今日指南
在电影《无间道1》中,
刘德华扮演
黑社会安插在警方的卧底
但他却被梁朝伟饰演的卧底警察发现。
生与死 刘德华
一半真诚,一半无奈
告诉梁朝伟:
“我之前没有选择。
现在我想做个好人。”
文|张欣宇
责任编辑:罗一航
编者按:这篇报道揭露了中国网络安全界长期以来不为人知的光明与黑暗的复杂景象,引发了部分人的恐惧与愤怒。我们迫于压力删除了该文章。如今,我们决定再次恢复,希望过去和现在的每一位“黑客”都能直面自己的内心。因为真诚的力量是难以想象的。
蒋锦涛来北京出差,穿了一件粉色上衣和白色裤子。女友让他今年不要穿“怪衣服”——反正他买的衣服都是怪衣服。他们原计划6月领结婚证。蒋锦涛今年29岁,创办了一家名为Sobug的网络安全公司。他也是一名黑客。
如今,他已经习惯了人们叫他的全名“蒋锦涛”,可几年前,就连他最亲近的人,也未必知道他的名字,只知道他的身份:冷燕。
直到2011年,“冷岩”才改名为“蒋金涛”,踏入阳光下。那一年,他加入腾讯,成为一名网络安全工程师;两年后,深圳湾的一缕落日,触动了他内心的感动。他决定创业,从网络安全众包测试做起,想为这个行业做点什么。
像冷岩这样的黑客,也被很多人称为“白帽子”,也就是网络安全从业者。黑与白,是他们人生的两面。一个是过去的生活,一个是现在的生活;一个是隐秘世界中的快感与犹豫,一个是光明中的使命与荣耀。但真实的他们,却活在黑与白的光影之中。
冷岩和他的朋友们——暗影、伤心鱼、小白——起步于黑客圈的“前社交网络时代”。虽然他们不如武石、元歌、TK、冰河等前辈那么出名,但他们依然是黑客界的一份子。他们在黑客圈获得了不可替代的地位;他们干过“黑产”,也为国家效力;他们赚过大钱,也陷入过困境,不知道该如何自处;他们享受着当“暗黑破坏神”的快感,也希望网络安全能成为一门阳光下的生意。
资深IT从业者曹政曾在文章中写道:“黑客并不神秘,他们的背后有领导者、有决策者,有利益、有价值观、有禁区,有法律和道德的约束。”
在电影《无间道1》中,刘德华饰演的是一名被黑社会安插在警方的卧底,但身份却被梁朝伟饰演的警方卧底发现了,在生死关头,刘德华半真半假地对梁朝伟说:“我没有了,我现在想做个好人。”
暗黑破坏神
回武汉前,他路过北京,和网上认识很久的几个黑客见了面。一个ID为“小智”的黑客约他去大学附近的夜总会KTV,“女学生,随便摸!”,还毫不犹豫地付了钱。这让刚刚挣了血汗钱的冷岩大开眼界。“当时吓坏了,我们那时候都是小孩子,怎么可能见过这种事?”
