“白帽子”成長記

范英華

后來，張瑞冬通過漏洞搶到一個兩百元的紅包，上面寫著“強哥，補補身子”的留言，他覺得過意不去，又把紅包還給了人家。之后，他在烏云網(wǎng)上提交了這個漏洞

“微信任意用戶密碼修改漏洞”，這是白帽子張瑞冬在測試微信時的一個發(fā)現(xiàn)，這個漏洞讓他找到騰訊國際業(yè)務部副總裁的微信賬號，并給馬化騰留了言“馬哥，我QQ號碼被盜了，能幫我找回來么？”

“你瞧，互聯(lián)網(wǎng)行業(yè)的帶頭大哥的安全意識都這么薄弱，可想而知，整個行業(yè)的安全生態(tài)了。”張瑞冬對《方圓》記者感嘆。

不考高中做黑客

張瑞冬并不是一名科班出身的白帽子。

15歲是大多數(shù)的初三學生正在為考取理想的高中而懸梁刺股的年紀。但15歲的張瑞冬所想的卻是“如何成為一名黑客”。他的決定是放棄升入高中，自學黑客技術。這并不是一時沖動，事實上，此時的張瑞冬接觸計算機技術已經(jīng)四年有余，輟學只是讓他“走得更快”。

如今，25歲的張瑞冬是雙螺旋攻防實驗室負責人、四川大學特聘網(wǎng)絡安全專家。身為“90后”的他接觸黑客技術已經(jīng)十五年。

張瑞冬出生于內(nèi)蒙古，家鄉(xiāng)就在草原上。他愛好自由，不愿被束縛的性格也是在這里形成的。

他曾獲得內(nèi)蒙古奧數(shù)的冠軍，在接觸網(wǎng)絡之前他一直是個“優(yōu)秀學生”。

改變發(fā)生在接觸了網(wǎng)絡的那一天?！斑@個虛擬的世界，依然充滿了各種規(guī)則和限制，但是在這里，我可以不僅僅是個執(zhí)行者，我可以去破壞這些規(guī)則，去重建規(guī)則，去做規(guī)則的制定者。這對我充滿了致命誘惑力?！蹦且荒?，張瑞冬11歲。

張瑞冬沉浸在網(wǎng)絡帶來的“自由”里。年少輕狂的他在網(wǎng)絡游戲的世界中難以自拔，學習成績直線下降。但是為了證明自己不單單是在“玩游戲”，他很快找到一種酷炫的方式來展示自己——“做了一個自己的網(wǎng)站。”張瑞冬輕描淡寫地說，“很快，我對黑客技術產(chǎn)生濃厚的興趣，并且開始自學黑客知識。”

在網(wǎng)絡世界和現(xiàn)實面前，他選擇了網(wǎng)絡。2005年，他當著授課老師的面撕碎教科書，初中一畢業(yè)就輟學開始從事網(wǎng)絡相關工作。在他看來，“每個人擁有的時間和精力都是相同的，當你選定目標之后，你需要巨大的時間、精力來學習，為了成為一名黑客我愿付出全部的精力?！?/p>

張瑞冬的網(wǎng)名，也有一個蠻有趣的進化過程?？偨侵甑膹埲鸲W(wǎng)名叫作“不哭”，有點小矯情，后來他覺得這個名字太不成熟，于是改成“無淚”，算是“不哭”的升級版。再后來他發(fā)現(xiàn)圈內(nèi)人喜好用英文名，聽起來很高大上，他也要取個英文名提升一下規(guī)格。黑客圈有一句話叫做“黑客技術再好，我在你的心里永遠也只是過客?！边@說到了他的心坎上，遂直譯為0nly_guest，這個名字一直跟隨他至今。

“網(wǎng)絡仲裁者”

輟學之后，張瑞冬先去網(wǎng)吧當了管理員，他要慢慢地進入黑客圈。時日漸長，在圈里浸淫日久，他結識了一群志同道合的朋友。十年前，一個叫做“網(wǎng)絡仲裁者”的黑客組織小有名氣，這個組織專挖一些違法網(wǎng)站的不法行為，它是由張瑞冬和圈子里的小伙伴兒建立的。他們這些人散布于天南海北，謀職于不同的企業(yè)，有安全從業(yè)人員，有程序員……但是在網(wǎng)絡世界中他們都以“正義使者”自居，要在網(wǎng)上“懲惡揚善，除暴安良”?！熬W(wǎng)絡仲裁者”的線上活動辦地如火如荼，幾個人興沖沖地搭建論壇、錄教程、寫文章。

