丁一鹤[1]
黑客,又叫骇客,源自英文“Hacker”一词。
这是一个不具有任何褒贬意味的中性词。黑客特指计算机编程专家,也就是网络江湖中具有强大攻防能力的绝顶高手。比如华山论剑的洪七公、欧阳锋、黄药师,武功不分正邪,侠客与败类分正邪,毁誉只在他们用绝世武功做了好事还是坏事。
黑客鼻祖凯文·米特尼克在《欺骗的艺术》一书中,指出黑客的核心精神价值是:被好奇心驱使,被探索技术的欲望与智力挑战的虚荣所驾驭。
好奇心,探索欲,挑战性,这是黑客存在的三个原始驱动力。就像江湖高手的巅峰对决,网络安全的本质就是攻防。在攻防中,黑客分出了正邪。
在黑客世界里,所有黑客被归为三种类型:
一是白帽子,比如洪七公,就是我们所说的正能量的安全黑客,愿意站在公众视野里匡扶正义。他们大多供职于网络安全公司或政府、企业的安全部门,主要工作是监测漏洞、查杀木马、修复系统。白帽子可以识别计算机或网络系统中的安全漏洞,但并不会恶意去用来获利或者进行破坏,而是公布并修补漏洞,防止被黑帽子利用。同时建立起强大的防火墙,阻止恶意攻击。
二是黑帽子,比如欧阳锋。是神龙见首不见尾的充满负能量的黑客,他们大多身处江湖之远,擅长攻击技术,精通攻击与防御,或通过网络盗取他人财富,或攻城略地伤害他人。
三是灰帽子,比如黄药师或者周伯通。他们是以自我为中心率性而为的绝顶高手。研究攻击技术的目的就是惹是生非,属于黑客江湖中亦正亦邪的角色。
这是站在中国江湖语境中,对于黑客的基本理解与分类。
而在现实世界中,黑客发动的网络攻击,已经成为对国家安全层面的严重挑战。
美国著名军事预测学家詹姆斯·亚当斯在《下一场战争》中预言:在未来的战争中,电脑本身就是武器,前线无处不在,夺取作战空间控制权的不是炮弹和子弹,而是电脑网络里流动的字节。
美军战略司令部前司令、空军少将约翰·布雷德利直言不讳地说:我们现在花在网络攻击上的时间,远超过花在网络安保研究上的时间,因为非常非常高层的人对网络攻击感兴趣。
早在2002年,美国国防部就提出了网络中心战理论,未来战场必然是一场又一场黑客军团发动的没有硝烟的大战!
从克林顿时代开始,美国着手网络安全领域的战略部署,网络安全的主题以防护为主。到小布什时代,在网络反恐主题下展开攻防结合,并建立网军司令部。2005年8月,美国国防部成立了代号为“暴雨”的反黑客行动小组。美军近年来不断强化网络安全意识,一边渲染国外黑客或敌对势力对自己的网络威胁,一边加强筹建各军兵种的网络战部队。美国组建了三支全新的部队——战略“黑客”部队、第67网络战大队和网络媒体战部队。
2007年5月,美国空军组建的第一个网络战司令部已经形成战斗力。该司令部升格为一个由四星空军上将领导的一级司令部,成为与空中作战司令部、空中机动司令部等其他9个一级司令部平级的单位。按照计划,整个美军的网络战部队将于2030年左右全面组建完毕。届时,它将担负起网络攻防任务,确保美军在未来战争中拥有全面的信息优势。
无论美国还是中国,网络安全,都已上升到国家安全战略层面。
2014年2月27日下午,中央网络安全和信息化领导小组宣告成立,在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长。习近平在讲话中指出:“没有网络安全就没有国家安全。”
你来帮我清理门户
2006年12月,爽朗的南海热风携带着芒果木瓜成熟甜腻的奶香,吹进海口市一座五星级酒店的海景房里。
阔大的双人床上,四仰八叉地躺着一个肉乎乎的男孩。在微微的鼾声里,他再次进入自己无数次构建的梦境之中。那是由无数编码和数字组成的梦境,在黑白的数字变幻中,一连串的程序编码向他眼前涌来,像群星闪烁的夜空,又像一张无形的大网,铺天盖地扑向他的眼前。
《黑客帝国》开篇的镜头!没错,这个男孩梦中的景象与他看过无数次的电影一样!梦中的主人公仿佛电影中的救世主尼奥,可眼前那鲜活的景象,分明是自己,不是虚拟的尼奥!面对铺天盖地汹涌而来的长着触角的章鱼形状机器人,他挥舞着双手,想撕开那张由编码和数字组成的无边无际的大网,一次次打碎怪兽。可费劲全力,却无论如何都撕不开那张由万千机器章鱼构成的黑网。
在满头大汗的搏斗中,他挥舞着双手突然从床上坐起来。醒来他才发现,除了梦,什么也没有发生。只不过,床上被汗水湿了一大片,额头和身上的汗水,还是热的。
“又是梦!”他自言自语之后,起身去洗手间冲了个凉水澡,换上宽松的海南特有的绿色椰林T恤,晃动着微胖的身体坐在桌前,打开笔记本电脑浏览当天的新闻。
网上蹦出一个消息,《阿里巴巴、奇虎爆流氓软件口水战,谁比谁更流氓?》。
“老周不是做流氓软件的吗?怎么又出来杀流氓软件了?又是炒作吧?不好好做软件,整天炒作有什么意思?”他早已厌烦那些网上的口水官司,不过,让他感兴趣的是,网络江湖上传闻,前雅虎中国总裁周鸿祎以前做流氓软件起家,离开雅虎之后,突然做了一个查杀流氓软件的软件,摆出一副清理门户的架势。
“流氓软件之父”金盆洗手,在他看来,这倒是挺有意思。
“管用吗?不会是虚张声势吧?我来试试看。”他顺手下载了一个360安全卫士软件,因为他也挺讨厌流氓软件拖慢了电脑速度。
软件下载之后,他按照指令轻轻敲击了两下键盘,360安全卫士软件快速运行起来,随即蹦出一连串询问弹窗,先是询问是否杀掉3721上网助手,接着是百度搜霸。
“疯了吧,真的连自己起家的软件都杀啊?”他用鼠标点击了一下页面的提示后,两个流氓插件迅速被消灭。
这款软件竟然挺好用,他一连串儿清理了十几个流氓软件。
“这个老周,有点意思。”他随后点开了奇虎360的官方论坛。他更感兴趣的,这些制造流氓软件的家伙,是怎么挥刀自宫的。
网络论坛上基本都不用真名,每人都用一个化名,也就是“马甲”。
他懒得在论坛上起名,随手打上了马甲的两个字母MJ,有人占用,他又加了个后缀001,发现这个头号名字也早已被人注册。随即,他又在MJ001后面加了一个1,留下了自己网络江湖的名号MJ0011。
这个ID,开始了他在360官方论坛的BBS征程。
他的兴趣爱好和19岁之前的人生跌宕,都是从BBS开始的。
他,以及MJ0011,现实中的名字叫郑文彬,一个扔进人堆里不会被轻易记住的普通名字。
郑文彬是安徽舒城人。2002年,15岁的郑文彬以超出录取线100多分的成绩,考上安徽省重点高中舒城一中。在财政局工作的父亲见儿子成了学霸,一高兴就奖励他一台学英文的电子词典。父亲的本意是让他学英语的,但郑文彬发现辞典里竟然有一些编程的功能,可以自己写程序、做游戏。
于是,编程序就成了少年郑文彬醉心的游戏。
等电子词典满足不了郑文彬的需求,父母又给他买来了电脑上网。郑文彬经常沉浸在各个技术论坛里,并从BBS的网友帖子中开始了他的技术积累。
父母发现,郑文彬吃过晚饭就钻进自己的房间里,基本上每天到凌晨四五点钟才熄灯睡觉。父母以为他酷爱学习,觉得这孩子懂事、争气,心里美滋滋的,也就没有管他。
可父母哪里知道,晚上不睡觉,白天睡不醒的郑文彬,因为沉迷于程序编写,学业一落千丈,从前几名的学霸迅速变成学渣。
舒城一中的高考录取率超过90%,等到郑文彬高考时,父母傻眼了,学霸儿子竟然只考上了个很矬的三本。此时,父母才知道电脑害了孩子,伤心欲绝的父母无力回天,郑文彬却一副无所谓的样子。
更让父母如鲠在喉的是,只到合肥读了几个月大学,郑文彬竟然连大学都懒得上了。
在合肥上大学的三四个月的时间里,郑文彬把图书馆里面有关电脑程序的书看了一遍,觉得再也学不到他要的新东西。问老师,老师也不比这些图书更专业更精通。
学不着新东西还学什么劲?他决定退学。
退学能干什么呢?郑文彬早有盘算,他在BBS里聊天时,认识一个做电子词典的老板,这个老板正在破解一个国外电子词典程序,准备汉化后推出一款产品。每次遇到困难,都是郑文彬在论坛上帮他解决问题。一来二去,这个老板力邀郑文彬到深圳加盟他的事业。
2005年11月,只上了不到4个月大学,还不满18岁的郑文彬开始了人生第一次远行,直接从合肥飞到了深圳。
郑文彬帮那位老板做完产品设计之后,很快又无事可做了,便开始在深圳接一些电子设备的程序设计项目。半年后,郑文彬突然发现自己一个月竟然收入差不多10万元左右。
这个从BBS上成长起来的天才少年,对金钱并没有什么概念。反正在深圳衣食无忧,他干脆就天天住在深圳上沙一带的酒店里研究程序。正是在这个时期,郑文彬开始深入接触到一些底层的编程技术,比如内核驱动、安全攻防。
每个男孩都有救世主一样的英雄梦想,看过《黑客帝国》的郑文彬,太想当一个救世主了。他的梦想就是成为中国的顶级黑客,像《黑客帝国》里的救世主尼奥,去拯救这个可能即将陷落的世界。
对于网络安全攻防的热爱,像南中国的热风一样从未降温。在酒店里住了一年,郑文彬帮助北京做过公交调查系统,给南宁做过多国语言的翻译机等项目。
2006年11月,一位做程序的朋友请郑文彬到海口玩。来到海口之后,一边游山玩水,一边在这家酒店住了一个多月,过着海边散步累了回酒店上网的优游日子。直到一个月后,闭门不出的郑文彬一场大梦之后,登录360官方论坛,成了360官方论坛里的活跃分子。
郑文彬在论坛上玩得风生水起,很快成为论坛版主。
在论坛上,不时公布一些连360安全卫士都查杀不掉的流氓软件。郑文彬自告奋勇地说:“我来试试!”
有时候是几天,有时候是几个小时,郑文彬帮助360杀毒团队对一些流氓软件进行专杀,并一次次获得成功。
MJ0011成了论坛上的狠角色!立即引起了360安全卫士负责人的注意。
这位360官网的版主与郑文彬惺惺相惜,在论坛上和私下里,两人的聊天从春风化雨循循善诱,再到热血沸腾壮怀激烈。最后,360的这位版主向郑文彬发出英雄帖:“来北京加盟我的战队吧,这里有你的战场!你可以砍菜切瓜、快意冲杀!”
“杀毒我倒是挺感兴趣,不过我在这边收入还可以,过得也挺好挺自由,不愿意过去。”郑文彬拒绝得很实在,自己一个月轻松就有10万元的收入,突然去给别人打工受约束,实在情非所愿。
郑文彬的拒绝,哪里抵得过这位聪明绝顶的版主:“不用急着签工作合同,你来看看,要是愿意帮我们做一些东西,我们付费给你,这样好不好?”
此时,正好郑文彬在网上认识的一个苏州朋友,也热衷于网络安全,他也想到奇虎公司看看,力邀郑文彬同赴北京。
2006年12月底,临近元旦的一天,两人相约在北京首都机场相见。
12月份的海口还热得开空调,胖胖的郑文彬出发前,预想到北京比较冷需要找件厚衣服,找来找去,找到最厚的是一件长袖T恤。一下飞机,零下四五度的寒风让郑文彬不禁打了冷战!
不知道此行是吉是凶!管他呢,郑文彬从飞机场打车直奔市区买了一身棉衣,两人才拨通了奇虎公司那个版主的电话。
两人冒着寒风赶到位于四惠桥东北角的奇虎公司。见面之后郑文彬才知道,这位版主就是后来在网络界大名鼎鼎的傅盛,时任奇虎360安全卫士的产品经理。
傅盛很忙,寒暄了两句后说:“我还有别的事儿,今天晚上我安排360安全中心的两个哥们接待你们。明早你们再来公司,我带你们见老周。”
郑文彬内心微凉,热血沸腾地跑到北京,竟然安排两个陌生人简单接待,岂是待客之道?看来,傅盛并不是他想象的尼奥的伯乐墨菲斯。
陪他的人中有个叫余和的技术员,郑文彬与余和聊天后才知道,360整个安全团队只有区区10个人,的确忙得不可开交。
郑文彬释然了。
第二天,傅盛带着郑文彬见到了奇虎公司董事长周鸿祎。
没什么寒暄,聊了几句,周鸿祎就一眼看出了郑文彬的疑虑,他抛出一个问题:“在论坛里面帮网友解决问题,你跟傅盛都是版主,你俩比较一下,一天最多能回多少个解决疑难问题的帖子?”
郑文彬如实回答:“不眠不休,三四千个吧。”
周鸿祎微微一笑:“在论坛里帮人解决问题,每天三四千是极限了吧?如果我给你一个更大的平台,是不是更有意思?”
“多大的平台?”郑文彬显然被吸引了。
“一天帮几千万,将来甚至几亿人吧,感兴趣吗?”周鸿祎笑眯眯地看着郑文彬。
一句话把郑文彬给镇住了,帮几亿人,这不就是拯救世界吗?他几乎没过脑子一般,抢着回答说:“感兴趣!感兴趣!”
周鸿祎说:“除了兴趣,更重要的是责任。你得用自己的技术和经验保护用户信息安全。如果用户上网没有防护,就如同一个小孩抱着黄金在大街上裸奔,网络安全工程师就是匡扶正义、除暴安良,责任就是帮助和保护用户。你要的不是炫技和财富,而是成为网络安全英雄,这是我们与黑客的最大区别。”
“这没问题,为了你说的那个责任,我决定了,跟你干!”一直专注于技术的郑文彬,头一次听到的自己的技术可以帮助成千上万人,甚至能成为网络安全英雄,他内心里小小的英雄情结被激发出来,几乎没做任何考虑,就答应下来。
直到要签订入职合同的时候,热血沸腾的郑文彬在朋友的提醒下,才想起来根本没跟周鸿祎谈报酬问题。
“我冲的是周鸿祎,又不是冲钱去的!”本来对金钱就没什么概念的郑文彬,毫不在意。他在意的是,周鸿祎可能是那个认定他是救世主的伯乐墨菲斯,会引领他在黑客江湖中快意恩仇!
