丁一鶴
2016年6月,360公司在北京主辦首屆世界黑客大師賽,360公司首席工程師鄭文彬?qū)⑹澜缗判星拔宓暮诳蛻?zhàn)隊(duì)都請(qǐng)到了中國(guó)。
鄭文彬曾11秒攻破谷歌、17秒入侵微軟,對(duì)戰(zhàn)世界最強(qiáng)間諜級(jí)病毒,開(kāi)創(chuàng)中國(guó)網(wǎng)絡(luò)安全云時(shí)代。
最早揪住了熊貓燒香
2006年12月,在大學(xué)讀了4個(gè)月的鄭文彬退學(xué)后,這個(gè)只有18歲的小伙子來(lái)到北京奇虎公司應(yīng)聘,成為奇虎360安全團(tuán)隊(duì)的一名技術(shù)員,負(fù)責(zé)流氓軟件專(zhuān)殺。
從2006年年底到2007年年初,短短的兩個(gè)多月時(shí)間,憨態(tài)可掬的熊貓圖標(biāo)占領(lǐng)了無(wú)數(shù)電腦的屏幕,一個(gè)名為“熊貓燒香”的病毒不斷入侵個(gè)人電腦、感染門(mén)戶網(wǎng)站、擊潰數(shù)據(jù)系統(tǒng),億萬(wàn)用戶叫苦連天,殺毒廠商焦頭爛額,病毒作者被黑客追捧,甚至《2006年度中國(guó)大陸地區(qū)電腦病毒疫情和互聯(lián)網(wǎng)安全報(bào)告》中,也把熊貓燒香評(píng)為“毒王”。
鄭文彬也在追蹤著熊貓燒香的蹤跡,當(dāng)他滿頭大汗敲擊著鍵盤(pán)時(shí),電腦屏幕上一串字符引起他的注意。熊貓燒香病毒的源代碼含有一個(gè)whboy字樣的符號(hào)。鄭文彬多次與病毒交手,在此之前含有whboy源代碼符號(hào)的病毒曾經(jīng)出現(xiàn)過(guò)。但以往與whboy符號(hào)相關(guān)的病毒出現(xiàn)時(shí),并沒(méi)有熊貓頭那樣的明顯標(biāo)志,所以沒(méi)引起注意。
要注冊(cè)域名就要填家庭住址電話,沿著whboy這個(gè)代碼,鄭文彬竟然找到了注冊(cè)人的信息。打開(kāi)一看,是一個(gè)武漢的地址。
whboy,就是武漢男孩兒!
鄭文彬噼里啪啦敲擊了一串兒鍵盤(pán)后發(fā)現(xiàn),武漢男孩兒填寫(xiě)了真實(shí)的個(gè)人信息,留下了真實(shí)名字李俊,還有自己的家庭住址。
李俊這個(gè)初出江湖的黑客也許并不知道,對(duì)于黑客高手而言,這是暴露身份的致命線索。這個(gè)初入黑客江湖的雛兒,因這段代碼暴露了自己。
李俊只是通過(guò)制作一個(gè)讓人記住的形象,來(lái)證明他是網(wǎng)絡(luò)世界的熊貓。此時(shí)李俊當(dāng)然不知道,當(dāng)他把代號(hào)whboy寫(xiě)入病毒的時(shí)候,就給自己的犯罪留下了蛛絲馬跡。
遺憾的是,彼時(shí)殺毒行業(yè)并沒(méi)有構(gòu)建有效報(bào)毒規(guī)則,各家安全公司發(fā)現(xiàn)病毒之后,都到軟件評(píng)測(cè)網(wǎng)站發(fā)布消息,提醒業(yè)界注意。追蹤到熊貓燒香的木馬病毒后,鄭文彬把自己的這個(gè)發(fā)現(xiàn),發(fā)到中文業(yè)界資訊網(wǎng)站CnBeta上。
鄭文彬公布熊貓燒香相關(guān)信息之后不久,湖北公安廳網(wǎng)監(jiān)部門(mén)一舉偵破了熊貓燒香病毒案,抓獲了25歲的武漢市新洲區(qū)人李俊。
2007年9月24日,熊貓燒香計(jì)算機(jī)病毒制造者及主要傳播者李俊等四人,被湖北省仙桃市人民法院以破壞計(jì)算機(jī)信息系統(tǒng)罪判刑,李俊被判處有期徒刑四年。
給微軟找漏洞打補(bǔ)丁
2007年4月,360安全團(tuán)隊(duì)突然接到大批網(wǎng)友求救。網(wǎng)友說(shuō),進(jìn)入網(wǎng)站只要點(diǎn)擊一個(gè)網(wǎng)頁(yè)或者下載軟件,電腦馬上癱瘓。
根據(jù)網(wǎng)民的求救信息,鄭文彬進(jìn)入網(wǎng)站發(fā)現(xiàn),網(wǎng)民無(wú)論是通過(guò)瀏覽器瀏覽還是用各種看圖軟件打開(kāi),或者在即時(shí)聊天窗口、電子郵件里查看圖片文檔,只要打開(kāi)就會(huì)中招!鄭文彬發(fā)現(xiàn),這些網(wǎng)站和網(wǎng)頁(yè)都掛了木馬,就像人們常常走過(guò)的路上掛滿地雷一樣。
這種大面積的掛馬,以前還很少發(fā)現(xiàn)。根據(jù)經(jīng)驗(yàn),鄭文彬立即作出判斷:這是一種新的病毒攻擊模式!攻擊者將木馬藏在文件中,很可能是瀏覽器存在漏洞!