“仲裁者”們自恃手握黑客技術的“尚方寶劍”，在網(wǎng)絡上仗劍行俠，重點打擊網(wǎng)絡賭博、兒童色情這類違法網(wǎng)站?！拔覀儺敃r發(fā)現(xiàn)了很多這樣的機構，入侵到一個網(wǎng)站發(fā)現(xiàn)賭博、色情的內(nèi)容，就把這些內(nèi)容全刪掉。”張瑞冬他們用自己認為正確的方法維護著網(wǎng)絡的正義。然而俠客還沒當過癮，他們就遭到這些違法網(wǎng)站經(jīng)營者反擊，因為他們的行為觸動了以賭博、色情謀利的地下黑色產(chǎn)業(yè)鏈的“奶酪”。持續(xù)的攻擊占據(jù)了他們論壇的絕大部分流量，他們匆忙應戰(zhàn)，換了好幾個主機商，上了各種硬件防火墻和流量清洗設備，仍然承受不住這種攻擊，沒有主機商愿意再放他們的論壇。不得已，“仲裁者”們聚在一個聊天頻道開了個會，“要低調(diào)，不然無法繼續(xù)?！边@是他們當時的結論。

“現(xiàn)在想想，當時我們覺得對方做了違法的事情，我們?nèi)ゴ驌魧Ψ剑俏覀冞@個行為當然是正義的。但是當我真正了解法律之后，我發(fā)現(xiàn)，就算他做的是違法的事情，我們?nèi)ト肭炙?，我們這個入侵行為也是違法的，就像是有一個殺人犯，你把殺人犯殺了，你其實也犯法了。”張瑞冬對當年的“行俠仗義”進行了深刻的反思。

最低調(diào)的方式莫過于改頭換面，他們改名為“破殼網(wǎng)絡精英小組”，英文名為PKER。寓意是他們愿意像破殼初生的小鳥一樣重新開始，同時也會像小鳥一樣慢慢成長，早晚會展翅高飛。PKER團隊的成員平時各自在自己的城市生活工作，團隊的活動主要是不定期地提供線上的網(wǎng)絡安全培訓，給大家普及安全知識。其間，核心成員走走來來，張瑞冬他們幾度聚合離散。

從進攻的黑客到防護的白帽子

2010年，正在長沙某個大型教育機構擔任技術總監(jiān)的張瑞冬接到PKER團隊伙伴“來北京”的邀請，沒有任何遲疑，他給就職公司留下一封辭職信，當天就買了到北京的機票。到北京之后，他在某涉密集成商的技術總監(jiān)崗位上做了一年。這一年，他做了很多大型企業(yè)和涉密機構的網(wǎng)絡集成項目，他瘋狂地為自己補充相關知識，這使他對企業(yè)的網(wǎng)絡結構、各類網(wǎng)絡設備、安全設備有了系統(tǒng)的認知。他甚至捕獲到了幾個設備的0day漏洞（系統(tǒng)商在知曉并發(fā)布相關補丁前就被掌握或者公開的漏洞信息），這些成為他日后從事專職網(wǎng)絡安全工作的良好基礎。

來北京整一年后，可能還是愛自由的天性使然，張瑞冬和當時叫他來北京的小伙伴覺得北京的生活不自由，不適合他們，于是他們又毫不遲疑地辭職走人。這一次，對于將來的生活道路他們進行了認真的選擇，“要找個適合生活的地方長期待下去”，他們相中了“天府之國”成都。

來到成都之后，他們開始召集PKER的核心成員，有兩人響應他們的號召，辭職來到成都?！艾F(xiàn)在還不具備單干的條件，先去專業(yè)的安全公司工作吧”是他們當時的共識。他們幾個找了一家當?shù)氐陌踩荆_始從事專業(yè)的網(wǎng)絡安全工作。

之后，他們磨刀練劍，一起交流學習。小團隊也慢慢壯大，所需要的人員和技能也補充完整了，團隊有負責做滲透的、逆向的、開發(fā)的、前端安全的……“這時，我們早已不是昔日的小菜鳥了，于是乎PKER團隊更名為PKAV。我們的口號是‘少年，拿起你的鼠標，跟我們一起拯救世界吧。”在張瑞冬言語間，仍然流淌著原來“仲裁者”們的霸氣。