话是这么说,那时候郑文彬单打独斗,每月能赚十万元左右,到奇虎公司的收入却只有区区几千元,差别还是挺大的。
他在警方之前揪住了熊猫烧香
所谓互联网安全技术,就是“互联网+安全技术”。
加盟奇虎公司之后,郑文彬成为奇虎360安全团队的一名技术员,负责360流氓专杀软件。
此时的360安全卫士团队全部加起来只有10人,傅盛是负责整个项目管理的产品经理,再去掉运营、客服等,杀毒一线的技术人员只有郑文彬等三四个人。
后来360公司成为国内最大网络安全产品及服务供应商之后,很多人感兴趣的是,谁是奇虎公司向流氓插件开第一枪的人。在郑文彬的记忆中,开第一枪的那个人叫余和,也是郑文彬加盟奇虎公司之后亦师亦友的好伙伴。
坐在郑文彬对桌的同事余和,是郑文彬进入杀毒领域的第一任导师,他为人平和,不怎么多说话。
进入360之后,郑文彬才发现,在此之前他帮别人做电子设备,使用的是底层编程语言。而余和开发安全程序,使用高级编程开发软件,郑文彬完全不会。这就相当于两个世界的语言,只懂中文的郑文彬面对操着流利英语的余和,完全傻掉了。
“怎么办呢?”郑文彬挠着头。
“学呗,我来教你,有不懂的你就问我,反正我就坐在你对面。”余和也不多说。
只能边学边干了。晚上回到租住的房子,郑文彬熬得通宵达旦。第二天到单位,把不懂的问题提出来,余和再逐条地教给郑文彬。
即便这样,也会遇到这样那样的问题。一旦写程序卡住了,郑文彬只好问余和:“又卡了,下一步该怎么写?快来教我。”
余和基本不抬头,接茬告诉他一个指令,问题立即迎刃而解。
在写程序时,大多数程序员能记住经常用的程序指令,但不经常用的技术参数怎么用,差不多所有程序员都需要查手册。
在请教的过程中,郑文彬才领教了余和这位程序高手的厉害。在Windows手册中,有几万个功能接口,余和竟然能把所有接口的功能和指令背得滚瓜烂熟,操作起来根本不用去查。郑文彬只要遇到某个功能接口搞不清楚,一问余和这个功能需要什么指令,余和随时都会不假思索地告诉郑文彬。
这种过目不忘的天才,郑文彬也只是听说过,但亲眼见到还是第一次。
而郑文彬的学习速度,也让天才余和惊诧不已。
在余和的调教下,郑文彬几个月就很快打通了两种程序语言的障碍,开始杀毒软件的设计。就像一个中国孩子到了美国,不但三五个月内学会了英语,还突然做起了博士论文。
实际上,这种令人惊诧的学习进度,付出的是超乎常人的精力消耗,得到的却是极大的身体伤害。郑文彬每天只休息三四个小时,而只比他大10岁的余和更是长期失眠,整日整夜睡不着觉。到医院一查,余和患有长期高负荷工作带来的严重神经衰弱症。
正是这种肉体上高强度的付出,才使他们在网络安全领域总是快人一步,也让郑文彬在安全软件的构架上有了初步感觉。
郑文彬发现,与一般流氓软件不同的是,大公司的流氓软件多数都有很强的内部保护。如某著名网络公司的上网插件,是一个德国专家帮他们设计的一套保护系统,国内没有这么高的技术把它清掉,一般的杀毒技术也杀不掉他们,导致很多的网民有插件也清除不了。
打通编程语言关口的郑文彬,就像练武术打通了任督二脉,开始在余和带领下专注于研究新的杀毒技术,清除顽固病毒的底层保护。
经过半年左右的清理,师徒两人联手,基本干掉了所有的流氓插件。
360安全卫士在低调中成长,增加了漏洞修复、查杀木马、装机必备、体检等功能。到2007年,360安全卫士每天安装量高达40万,安装总数达到数千万。
360安全卫士名动天下,少不了国外杀毒软件卡巴斯基的功劳。360安全卫士推出时,考虑到奇虎公司自身毕竟不是专业做安全的,贸然抛出一个自己开发的流氓克星软件,背后没有强大的安全技术支持,必然会全军覆没。进入安全领域之初,奇虎公司找到曾经的合作伙伴卡巴斯基,与他们达成协议,延续了以往的合作模式:奇虎以每年向卡巴斯基支付数百万元,卡巴斯基提供杀毒软件,把卡巴斯基与360安全卫士捆绑起来,提供给用户。
奇虎公司进入安全市场,之所以把目标锁定在流氓软件上,是因为当时杀毒厂商并不认为流氓软件是病毒,所以并不查杀流氓软件。而周鸿祎是公认的流氓软件之父,他出面清理流氓软件,别人也会认为是自己清理门户,不会招致大多数杀毒厂商的抵制。
事实上,大部分流氓软件是国内互联网的大牌公司做的,杀毒厂商跟这些互联网公司都有切不断的联系,因此互联网界有一个不成文的默契:杀毒厂商不把流氓软件当病毒,也不会去查杀。因为谁查杀流氓插件就是断人财路,自己又不得利。
清理流氓插件意味着把同行得罪光。每个有名的流氓软件背后都是一家大公司,剜大公司的心头肉,这和一场火并差不多。
郑文彬作为冲锋在前的杀毒战士,又必须打好这一仗!
与此同时,普通用户盼望清理流氓软件,就像受压迫受剥削的老百姓盼救星解放军一样!
当时的互联网用户,几乎所有人都为流氓软件头疼不已,无论是开机还是上网聊天查找资料,都卡得不行,而且随时都会跳出一些流氓软件,引导用户一不小心就点进黄色网站,而且无论怎么删都删不掉,多数用户无奈之下只好重装系统。有的用户几乎每个月都要不厌其烦地重装一次。360安全卫士一出场,立即受到欢迎,大部分流氓软件都被删除。
因为360安全卫士瞄准的是流氓软件,推出之始并没受到传统杀毒厂家的很大阻力,他们都以为周鸿祎这是在清理自家门户,抢不了自己的地盘。
但最后,360安全卫士因为查杀了雅虎助手插件,最终升级成了道德指责和封杀,升级成了一场官司,升级成了一次互联网界的震动。这是郑文彬始料未及的。
清除流氓软件看似是周鸿祎的小试牛刀,但奇虎公司迅速成为互联网世界斜刺里杀出的一匹黑马,令同行惊诧。尽管与瑞星、金山和阿里巴巴等几家互联网公司争到了法庭上,但360安全卫士爆发式增长,很快成为装机量最大的安全软件!
奇虎360闯入安全市场正是生逢其时,在清理完流氓软件之后,郑文彬匆匆找到周鸿祎报告:“一种比蠕虫更厉害的新病毒,最近非常猖獗!”
“什么病毒?!”周鸿祎仿佛发现新猎物一样两眼放光。
郑文彬解释说:“这种病毒叫木马!就像特洛伊木马一样,伪装进入电脑程序后散布病毒,这种病毒跟人身上的癌症一样,只要发现就是晚期,不但能直接搞乱电脑,甚至远程控制电脑程序。黑客可以通过木马控制盗取银行账号、游戏密码,远程控制他人电脑等手段,窃取网民信息,把整个互联网搞得阴云密布。我敢断定,木马背后肯定有着巨大的利益驱动!也肯定不是以往独行侠式的黑客单打独斗,而是很多黑客联手作战。”
“咱们有没有办法干掉它?瑞星、金山那些杀毒厂商有没有好招数?”周鸿祎问。
“木马泛滥速度很快,有人在网上叫卖木马。传统杀毒厂商也措手不及,因为木马变种很多,暂时都还缺乏有效的杀毒程序,只能出来一个杀一个。不过,我相信瑞星、金山他们会很快开发出来杀毒程序,我们团队人少,但估计也不会比他们晚!”郑文彬谨慎地说。
周鸿祎说:“传统的杀毒厂商采用的模式,是先卖一个光盘,用户装在电脑上之后,再适时更新病毒库,木马可能在任何一个时间段进入用户电脑,而用户不可能不间断地升级杀毒程序。即便我们跟他们同时开发出来杀毒软件,我们可以第一时间发布,可以与瑞星、金山他们来一个赛跑!”
肆虐互联网的木马让郑文彬打了鸡血一样兴奋,就像江湖高手面对另一个高手,忍不住挑战一样,他对周鸿祎说:“我打算编写一套针对木马的专杀程序,怎么样?”
“当然,马上开工,现在就干!”周鸿祎说。
从2006年底到2007年初,短短的两个多月时间,憨态可掬的熊猫图标占领了无数电脑的屏幕,一个名为“熊猫烧香”的病毒不断入侵个人电脑、感染门户网站、击溃数据系统,亿万用户叫苦连天,杀毒厂商焦头烂额,病毒作者被黑客江湖追捧,甚至《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》中,也把熊猫烧香评为“毒王”。
“跟上去,看看这个熊猫烧香有什么特点?”余和站在郑文彬背后,两人盯着面前几台电脑上频繁出现的熊猫图标。
“熊猫烧香病毒几乎一夜之间控制了全国数百万台电脑,熊猫一声号令,中毒的电脑就乖乖献出账号密码,并充当他攻击网站的打手。因感染手段丰富,熊猫烧香病毒很快四处传播,病毒大潮犹如洪水,惊涛之下,无人能挡。”郑文彬解释说。
满头大汗的郑文彬噼里啪啦敲击着键盘,突然,他指着电脑屏幕上的一串字符,回头对余和说:“沿着这个病毒的相关信息,我捕捉到熊猫烧香病毒的源代码含有一个whboy字样的符号。在此之前,含有whboy源代码符号的系列病毒曾经出现过,不知道是不是一个人开发的。”
余和说:“很可能,目前的木马病毒是根据国外病毒的源代码改写的,真正原创的成分非常少。”
郑文彬说:“以前与whboy符号相关的病毒出现时,并没有明显的特征,所以我没怎么注意,根据这个源代码,我怀疑熊猫烧香与以往昙花一现过的木马病毒,可能出自同一个作者之手。”
“你再查查,相较于其他感染性木马病毒,熊猫烧香的感染性怎么样?危害程度大不大?”余和着急地问。
“这个木马病毒比较胆小,除了窃取密码之外,没做任何破坏性操作。不过奇怪的是,以往的木马病毒很少用某种符号来公开显示病毒,大多用户只有在丢了账号之后,才会发现自己的电脑中毒了。而熊猫烧香不一样,只要感染电脑,就会显示熊猫烧香的图案,高调到唯恐别人不知道。这小子有暴露癖?反正有点炫耀的意思!”郑文彬说。
“只要是炫技的家伙,一般武艺都不怎么高,花拳绣腿就会有软肋,如果去掉修改图标这个过于明显的中毒特征,熊猫烧香感染电脑的数量,在所有木马病毒里并不是最大的,危害也并不像媒体报道的那么巨大。你查查这小子有没有留下注册人的信息?”余和笑了。
沿着whboy这个代码,郑文彬找到了熊猫烧香病毒的首页,在首页上,郑文彬几经搜索,竟然找到了注册人的信息。打开一看,是一个武汉的地址。
“快看,whboy,就是武汉男孩!老周湖北老家的!”郑文彬笑着指着电脑上的一串字符说。
“要注册域名就要填家庭住址电话,你继续搜索下去,看看有没有可以找到这个黑客的蛛丝马迹?”余和顾不上跟郑文彬玩笑。
郑文彬噼里啪啦敲击了一串儿电脑之后,指着电脑说:“武汉男孩竟然填写了真实的个人信息,你看,他留下了真实的名字李俊,还有自己的家庭住址。估计这是个初出江湖的黑客,他也许并不知道,对于高手而言,这是暴露身份的致命线索。这个雏儿,用他的这段代码扭曲和暴露了自己。”
余和不屑地说:“黑客炫技!这个武汉男孩只不过是通过制作一个让人记住的形象,来证明他是网络世界的熊猫。比起你郑文彬,他哪里是熊猫?狗熊而已,你才是熊猫呢。既然找到它的致命要害,你赶紧把这个病毒查杀了吧!”
当后来名动天下的武汉男孩李俊,此时当然不知道,当他把自己和同伴共用的代号“whboy”写入病毒的时候,就给自己的犯罪留下了蛛丝马迹,这个踪迹在李俊被警方抓捕之前的一个月,就被郑文彬与余和查到了蛛丝马迹。
但遗憾的是,那时候杀毒行业并没有构建一个有效的报毒规则,各家安全公司的高手发现病毒之后,都到软件更新评测的网站去发布消息,提醒业界注意,或者共享自己的开发杀毒程序。追踪到熊猫烧香的木马病毒之后,郑文彬把自己的这个发现,发到中文业界资讯网站CnBeta上。
郑文彬公布了熊猫烧香相关信息之后不久,湖北省公安厅2007年2月12日宣布,湖北公安厅网监部门一举侦破了熊猫烧香病毒案,抓获了25岁的武汉新洲区人李俊。从病毒泛滥到被抓获,李俊通过自己出售和由他人代卖的方式传播熊猫烧香病毒,在网络上将病毒销售给120余人,非法获利仅仅10万余元。
也就是从李俊开始,很多人通过熊猫烧香才第一次知道黑客的生财之道。
2007年9月24日,熊猫烧香计算机病毒制造者及主要传播者李俊等4人,被湖北省仙桃市人民法院以破坏计算机信息系统罪判刑,李俊被判有期徒刑四年。
李俊被判刑后,余和与郑文彬聊天说:“这个李俊虽然谈不上黑客高手,但他的教训足够深刻。就像他自己说的,想过普通的生活,就会遇到普通的挫折。想过上最好的生活,就一定会遇上最强的伤害。你想要最好,现实世界就一定会给你最痛。能闯过去,你就是赢家,闯不过去,那就乖乖做普通人。”
郑文彬笑笑说:“那我还是乖乖做普通人好了!”