现在,冷岩在北京出差时,如果想住四星级酒店“放松一下”,就得忍受几天两星级酒店的待遇,以平衡差旅费。作为搜狐创始人,他不得不为公司这么做。聘请一名网络安全实习生的成本是每月8000元。像360这样的大型安全公司,给有1-3年经验的安全工程师的薪水约为每月2.6万元。
很多业内黑客,无论经验丰富与否,都表示安全行业目前普遍浮躁,工资虚高。
对于冷岩这样的网络安全创业者来说,经营公司的成本压力越来越大。但五年前甚至更早,黑客和网络安全还不受欢迎。
那时,大多数黑客的升级渠道还很隐蔽,依靠《黑客X档案》《黑客手册》《黑客防线》等“地下杂志”纯粹出于兴趣学习,通过盗取网游账号、刷QQ会员等方式学习,侵入别人网站进行实战训练,然后在一些比较小众的论坛进行交流。他们是那些QQ账号被盗、网站主页被篡改的“受害者”眼中的坏人。那时候还没有“白帽子”的概念,“安全”也不吸引人。
2010年之前,从任何角度看,网络安全都没有得到应有的重视,中国网民对于网络安全事件的理解,只能停留在传统的盗窃概念——“盗窃虚拟财产”,而刑法中并没有盗窃的概念,也没有相应的规定来准确定罪量刑。
“没有加钻石解决不了的问题,三钻不够,就加个花式账号。”冷岩上学时就用黑客技术帮助同学解决了很多问题,他说这让他有种原始的成就感。
一切需要黑客技术支持的非法营利活动,都可以称为“黑产”,盗取网络游戏、QQ账号只是其中最“幼稚”的一项。黑客的身影遍布地下赌博、游戏、金融、招聘等诸多行业,福建、广西、海南、东北等地是全国著名的“黑产”中心。
“黑产”赚钱容易、快,加上早年法律法规并不健全,很多活跃且技术娴熟的黑客都或多或少地从“黑产”中赚到了钱。
2008年大一暑假,冷岩在内蒙古跟着一个叫Goodwill的黑客学长做安全项目,挣了四五千块钱。回武汉前,他路过北京,和网上认识很久的几个黑客见了面。“小智”的黑客约他去大学附近的夜总会KTV,“学生妹,随便摸!”,眼也不眨地花钱。这让刚挣到血汗钱的冷岩大开眼界,“妈蛋,吓死我了,那时候我们都是小孩子,怎么能见过这种事?”
在学校里混了一段时间后,冷岩去了上海一家中型互联网公司做安全工程师,他从圈内朋友那里听过太多黑产行业的故事,好的时候一个月能挣十几万。
如今已经是家政安防公司部门主管的小白,大学时期一边跟前辈做项目一边自学,每个项目能挣不到一万元,但对于2009年的大学生来说,每个月的生活费也就几百元,上万元已经是天文数字了,做几个项目就能挣够四年的学费和生活费。
“那时候我的心态真的不一样,不用读书,不用工作,太好了,一天就能赚这么多钱。”刚开始赚钱的时候,小白就计算着自己一天能赚多少钱,这样一个月能赚这么多,一年五年能赚这么多,“我高兴得晚上都睡不着觉。”
2013年,厦门一个从事境外赌博项目的黑市团队,开一天、两天的车,花的钱相当于一辆奥迪A4,这还不算他们能赚多少钱。
普通家庭的年轻人一下子赚到比日常生活支出高出几十上百倍的钱,又自食其力,很容易变得过度自信。这些小混混深谙酒吧、夜店的规矩,一夜之间就能花光大把的钱。一夜之间花光大把的钱,没人会想着存起来,没人会为将来结婚买房做准备,只会担心没时间花。
“基本上我只想享受今天的生活,其实最简单的想法就是,既然我有技术,今天能赚这么多钱,明天说不定也能赚这么多钱。”比冷言大三四岁的黑客“影子”说道。
但从事黑色行业很不稳定。钱来得快去得也快。如果项目做不好,突然就没有钱可赚了。从奢侈到节俭很难,没钱的时候很痛苦。很多人经常会经历这种大起大落。月收入从六位数降到四位数。对于习惯了花天酒地生活的20出头的年轻人来说,这是难以承受的心理障碍。
“谁都很难驾驭金钱,因为钱的起起伏伏,我一度差点抑郁。”一位不愿透露姓名的黑客说。当一个项目被关停时,他晚上睡不着觉,不知道这些钱到底怎么了。该怎么办?他觉得难以置信。他想看心理医生,但价格从800元到2000元不等。他清楚地记得,太贵了,他负担不起。他只好一个人待在一间狭小的出租屋里,躺在床上,两眼发直,不断与自己的欲望做斗争。
