一切都是通过程序安排的。

日有所思，夜有所梦。当郑文彬整天琢磨程序的时候，所有的程序代码在梦里出现的时候，就变成具象的实物，他眼前的整个世界都是可以自由操纵的数字化世界。

郑文彬之所以成为业内高手，是因为痴迷，热爱是成功的要素。没有深入就没有深情，没有深情哪里来的梦幻？

甚至在现实生活里，他都像是在梦游的状态中。

在360工作的9年时间里，郑文彬名满天下，在内部也是神一样的存在，但他走在四惠桥或者酒仙桥的360总部的楼道里，能认出他的人很少，他所认识的人也极少。事实上，这位360公司的首席工程师，生活中也是很平凡的一个人，他木讷、迟语、憨厚、可爱、不谙世事，可他是黑客江湖中令人闻风丧胆的超级防火墙。

只是在技术上比普通人走得更远，影响了更多人，比如我们电脑上用的XP盾甲、360云查杀、360云防御都是出自他手。但是在生活中，正如他所说的那样，只是职业不同而已，其他和普通人并没有什么不同。也许这个世界上并没有那么多的不平凡，有的可能只是一份执着追求，一份不懈努力。

9年来，郑文彬几乎每天都在与网络木马和漏洞过招儿 。同时，郑文彬也明白，即便能够主动防御，即便有先进的云查杀系统，即便有难以逾越的防火墙，也无法百分之百阻挡病毒。与病毒制作者你来我往地交手，是一个艰难的博弈过程。

2012年6月2日，全国各大媒体转载了来自新华社的消息：《席卷全球的“超级火焰” 病毒已入侵中国》。

由新华社发布消息宣布一种病毒的来袭，是前所未有的，可见这种病毒的猖狂与可怕。这则消息称，政府机构、大型企业一旦感染，将迅速蔓延，面临机密信息泄露的风险。国外多家网络安全团队指出，超级火焰病毒很可能是由某些国家投入大量资金和技术支持而研制的，目的为用于网络战争。

郑文彬迅速投入超级火焰的阻击战中！

郑文彬研究发现，如果说以往的蠕虫、木马等病毒都是小毛贼和江洋大盗，那么，超级火焰这种用于网络战争级别的病毒，就是正规军，就是战争机器，这是令所有网络安全人员都不寒而栗的。在此之前，伊朗国家计算机紧急情况应对小组发布声明说：经多月调查，已确认一种名为超级火焰的新型电脑病毒，并且这种病毒可能与伊朗境内部分机构出现的大规模数据丢失事件有关。

超级火焰入侵伊朗、以色列、巴勒斯坦、叙利亚、黎巴嫩、沙特和埃及等中东国家和地区的大量电脑，收集信息情报，已经查明有几千台电脑中招儿。位于日内瓦的国际电信联盟称，这个病毒超过已知任何一种电脑病毒，是一种危险的间谍工具，世界范围内受感染电脑数量会更高。

郑文彬注意到，超级火焰区别于其他木马程序的主要功能是，超级火焰只收集情报和数据而不进行破坏性攻击。俄罗斯网络安全公司卡巴斯基实验室发言人维塔利·库柳克介绍：这一病毒呈现木马病毒和蠕虫病毒的部分特征，可谓目前结构最复杂的电脑病毒，它的独特之处在于，普通电脑病毒往往采用精练的编程语言，以达到瘦身隐藏目的。而火焰病毒是一个庞大的程序包，包含20多个模块，其大小约为20MB。这种病毒不会中断终端系统，其目的只是收集情报；除了具备普通电脑病毒的数据窃取手段之外，病毒还能记录来自电脑内置话筒的音频数据；通过蓝牙信号传递指令也是火焰病毒罕见的功能。它能启动被感染电脑的蓝牙设备，使它成为攻击周边蓝牙设备的灯塔。

郑文彬研究发现，火焰病毒的设计十分复杂，绝非普通开发者能够独立完成。而且病毒的攻击范围很窄，主要针对企业、学校和科研机构。它既没有被用来盗取银行账号，也有别于黑客常用的工具。

郑文彬惊奇地发现，火焰病毒借助局域网络、打印网络和USB接口等传播。在北美、欧洲和亚洲等地区，大约有80个服务器被超级火焰操控。这种强大无比的病毒，从复杂程度和功能效力，均超过已知的任何病毒。从规模上看，超级火焰作为一种网络间谍战武器，背后必然是一支看不见的黑客军团。