2009年12月,提前出狱的李俊高调进京求职,瑞星、江民直接端出了闭门羹。李俊也来到奇虎求职,面试之后,证实了郑文彬跟余和当初的判断,李俊只不过是入门级的黑客。奇虎婉言谢绝了李俊的求职。
失落的李俊黯然离京,仅仅两年之后,李俊与他的伙伴在浙江丽水开设网络赌场,所涉赌资超过7000万,案件为公安部督办大案。李俊再次被法院以开设赌场罪判刑三年。
当余和与郑文彬聊起李俊被再次判刑的消息时,余和慨叹说:“没有浪子回头的温情,没有国家招安的人生转折,李俊的黑客人生也被病毒侵蚀了。他一次次以极端的方式冲上巅峰,然后迅速跌落巅峰。这个自以为天才的黑客少年,在人生路上反复染毒,为什么?”
“证明自己的方式有很多种,就看他选择什么样的人生。他选择了做怪物,我们只好做打怪的奥特曼!灭病毒的尼奥!”郑文彬跟余和相视一笑。
“成为黑客还是网络安全英雄,其实仅仅差之毫厘。在黑客的世界里,只要你是技术高手,其他人都会佩服你,追捧你,崇拜你。就像进入江湖世界,那里有高手的自尊、侠客的成就,也有令人不齿的江湖败类。不过,我现在关心的是,你从这次熊猫烧香的泛滥,发现了什么?”余和问。
“熊猫烧香引发了用户对杀毒程序的依赖,但杀毒软件价格动辄在百元以上,中国个人用户都没有花钱买软件的习惯,杀毒软件普及率偏低,所以很多人就遭到木马侵袭。”郑文彬分析道。
“我们能不能做一款覆盖率很高的杀毒软件,免费提供给用户,这样的话,像熊猫烧香这样的病毒,就不可能大面积爆发了。”余和说。
“我赞成免费!不过,这样一来,就断了黑客的财路啊,断人财路,必遭报复啊!”郑文彬直言不讳。
余和笑了:“魔高一尺道高一丈,有咱们在,怕什么?大不了把这些黑客高手招到我们麾下,由你这个韩信做总指挥,带着他们去冲锋陷阵,韩信将兵,多多益善嘛!”
对阵机器狗
写病毒的黑客,永远不缺乏媒体关注,尤其是其中的佼佼者。不少媒体有意无意地把这些病毒作者捧为“电脑天才”“超级黑客”,这种现象不仅出现在国内媒体中,甚至国外也有类似的现象。比如被热捧的号称“世界头号黑客”的米特尼克、CIH病毒的作者陈盈豪。
然而,很少有人关注到,在与黑客博弈的战场上,郑文彬这些寂寂无闻的网络安全英雄们,却时刻枕戈待旦,守卫着网络的安全。
在熊猫烧香之后,郑文彬还成功阻击了一种更为猖獗的“机器狗”病毒。
2007年前后,中国大街小巷冒出了数以万计的网吧。很多买不起电脑、家里上不了网和父母不让上网的年轻人,纷纷涌进了网吧。
网络游戏吸引了众多上网的年轻人。网络游戏都需要密码,密码关联着购买网络武器的虚拟货币,盗走游戏密码等于盗走了玩家的货币,这对玩家来说是一个巨大的损失。
当时,网吧对付病毒和木马的撒手锏是一张还原卡。如果电脑不幸染毒,就用还原卡重启一下,电脑就会自动还原成正常程序。网吧里的电脑之所以不怕中病毒,靠的就是这张还原卡。
但不久之后,很多网吧集中反映,一种新的病毒以迅雷不及掩耳之势,冲击了中国几乎所有的网吧和大多数个人用户。郑文彬上网查看之后发现,这个病毒没有名字,中毒后显示的图标是SONY的机器狗阿宝,就像之前的熊猫烧香一样,网民给它起了个名字叫机器狗。
而与之相关联的,还有另一种“机器狗战士”,破坏性极强,2006年由美国波士顿动力公司研制,它功能强大,稳定性以及方向感方位感极强,可以跟随士兵在崎岖地带作战。网民随即把这种病毒称作机器狗。
全球反病毒监测中心也发布紧急病毒预警:机器狗新变种大规模爆发!短短几天时间,郑文彬他们接到数百位用户求助电话。
郑文彬立即把这个情况报告给余和:“这个机器狗的厉害之处在于,它是一个典型网络架构的木马型病毒,病毒将自己保存在系统中,定期从指定的网站下载各种木马程序,来截取用户的账号信息。”
“这个病毒的感染是什么样态?”周鸿祎问。
郑文彬说:“机器狗的中毒症状是,用户打开我的电脑,或者打开浏览器,在只开一个窗口的情况下,机器狗木马就会把打开的窗口关闭,桌面进程就会重启,而在这个过程中,玩家的游戏装备就会被疯狂盗取。”
余和说:“网吧的电脑上不是装了还原卡吗?你的意思是,这个病毒穿透还原软件后进行感染和攻击?”
郑文彬解释说:“机器狗除了疯狂攻击电脑之外,谁也不知道它从哪里来,到哪里去。网吧和个人用户大面积被感染。机器狗病毒新变种频出,互联网面临一场狂犬病考验。”
余和分析说:“那用户的办法只有一个,只能选择重装系统。感染硬盘,盗取游戏密码,这很可能是针对网吧的用户设计的病毒,黑客的身后有着巨大的利益。”
郑文彬回答说:“对,机器狗就是一种病毒下载器,它可以给用户的电脑下载大量的木马、病毒、恶意软件、插件等。一旦中招,用户的电脑便随时可能感染任何木马、病毒,这些木马病毒会疯狂地盗用用户的隐私资料,比如账号密码、私密文件,也会破坏操作系统,使用户的机器无法正常运行,它还可以通过内部网络传播,下载U盘病毒和攻击病毒,引发整个网络的电脑全部自动重启。机器狗就像潜伏到电脑内部的特务,随时发出信号召唤敌人来攻击,这招太损了。包括传奇、魔兽世界、征途、奇迹等多款网游账号和密码都被盗,严重威胁游戏玩家数字财产的安全。”
余和说:“那我们要注意这批黑客的动向了,从病毒的升级进化分析,第一代黑客是炫耀技术引起关注,这样的高手我们可以招到麾下;第二代黑客是制造病毒破坏系统训练攻防,这也不可怕,也可以为我所用;但第三代黑客有一部分已经完全从量变到质变,他们写病毒的目的只为一个字,钱。他们写病毒、传播销售,再到洗钱分账。黑客制造病毒,在李俊之后已经形成了黑色的地下产业链,触目惊心啊。你经常泡在反病毒论坛里,要密切关注那些高手们的帖子,他们是杀毒高手,也可能是制毒高手。”
黑客打造的黑色地下产业链之嚣张,令余和与郑文彬怒不可遏。就像江湖高手面对敌手的恶意挑战,必然亮剑一搏!
郑文彬的判断没错,机器狗就是剑指网吧而来,而且是针对所有的还原产品设计的,破坏力很快超过熊猫烧香。
就在广大网友对机器狗病毒深恶痛绝之时,机器狗作者竟然浮出水面,而且公开在网上叫卖,公然留下联系方式,甚至在博客里叫嚣:够网络警察玩几年!
“别麻烦警察叔叔了,有我在,就先把你给收拾了!”郑文彬微微一笑。
在机器狗病毒作者专门注册用来出售木马病毒的网站上,木马病毒生成器的价格从数千元到数十万元不等。这些制售木马病毒的作者们谋取的黑色利益显然相当不菲,可想而知,在购买了这些高价的“重型武器”后,木马病毒作者们变本加厉,疯狂地盗窃、抢夺普通网民的虚拟财产。
地下黑色产业所带来的巨大经济诱惑,让一批无良黑客铤而走险,有恃无恐。机器狗横扫各大网吧,盗取网游账号无数,堪称病毒界的血滴子,一杀一个准。
郑文彬在完整版的机器狗出售说明上,还看到这样一行文字:
1.如果您已经决定购买代码请联系客服付5%的定金。
2.买一张到美国的机票,具体地址我们告诉您,告诉我们您到达的时间我们好去接您。
3.到我们团队的驻地拿代码,我们为您现场调试,您在我们驻地的消费以及往返机票费用我们全包。
难道这是一个藏身在美国,制作木马病毒的专业犯罪团伙?
如果机器狗的作者果然藏身美国,遥控着国内的木马病毒,同时又向国内木马病毒制作者高价贩卖先进的病毒木马技术,这令人觉得毛骨悚然!
郑文彬连续跟踪,发现机器狗制作者相当狡猾,只留下了一个电子信箱用于联系,但仅凭这个联系邮箱找不到任何有用的信息,追踪机器狗作者藏身之处,极其渺茫。
倚天不出,谁与争锋?眼下最要紧的是先阻止这个病毒的肆虐。
郑文彬连夜熬通宵,研究机器狗木马病毒症状之后发现,机器狗主要有两个中毒症状,一是如果360安全卫士无法打开或者打开之后被关闭,系统变得非常慢,系统时间莫名其妙被更改。“我的电脑”图标不正确,输入法无法打开,说明可能中了机器狗。二是打开C:WINDOWSsystem32文件夹,如果在属性窗口中看不到文件的版本标签,说明文件已经被病毒替换,已经中了机器狗病毒!
机器狗病毒生命力相当顽强,仿佛是打不死的蟑螂“小强”。
针对这款病毒的特性,郑文彬很快开发出了360安全卫士“打狗秘籍”。《360顽固木马专杀大全》一经推出,立即成为机器狗的天敌!
这款《360顽固木马专杀大全》,集成了数种顽固木马专杀工具,用户可以“一箭多雕”,只要下载一个,就可以查杀数十种顽固木马病毒。
自此之后,360确定了一个杀毒原则:木马不过夜!
机器狗病毒为祸互联网,也引发了一场杀毒厂商的集中大围剿。在360安全卫士挥动“打狗棍”围猎机器狗之后,同仇敌忾的各大杀毒厂商,也有效针对机器狗病毒的传播特点,纷纷推出专杀工具。
一时之间,杀毒厂商众志成城,有效阻击了机器狗入侵。机器狗在猖獗了一个阶段之后,气焰渐渐消散。
但很多没有安装杀毒软件的电脑,不幸成为机器狗的猎物。机器狗肆虐期间,香港演员陈冠希轰动一时的艳照门事件,很多人怀疑是机器狗木马控制电脑之后,盗取了有关图片视频。
郑文彬怀疑,机器狗病毒不是一个人而是一个专业制售木马病毒的犯罪团伙,他希望公安部门能够介入,打击并消灭这种可能藏身国外、专门贩卖木马病毒的黑色产业,还广大网民一个干净的网络环境。随后,郑文彬将相关信息报告给了警方。
但警方介入之后发现,随着360、金山等各大杀毒厂商纷纷推出了自己的打狗软件,机器狗病毒不再猖獗,作者隐身于江湖再未现身,去向成谜。
自此,机器狗病毒成了一桩悬案。
奇虎抓耗子
藏身于国内的木马病毒作者,却没有机器狗作者那么好的运气了。在机器狗之后,郑文彬等一众杀毒战士,联手警方逮出了一批“小耗子”,挖出一条完整的木马产业链。
木马病毒猖獗时,很多反病毒论坛、贴吧上,一些黑客高手竟然公开发布招生广告,宣称长期收徒,传授灰鸽子、抓鸡、DDOS攻击、木马制作、网站入侵、网站挂马、木马脱壳、免杀、捆绑服务器的制作与维护、网吧安全与入侵等,甚至还有大量黑客打出广告,表示有能力承接各类黑客业务,只要付上足够的价钱。
木马病毒倏忽来去,隐藏在角落里的黑客自以为能够逍遥法外。但在360确定的木马不过夜的杀毒原则之下,360早在警方立案调查之前,就和一种叫“小耗子”的木马展开交锋。
2007年10月7日上午9点开始,湖北省麻城市黄金桥区电信互联网突然中断,长达三天的时间里无法正常运转。中断网络的包括麻城市公安局、检察院、法院在内的45家单位和5家网吧。
几乎所有单位都涌到麻城市电信部门查询,但技术人员无论如何也查不到原因。
与此同时,网吧老板小赵跑到公安局报案说:“我接到一条信息,黑客让我给8000元消灾费,买他的软件就能恢复网络,否则就让我的网吧瘫痪。”
麻城公安局网监大队抽调技术高手,迅速介入此案。
警方侦查发现,这个信息就发自湖北麻城,说明敲诈者身在麻城,甚至可能熟悉赵老板,更可能是对网吧熟悉的上网人员。于是,警方在麻城网吧展开秘密监控。
很快,24岁的高麻城被警方抓获。警方以为抓到了一个大家伙,但审讯时发现这只不过是一只小耗子,他满腹冤枉地说:“打电话发短信要钱是我干的,赵老板跟我有仇,我才想出这一招敲诈他的。但网络攻击不是我发动的,是山东人韩青岛干的!”
“韩青岛干什么的?你们怎么认识的?”警方继续追问。
高麻城委屈地说:“我也是发动攻击前一天刚在黑鹰网上认识的,韩青岛说他是小耗子木马的全国总代理,专门干的就是控制‘肉鸡’,攻击小城市网吧的。我在网上跟他聊天,才突发奇想,试试能不能在麻城赵老板的网吧出出气顺便赚点钱。我本来有工作单位,不信你们去查。”
警方一查,这小子果然没说谎。
“那你们是怎样发动攻击的?”警方继续审讯。
“我就是打探到赵老板的电话,查到了他们网吧的IP地址,然后告诉韩青岛,由他发动的攻击,造成网吧传输阻塞、掉线。总共集中攻击了两次,10月7号一次,第二天又发动了一次。”高麻城说。
“你有韩青岛的联系方式吗?”警方问。
“只有qq号,别的没有。”高麻城如实回答。
韩青岛发动的这次木马攻击,在湖北麻城造成直接经济损失13万余元,间接损失无法估算。麻城警方层层上报后,公安部将此案列为督办案件。
审讯高麻城之后,麻城警方迅速调集警力对韩青岛展开追击,但韩青岛像人间蒸发一样,在网络上消失了。
茫茫人海,要奔赴山东去追查一个名字都不知道真假的韩青岛,谈何容易?