有些人通过黑客改善了生活,而有些人最初进入这个行业是因为被“黑客”了,想要报复。悲伤的鱼(朋友们都叫他Fish)就是这样成为一名黑客的。
2004年,和很多年轻人一样,余某特别喜欢玩网络游戏《千年之战》。他刚刚用一个月的生活费买了一台装备,结果第二天账号就被黑了,而且特别彻底。伤心郁闷过后,余某决定“反击”,在西单图书大厦找到一本叫《24小时黑客入门》的书,如获至宝。我很快看完了这本书,然后就赶往中关村,碰到谁就问哪里有卖远程控制软件,吓坏了不少商家。
当时他以为《灰鸽子》等东西就如同Office、Adobe之类的软件一样,可以购买正版。
我盲读了一年半,期间还参加了北大青鸟的编程培训班。不过,我放弃了软件工程师的工作,选择在 Hacker X-Files 做编辑。也正是在这期间,悲催的鱼认识了冷岩,两个素未谋面的黑客,通过 ID 相识近 10 年。
因被“黑”而怒修道的鱼,义无反顾的选择成为一名黑客,玩了很多大游戏,赚了很多大钱。
另一位与冷岩关系密切的黑客Fooying,从未涉足过地下黑产,一直都是“好学生”。不过,这并不妨碍他和一帮曾经涉足黑产的哥们儿相处融洽。在冷岩看来,黑产“也是一种经历”,而这种经历“或许对开拓技术思路有很大帮助”,他是一个技术极客。
Fooying 在著名网络安全公司知道创宇已经工作四年了。他还记得高中时在网吧自学技术的那些年:第一次进入网站后台,第一次写程序弹出框……第一次按照《网络安全法》《黑客X档案》的教程,绕过网吧系统,第一次免费上网。“现在学一门新语言,不会再有那种感觉了”,Fooying 说。
冷岩刚创办Sobug的时候,性格沉静的Fooying主动和冷岩探讨自己在安全众包测试方面的经验,并一本正经地写了一篇文章发表在个人网站上。Fooying不明白为什么有些同事会花那么多时间看美剧。按照他的时间安排,下班后他还要抓紧时间做自己喜欢的安全研究,每天要忙到凌晨两三点。一个十多人的漏洞社区团队除了技术工作,还有很多行政工作要做,他经常担心没人能帮他分担工作。
聚集与分散
感觉我们还没有完全成为情侣,每个人的眼里都噙满了泪水。
在社交网络出现之前,《黑客X档案》《黑客手册》《黑客防线》等都是没有刊号的“地下杂志”,冷眼、伤心鱼、小智、Rabbitsafe、樱花浪子、冰之起源……就是这群黑客秘密“聚会”的地方,他们投稿或者开专栏“骗点稿费”,再通过杂志获取对方的联系方式,维持线上交流。
用冷岩的话来说,这些没有正式刊号的黑客杂志,不仅是中国黑客界的历史珍宝,更是很多人最纯真年纪时的回忆。这个年龄段的人,目前都是国内安全行业的前线。文艺青年对《萌芽》杂志的感情,和文艺青年对《萌芽》杂志的感情是一样的。
这群ID都是5-10年前的学生,大家都眼睛一亮,但都缺钱,没财力、没精力组织全国性的聚会,能见面的黑客最多也只能是同城的。我和悲伤鱼通过《黑客X》相识10年,一直有密切的联系,但从未见过面,直到2015年,才有机会第一次线下见面。
冷岩曾在知乎上写过一篇回答“如何评价《黑客X档案》《非安全黑客手册》《黑客防线》等杂志或读物”的文章来形容这场迟到的见面:“感觉就像是恋人的见面,每个人的眼里都噙满了泪水。”
如今已经独立于网络安全圈的黑客们回首往事,都会觉得那段纯粹出于兴趣的岁月最为珍贵。
其他黑客则是通过集体的“大规模行动”相互认识,这次“大规模行动”主要是几年前的一系列政治事件:日本首相小泉纯一郎多次参拜靖国神社,每次都引来中国黑客的攻击;2008年,从南方雪灾、西藏事件到汶川地震、奥运火炬事件,中国网络民族主义情绪达到高潮,甚至濒临失控。
现在的小白以前也参加过这种“爱国黑客行动”:“每次遇到一些事情,网上的一些政治观点、新闻等,心里就很愤怒。我也会组个团队灰鸽子远程控制软件教程,成立个民间组织,就好比是发泄一下,或者攻击一下别人。”但随着年龄的增长,阅历的丰富,现在的他承认自己年轻时头脑发热干的事很愚蠢:“那些公司、网站又没做错什么,攻击他们有什么意义呢?”