通俗一点说，超级火焰就像《潜伏》里的余则成，更像执行斩首行动的美军特种部队，在悄无声息中完成谍报行动。

超级火焰引发了各国的恐慌，也引起国与国之间的口水战。伊朗怀疑以色列参与设计了该病毒，伊朗媒体公开指称，美国和以色列具备设计“火焰”病毒的能力，利用电脑病毒攻击伊朗关键行业及核设施系统是西方应对伊朗核计划的手段之一。而以色列分管战略事务的副总理摩西·亚阿隆则直言不讳地宣称：“通过超级火焰等电脑病毒发起攻击等方式阻止伊朗核活动的做法合理。”不过，以色列随后否认他们与超级火焰病毒有关。

但多数网络安全技术人员推测，从火焰病毒的复杂结构和广泛攻击范围看，超级火焰背后可能有某国官方机构支持。

对此，中国顶级密码专家王小云在初步分析超级火焰之后认为，这种间谍级的病毒，用正确的方法开发出来需要8年到10年，而破解它，即便方法正确，也需要8年到10年！

破解超级火焰显然从时间上已经来不及。唯一可行的办法就是找到它入侵的漏洞打补丁，阻止超级火焰的入侵！

这是一场事关国家安全、命运的阻击战。郑文彬研究发现了一个有趣的现象，超级火焰病毒竟然采用游戏语言编写，而且与超人气游戏“愤怒的小鸟”的语言相同。构成火焰病毒的主文件有很多个，各病毒文件各司其职，共同完成系统入侵和情报收集，一旦感染病毒，就像奇袭白虎团的侦察排一样，无往不利！一旦发动攻击，无坚不摧！

更令人胆战心惊的是，这个病毒早已启动入侵程序！之所以最近才被网络安全行业发现，主要因为火焰病毒利用微软数字签名欺骗漏洞，伪装为微软签名的文件。

也就是说，即便被火焰病毒入侵并盗走了文件，几乎所有用户都茫然不知！

亡羊补牢犹未为晚，必须针对超级火焰病毒拿出解决方案。郑文彬立即根据病毒特征找到漏洞，360安全卫士在第一时间为全体用户推送了补丁，保护中国网民的电脑有效“灭火”。360安全卫士建议所有用户，特别是政府和企业用户，尽快使用此专杀工具彻底查杀。

与此同时，微软也已针对漏洞发布了补丁。国内瑞星、金山等多家杀毒厂商同仇敌忾，纷纷推出了自己针对超级火焰的专杀工具。

超级火焰从中国的计算机用户中盗窃了什么，对中国造成的损害有多大，目前没有任何机构做出确切统计，实际上也难以统计，因为超级火焰来去无踪，谁也不知道自己丢过什么。

而在对超级火焰的阻击战中，以360为代表的国内各大安全厂商群情激奋、合力阻击，在第一时间内御敌于国门之外，却是罕见的同气连枝。

人机大战中的东方白帽子军团

网络安全的本质是攻防对抗。在网络安全攻防中，郑文彬具有一种钻洞打墙的直觉，就像高手对决时一出手便能分出高下。

简单来说，只有了解攻击的方法，才能升级防御的手段，只有开辟接受攻击的试验田，才能促进安全防护的水准。

随着对网络安全问题研究的深入，郑文彬开始把视野拓展到国际黑客大赛上。自从2013年360公司组建以郑文彬为核心的攻防实验室之后，这支阵容豪华的战队跃跃欲试，准备到国际擂台上一展身手。

Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI（Zero Day Initiative）主办，谷歌、微软、苹果等互联网和软件巨头都对比赛提供支持，通过黑客攻击挑战来完善自身产品。

这是全球顶级的黑客大赛，也是郑文彬梦寐以求的战场！

在2015年3月的Pwn2Own大赛上，郑文彬率领的团队名为360 Vulcan Team。

Vulcan是著名科幻电影《星际迷航》里象征着理性和智慧的星球瓦肯星，Vulcan人素以高智商和冷峻的逻辑思考著称。“生命不息，破解不止”。这是360Vulcan Team所有成员的极致追求。