由于网络攻击证据采集很困难,起诉证据不足,麻城警方只能将这起网络攻击案暂时搁置,但侦破工作并未就此完全停止,韩青岛的动向始终被麻城警方重点监控。
召唤“肉鸡”是远程控制木马发动网络攻击的主要方式。所谓“肉鸡”,就是那些没有安全保护而被木马控制的电脑终端,被控制的“肉鸡”是黑客其取之不尽的财富宝库。在黑客网站上,“肉鸡”被公开叫卖,每只“肉鸡”的价格低至0.1元,高则达1000多元。
郑文彬发现,“肉鸡”之所以受欢迎,一是黑客买到“肉鸡”后,首先将“肉鸡”的银行账号、游戏账号、密码、游戏装备、游戏币和QQ币等盗出来,然后打包批发卖给销售商,销售商再去非法销售。
二是黑客可以控制“肉鸡”点击广告,提升一些网站的流量和排名,从广告主那里收取广告费。
三是指挥肉鸡发动网络攻击。黑客能控制数万甚至数十万只“肉鸡”充当网络战士,在同一时间段内攻陷某一网络站点,使一些网吧和中小企业不得不破财免灾,只要交了“保护费”,网络马上就会恢复平静。
韩青岛在湖北麻城搞过一次闪电突击之后,扔下同伴高麻城遁入地下。但他对在麻城的战果念念不忘,终于在时隔一年半之后的2009年3月,韩青岛再次向麻城方向发动了攻击。这次他通过木马窃取了女孩小周的艳照,敲诈数额5000元。
心里没鬼的小周马上报案。麻城网监警察在小周的电脑内,发现大量小耗子等远程控制木马程序,而且攻击手段与上一次的攻击非常相似。网监警察仅仅用了4个小时,就锁定了韩青岛的位置。
2009年4月,麻城网警抓获了韩青岛。警方从他的电脑中发现大量木马程序,小耗子木马下载器也在其中。
韩青岛被捕后十分抗拒,他只承认敲诈了小周,却拒不承认发动“肉鸡”攻击网吧。他侥幸地认为,那个案件已过去近两年,电子证据已毁灭,况且他与高麻城也只是网上联络从未谋面,警方不可能查到他。
但他还是低估了网络警察的实力,办案民警连续几昼夜工作,终于在韩青岛的电脑中发现了2个电子银行登录记录,而其中一个电子银行账号,正是敲诈麻城赵老板网吧时留的银行账号。在铁证面前,韩青岛低下了头。
在审讯中,韩青岛承认说:“我是小耗子的全国总代理,小耗子可以秒杀一般的安全软件,但唯独360安全卫士却很难对付。所以小耗子的作者‘落雪的瞬间’非常痛恨360,每次升级程序在绕过360杀毒程序时,都要绞尽脑汁。”
“落雪的瞬间是谁?他在哪里?”警方继续追问。
“我也不知道,我只知道他网名叫落雪的瞬间。”韩青岛如实回答。
“没有任何联系方式吗?”麻城警方紧追不放。
“只有一个网名,别的什么都没有。都是他主动联系我,我从不主动联系他。”韩青岛说。
抓不到幕后黑手,这个公安部督办的大案就不圆满,起码是最大的遗憾!
“再黑的黑客也有惧怕的对手啊?马上向公安部网络安全保卫局汇报,通过国家计算机应急中心联系360的专家,挖出幕后黑手!”麻城警方领导做出指示。
麻城警方立即赶赴北京,通过公安部网络安全保卫局找到奇虎360公司,根据警方提供的线索,360公司立即责令郑文彬等杀毒高手,全力配合麻城警方。
听完麻城警方提供的木马分析和查杀数据之后,郑文彬说:“最近一个时期小耗子木马猖獗,为了绕过我们的狙杀,变种频出。但每次出现新的变种,我们都会在第一时间将样本截获,不断强化防御能力。我们还破解过小耗子代理商韩青岛的统计后台,发现仅通过韩青岛,小耗子木马一天时间就感染了5781台电脑,控制的‘肉鸡’电脑总量达到17万个,这足以说明小耗子足够猖獗。但他们再猖獗,也逃不过我们猎手!”
“能不能帮我们抓到写病毒的幕后黑手?”麻城警方关心的是小耗子背后的作者。
“应该没有问题吧?”郑文彬信心满满。
随后,郑文彬配合警方调取了大量关于小耗子木马的数据。他对小耗子进行分析后发现,小耗子用于升级的服务器,竟然隐藏在广东省东莞市的电信机房中。尽管韩青岛已经落网,但写病毒的幕后黑客仿佛并不知情,仍然不断更新着木马的变种。
郑文彬发现,小耗子木马在半年内就赚取了超过200万元的巨额黑色利益。
沿着这个线索,郑文彬循线追踪,很快查到写病毒的人隐藏在安徽。麻城警方随即赶赴安徽,将小耗子木马的作者杨滁州抓获。这个只有20岁的小伙子,就是网名“落雪的瞬间”!
在郑文彬的帮助下,麻城警方又从河北石家庄抓到两名销售小耗子木马的下线。
郑文彬发现,小耗子传播木马的主要途径,是向深圳一个流量商购买流量挂马。随后,麻城警方顺藤摸瓜在深圳将流量商抓获。
郑文彬对麻城警方分析说:“流量商是这条产业链中最大的推手和幕后大老板,在木马产业中扮演着非常复杂的多重角色:首先是向一些网站站长收购流量,这部分流量既可以出售给小耗子木马的下线传播者,也可以由流量商自己挂马。所挂的木马也分为两种,一种是直接窃取网游账号获利,另一种是推送伪造的QQ中奖消息,结合钓鱼网站进行网络诈骗,而这些木马通常也是由流量商以低价雇佣程序员编写。”
麻城警方调查后发现,深圳的流量商一个月的收益达到十多万元。
至此,可以说本案已经大获全胜了!然而,更大的惊喜还在后面!
只有20岁的杨滁州在黑客界颇有名气,在对杨滁州的审讯中,警方好奇地问:“你小小年纪,在哪里学来如此高超的黑客手段?”
杨滁州自负又满腹怨气地说:“在黑鹰网啊,我也是在黑鹰网认识的韩青岛。我们分工明确,我写木马,他销售。我没拿到什么钱,钱都让韩青岛赚了。”
“黑鹰网?”麻城警方再次听到这个韩青岛与高麻城相识的网站,立即警觉起来,连忙询问,“这是个什么网站?”
“黑鹰安全网,专门培训黑客的网站,全国公认的规模最大的三家黑客培训网站的老大啊。”杨滁州不无得意地说。
大鱼背后有大鱼?麻城警方立即再次提审高麻城和韩青岛,发现他们都是黑鹰网里的同门师兄弟。
麻城警方立即上报黄冈市公安局和省公安厅,同时上报公安部。黄冈市公安局、麻城市公安局成立“猎鹰行动”专案组,由公安部统一协调指挥围猎“黑鹰”,打掉这条黑色地下产业链!
经过郑文彬等奇虎360公司的杀毒人员测定,黑鹰网所租用的服务器分别位于浙江温州、安徽黄山、河南漯河,而主要犯罪人员在河南许昌。公安部立即协调四地警方,统一行动。
郑文彬他们配合警方调查时发现,河南人李许昌曾是一名黑客高手,2006年初在网上与张河北相识。张河北听说做黑客能赚大钱之后,两人商议成立一家实体公司,通过制造和传播电脑病毒赚钱。
2006年3月,李许昌、张河北联合成立了黑鹰科技有限公司,注册资金100万元。李许昌担任董事长,张河北出任总经理。在3年时间里,黑鹰网共发展收费会员1.2万余名、普通注册会员17万余人。成为该网站收费会员的,每人每年需向该网站交纳200元至996元不等的会费,才能学到各种类型的黑客技术。黑鹰安全网自开办以来,收取会员会费逾700万元。
为了招收更多会员,让他们尽快掌握各类木马程序,黑鹰网开办了网络教学,利用新浪网的UC聊天室进行团体授课,开设营销课程,教授学员如何赚钱,如何使用木马软件,同时还定时对木马程序更新、升级。而在黑鹰安全网上,先后提供了3000余款木马、病毒程序,供会员下载使用。
黑鹰安全网成为全国最大的黑客培训网站。
在公安部的统一指挥下,专案组前往河南许昌“猎鹰”。浙江温州、安徽黄山、河南漯河等警察统一配合行动。
2009年11月26日,警方在河南许昌将李许昌、张河北抓获,查扣黑鹰网所有服务器,冻结涉案资金170余万元。随后,公安部又分别捣毁了全国三大黑客培训网站的另外两家。
围猎“黑鹰”一战,6名涉嫌木马制作、代理、传播和销赃的案犯尽数落网,这是一条国内首次成功破获的上下游完整的木马产业链。
2009年2月28日施行的《刑法修正案(七)》确定了提供侵入、非法控制计算机信息系统程序罪这一新罪名。据公安部通报,“黑鹰安全网”案名列全国十大网侦精品案件之一,创下全国打击黑客培训网站第一案,打击黑客犯罪适用新刑法修正案第一案。
先行落网的黑客韩青岛和高麻城,因犯破坏计算机信息系统罪,分别被判处有期徒刑2年和1年。随后,麻城市法院做出一审判决,李许昌、张河北犯提供侵入、非法控制计算机信息系统程序罪,被判处有期徒刑1年6个月。
而周鸿祎老家的湖北网络警察,在奇虎360的帮助下屡破网络大案,成为全国网络警察中无坚不摧的一支劲旅!
卡巴斯基退场逼出双引擎杀毒
几场围猎木马的战役打下来,周鸿祎在公司会议上说:“木马地下黑产业的危害远远超过我们的想象,互联网上没有安全软件的电脑就像在风雨中裸奔,大量裸奔的电脑成了木马赚钱的乐园,这对网民的上网安全构成了极其严重的威胁,我们必须无偿给他们提供安全保障!”
“只有用免费安全软件把全体网民都武装起来,让木马赚钱越来越难,才能真正遏制木马产业的危害。但目前的格局是,各大杀毒厂商都在收费,我们如果收费,很难做大做强。如果不收费,那就意味着向各大杀毒厂商宣战!要慎重考虑一个完全策略!”很多人纷纷质疑。
“不管三七二十一,先搁置争议,做起来再说。有不同意见,可以坐下来慢慢谈!”周鸿祎说。
然而,令周鸿祎万万没有想到的是,内部的争论还没有平息,外援就来叫板了。曾经合作愉快的外援卡巴斯基,眼看一年的合约到期,向奇虎360公司提出了要求,要终止合作。
周鸿祎不得不坐下来跟他们谈判:“有什么要求,提吧。”
卡巴斯基负责人回答得很真诚:“一年从你这里拿几百万太少了。卡巴斯基现在的装机量中国第二,所以我们准备回到收费模式。”
周鸿祎毫不客气地指出:“知道不知道,你们这装机量的中国第二,是我老周拿钱买来免费送出去的。知道吗?没有360安全卫士带你们玩,你在杀毒市场根本排不上队!”
对方有装机量垫底,也毫不退让:“除非你能答应我们的条件,提高卡巴斯基的使用费,否则,没什么可谈的!”
周鸿祎当即怒了:“当年你们吃不上喝不上,我给你吃了口饱饭,你还当起少爷来了?对不起,老子不伺候了!我带你玩是看得起你,以后我还就不带你玩了。”
双方的合作就这么崩了。
卡巴斯基的退场,就像作战时两翼撤出,主力失去了护卫。又像对阵的拳手,自己露出了软肋,即便有再强大的拳头,防守出了问题,也会被对手轻轻击倒。
形象一点说,杀毒软件需要一个发动机,就是所谓的杀毒引擎。作为杀毒软件供应商,做杀毒软件就像造飞机,360掌握了飞机的制造技术,却不掌握核心的发动机制造专利,这是人家国外才有的知识产权。当务之急是需要把这个发动机买过来,装在奇虎这架飞机上,奇虎才能飞起来。
奇虎自己的技术人员只有十几个人,临时制造一个发动机,自己仓促上阵研发,在时间上显然等不及,怎么办?
无奈之下,奇虎公司买来罗马尼亚Bitdefender公司一个杀毒引擎,先临时救急。随后,周鸿祎紧急飞往德国去找一家叫小红伞的公司。
小红伞(Avira AntiVir)是一套由德国的Avira公司所开发的杀毒软件。这是一款国际知名的杀毒软件,在系统扫描、即时防护、自动更新等方面,表现不俗。小红伞采用高效的启发式扫描,可以检测70%的未知病毒。在专业测试中,是所有自主杀毒引擎的防病毒软件中,侦测率最高的。
然而,飞到德国的周鸿祎却扑了个空,人家老板没在国内,周游列国去了。
回到国内之后,周鸿祎心里更凉了。郑文彬向周鸿祎的汇报更是雪上加霜:“我们用360安全卫士整合罗马尼亚搜索引擎的过程中,出现了很多问题。在扫描病毒时,经常不知道什么原因就突然死机了。因为对方的软件很复杂,谁也搞不懂出了什么问题。”
彻夜未眠的郑文彬红肿着眼睛,满头大汗坐在电脑前冥思苦想,周鸿祎拍拍郑文彬的肩膀问:“想到什么办法解决了吗?”
郑文彬说:“没有。跟对方沟通没有反馈,唯一的办法就是赶紧飞到罗马尼亚跟他们沟通!”
但公关部门回答说:“这个办法行不通,我们已经想过很多办法了,但是签证办不下来,罗马尼亚的签证太难弄了。即便疏通关系,签证也要等很久才下来,再想别的法子吧。”
周鸿祎对郑文彬说:“要不,你去一个罗马尼亚附近的国家,然后想办法偷渡过去,怎么样?”
郑文彬可不管这些,当即答应说:“这个好玩,行啊。”
周鸿祎说:“我记得你们团队有个侦察兵出身的吧,就让他跟你一起去,给你当保镖,去罗马尼亚把问题给我解决了。”
“真的?行啊!”不怕事大的郑文彬抢着答应下来。
“行什么行?赶紧想别的办法跟罗马尼亚那边沟通,看看怎么解决。”周鸿祎开了个玩笑,眼见郑文彬当真,他自己也笑了,“你这小子一根筋啊,你真带着侦察兵偷偷跑去了,我是等着警察来,还是等着外交部的人来?”
郑文彬失望地笑着说:“那算了,依靠别人的技术,不如自己开发。杀毒搞不过外国人,我就不信了!”