英子比冷言大几岁,是冷言早年认识的为数不多的外地黑客,冷言还在读大学的时候,英子就去了武汉,住在他的宿舍里,但冷言还是想要看到无法看到的真相
我只记得他叫赵。
不记住、甚至故意不记住对方的“真名”,是这个圈子里的常见做法。
2012年夏天,一则新闻出现在各大报纸、网站、电视台:“湖南省与香港警方联手捣毁一个袭击香港金融业网站的犯罪团伙。”Shadow是6名主要嫌疑人之一。
被警方抓捕当天,英子像往常一样在上海一家保安公司上班,开会前想喝杯水,户籍警察过来检查他的暂住证和身份证。确认身份后,又有警察赶到英子的工作站,查封了他们的电脑和手机,并将他带走。
“后来我说好久没听到英子的消息了,朋友居然给我发了一条新闻链接。”冷燕说,“他倒霉被抓的时候正值香港回归15周年,这种新闻能炒作出不少内地与香港紧密联系的氛围。”
当时英子已经放弃做“黑生意”好几年了,但黑生意时期留下的利益关系很复杂,有些东西并不是想挣脱就能挣脱的。
“我觉得挺委屈的。”在长沙王府井一家湘菜馆里,还在服刑的英子眨着眼睛说。他不能随意离开拘留所。“我的计划全泡汤了。”
事发前,影子原本打算考上海交大或复旦的计算机专业,买好书,做题,找相关老师交流,就等着考试日期的临近,等待他的,是警察的破门而入。最终,影子因敲诈勒索罪被判处有期徒刑三年,缓刑五年。
“很痛苦。”现在英子和妻子分居,一个月只能见一次面。妻子是北京人,家里只有一个孩子,不可能离开北京;而他自己还在缓刑期,离开长沙需要报到。
类似的场景,冷炎自己也经历过。
2007年,黑客界还处于病毒木马横行的时代。当年1月初,由李俊编写的“熊猫烧香”病毒肆虐中国互联网。当时还是高中生的冷岩与李俊在同一个QQ群。李俊给冷岩发了“熊猫烧香”病毒的代码。
冷岩的父亲是湖北某县的公安局局长。寒假的一天,父亲的手下追踪到了冷岩的QQ、IP地址和电话号码,并开着警车来到了冷岩的家。那本Linux书籍刚开门就把父亲惊呆了。幸好冷岩没有真正传播出去,躲过了这一劫。
伤心鱼闹得更大:2012年,他真的干了一件大事,把自己的木马植入了东亚某国一个类似QQ的通讯工具中,该国所有银行都在使用这个软件通讯,随后将一笔“非常大”的资金转入自己事先准备好的瑞士银行账户。该国在中国设立的银行立即向中国警方报告了此事,并要求引渡余某。吃完饭正要回到车上时,十几个警察将他制服,带回当地派出所。派出所领导见到余某后大吃一惊:“你犯了什么罪,公安部XX局来抓你?”
在亲朋好友和黑客们的眼中,余某在事发后立刻消失了,冷岩怎么也想不到,三年后,两人竟然在北京再次相遇。
只有余的父母得到了一点消息:余不会被引渡。今年是余的本命年,他24岁。
19个月15天后,鱼又自由了。
就像古代国家打仗的时候会抢劫铁匠、裁缝一样,有“技术高超、胆识过人”的黑客有时也是国家的资源。
还有一个名为“凋零玫瑰”的ID,其实很少有人真正见过他。网络安全社区“看雪安全论坛”上公布的一份《2014中国黑客榜单》显示,“凋零玫瑰”这个ID排在第50位,比如今名声大噪的乌云安全网络创始人建信低两位,比著名网络安全公司知道创宇的副总裁余贤高一位。他的技术水平毋庸置疑。他曾因非法生产被警方逮捕,后被释放。近两年还算活跃,但某天又消失了。
对于冷岩来说,这些和他一起长大的ID,有的成为了网络安全圈的好朋友甚至是合作伙伴;有的许久没有联系,过着清静隐居的生活;有的消失了。有的人出现过,后来又出现过,对于消失的时间讳莫如深;有的人曾经很活跃,后来彻底消失了,还有的人不知道现在在哪里,过得怎么样。
在阳光下
“斯诺登相当于我们整个行业的改革开放。”
2013年,一切都变了。