出战之前，郑文彬给自己队友鼓劲说：“你要了解攻击者是怎么思考的，如果不懂得攻击，就不知道如何防护。攻防都是互相影响的。我们之所以参加这个比赛，就是看对手是怎么攻击我们的，就可以学习到很多技能。当然，我们也要给他们猝不及防的完美攻击！”

郑文彬的打法很简单，斩首行动！就像美军三角洲特种部队直取敌人中枢！

首次参赛，360战队利用他们独立发现的多个高危漏洞，仅用时17秒就成功攻破了Win8.1系统和64位IE11浏览器，成为赛事历史上首支拿下IE最高级别浏览器的亚洲团队。

没有经久不息的掌声，因为黑客们都是一群极端自负的家伙。面对这支来自东方的白帽子军团，西方黑客们只有久久合不拢的惊愕下巴。毕竟，在所有网络安全领域，浏览器安全是不可动摇的基石，就像作战时的指挥部。

郑文彬战队一出手，就端掉并控制了对手的指挥部，不能不令国外同行刮目相看。

大赛主办方惠普以及多家西方媒体给予360战队高度评价，微软安全专家Gorenc甚至用“令人惊奇”来形容360战队的攻击技术。郑文彬战队被外媒称为“东方最强白帽子军团”，成为亚洲唯一可与西方匹敌的安全团队！

郑文彬在国际赛场上小试牛刀便大获全胜。2015年11月6日，在韩国首尔举行的POC网络安全大会上，郑文彬带领他的安全战队再次出战，利用一个远程代码执行漏洞，通过对Edge浏览器的沙箱逃逸操作，成功攻破了Windows 10。郑文彬因此获得“最重磅黑客奖”，外媒称，中国超级黑客郑文彬，再一次让人难以置信。

2016年3月，郑文彬带队再次出征加拿大，仅用11秒就攻破谷歌机器军团！

2016年开年之后，人机大战的消息就从未间断。谷歌研究开发的人工智能阿尔法以5比0完胜欧洲冠军、职业围棋二段樊麾，并在2016年3月向世界最顶尖的围棋天才李世石发起挑战。消息一出，全球关注。

人们关注的，实际上是人类存在的价值。

人类在机器程序面前有一个劣势，在长时间较量后，人类会犯错，但机器不会。而且人类的运算速度远远不如机器，所以从理论上说，机器程序只要经过足够的训练，就能击败所有的人类选手。

在历次人机大战中，人类在电脑面前最终一败涂地。人们对自身智力的安慰就是，还有变幻莫测的围棋。毕竟，围棋是机器难以完全模仿的东方智慧！是上升到哲学层面的智慧！

2016年3月9日至15日，在韩国首尔进行的韩国围棋九段棋手李世石与人工智能围棋程序阿尔法之间，进行了五番比赛。最终结果是，谷歌开发的人工智能阿尔法围棋以总比分4比1战胜人类代表李世石。

在这次人机大战中，谷歌完虐李世石。谷歌的技术底气，来自于他们拥有世界上最多最强的技术专家。

在黑客领域里的技术突破永远没有极限，随时都有可能出现更高的安全难关。但郑文彬更相信，他和他的团队还会创造更大奇迹。

两天之后的3月17日，另一场大赛悄无声息地进行着。新的一场世界黑客大赛Pwn2Own在加拿大温哥华举办。这次亚洲共有5个代表队出战，腾讯派出3个安全团队，360战队依然由郑文彬带领，还有韩国一位传奇的独行黑客。

郑文彬带领的360战队，放开其他可以轻松摘取的奖牌，直奔难度系数最高的决赛而去。郑文彬的打法依然是不与底层部队交手，直接命中对方神经中枢！

比赛现场，主办方将一台经过层层防护的笔记本放在现场指定位置，通过一根网线将笔记本连接到360Vulcan团队的笔记本上。主办方用浏览器打开Vulcan团队笔记本上的网页，Vulcan攻击11秒后控制了主办方的电脑。

用时11秒！郑文彬团队攻破了本届赛事难度最大的谷歌Chrome浏览器，并成功获得系统最高权限，控制了浏览器。

这是中国安全团队在Pwn2Own历史上首次攻破Chrome。

谷歌浏览器代表着谷歌安全防御技术的最高水平。除了全球闻名的“黑客天团”以外，谷歌还拥有上千台服务器以深度挖掘技术对谷歌浏览器等产品进行漏洞测试，其计算能力完全不亚于刚刚在围棋“人机大战”中战胜李世石的阿尔法。