周鸿祎拍拍他的肥肩膀说:“跟你商议个事儿,行吗?”
郑文彬问:“你说,老周。”
周鸿祎神秘笑笑:“爱吃西餐吗?”
无肉不欢的郑文彬不明就里:“爱吃啊。”
周鸿祎继续神秘地笑:“想吃小灶吗?”
郑文彬如实回答:“想吃。”
周鸿祎笑笑:“天天,顿顿,24小时,你想吃啥,我找人给你做啥,行吗?”
郑文彬笑了:“老板,你开玩笑呢吧?”
周鸿祎突然拉下脸,装作严肃地说:“不准喊老板,就喊老周。但身为老板,我不能跟你开这玩笑,老板的话在吃饭这个问题上就是金口玉言,一字不能改的。”
郑文彬嘟囔说:“那我信了吧,谁让你是老板来着。”
周鸿祎虎着脸说:“不能白吃,知道吗?”
“怎么,还要钱啊?公司吃饭不是免费吗?”郑文彬说。
周鸿祎笑了:“天下哪有免费的午餐?但你可以有免费的全天候餐。现在罗马尼亚这个软件就是一粒种子,你把它的基因给我破解了,搞出一个杀毒引擎来。记着,要比罗马尼亚那个高级,好不好?思路上的问题你随时来找我,吃饭的问题你找王师傅!”
“哪个王师傅啊?”郑文彬望着周鸿祎转身而去的背影,还没忘了吃的问题。
“丽都饭店大厨王师傅,专做西点的大厨!我给你挖来了!”转身走远的周鸿祎甩下一句话。
郑文彬当然没偷渡去罗马尼亚,最后只能熬过无数个通宵分析遇到的问题。过了一段时间,罗马尼亚的工程师飞来中国,帮助郑文彬解决问题时,惊奇地发现郑文彬已经把这个软件的核心内容破解出来。
一年之后,郑文彬设计了独立的搜索杀毒引擎,要比罗马尼亚的版本更高级。
周鸿祎没有食言,他果然从丽都大酒店挖来大厨王师傅,员工们只要饿了随时到食堂,随到随吃。周鸿祎还特意嘱咐王师傅对郑文彬网开一面,24小时随时可以下楼找王师傅要吃的。
王师傅跟郑文彬混熟了之后,悄悄对他说:“大家吃饭的时候你不要来,你等饭点过了再来,我给你开个小灶,单独炒个菜,好不好?”
“这有什么不好的?”吃饱喝足的郑文彬,乐得屁颠屁颠地走了。
后来奇虎360上市,王师傅也拿到了与其他员工同样的股票。在互联网公司中,拿公司股票的厨师,好像除了老王之外并不多。
周鸿祎之所以坚决要掌握杀毒技术的自主知识产权,是因为他认为依托国外杀毒技术开发的产品,说到底还是个卖软件的,终归受制于人。如果能够打造一款自己的杀毒引擎,就等于自己能造发动机了,即便买来的杀毒引擎突然“空中停车”,自己的杀毒引擎依然保证能够杀毒,等于一架飞机有了两个引擎。
尽管后来360依然与罗马尼亚这家杀毒软件有着良好的合作,但360使用的已经是由郑文彬他们开发的杀毒引擎。
给微软找漏洞打补丁
2007年4月,360安全团队突然接到大批网友求救。网友说,一进入网站,只要点击一个网页或者下载软件,就立即中招,电脑马上瘫痪。
客服人员立即将这个情况传递给了郑文彬。
“多少人报告中毒?又是木马吧?”郑文彬问。
“没法数了,你去论坛看看吧!”客服说。
当时求救的方式就是在论坛上发帖子,一般论坛系统能容纳10万到20万网民同时在线浏览聊天。但是一旦论坛遭到攻击,就打不开了。郑文彬进入论坛后发现,几十万网民在论坛上留了求救帖子,用户们纷纷称:我什么也没有干,就是上网下不知道什么东西,就中了流氓软件。
按照网民的求救,郑文彬进入网站发现,这些木马主要针对网页和下载,进入一个网站后,如果没有点东西下载的话,一般不会中病毒。但只要打开或者下载文件,网民无论是通过浏览器浏览,还是用各种看图软件打开,或者在即时聊天窗口、电子邮件、Office文档里查看这些图片,只要看了就会中招!
哪怕只是看了一个QQ表情!
用户自己当然不知道是怎么回事,郑文彬沿着用户的踪迹进入几个网站搜寻,发现这些网站和网页都被挂了木马,就像被人们常常走过的路上挂满的各种各样的地雷一样。
郑文彬发现,这次挂马的范围不但包括IE浏览器、Office软件以及Windows自带的图片浏览工具,还波及了几乎所有能查看、展示主要图片格式的第三方软件,包括主流聊天工具、浏览器、看图软件和视频播放软件。
这种大面积的挂马,以前还很少发现。根据经验,郑文彬立即做出判断:“攻击者将木马藏在文件中,很可能是浏览器有漏洞!这是一种新的病毒攻击模式!”
“漏洞是什么?”客服人员对于漏洞知识了解并不多。
郑文彬解释说:“通俗一点说,在长江大堤上,漏洞就是那个隐藏在草丛之下的蚂蚁洞,平时根本看不到,只要洪水到来,千里之堤毁于蚁穴。结果是洪水肆虐哀鸿遍野!”
“那这个漏洞哪里来的?”客服人员听郑文彬突然用这么诗意的语言说了一番,还是有些蒙。
“说白了,漏洞是微软一出生就带来的缺陷,而且是不可避免的缺陷,就像你个子高我身体胖一样,每个软件都带有独特的遗传基因,攻击者就是利用这个固有的弱点挂上木马,有针对性地进行攻击。比如长城,漏洞就是万里长城上那块松动的砖,或者是肉眼看不到的细小裂缝,但朔风可以吹过,孟姜女的泪水可以泡倒!只需要一个小口子,整个国家就会被强虏的铁蹄踏遍!江堤不能杜绝蚁穴,长城无法防止裂隙,在网络世界里,漏洞永远不可避免。黑客就是瞄准漏洞攻击的那成千上万的蚁群、无处不在的风。”郑文彬的话语突然充满诗情画意。
“那就是没办法了?微软那么强大的技术实力,难道他们不知道自己的软件有漏洞吗?”客服说。
郑文彬说:“他们当然知道,也每月发布一次软件,补上他们发现的漏洞。但美国人定了规矩就是用来执行的,绝不走样,不像我们东方哲学的随机应变。正是这个每月一次的死板规定,让那些黑客钻了漏洞,挂马攻击!浏览器的漏洞难以避免,比如说你访问一个网站,你很小心,不会去下载软件,但其实一打开浏览器你就中了。就等于只要出现一个新漏洞,全国几亿网民都有被攻击的危险。作为网络安全公司,我们有责任来给用户提供保护。”
“那你打算怎么办?”客服问。
“衣服破了就要打补丁补上,我们做个临时补丁打上呗,堵上漏洞,黑客就没法挂马,问题就会迎刃而解。”郑文彬说。
很快,郑文彬针对这个漏洞设计了一个临时补丁。
为正规软件打完补丁之后,郑文彬发现还是没法完全解决这次漏洞危机。后来经过调查才发现,很多用户使用的是盗版的微软操作系统。
中国文化中有一种比较厉害的招数是山寨,无论什么样的东西都能很快做出山寨版。收费很高的微软操作系统当然也会有山寨版,但山寨版的操作系统有一个致命缺陷,就是打不了补丁。所以,操作系统的盗版用户大面积受到这次震荡波木马的攻击,系统的安全受到威胁。
郑文彬没那么强的是非观,在他看来,只要是电脑用户都是上帝,不论是正版还是盗版用户,都要先保护下来再说。
在此之前,微软会针对发现的漏洞,在后台为用户打上补丁,因此没有出现大面积的漏洞被攻击的事件,普通用户对漏洞补丁更没什么概念,觉得不打也无所谓。直到这次受到大面积木马攻击,用户们还不知道被攻击的原因。
因为微软是一个月补一次漏洞,这次因漏洞引发的攻击,微软没有及时打上补丁,用户只能眼睁睁看着自己受攻击而束手无策。郑文彬通过分析,查找出微软的这个漏洞,立即开发出针对这个漏洞的补丁,通过360安全卫士提供给了用户。
查漏洞打补丁的功能一面世,立即受到普遍欢迎。
查漏洞打补丁的技术含量很高,当时国内只有为数寥寥的顶级高手才能做到。为了不至于让微软感到难堪,郑文彬起名为临时补丁。因为微软是在每月的第二周固定推出,郑文彬就在微软发布之后再推出临时补丁。
以微软睥睨天下的技术实力,其他安全公司提供个临时补丁,他们并不觉得是多大的事情。他们能做的就是在网上发布一份声明,对打补丁的高手进行口头上的奖励。
即便这样的口头表扬,对全球所有网络安全英雄而言,都是天大的荣誉,每一次微软的致谢都是一枚硕大的勋章。
帮全球网络界老大拾遗补阙,这种荣耀不是谁都能得到的。
当然,随着郑文彬等网络安全英雄不停地给他们的漏洞打补丁,微软也意识到临时补丁的重要性,开始学会变通,慢慢也开始推出临时补丁。后来,针对一些特别紧急的高危漏洞,微软开始发布超常规补丁。
查漏洞打补丁除了杀木马之外,一个意外的收获是,每次系统漏洞遭到攻击之后,就有很多用户下载360安全卫士,极大带动了360安全卫士的装机量。
每次针对突发状况,郑文彬总是在第一时间独家推出完整的解决方案,能够同时修补Windows系统和第三方软件中存在的漏洞。
每一次成功打补丁,微软公司都会在网上发布致谢。这是唯一的奖励。
77次!郑文彬清楚记得自己受到微软表彰的次数。这份荣耀,国内无人匹敌!整个东方无人匹敌!
而在过去的岁月里,郑文彬带领的360安全团队向谷歌、微软、苹果等全球各大IT巨头,提交了上百个漏洞报告并获得公开致谢,发现漏洞数量仅次于谷歌安全团队,位列世界第二,被誉为“东方最强白帽子军团”。
帮微软打补丁,就像帮秦始皇修长城,给长江找蚁穴,这种成就感,只有站在峰顶领略绝佳风景的人才能体会到。
在连续发现几次非常危急的漏洞并成功狙击了黑客的侵入之后,在郑文彬的建议之下,2013年360公司组建了专门一支挖掘漏洞的攻防团队,郑文彬成为这个特殊团队的核心与领袖。
在此之后,郑文彬从单打独斗变成小分队作战,抢在黑客之前发现这些漏洞。只要发现任何一个黑客在利用漏洞发动攻击,即使微软尚未知觉,但360漏洞团队会第一个抢在黑客前面提供补丁。除了微软自身之外,当时中国只有360公司义务帮助查漏洞打补丁。随着防线越来越牢固,黑客利用漏洞的机会越来越少。
微软没有给郑文彬发工资,但却给360带来了巨大的合作机会。
2015年7月29日,微软正式发布新一代操作系统Windows 10。新系统将统一PC、平板、手机和Xbox等多个平台,在性能、安全性和用户体验方面都有全面提升,并对系统底层、开始菜单、操作中心等做出多项改进。“Windows10是迄今为止最好的Windows版本。”微软首席运营官Kevin Turner在公开场合曾这样表示。
与以往不同,此次微软选择与360公司合作,为中国用户提供升级服务。360针对Windows10推出了包括一键升级、24小时救援热线电话、专家在线全程陪护和10万线下维修店升级等完善的服务体系,全程护航国内用户升级、安装和使用Windows10。
除此之外,Windows10还加强了安全性的设计。Windows 10的内核版本直接从6.4提升到了10.0,操作系统的底层架构和安全特性发生了多项重大变化。郑文彬负责这次与微软的安全合作,微软系统中显著加强了对于字体解析引擎的安全防护,引入了非系统字体禁用和隔离用户模式字体渲染引擎两项举措。
此次两大巨头合作的结果是,用户只要确认需要升级,一觉醒来,电脑可能就变成了Windows10的新程序。
“我原来的应用还在吗?我原来的用户习惯还在吗?我的数据会不会丢失?”不少用户提出这样的疑问。郑文彬称,360为Windows10用户提供安全护航,可以提供安全备份,极速下载、技术专家全程指导服务,甚至,如果用户不满意新系统,还可以一键还原到原来系统。
据最新统计报告显示,目前中国国内使用Windows操作系统的电脑市场份额不低于97.1%,而目前超过96%的中国电脑用户都在使用360的安全产品。
从郑文彬开始帮助微软用户打补丁开始,已经为中国用户打补丁累计超过1800亿次。这个数字,应该可以用天文数字来表述。
如果说郑文彬亲自掌控的挖漏洞的攻防团队是他的撒手锏、血滴子,那么他统领的近500人的安全团队,就是360的御林军。我们电脑上常用的XP盾甲、360云查杀、360云防御等都是出自他们之手。
经过近十年的磨砺,郑文彬对于网络安全,也从兴趣转为责任。他经常对同事说:“网络安全的攻防永无止境,只有不断创新和进步,才是最好的安全解决方案。”
郑文彬进入奇虎360之后,一清插件,二灭木马,三补漏洞,很快在360内部成了大神级的人物。当时的360安全卫士属于安全辅助软件,并不是严格意义上的杀毒软件。360挥刀杀入安全市场,就必须帮没有装杀毒软件的用户,解决杀毒问题。
奇虎360调整市场策略确定进入杀毒市场决策之后,傅盛成为360杀毒软件开发的负责人。但在360杀毒软件上线的紧张时刻,傅盛突然提出辞职。
在周鸿祎与傅盛的博弈中,周鸿祎的底线之一是:你走可以,但不能挖走郑文彬,把他给我留下!
傅盛爽快地答应了。事实上,在傅盛决定离开同时,他也跟郑文彬谈过,但郑文彬婉言拒绝了:“老周对我不错,我决定留下!”
傅盛出走后,奇虎公司正式挥师杀毒领域。奇虎高层注意到,在此之前,中国互联网软件推广过程中,共发生了两次收费PK免费的战争,前两次战争分别发生在电子邮箱、电子商务领域,每次战争都是以免费的胜利而告终,并带来更好的产品、服务和商业模式。奇虎公司内部达成共识,互联网安全软件免费是大势所趋,至于带来什么新的商业模式,谁都不知道,但有一点是实践证明了的,只要有用户支持,就会创造新的商业模式。
周鸿祎力排争议,做出了推出免费杀毒软件的决策。尽管周鸿祎觉得这个决策事关自己的声誉与梦想,但多数人都认为周鸿祎在进行一场豪赌!