伤心的余先生现在是北京一家安保服务公司的技术总监,公司位于北三环的办公楼里只有三间独立的办公室,其中一间是他的。今年1月,余先生与女儿举行了隆重而浪漫的求婚仪式,离开了亲眼目睹他被警方抓捕的女友,她美丽又有才华,在豆瓣上有十多万粉丝。改变余先生人生轨迹的那本《24小时黑客入门》至今还放在家里。
像余某、冷言、小白一样,那些转行做安全的黑客们,纷纷成为各大科技公司网络安全部门的负责人,或是网络安全初创企业的创始人,一个个将“白帽子”打造成了“黑帽子”。安全行业看似生机勃勃、欣欣向荣,但白帽子与黑帽子之间的关系,并不是简单的兵匪平衡。
网络安全这个概念其实并不古老,在病毒木马横行的年代,不管熊猫烧香事件影响有多大,也不过是一起典型的盗窃案,波及范围有限,涉及的虚拟财产有限。但随着互联网发展到现在,由于实名制和网络支付越来越普遍,与现实结合越来越紧密,任何一个网站数据库的丢失,都会对整个互联网造成不同程度的连锁反应。一个网站的用户数据越多,越真实,影响就越大。你的姓名和身份证号一旦丢失,就是永久性的,任何获得你身份信息的人,都可以访问你在网上的一切行为,这并不难。
几乎每个黑客都熟悉刑法第286条、287条,但这种网络安全相关犯罪直到2009年才被刑事定罪,而直到2010年才引入“侵犯公民信息安全罪”的刑事追诉,这是全国首例涉及网络犯罪责任的案件。
2013年3月国家安全委员会成立,2013年6月斯诺登事件爆发,这两件事极大地推动了中国政府决策层对网络安全的重视。“给我们整个行业带来了改革开放。”信息安全服务公司长亭科技创始人陈宇森如此评价。前不久,他的公司因研究智能硬件安全问题被央视报道。
乌云漏洞平台自2010年成立以来,一直扮演着信息安全推动者的角色。2011年年底,乌云披露知名开发者社区CSDN数据库600万用户数据被泄露,一时引起轰动。数据库泄露问题逐渐受到社会关注,大大小小的互联网公司纷纷报告“数据库泄露”问题。
网络与信息安全行业因此受到风险投资和互联网巨头的青睐。红杉资本投资了乌云唐扫,线性资本投资了漏洞盒子,经纬中国投资了冷岩创办的搜漏洞,真格基金投资了长亭科技。腾讯、百度、阿里巴巴、360等巨头相继成立了SRC部门(应急响应中心),以“赏金”的形式吸引“白帽子”来探索漏洞。只要你有点黑客技术,在这些SRC市场都能赚到外快。不管你是网络管理员、保安还是厨师。
2016年1月,我参加了360SRC年会。360邀请到北京的一些“白帽子”,最小的才15岁,在360SRC平台上提交了十几个漏洞,却不肯与陌生人分享。我发言时,无法回答主持人提出的问题。没有电脑的我,就像一把没有魔力的扫帚,灰暗而呆滞。
在国家意志、资本意志、公众意识和社会的推动下,网络信息安全产业突然蓬勃发展,安全似乎不再仅仅是一个技术问题,而更多时候表现为一个“公关问题”。
一些刚刚出道的年轻黑客,他们的生存方式和冷燕、英子、余他们那一代黑客完全不一样。
1994年出生的Redrain,小时候在身为大学教授的父亲的帮助下,有过一些Linux系统、黑客和安全的启蒙经历,但并未深入。高中生涯快结束的时候,因为一些原因,叛逆期的他患上了抑郁症,觉得什么都没什么意思,上学无聊灰鸽子远程控制软件教程,考试无聊,玩游戏也很无聊。有一天,Redrain莫名其妙地想到了黑客,于是就试着去接触、去探究,上课的时候,他经常拿着诺基亚手机,偷偷地按着键盘用手机上网,学习了SQL注入的语法,还查查什么是PHP、ASP。报考大学的时候,Redrain选择了信息安全作为专业,从基础开始学习。大学期间,他经常去南京、西安等地参加黑客活动。 比赛、去山东、石家庄做项目,我的朋友圈很热闹,微博粉丝有近万名。