同时，谷歌浏览器还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后，攻击代码对外部的资源不再具有访问权限。谷歌浏览器也因此在历届Pwn2Own大赛中成为黑客面临的终极挑战。最新版的谷歌浏览器安全系数相比以往更高，攻破谷歌浏览器并获得系统控制权，几乎被认为是“不可能完成的任务”。

沙箱是近年兴起的一种防范漏洞攻击最有效的安全技术。如果在电脑中运行危险代码，会通过沙箱隔离令其不能随意获取电脑中的数据和操控权，从而达到保护电脑安全的目的。苹果的操作系统、谷歌的浏览器和360XP盾甲都采用了沙箱技术，以防范未知漏洞的攻击。目前在国内，只有360在XP上实现了完善的沙箱防护。

也就是说，即使黑客发现新的漏洞，没有沙箱逃逸技术，也难以利用漏洞侵害360用户。

由于安全大赛是为了促进各大公司改进自己的产品，所以历次大赛中被攻破的漏洞详情并不会对外公布，而是会交给厂商进行修复。所以目前掌握这套漏洞的人，只有 360战队和谷歌。

尽管被攻破，但郑文彬令人惊诧的攻防手段，却令谷歌团队赞赏不已。毕竟，360战队能够攻破谷歌浏览器漏洞，大大降低了漏洞被外界发现的概率。

谷歌的阿尔法，打败李世石用了4个小时，而中国黑客战队，攻破谷歌浏览器只用了11秒。

黑客大赛上东方力量的崛起，已经成了圈子里津津乐道的话题。

这次胜利代表了中国顶尖黑客在国际较量中完虐其他国家的黑客，他们值得拥有欢呼和掌声。

当然，郑文彬他们之所以用如此快的速度攻破谷歌浏览器，是因为在赛前他们做了充分的研究。在比赛现场，只要把预演的攻击流程，重新呈现出来就可以了。

郑文彬团队当然有他们与众不同的绝招儿，他发现使用单一的漏洞攻击很难攻破谷歌浏览器，这次攻击，他使用了4个漏洞的组合攻击。就像韩信围住项羽，玩了一场四面楚歌。

从2006年12月进入网络安全领域，郑文彬用不足10年的时间，成为国内外知名安全专家，在中国国家信息安全漏洞库中，有14位特聘专家，郑文彬是最年轻的一个。在业界，他还有很多称谓，“国内内核第一人”“驱动神童”“东方最强白帽子军团核心”。

这次出战加拿大，中国有4支白帽子军团出征，腾讯一次就派出3个安全战队出战，中国安全战队都获得了不俗战绩。但只有郑文彬率领的360战队把主要目标锁定在坚不可摧的谷歌浏览器，至于之前的其他项目，则纯属热身，郑文彬根本就不屑一顾。

连续两年，360战队都果断挑战了世界黑客大赛的最高难度奖项，两次都为世界奉献了令人惊艳的表现。在世界舞台上，证明中国拥有领先的网络攻防技术实力。

郑文彬和他的东方白帽子军团，为何总能创造奇迹？

360战队有一句团队座右铭，或许可以给出最简洁的答案，那就是“生命不息，破解不止”。

这听起来，仿佛有点愚公移山的意思。也许一个数字就能说明问题。

很多人眼里的郑文彬是神童，是天才，但郑文彬说：哪里有什么天才，你想比别人牛，你就得付出比别人更多的努力和时间，我所有的能力是付出的时间比较多。美国有个作家说过1万小时定律，不管你做什么，投入一万小时，就能成为专家。其次是要有细心有耐心，研究任何东西，必须一直跟踪下去，直到把这个细节核心剥出来。同时，还有责任感的驱使，服务几亿网民，那种英雄主义的荣誉感是无法替代的。

爱好、专注与全身心的投入，这些都是所有人能够成功的基本要素。但在实践中，还要善于将奇思妙想付诸实施。郑文彬并不是人工智能专家，但凭直觉，他认为人工智能可以与安全杀毒结合起来，尽管人工智能不是郑文彬的特长，但他想到了，然后联手人工智能专家，把自己的奇思妙想，通过跨界变成了现实。