2008年7月17日,奇虎公司召开新闻发布会,宣布正式推出杀毒软件,并宣布永久免费。周鸿祎在发布会上豪情满怀地说:“杀毒软件市场,到了重新洗牌的时候了!”
周鸿祎当然明白,推出安全免费软件,就等于把以前做安全的公司全得罪了。瑞星、江民、金山,人家可都是靠卖安全软件生存的。而且那时候,这几家杀毒厂商都是大款,周鸿祎的奇虎公司却是个穷小子,公司一分钱没挣呢,全靠投资人给钱做公司。而听说周鸿祎要搞免费杀毒,着急上火的投资人恨不得给周鸿祎下跪!
而用户们最关心的是,你奇虎360宣称免费,会不会永久免费?好不好用?
很快,奇虎公司为仓促上阵而吞下苦果。360免费杀毒软件推出不久,很多用户发现,这款杀毒软件只是将罗马尼亚厂家的软件汉化后,就投入市场,并没有更多的创新与进步,安装后不是死机就是查杀不了病毒。郑文彬他们在做杀毒第一个版本时遭遇了滑铁卢,当时引进罗马尼亚的一个软件,采用的方法是包装罗马尼亚的杀毒引擎,再加上360的杀毒程序帮用户解决问题。
本来360安全卫士挺受欢迎,但360杀毒的第一个版本做得实在很差,推出之后,网上骂声一片。便宜没好货,很多用户发现不好用的时候,立即边骂边卸载了360杀毒软件。
把心提到嗓子眼的杀毒厂商们,本来拉开架势准备与周鸿祎一决雌雄,这下都纷纷笑了:傻小子睡凉炕全凭火力壮,周鸿祎闯进杀毒市场,完全是蹚浑水来搅局了,这下丢人现眼了吧。
当一种产品免费的时候,用户选择你很容易,卸载也只在举手之间。新上线的杀毒软件因为存在缺陷,很快被用户弃用。眼看着360杀毒软件装机量一路走低,奇虎公司高层急得像热锅上的蚂蚁。
此时的奇虎人心浮动,风雨飘摇。傅盛出走之后,再遭遇用户的信任危机,360安全团队虽然勉强聚拢起来,但人心已经完全涣散,让这个团队用于攻城拔寨去打攻坚战,谁心里都没底。
为确保攻克杀毒软件,奇虎公司拉开架势,从奇虎搜索团队临时抽调了几个可靠的帮手,与郑文彬他们成立了360杀毒应急小组展开攻关。
攻关成功也就罢了,一旦失利怎么办?那就意味着满盘皆输!周鸿祎在电光火石之间想到了他担任天使投资人时期曾经投资过的一个人:波波虎公司的掌门人朱翼鹏。
攻克杀毒软件难关,必须同时展开内外两条战线作战。奇虎360力邀外援朱翼鹏加盟,请他带领突击小分队连续突击。
在奇虎360内部团队,总负责人是周鸿祎,其他参与者全是奇虎公司的一流高手。
其次是首席技术官李钊,他是周鸿祎上大学时候的师兄,更是引导周鸿祎进入方正的引路人,是资深技术大咖,鲜有匹敌的程序高手。后来360上市,李钊一人占了公司1%的股份,可见他在业界的分量。
第三个技术大咖叫赵君,业界名头响亮,现在是360公司独当一面的业务经理。
第四个是郑文彬。
如此强大的豪华团队,联手解决第一版杀毒软件遇到的问题,当然需要一个产品经理,于是,在赵君手下做MP3搜索小女孩婷婷,成为这个小组的一员。
20岁的郑文彬一看笑了,这个来自石家庄的20岁的婷婷,除了跟自己性别体重不同,其他的各方面跟郑文彬都有相同之处,而且都喜欢重金属音乐和美国科幻电影。郑文彬眼前一亮,莫非她是《黑客帝国》里那个引领尼奥成为救世主的女主角崔妮蒂?
本来说话极少的两个小青年,相遇之后突然有了很多共同的话题。这软件开发的过程,也就少了一份枯燥,多了很多青春的期待与萌动!
两人偷偷去看电影,去歌厅唱歌,是少不了的。那些20岁年纪该有的风花雪月,郑文彬和婷婷偷偷摸摸都有了。而且,这是以革命友谊悄悄进行的,竟然瞒过了所有人。
救火队长朱翼鹏果然不负众望,他带领四个人的突击队外线作战,重新打造出了一款全新的360杀毒软件。随后,郑文彬团队在朱翼鹏开发的杀毒软件基础上,进行了细致的测试,并把杀毒软件的容量缩小,以便快速下载安装的同时少占内存。这款软件不但能够查杀硬盘和网络病毒,同时也能查杀U盘等外接硬件的病毒,阻断可能携带病毒的外接硬件对电脑的侵袭。
时隔一年之后,奇虎360再次发布杀毒软件。这次经过两个团队用一年时间打造的杀毒软件一上线,市场就迅速产生巨大变化。瑞星、江民、金山等三大杀毒软件的市场份额均出现了不同程度的萎缩,360的用户数量暴增,大有跃居行业第一的趋势。
仅仅半年之内,360在杀毒市场上就占有了三分之一的份额,超过了带头大哥瑞星,跃居行业第一。而在此前的九年时间里,瑞星连续排名第一。
周鸿祎踌躇满志地对媒体宣称:“网民是互联网商业价值的创造主体,360杀毒的使命就是彻底扭转花钱才能买到安全的历史。”
周鸿祎一手推动的免费杀毒,必然会爆发一场与杀毒厂商的战争。此后360与众多杀毒厂商展开了旷日持久的撕逼大战。两耳不闻窗外事的郑文彬却管不了那么多,他正忙着跟婷婷陷入热恋呢。
郑文彬此刻已经认定,婷婷就是他的女神崔妮蒂!
开创中国网络安全云时代
2008年8月,新款杀毒软件推出之后没有多久,郑文彬下楼的时候一脚踩空,200多斤的体重瞬间转移到一条腿上,郑文彬只听到耳朵里传来咔嚓一声,这刺耳的声音伴着剧疼和冷汗,瞬间把郑文彬击倒在地。
去医院一拍片子,腿骨折了!
打上夹板和石膏的郑文彬,再也动不了。
重伤也不能下火线,郑文彬的工作场地从办公室搬到了自己的出租屋。郑文彬来北京后,在公司附近租了一套90多平方米的两居室。郑文彬之所以看中这套房子,原因是有一个30平方左右的客厅,摆满巨大松软的沙发,回到家他就随时可以把自己摔进沙发里。
这个客厅,本来是郑文彬和婷婷私会的小天地,但随着郑文彬腿部骨折,很快成了360的会议室和研发中心。每天一上班,周鸿祎安排好公司的事情,就带着团队直奔郑文彬家,几个人身子往沙发里一摔,就开始争论上了。
此时的周鸿祎当然并不知道,因为他们来无影去无踪,不但不打招呼,更不知道什么时候来什么时候走,常常把郑文彬的女朋友婷婷堵在了家里。
因为郑文彬和婷婷谈恋爱,还属于保密状态。周鸿祎他们一来,婷婷只好躲屋里像热锅上的蚂蚁转圈儿,郑文彬拄着双拐在外面陪他们侃大山。
在郑文彬家的客厅里,周鸿祎抛出了一个令人挠头的问题:“杀毒软件推出之后,我发现一个大问题,传统杀毒软件包括我们的软件,杀毒速度普遍很慢,而且天天要更新。这个问题不解决,我们就无法在这个行业处于领先位置。我们最早是做搜索的,我们的服务器做云端的能力很强,能不能把杀毒软件放到云端?”
“全世界还没有人做这种杀毒技术的,如果发挥我们的长处,这个思路应该是我们做杀毒产品的思路。”郑文彬接话说。
赵君补充说:“安全对于每个用户来说都是很重要的事情,谁也不想让自己的电脑瘫痪。以前的杀毒软件普遍存在一个问题,就是只利用了互联网的传输功能,并没有太好地利用互联网的计算功能。用户还是每次上网之后连接到杀毒软件厂商的网站上,下载病毒库,然后依靠自己的电脑进行查杀。这对用户来说是一件很麻烦的事情。长此以往,客户机上的病毒库会越来越大,占用越来越多的计算资源,最后使得系统越来越慢。我们在使用电脑的时候就有这个体验,往往是把某个杀毒软件卸载之后,速度明显提升了一个档次。”
“因此,老的杀毒模式可能已经走到了尽头,我们必须拿出一个新的杀毒模式。能不能把原来放在客户端的分析计算能力,转移到服务器端上?这样,客户端的容量大大减小,电脑速度就快了。”周鸿祎提出了他的设想。
郑文彬不无担忧地说:“这对我们提出了更高的挑战,意味着我们必须在最短的时间内分析出用户的电脑是否已经被病毒感染了。但是,单纯依靠收集病毒特征,被动地防御还是挺难防住的。要知道,每个小时全世界会产生2万多个新病毒。”
郑文彬提出自己的担忧后,见周鸿祎、赵君等几个人没有插话,只好直接说出自己的见解:“我的设想是,在病毒进入计算机之前进行拦截。因为病毒进入计算机,需要经过传输,而在传输过程中,只要我们发现并提示是否有病毒,并且阻止病毒进入电脑,一切问题迎刃而解。国外有专家提出过这个人工智能的设想,就是利用云端技术,而我们恰恰擅长这个技术。”
周鸿祎分析说:“我们做搜索,云端技术已经很成熟,比如要搜索东西,怎么分类,已经做得很好。但我们需要看看,全世界最牛的安全公司,他们怎么样杀毒?他们有很多的分析员,有的杀毒公司在菲律宾就招了2000多人,那边的人力成本便宜,请他们专门分析病毒。2000多人什么概念?当然我们招不了这么多人,我们可以利用人工智能,去学习一些分析病毒的方法。”
赵君说:“我们都不太懂人工智能技术,但可以找一些人工智能专家,讨论一下这个问题,能不能用人工智能帮助我们杀病毒。”
周鸿祎说:“我也注意到了,国外有最前沿的杀毒公司在论文中提到这个设想,但他们只是理论上的探讨,谁也没做出产品来。所以我们可以先来实践一下,看看能不能实现。”
郑文彬天生具有一种直觉,能从成千上万的可能性中挑出最好的路径。他说:“那就真的是机缘巧合了,一个做搜索的公司去做杀毒软件,有先天优势。我们在搜索中先有人工智能的云端技术,再加上杀毒技术,两下合并起来,说不定搞出个核裂变。”
郑文彬一激动,顾不上腿疼,一下子站起来:“这样一来,就把人力解放出来了,我们把病毒的所有特征和指标做出来,就等于一个过滤网,无论什么软件从这里过一下,人工智能就能分析判断是不是病毒。这办法很多人想过,没在杀毒上做过,都停留在理论的阶段模型上。我们有几个亿的病毒样本数据,用人工智能调整模型,提高判对判错的能力。我看过国外有一本书,说的是一位非常优秀的画家同时做顶级黑客。我觉得做安全软件一样,不仅仅是技术的事情,如果把技术思维和艺术家的奇思妙想地结合起来,就会出来很新奇的点子。”
这个观点得到大家的赞同,在大家看来,病毒的发展激励着反病毒思维和技术的进步。周鸿祎说:“现在通过提前给病毒画像,病毒来了再做对比的情况就会越来越少。主动防御成为更为广泛的杀毒手段,因为病毒都有一定目的和行为,我们可以利用先进的技术分析它的行为,防御此类以及与其类似的病毒。我们的安全团队已经构建起一套自动化的病毒处理系统,大多数的病毒检测、分析和处理都能靠这套系统解决,系统由云端控制,到时候只需要升级云端就行。这样就可以省出更多的人力负责开发安全产品或者分析更为复杂的病毒。”
“站在云端俯视大地,就像雄鹰在高处,可以随时发现猎物的出现,这样可以根据病毒威胁的趋势变化,进行数据挖掘,具有实时发现、动态调整和快速剿灭的特性。”郑文彬说,“无论是快速爆发的大规模攻击威胁,还是针对特定用户的定向攻击,都可以第一时间发现并进行处理,这可以解决传统反病毒技术的时间差问题。”
“既然问题谈透了,你们这就着手去做吧!”周鸿祎一锤定音。
2008年,“云”成了IT行业最热门的名词。自从Google推出“云计算”以来,IT行业的各大厂商无一例外都卷入了一场“云的战争”。从“云计算”延展开来,很多IT厂商也根据自己所处行业的实际情况推出了相应的“云计划”。
所谓“云”,其实指的是后端(服务器端),也就是平时我们很少能够看到的那一端,正因为平时难得看到,所以有一种虚无缥缈的感觉,也许就是因为这个原因,才被称为“云”。我们平时能够看到的是什么呢,当然是自己用的电脑和手机这些东西了,也就是所谓的“客户端”。
传统的病毒查杀技术落后,是云查杀兴起的原因之一。传统的通过病毒库来识别病毒这种技术远非完美,经常会出现新病毒查不出,不是病毒却被冤枉的现象,给IT界带来很大的损失和纠纷。
云安全思维确定之后,郑文彬带领杀毒团队联手人工智能专家,很快把人工智能杀毒模型做到稳定的水平,领先于全球各大安全杀毒厂家。
云查杀是对传统安全技术杀防能力的一次解放,云查杀是在传统特征查杀的基础上,结合云计算和大数据分析,进行创新和改进。客户端收集本地样本在各个维度上的信息,发送到云端进行鉴定识别。
而发动攻击的黑客,难以快速定位安全软件的检测方式,也就无法快速进行免杀和变形。同时,识别和杀毒在云端完成,避免了传统杀毒软件将病毒数据库存储在用户计算机上所消耗的性能和存储成本。无论是快速爆发的大规模攻击威胁,还是针对特定用户的定向攻击,都可以第一时间发现并进行处理,解决了传统反病毒技术的时间差问题。
云安全打通了病毒的发现和处理两个部分的障碍。也就是说,病毒还没到电脑上呢,就在云端被识别和查杀了。等于有个孙悟空腾云驾雾,手搭凉棚给所有用户站岗放哨打妖怪。
随后,360推出了使用人工智能机器学习的方式,自动分析和鉴定恶意软件的QVM技术,并将其应用到本地防御与扫描引擎中。
人工智能技术本身并非高不可攀,但如何教会机器准确地利用人类的经验,确保在误报和漏报之间实现平衡,是基于人工智能技术的恶意软件识别能否成功的关键,也是这些探索和尝试的最大难点。而帮助郑文彬突破这一难点的关键正是云安全技术积累的海量样本,以及通过大数据的方法对海量样本的分析和处理。
最终,借助人工智能技术,通过海量云端数据训练锻造的QVM引擎不仅针对恶意软件的检出能力远远超过绝大多数其他安全产品,还在误报比率上也比传统安全软件低了数倍,真正实现了高速、精准识别的目标。目前,QVM引擎的开发已经到了第三代,并被部署到了云端的自动分析系统上。
互联网安全技术正在经历颠覆与重塑,360敏锐地抓住了这样的趋势,实现了技术上的弯道超车。
沿着这个思路,360在国际上首次推出了云查杀。这款智能防御安全软件的优势在于,在病毒还没有进行破坏的时候,安全软件就发现它有问题,把它给拦住。就像大街上的万人之中的一个小偷,他没下手的时候你不能抓他,但你可以随时盯着他。只要他刚刚把手伸出来,孙悟空就在云端看到这个微小的动作,然后一棍子将妖怪撂倒在地。
无论是白帽子还是黑帽子,所有的黑客都是创造者,像建筑师、作家一样。
云查杀上线之后,郑文彬发现,有一些新出来的软件和病毒,云查杀无法分辨是好是坏,也不敢杀它,但在云端可以实时监控。如果是病毒,只要发现它做违规的操作,就立即抓住他。但另外一个问题是,如果不是病毒呢?整天监视着别人的正常软件也不是个事儿啊,尽管机器不是人,监控那么多海量的软件也累啊。
怎么处理这个问题呢?