從PKER到PKAV，張瑞冬又成立了專業(yè)的網(wǎng)絡安全咨詢公司——雙螺旋攻防實驗室。雙螺旋攻防實驗室其實就是PKAV，一個團隊兩個名字。曾有媒體告訴張瑞冬，PKAV難以出現(xiàn)在媒體的報道中，只因名字中帶有“AV”，“你知道，中國人對AV很敏感?！睆埲鸲Φ?。團隊的二哥是生物學博士，腦袋一拍，攻防兼?zhèn)涓鶧NA雙螺旋結構相似，干脆就叫雙螺旋攻防實驗室，主攻方向網(wǎng)絡安全防護。

打擊電信詐騙背后的安全公司

網(wǎng)絡江湖闖蕩多年，PKAV積累了不俗的人氣，成立安全公司后，他們的業(yè)務有了正規(guī)的對外聯(lián)絡的端口。PKAV的客戶群遍及政府、公安、軍隊、運營商、金融、能源、教育等領域。

網(wǎng)絡犯罪頻發(fā)，PKAV經(jīng)常需要跟公安打交道，協(xié)助警方辦案。他們研制了一套防止電信詐騙的反制平臺。這個平臺實時搜索各個網(wǎng)站，一旦發(fā)現(xiàn)某個網(wǎng)站正在進行詐騙，平臺就會自動通知受害者、銀行、警方等相關方，平臺可以實現(xiàn)多維自動化地打擊電信詐騙。張瑞冬舉例說：“相信我們每個人都收到過這樣的手機短信，短信告訴你，你的銀行卡有多少積分，可以兌換什么禮品，然后附帶一個鏈接，當你點擊這個鏈接，那么你就上當了，銀行卡上的錢可能就會不翼而飛，這個平臺會在你點擊鏈接的時候自動把這個鏈接所在的網(wǎng)站信息提取出來，實時通知當?shù)毓矙C關和銀行，在詐騙未完成的時候就實現(xiàn)有效攔截，大幅度降低詐騙成功率。”

金融行業(yè)是網(wǎng)絡安全的“重災區(qū)”，張瑞冬說：“金融行業(yè)涉及金錢，系統(tǒng)很多安全漏洞被撲滅在系統(tǒng)上線前，但是也并不是毫無破綻。”張瑞冬曾經(jīng)給一家商業(yè)銀行做安全測試，兩個月的時間發(fā)現(xiàn)了170多個高危漏洞，其中有將近50個高?？梢灾苯觿拥劫Y金。他向銀行的系統(tǒng)開發(fā)人員演示最簡單的時間競爭的漏洞，“你要完成一筆5000塊錢的轉賬，你的賬戶只有5000元，你通過不同的業(yè)務處理器問銀行數(shù)據(jù)庫有沒有5000元，數(shù)據(jù)庫說有，這時候你用兩臺不同的業(yè)務處理器同時轉錢，那么對方就會收到兩筆5000元。因為銀行內(nèi)部的信息同步是需要時間的，你同時轉賬的話，數(shù)據(jù)庫同時處理這兩條請求，就會把兩筆錢轉出去，事實上你的賬戶只有5000元?！毕到y(tǒng)開發(fā)人員看完之后冷汗淋漓。

見慣了各種各樣的安全漏洞，張瑞冬對于網(wǎng)絡安全深有感觸：“沒有絕對安全的系統(tǒng)，最大的‘漏洞是往往都是安全意識：廠商的安全意識、用戶的安全意識、全民的安全意識。能夠被利用的往往不是技術壁壘，而是安全意識的薄弱，這個萬物聯(lián)網(wǎng)的時代，誰都可能面臨網(wǎng)絡安全的威脅，所以人人都應該意識到其實安全問題就在身邊?！?/p>

測試“都在法律范圍內(nèi)”

文章開頭讓張瑞冬聲名鵲起的微信漏洞事件發(fā)生在2012年。

2012年9月4號，張瑞冬在對微信進行常規(guī)測試的時候，發(fā)現(xiàn)“微信任意用戶密碼修改漏洞”。這個漏洞意味著不需要知道任何人的微信密碼，只需知道賬號，就能登錄任意人的賬戶。

張瑞冬發(fā)現(xiàn)這個漏洞之后，為了讓大家知道危害性，就想著要去測試一兩個有分量的人的賬戶。他從網(wǎng)上找了騰訊的員工通訊錄，“這個通訊錄很好找，各大獵頭公司會公布各大網(wǎng)站的員工通訊錄，包括手機號郵箱等等，我當時花了一毛錢下載了這個通訊錄?！?/p>