现年 22 岁的 Redrain 以“敢于批评别人”的风格闻名于社交网络圈,他经常说现在有些“小屁孩很蠢”,光是利用一些基础工具就敢于从事非法活动,但他所说的黑客精神,倡导的“Free、Share、Think”,却跟这些都毫不沾边,完全不配被称为黑客。
“对于一个真正热爱技术的人来说,获得技术应该是优先考虑的事情,而不是金钱”,redrain 说道。他坚信,黑客攻击并不是一个很好的追求技术进步的途径。他的梦想是在 25 岁之前获得一个 CVE(Common Vulnerabilities & Exposures),这意味着他发现的漏洞能够得到全球认可,而不是仅仅从厂商那里获得一笔小小的奖励。他目前的目标是一家世界级的互联网公司。但回到现实,包括 redrain 在内的很多黑客选择从事安全服务、安全研究的原因,依然是投入产出比。
“如果你现在给我几十万或者一百万,我都不会搬走。但如果你给我两千万,”雷德雷恩停顿了一下,笑着说,“也许我会考虑。”
如今中国黑客大多具备科学上网的技能,读懂英文也不成障碍,不会轻易对西方企业、媒体网站发动攻击,也不会像西方黑客组织Anonymous那样,向国外恐怖组织ISIS宣战。雷德雷恩称鹰派黑客的行为“太愚蠢了”,而肯辛顿则反问道,“这就好比你们现在与日本交战,砸日本车,有意义吗?你们爱国,说钓鱼岛是中国的,有什么意义?毫无意义。”
已是“大人”的冷燕、羽、英子、小白和福英,要照顾的事情也更多了,而这一切都离不开他们的爱、坚持和妥协。
于先生最棒,他重获自由,结了婚,现在管理着一个庞大的技术团队。曾被判缓刑的英子让妻子辞去工作,用自己在长沙的工资养活妻子。这个家,再怎么压力,也要在北京买房。他去中南大学讲课,就是为了赚点外快。他以前还到处跑,做些非法项目,像个浪子。结婚生子后,一切都好。他把家庭放在第一位,打算等自己有空了,就回北京做点“稳生意”。
英子和小白都刚刚当爸爸,两人相识10年,却只见过一次面。小白刚刚付了北五环一套房子的首付。对他来说,最担心的就是孩子未来的教育问题。 问:他和妻子都是传统蒙古族,高考时都用蒙古语答题,他们的祖母是草原上的牧民。他很注重民族传统文化,但现在北京没有蒙古语学校。
Fooying 参加过全球顶级黑客大会 Black Hat Asia,这在黑客圈永远是莫大的荣誉。但现实是,他和女友都是福建人,家庭家风浓厚,想结婚,但没有房不行。在北京买房是不可能的,因为在老家盖房的钱不够。他是家里最小的四个姐姐,姐姐们都没有嫁给有钱人,所以房子要靠他自己筹钱。Fooying 常常很迷茫,年纪轻轻,已经是公司 Seebug 漏洞社区的组长,工作很多,婚姻和房子又把 Fooying 挤在了另一边。
直到创办信息安全公司索布格,冷岩才摆脱了在人前害羞的性格。第一次带他去夜店的小志,已经退出圈外多年,据说在青岛过着幸福的生活。生活富足而平静。冷岩偶尔会在朋友圈晒出在机场、火车站拍的照片,用鼓励的话语鼓励自己。手机上的航空旅行应用显示,他一年的飞行里程超过了一万二千公里。他全身心投入到公司的事业中,也遭遇了创业者通常会遇到的挫折。
有些黑客喜欢在社交网络上针对任何自己感兴趣的话题写简短而充满价值感的评论。或许是因为他们受过逻辑训练,所以会表达明确的立场,比如微博上知名黑客V“守墓人”。但冷岩是另一种人,他不喜欢这样做,他更容易被一些精致的静物所感动。每次来北京,他都喜欢去交道口胡同里的咖啡馆坐上一个下午。他认为自己是个有趣的人。
本文摘自PingWest中文网·黑镜深度报道团队