360的解决办法是,形成独有的云安全技术体系、智能引擎和白名单收集技术。
用户屡屡中招,是因为现在的病毒更狡猾。郑文彬注意到,在此之前的杀毒模式是找到病毒后给它画个像,如果再遇到攻击,就通过启发式方法找到它。但现在的病毒木马和漏洞更复杂,只是通过画像来寻找病毒的方式落后了。
另外,层出不穷的病毒木马、漏洞在类型上也有了变化。郑文彬注意到,以前是感染性的病毒占主流,但现在窃取用户虚拟资产或网上银行的病毒木马增多,恶意流氓软件、插件、钓鱼网站越来越让用户烦心。
传统杀毒技术是基于本地病毒库来防护和查杀的,也就是俗称的黑名单。传统杀毒软件体积庞大,占用用户大量电脑资源,同时病毒库保存在用户电脑上,更新速度很慢,一旦用户忘记更新,杀毒软件基本形同虚设。这样的先天缺陷导致杀毒软件很难第一时间对付最新的木马和病毒,所以才会发生震荡波、熊猫烧香之类的大规模电脑中毒事故。用户当时的深刻感觉是花钱买了杀毒软件,不管用还导致电脑很卡。
区别于传统杀毒软件,360云安全体系在服务器上不仅有黑名单,还收集了国内最全的白名单,覆盖了99%以上网民常用的操作系统和应用软件。也就是说,只要一个文件不在白名单中,它就很可能是新的木马病毒,360云查杀引擎会限制它的敏感操作,而且尽快进行安全性鉴定,一般在30秒以内就能捕获网上新出现的木马病毒。因为大部分运算都在服务器上进行,不会像传统杀毒软件那样用起来很卡。给用户的直观感受就是杀毒软件变小了,不用总更新病毒库了,但防护能力却更强了。
在360白名单机制和云查杀技术刚刚推出时,并不被业界看好。但随着360产品迅速被用户和市场接受,国内外一些老牌安全厂商纷纷开始效仿、跟随360的网络安全新理念,白名单机制和云查杀技术如今已经成为国际上安全软件的一个标配。
这不仅让中国网民率先免费享受了世界领先的安全技术,而且也是中国互联网行业罕见的引领某行业互联网产品世界潮流的成功案例。
做程序在很多人眼里是很枯燥的,但对郑文彬来说,却是一种艺术创作。技术做到一定高度,最后就变成了艺术。
2010年1月27日,360安全卫士发布第二代木马“云查杀引擎”,向各种经过“免杀处理”的木马程序全面开火。第二代云查杀引擎采用了360独创的“程序分级控制”技术,可将电脑中的所有程序按安全级别进行分级管理。该技术彻底改写了传统杀毒软件无法识别未知木马的历史,即便是那些经过免杀处理的未知木马,也难逃360的超级法眼。
所有木马都在做两件事,首先是想方设法潜入用户电脑,然后挖空心思让自己运行起来,进而盗取用户财产和隐私。传统杀毒软件对付木马的做法是一刀切,能识别的木马就杀掉,识别不了就放过,自然就漏掉了大量未知木马。而采用了程序分级控制技术的新版360云查杀引擎,不光能查杀近亿种已知木马,还能有效管理所有陌生程序的危险行为。
郑文彬说:“如果把木马比喻成藏在用户身边的炸弹,360云查杀引擎就能确保把炸弹引信拆除,让它变成不会起爆的哑弹。”
新版云查杀引擎再度通过技术创新,大幅增强了对未知木马的查杀能力,可实时秒杀所有木马、恶意软件等风险程序。
“我们不敢说能够百分之百检测一个陌生程序是不是木马,但绝对能够保证把所有木马变成无害的死马,真正保护用户的上网安全,至少现有的木马技术,还没有能突破360木马云查杀引擎的特例。”郑文彬自信地表示。
也就是在推出新版云查杀之后,22岁的郑文彬与婷婷的革命友谊瓜熟蒂落。这个结婚仪式在360至今被大家津津乐道,证婚人是董事长周鸿祎,主婚人是总经理齐向东。
超级火焰
郑文彬发现,艺术家、建筑家、发明家等创造力丰富的族群,似乎特别容易做梦,经常能从睡梦中得到灵感。德国著名的有机化学家凯库勒,在睡梦中看到一条蛇咬着自己的尾巴旋转,就提出了由6个碳原子构成的苯环的概念。
做梦,本来郑文彬生活中的一种特殊状态。在一个时期内,却变成了一种常态。
10年来,郑文彬每天睡眠时间基本维持在四五个小时之间,只有状态比较好的时候才能有六七个小时的睡眠,只要差一点点就睡不着。就像时刻盯着前沿阵地防止敌人打冷枪的哨兵,郑文彬在与黑客战斗中,长期处于高强度的精神状态之下,慢慢把自己修炼成了神经衰弱。
他最大的奢求是能够多睡一点,但一进入梦乡,就会有黑客袭来,就会进入梦中的战场。每次醒来,他都认为睡得很沉,但实际上睡眠质量因为梦的打扰,其实并不好。
梦多了,以至于他经常分不清现实和虚拟世界。
在没醒来之前,郑文彬看到的世界,都是程序建造的。他甚至通过每个窗户,看到窗户后面所写的程序代码。有些程序,冥冥之中仿佛是在梦中完成的。
直到完全醒过来,回到现实世界,他还能够清晰地回忆起来。在他看来,无论现实世界还是虚拟世界,都是息息相关的,这个世界的一切都是通过程序安排的。
日有所思,夜有所梦。当郑文彬整天琢磨程序的时候,所有的程序代码在梦里出现的时候,就变成了具象的实物,他眼前的整个世界都是可以自由操纵的数字化世界。
郑文彬之所以成为业内高手,是因为痴迷,热爱是最好成功的要素。没有深入就没有深情,没有深情哪里来的梦幻?
甚至在现实生活里,他都像是在梦游的状态中。
在360工作的9年时间里,郑文彬名满天下,在内部也是神一样的存在,但他走在四惠桥或者酒仙桥的360总部的楼道里,能认出他的人很少,他所认识的人也极少。事实上,这位360公司的首席工程师,生活中也是很平凡的一个人,他木讷,迟语,憨厚,可爱,不谙世事,可他是黑客江湖中令人闻风丧胆的超级防火墙。
只是在技术上比普通人走得更远,影响了更多人,比如我们电脑上用的XP盾甲、360云查杀、360云防御都是出自他手。但是在生活中,正如他所说那样,只是职业不同而已,其他和普通人并没有什么不同。也许这个世界上并没有那么多的不平凡,有的可能只是一份执着追求,一份不懈努力。
9年来,郑文彬几乎每天都在与网络木马和漏洞过招。同时,郑文彬也明白,即便能够主动防御,即便有先进的云查杀系统,即便有难以逾越的防火墙,也无法百分之百阻挡病毒。与病毒制作者你来我往的交手,是一个艰难的博弈过程。
2012年06月02日,全国各大媒体转载了来自新华社的消息:《席卷全球的“超级火焰”病毒已入侵中国》。
由新华社发布消息宣布一种病毒的来袭,是前所未有的,可见这种病毒的猖狂与可怕。这则消息称,政府机构、大型企业一旦感染,将迅速蔓延,面临机密信息泄露的风险。国外多家网络安全团队指出,超级火焰病毒很可能是由某些国家投入大量资金和技术支持而研制的,目的为用于网络战争。
郑文彬迅速投入超级火焰的阻击战中!
郑文彬研究发现,如果说以往的蠕虫、木马等病毒都是小毛贼和江洋大盗,那么,超级火焰这种用于网络战争级别的病毒,就是正规军,就是战争机器,这是令所有网络安全人员都不寒而栗的。在此之前,伊朗国家计算机紧急情况应对小组发布声明说:经多月调查,已确认一种名为超级火焰的新型电脑病毒,并且这种病毒可能与伊朗境内部分机构出现的大规模数据丢失事件有关。
超级火焰入侵伊朗、以色列、巴勒斯坦、叙利亚、黎巴嫩、沙特和埃及等中东国家和地区的大量电脑,收集信息情报,已经查明有几千台电脑中招。位于日内瓦的国际电信联盟称,这个病毒超过已知任何一种电脑病毒,是一种危险的间谍工具,世界范围内受感染电脑数量会更高。
郑文彬注意到,超级火焰区别于其他木马程序的主要功能是,超级火焰只收集情报和数据而不进行破坏性攻击。俄罗斯网络安全公司卡巴斯基实验室发言人维塔利·库柳克介绍:这一病毒呈现木马病毒和蠕虫病毒的部分特征,可谓目前结构最复杂的电脑病毒,它的独特之处在于,普通电脑病毒往往采用精炼的编程语言,以达到瘦身隐藏目的。而火焰病毒是一个庞大的程序包,包含20多个模块,其大小约为20MB。这种病毒不会中断终端系统,其目的只是收集情报;除了具备普通电脑病毒的数据窃取手段之外,病毒还能记录来自电脑内置话筒的音频数据;通过蓝牙信号传递指令也是火焰病毒罕见的功能。它能启动被感染电脑的蓝牙设备,使它成为攻击周边蓝牙设备的灯塔。
郑文彬研究发现,火焰病毒的设计十分复杂,绝非普通开发者能够独立完成。而且病毒的攻击范围很窄,主要针对企业、学校和科研机构。它既没有被用来盗取银行账号,也有别于黑客常用的工具。
郑文彬惊奇地发现,火焰病毒借助局域网络、打印网络和USB接口等传播。在北美、欧洲和亚洲等地区,大约有80个服务器被超级火焰操控。这种强大无比的病毒,从复杂程度和功能效力,超过已知的任何病毒。从规模上看,超级火焰作为一种网络间谍战武器,背后必然是一支看不见的黑客军团。
通俗一点说,超级火焰就像《潜伏》里的余则成,更像执行斩首行动的美军特种部队,在悄无声息中完成谍报行动。
超级火焰引发了各国的恐慌,也引起国与国之间的口水战。伊朗怀疑以色列参与设计了该病毒,伊朗媒体公开指称,美国和以色列具备设计“火焰”病毒的能力,利用电脑病毒攻击伊朗关键行业及核设施系统是西方应对伊朗核计划的手段之一。而以色列分管战略事务的副总理摩西·亚阿隆则直言不讳地宣称:“通过超级火焰等电脑病毒发起攻击的方式阻止伊朗核活动的做法合理。”不过,以色列随后否认他们与超级火焰病毒有关。
但多数网络安全技术人员推测,从火焰病毒的复杂结构和广泛攻击范围看,超级火焰背后可能有某国官方机构支持。
对此,中国顶级密码专家王小云在初步分析超级火焰之后认为,这种间谍级的病毒,用正确的方法开发出来需要8到10年,而破解它,即便方法正确,也需要8到10年!
破解超级火焰显然从时间上已经来不及。唯一可行的办法就是找到它入侵的漏洞打补丁,阻止超级火焰的入侵!
这是一场事关国家安全,命运攸关的阻击战。郑文彬研究发现了一个有趣的现象,超级火焰病毒竟然采用游戏语言编写,而且与超人气游戏“愤怒的小鸟”的语言相同。构成火焰病毒的主文件有很多个,各病毒文件各司其职,共同完成系统入侵和情报收集,一旦感染病毒,就像奇袭白虎团的侦察排一样,无往不利!一旦发动攻击,无坚不摧!
更令人胆战心惊的是,这个病毒早已启动入侵程序!之所以最近才被网络安全行业发现,主要因为火焰病毒利用微软数字签名欺骗漏洞,伪装为微软签名的文件。
也就是说,即便被火焰病毒入侵并盗走了文件,几乎所有用户都茫然不知!