郑文彬安全团队奉行的“1万个小时”成功哲学，来自于美国作家格拉威尔关于成功学的著作《异数》中的一个重要结论：要成为某个领域的专家，需要在专业上花费1万小时。

郑文彬之所以有今天的成功，是每天超过10个小时钉死在电脑面前，按照这个时间计算，他9年时间里足足在电脑前面枯坐了3万个小时。

郑文彬对很多人说：“如果你下到了这个功夫，你也可能成为顶级专家！”

成功本来就没有秘诀，正确的方法加上足够的时间付出，愚公也能移山！郑文彬坦言：“在黑客领域永远存在未知的技术难关，不断挑战不可能的极限，才是我们的使命与追求。”

下一步是什么

在很多人看来，郑文彬像一座壮实的铁塔，一堵密不透风的防火墙，这一点毫不夸张。当他像推土机或者坦克一样移动到你面前，凭借经验你会闪到一边，与如此孔武有力的人发生肢体冲突可不是什么好事情。

实际上他看似壮硕的身体，因为长期熬夜已经受到严重损害。因此我说的不是他的蛮力，而是他装着无数奇思妙想的硕大脑袋里，下一步会有什么样的新想法蹦出来。他对产品的苛求，已经上升到美学和艺术的层面，他用程序构筑的网络世界，提供给我们的不仅仅是一种工具，而是一种艺术。

因此，值得我们追问的是，究竟是什么样的动力，让郑文彬如此追求完美不舍昼夜。

在他面前，成功的定义不是技术创新，而是只有他本人才能完成的登峰造极的攻防艺术。

郑文彬不论做软件还是查杀木马，他的想法简单又极具颠覆力：不断创造出一些别人没有想过的产品，影响他人、改变世界。他说，当一个人朝着自己梦想的方向拼命奔跑的时候，路上的风、天上的雨、身边的路人，都不再是你的对手，因为此时你的对手只有你自己！

网络安全攻防，在《黑客帝国》等影视剧里，这个职业充满了紧张与刺激，但现实中的网络安全攻防远没有那么戏剧性。郑文彬说：“事实上这个领域里的同行们，99%的人永远也不会取得成功。”

在漏洞攻击的过程中，为了找到一处可能存在的漏洞，郑文彬和他的团队先后会尝试几十种攻击方法，经常夜以继日地破解了几个月，一种攻击路线在最后的关键两步被证明是不可能的，只好第二天从零开始再找下一种破解方法。如此坚持很长时间，才可能成功攻破一个漏洞，并找到打补丁的方法。

郑文彬说：“现在看来，当初选择这个领域是有很大风险的，可能永远不会取得实质性的成果，我只是对探究未知事物充满兴趣，就像一个淘气的孩子喜欢去掏鸟窝，至于是掏出鸟蛋还是一条毒蛇并不重要，我享受的是爬树的过程。”

大量的网络泄密事件和信息安全事故均与漏洞的存在息息相关。随着国家对网络安全问题的认识越来越清晰深刻，郑文彬的重要性越来越凸显。为了实现漏洞资源共享，有效降低漏洞风险，2013年，中国信息安全测评中心组建了中国国家信息安全漏洞库(CNNVD)，开展漏洞分析相关的技术研究。

作为国际顶级安全专家，郑文彬成为中国国家信息安全漏洞库14位特聘专家中最年轻的一位。

网络安全问题至关重要，这不仅关乎个人信息安全，更是国家安全战略的需要。最令郑文彬高兴的，作为东方最强白帽子军团的核心，在他和他的同行推动下，国家网络安全体系正在行业标准化道路上不断前进。

过去10年间，网络安全技术经历了一场深刻的变革。基于特征码识别的传统软件杀毒技术退出历史舞台，取而代之的是云查杀。以郑文彬为代表的东方白帽子军团，在互联网技术与互联网思维的运用中，颠覆、重塑了传统安全产业的商业模式和技术模式。

不过，当所有人都被网在互联网之中，网络普及带来的是安全形势的急剧恶化：恶意程序数量爆发式增长与进化，海量的新型网络攻击方式威胁着万物互联互通的发展，间谍级、军队级病毒发动的网络战定向攻击，以及未知的核裂变级别的高级病毒威胁。

下一步是什么呢？

郑文彬预测，以大数据分析、未知威胁检测和“云+端+边界联动”等为代表的新型安全思维，将成为引领网络安全发展的潮流。而在下一场新技术变革中，互联网技术与互联网思维的交叉碰撞，必将成为网络安全变革与发展的核心。