他在通訊錄中找到騰訊國際業(yè)務部副總裁的微信賬號，從他的賬號中找到馬化騰的微信，給馬化騰留了言“馬哥，我QQ號碼被盜了，能幫我找回來么？”他是在凌晨四點給馬哥留的言，這個時間馬哥自然沒給他回復了。之后，為了確認漏洞，“也是因為當時喜歡柳巖，所以我又找到柳巖經(jīng)紀人的微信號，在他的聯(lián)系人中找到柳巖。”

經(jīng)過這兩次測試確認漏洞后，他在烏云上發(fā)布了這個漏洞，騰訊當天就做出了回應：馬總的微信賬號被破解為誤傳，并無此事。該微信漏洞發(fā)現(xiàn)后已經(jīng)第一時間修復。騰訊公司一直以來對用戶賬號安全非常重視，若您在使用過程中發(fā)現(xiàn)有任何問題，也歡迎您第一時間聯(lián)系我們。

但張瑞冬又嚴肅地表示：“我的這些行為都是在法律范圍內(nèi)進行的。這次修改兩個人的賬戶密碼，盡管是為了引起大家的重視，但是也已經(jīng)算是做得比較過分了。我們跟騰訊的溝通向來很好，有問題提前通知他們，所以沒有出現(xiàn)法律糾紛?！?/p>

對于法律問題，張瑞冬很重視。據(jù)他介紹，PKAV內(nèi)部每月會有一次普法講座，之后員工還要進行考試，確保員工明晰法律的界限，避免發(fā)生法律糾紛?！靶袠I(yè)內(nèi)的人經(jīng)常會把測試和入侵兩個概念混淆，本來你對一個網(wǎng)站做測試，必須要拿到授權，沒拿到授權的話，測試的輕重很難把握，因為不知道下一步測試會不會涉及對方的數(shù)據(jù)。法律上規(guī)定你獲得對方多少組數(shù)據(jù)就會構成犯罪，但是多數(shù)情況下這些人并不知道什么叫獲取，以為我只是看了，但是我沒存，我就沒有犯罪，但是很多情況下，你看的這個過程已經(jīng)構成犯罪，電腦會在本地進行緩存，留下記錄，這其實已經(jīng)是犯罪了?！睆埲鸲瑢Ψ梢?guī)定十分熟悉。

退還漏洞搶來的紅包

除去正常的網(wǎng)絡安全工作，張瑞冬很認同自己白帽子的身份，在他看來，白帽子代表的是一種測試手法，目的是幫助企業(yè)發(fā)現(xiàn)問題。白帽子不會惡意利用計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中的安全漏洞，而是通過提示和公布等方式，促進漏洞的修補。

張瑞冬把每天在互聯(lián)網(wǎng)中尋找安全漏洞視為他的樂趣和使命，他尋找漏洞并不是為了獲得經(jīng)濟利益，更多的是為了提升自己的技術水平，得到別人的認可，最直接的說法就是“我可以找到很多漏洞，你沒找到，我的技術就比你好”。每次發(fā)現(xiàn)漏洞的過程都是一件讓他很開心的事，“網(wǎng)易手機郵箱任意密碼重置強行綁定”、“中國建設銀行刷人民幣漏洞”、“交通銀行免費買車漏洞”……他戰(zhàn)績赫赫。他挖掘漏洞是無償?shù)?，企業(yè)最多給他寄一個代表企業(yè)的小公仔玩具，相比這些，成就感是他認為自己獲得的最大的回報。

擁有一流的網(wǎng)絡技術，他有時難免開點小玩笑，但是并不過火。比如“微信紅包隨便領（發(fā)家致富奔小康，日薪百萬不是夢）”的漏洞，這個漏洞是別人通過微信發(fā)紅包，你跟對方是陌生人，紅包也不是發(fā)給你的，但是你通過漏洞就可以領取對方的紅包，在驗證漏洞的過程中，幾毛錢幾塊錢的紅包就這樣搶到了。但是后來，他搶到一個兩百元的紅包，上面寫著“強哥，補補身子”的留言，他覺得過意不去，又把紅包還給人家。之后，他在烏云上提交了這個漏洞。

雖然張瑞冬十分認同自己白帽子的身份，但是對類似于烏云網(wǎng)這樣的漏洞提交平臺是否合法，他卻仍困惑不已，他最大的希望是將來法律能給出清晰的界定和解釋。