亡羊补牢犹未为晚,必须针对超级火焰病毒拿出解决方案。郑文彬立即根据病毒特征找到漏洞,360安全卫士在第一时间为全体用户推送了补丁,保护中国网民的电脑有效“灭火”。360安全卫士建议所有用户,特别是政府和企业用户,尽快使用此专杀工具彻底查杀。
与此同时,微软也已针对漏洞发布了补丁。国内瑞星、金山等多家杀毒厂商同仇敌忾,纷纷推出了自己针对超级火焰的专杀工具。
超级火焰从中国的计算机用户中盗窃了什么,对中国造成的损害有多大,目前没有任何机构做出确切统计,实际上也难以统计,因为超级火焰来去无踪,谁也不知道自己丢过什么。
而在对超级火焰的阻击战中,以360为代表的国内各大安全厂商群情激奋、合力阻击,在第一时间内御敌于国门之外,却是罕见的同气连枝。
人机大战中的东方白帽子军团
网络安全的本质是攻防对抗。在网络安全攻防中,郑文彬具有一种钻洞打墙的直觉,就像高手对决时一出手便能分出高下。
简单来说,只有了解攻击的方法,才能升级防御的手段,只有开辟接受攻击的试验田,才能促进安全防护的水准。
随着对网络安全问题研究的深入,郑文彬开始把视野拓展到国际黑客大赛上。自从2013年360公司组建以郑文彬为核心的攻防实验室之后,这支阵容豪华的战队跃跃欲试,准备到国际擂台上一展身手。
Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下Tipping Point的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
这是全球顶级的黑客大赛,也是郑文彬梦寐以求的战场!
在2015年3月的Pwn2Own大赛上,郑文彬率领的团队名为360 Vulcan Team。
Vulcan是著名科幻电影《星际迷航》里象征着理性和智慧的星球瓦肯星,Vulcan人素以高智商和冷峻的逻辑思考著称。“生生不息,破解不止”,这是360Vulcan Team所有成员的极致追求。
出战之前,郑文彬给自己队友鼓劲说:“你要了解攻击者是怎么思考的,如果不懂得攻击,就不知道如何防护。攻防都是互相影响的。我们之所以参加这个比赛,就是看对手是怎么攻击我们的,就可以学习到很多技能。当然,我们也要对他们进行猝不及防的完美攻击!”
郑文彬的打法很简单,斩首行动!就像美军三角洲特种部队直取敌人中枢!
首次参赛,360战队利用他们独立发现的多个高危漏洞,仅用时17秒就成功攻破了Win8.1系统和64位IE11浏览器,成为赛事历史上首支拿下IE最高级别浏览器的亚洲团队。
没有经久不息的掌声,因为黑客们都是一群极端自负的家伙。面对这支来自东方的白帽子军团,西方黑客们只有久久合不拢的惊愕下巴。毕竟,在所有网络安全领域,浏览器安全是不可动摇的基石,就像作战时的指挥部。
郑文彬战队一出手,就端掉并控制了对手的指挥部,不能不令国外同行刮目相看。
大赛主办方惠普以及多家西方媒体给予360战队高度评价,惠普安全专家Gorenc甚至用“令人惊奇”来形容360战队的攻击技术。郑文彬战队被外媒称为“东方最强白帽子军团”,成为亚洲唯一可与西方匹敌的安全团队!
郑文彬在国际赛场上小试牛刀便大获全胜。2015年11月6日,在韩国首尔举行的POC网络安全大会上,郑文彬带领他的安全战队再次出战,利用一个远程代码执行漏洞,通过对Edge浏览器的沙箱逃逸操作,成功攻破了Windows10。郑文彬因此获得“最重磅黑客奖”,外媒称,中国超级黑客郑文彬,再一次让人难以置信。
2016年3月,郑文彬带队再次出征加拿大,仅用11秒就攻破谷歌机器军团!
2016年开年之后,人机大战的消息就从未间断。谷歌研究开发的人工智能阿尔法围棋,以5:0完胜欧洲冠军、职业围棋二段樊麾,并在2016年3月向世界最顶尖的围棋天才李世石发起挑战。消息一出,全球关注。
人们关注的,实际上是人类存在的价值。
人类在机器程序面前有一个劣势,在长时间较量后,人类会犯错,但机器不会。而且人类的运算速度远远不如机器,所以从理论上说,机器程序只要经过足够的训练,就能击败所有的人类选手。
在历次人机大战中,人类在电脑面前最终一败涂地。人们对自身智力的安慰就是,还有变幻莫测的围棋。毕竟,围棋是机器难以完全模仿的东方智慧!是上升到哲学层面的智慧!
2016年3月9日至15日,在韩国首尔,韩国围棋九段棋手李世石与人工智能围棋程序阿尔法围棋之间,进行了五番比赛。最终结果是,谷歌开发的人工智能阿尔法围棋以总比分4比1战胜人类代表李世石。
在这次人机大战中,谷歌完虐李世石。谷歌的技术底气,来自于他们拥有世界上最多最强的技术专家。
黑客领域里的技术突破永远没有极限,随时都有可能出现更高的安全难关。但郑文彬更相信,他和他的团队还会创造更大奇迹。
两天之后的3月17日,另一场大赛悄无声息地进行着。新的一场世界黑客大赛Pwn2Own在加拿大温哥华举办。这次亚洲共有5个代表队出战,腾讯派出3个安全团队,360战队依然由郑文彬带领,还有韩国一位传奇的独行黑客。
郑文彬带领的360战队,放开其他可以轻松摘取的奖牌,直奔难度系数最高的决赛而去。郑文彬的打法依然是不与底层部队交手,直接命中对方神经中枢!
比赛现场,主办方将一台经过层层防护的笔记本放在现场指定位置,通过一根网线将笔记本连接到360Vulcan团队的笔记本上。主办方用浏览器打开Vulcan团队笔记本上的网页,Vulcan攻击11秒后控制了主办方的电脑。
用时11秒!郑文彬团队攻破了本届赛事难度最大的谷歌Chrome浏览器,并成功获得系统最高权限,控制了浏览器。
这是中国安全团队在Pwn2Own历史上首次攻破Chrome。
谷歌浏览器代表着谷歌安全防御技术的最高水平。除了全球闻名的“黑客天团”以外,谷歌还拥有上千台服务器以深度挖掘技术对谷歌浏览器等产品进行漏洞测试,其计算能力完全不亚于刚刚在围棋“人机大战”中战胜李世石的阿尔法围棋。
同时,谷歌浏览器还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后,攻击代码对外部的资源不再具有访问权限。谷歌浏览器也因此在历届Pwn2Own大赛都成为黑客面临的终极挑战。最新版的谷歌浏览器安全系数相比以往更高,攻破谷歌浏览器并获得系统控制权,几乎被认为是“不可能完成的任务”。
沙箱是近年兴起的一种防范漏洞攻击最有效的安全技术。如果电脑中运行有危险代码,沙箱会通过隔离令其不能随意获取电脑中的数据和操控权,从而达到保护电脑安全的目的。苹果的操作系统、谷歌的浏览器和360XP盾甲都采用了沙箱技术,以防范未知漏洞的攻击。目前在国内,只有360在XP上实现了完善的沙箱防护。
也就是说,即使黑客发现新的漏洞,没有沙箱逃逸技术,也难以利用漏洞侵害360用户。
由于安全大赛是为了促进各大公司改进自己的产品,所以历次大赛中被攻破的漏洞详情并不会对外公布,而是会交给厂商进行修复。所以目前掌握这套漏洞的人,只有360战队和谷歌。
郑文彬令人惊诧的攻防手段,却令谷歌团队赞赏不已。毕竟,360战队能够攻破谷歌浏览器漏洞,大大降低了漏洞被外界发现的概率。
谷歌的阿尔法围棋,打败李世石用了四个小时,
而中国黑客战队,攻破谷歌浏览器只用了11秒。
黑客大赛上东方力量的崛起,已经成了圈子里津津乐道的话题。
这次胜利代表了中国顶尖黑客在国际较量中完虐其他国家的黑客,他们值得拥有欢呼和掌声。
当然,郑文彬他们之所以用如此快的速度攻破谷歌浏览器,是因为在赛前他们做了充分的研究。在比赛现场,只要把预演的攻击流程,重新呈现出来就可以了。
郑文彬当然有他与众不同的绝招,他发现使用单一的漏洞攻击很难攻破谷歌浏览器,这次攻击,他使用了四个漏洞的组合攻击。就像韩信围住了项羽,玩了一场四面楚歌。
从2006年12月进入网络安全领域,郑文彬用不足10年时间,成为国内外知名安全专家,在中国国家信息安全漏洞库中,有14位特聘专家,郑文彬是最年轻的一个。在业界,他还有很多称谓,“国内内核第一人”“驱动神童”“东方最强白帽子军团核心”。
这次出战加拿大,中国有4支白帽子军团出征,腾讯一次就派出三个安全战队出战,中国安全战队都获得了不俗战绩。但只有郑文彬率领的360战队把主要目标锁定在坚不可摧的谷歌浏览器,至于之前的其他项目,则纯属热身,郑文彬根本就不屑一顾。
连续两年,360战队都果断挑战了世界黑客大赛的最高难度奖项,两次都为世界奉献了令人惊艳的表现。在世界舞台上,证明中国拥有领先的网络攻防技术实力。
郑文彬和他的东方白帽子军团,为何总能创造奇迹?
360战队有一句团队座右铭,或许可以给出最简洁的答案,那就是“生命不息,破解不止”。
这听起来,仿佛有点愚公移山的意思。也许一个数字就能解释清楚。
很多人眼里的郑文彬是神童,是天才,但郑文彬说:哪里有什么天才,你想比别人牛,你就得付出比别人更多的努力和时间,我所有的能力来自于付出的时间比较多。美国有个作家说过一万小时定律,不管你做什么,投入一万小时,就能成为专家。其次是要有细心有耐心,研究任何东西,必须一直跟踪下去,直到把这个细节核心剥出来。同时,还有责任感的驱使,服务几亿网民,那种英雄主义的荣誉感是无法替代的。
爱好、专注与全身心的投入,这些都是所有人能够成功的基本要素。但在实践中,还要善于将奇思妙想付诸实施。郑文彬并不是人工智能专家,但凭直觉,他认为人工智能可以与安全杀毒结合起来,尽管人工智能不是郑文彬的特长,但他想到了,然后联手人工智能专家,把自己的奇思妙想,通过跨界变成了现实。
郑文彬安全团队奉行的“1万个小时”成功哲学,来自于美国作家格拉威尔关于成功学的著作《异数》中的一个重要结论:要成为某个领域的专家,需要在专业上花费1万小时。
郑文彬之所以有今天的成功,是每天超过10个小时钉死在电脑面前,按照这个时间计算,他9年时间里足足在电脑前面枯坐了3万小时。
郑文彬对很多人说:“如果你下到了这个功夫,你也可能成为顶级专家!”
成功本来就没有秘诀,正确的方法加上足够的时间付出,愚公也能移山!郑文彬坦言:“在黑客领域永远存在未知的技术难关,不断挑战不可能的极限,才是我们的使命与追求。”
下一步是什么
在很多人看来,郑文彬像一座壮实的铁塔,一堵密不透风的防火墙,这一点毫不夸张。当他像推土机或者坦克一样移动到你面前,凭借经验你会闪到一边,与如此孔武有力的人发生肢体冲突可不是什么好事情。
实际上他看似壮硕的身体,因为长期熬夜已经受到严重损害。因此我说的不是他的蛮力,而是他装着无数奇思妙想的硕大脑袋里,下一步会有什么样的新想法蹦出来。他对产品的苛求,已经上升到美学和艺术的层面,他用程序构筑的网络世界,提供给我们的不仅仅是一种工具,而是一种艺术。
因此,值得我们追问的是,究竟是什么样的动力,让郑文彬如此追求完美,不舍昼夜。
在他面前,成功的定义不是技术创新,而是只有他本人才能完成的登峰造极的攻防艺术。
郑文彬不论做软件还是查杀木马,他的想法简单又极具颠覆力,不断创造出一些别人没有想过的产品,影响他人,改变世界。他说,当一个人朝着自己梦想的方向拼命奔跑的时候,路上的风、天上的雨、身边的路人,都不再是你的对手,因为此时你的对手只有你自己!
网络安全攻防,在《黑客帝国》等影视剧里,这个职业充满了紧张与刺激。但现实中的网络安全攻防远没有那么戏剧性。郑文彬说:“事实上这个领域里的同行们,99%的人永远也不会取得成功。”
在漏洞攻击的过程中,为了找到一处可能存在的漏洞,郑文彬和他的团队先后会尝试几十种攻击方法,经常夜以继日地破解了几个月,一种攻击路线在最后的关键两步被证明是不可能的,只好第二天从零开始再找下一种破解方法。如此坚持很长时间,才可能成功攻破一个漏洞,并找到打补丁的方法。
郑文彬说:“现在看来,当初选择这个领域是有很大风险的,可能永远不会取得实质性的成果,我只是对探究未知事物充满兴趣,就像一个淘气的孩子喜欢去掏鸟窝,至于是掏出鸟蛋还是一条毒蛇并不重要,我享受的是爬树的过程。”
大量的网络泄密事件和信息安全事故均与漏洞的存在息息相关。随着国家对网络安全问题的认识越来越清晰深刻,郑文彬的重要性越来越凸显。为了实现漏洞资源共享,有效降低漏洞风险,2013年,中国信息安全测评中心组建了中国国家信息安全漏洞库(CNNVD),开展漏洞分析相关的技术研究。
作为国际顶级安全专家,郑文彬成为中国国家信息安全漏洞库14位特聘专家中最年轻的一位。
网络安全问题至关重要,这不仅关乎个人信息安全,更是国家安全战略的需要。最令郑文彬高兴的,作为东方最强白帽子军团的核心,在他和他的同行推动下,国家网络安全体系正在行业标准化道路上不断前进。
过去十年间,网络安全技术经历了一场深刻的变革。基于特征码识别的传统软件杀毒技术退出历史舞台,取而代之的是云查杀。以郑文彬为代表的东方白帽子军团,在互联网技术与互联网思维的运用中,颠覆、重塑了传统安全产业的商业模式和技术模式。
不过,当所有人都被网在互联网之中时,网络普及带来的是安全形势的急剧恶化:恶意程序数量爆发式增长与进化,海量的新型网络攻击方式威胁着万物互联互通的发展,间谍级、军队级病毒发动的网络战定向攻击,以及未知的核裂变级别的高级病毒威胁。
下一步是什么呢?
郑文彬预测,以大数据分析、未知威胁检测和“云+端+边界联动”等为代表的新型安全思维,将成为引领网络安全发展的潮流。而在下一场新技术变革中,互联网技术与互联网思维的交叉碰撞,必将成为网络安全变革与发展的核心。
原载于《中国作家·纪实》2016年第7期
注释
[1]丁一鹤,1970年生于山东诸城,毕业于解放军艺术学院文学系,北京大学法学院,北师大艺术与传媒学院,书法硕士。现就职于北京某政法机关,中国作家协会会员。