漏洞是微軟一出生就帶來(lái)的缺陷,而且是不可避免的缺陷。所謂漏洞,就好比長(zhǎng)江大堤上隱藏在草叢之下的螞蟻洞,平時(shí)根本看不到,只要洪水到來(lái),千里之堤毀于蟻穴。黑客就是瞄準(zhǔn)漏洞攻擊的那成千上萬(wàn)的蟻群。
微軟當(dāng)然知道漏洞的存在,他們每月補(bǔ)一次漏洞。但黑客卻時(shí)時(shí)刻刻發(fā)動(dòng)攻擊,只要出現(xiàn)一個(gè)新漏洞,全國(guó)幾億網(wǎng)民都有被攻擊的危險(xiǎn)。
衣服破了就要打補(bǔ)丁,鄭文彬針對(duì)漏洞設(shè)計(jì)了臨時(shí)補(bǔ)丁。查漏洞打補(bǔ)丁的功能一面世,立即受到普遍歡迎。
查漏洞打補(bǔ)丁的技術(shù)含量很高,當(dāng)時(shí)國(guó)內(nèi)只有為數(shù)寥寥的頂級(jí)高手才能做到。為了不至于讓微軟感到難堪,鄭文彬?qū)⒅鹈麨榕R時(shí)補(bǔ)丁。微軟是每月的第二周固定推出,鄭文彬就在微軟發(fā)布之后再推出臨時(shí)補(bǔ)丁。
以微軟睥睨天下的技術(shù)實(shí)力,其他安全公司提供個(gè)臨時(shí)補(bǔ)丁,他們并不覺(jué)得是多大的事情。他們要做的就是在網(wǎng)上發(fā)布一份聲明,對(duì)打補(bǔ)丁的高手進(jìn)行口頭上的獎(jiǎng)勵(lì)。即便是口頭表?yè)P(yáng),對(duì)全球所有黑客而言都是天大的榮譽(yù),每一次微軟的致謝都是一枚碩大的勛章。
而在過(guò)去的歲月里,鄭文彬帶領(lǐng)的安全團(tuán)隊(duì)向谷歌、微軟、蘋(píng)果等全球各大IT巨頭,提交了上百個(gè)漏洞報(bào)告并獲得公開(kāi)致謝,發(fā)現(xiàn)漏洞數(shù)量?jī)H次于谷歌安全團(tuán)隊(duì),位列世界第二,被譽(yù)為“東方最強(qiáng)白帽子軍團(tuán)”。
幫微軟打補(bǔ)丁,就像幫秦始皇修長(zhǎng)城,給長(zhǎng)江找蟻穴,這種成就感,是只有站在峰巔的人才會(huì)領(lǐng)略的絕佳風(fēng)景。
開(kāi)創(chuàng)網(wǎng)絡(luò)安全云時(shí)代
2008年8月,新款殺毒軟件推出之后沒(méi)多久。鄭文彬一腳踩空摔下樓,去醫(yī)院一拍片子,腿骨折了!
鄭文彬的工作場(chǎng)地就從辦公室搬到了家里的客廳。董事長(zhǎng)周鴻煒安排好公司的事情,就帶著團(tuán)隊(duì)直奔鄭文彬家,幾個(gè)人身子往沙發(fā)里一摔,就開(kāi)始爭(zhēng)論上了。
在鄭文彬家的客廳里,周鴻神拋出了一個(gè)令人撓頭的問(wèn)題:“以往殺毒方式是依靠收集病毒特征,被動(dòng)防御造成防不勝防。我們必須拿出一個(gè)新的殺毒模式,變被動(dòng)為主動(dòng)?!?/p>
“全世界殺毒技術(shù)都是被動(dòng)防御,但最好的防御就是攻擊。從技術(shù)上應(yīng)該能做到。”鄭文彬說(shuō)。
全世界每小時(shí)會(huì)產(chǎn)生兩萬(wàn)多個(gè)新病毒,而全球最好的安全殺毒公司要有超過(guò)2000個(gè)分析員對(duì)病毒進(jìn)行分析甄別。
鄭文彬提出的殺毒途徑是,在病毒進(jìn)入計(jì)算機(jī)之前進(jìn)行攔截。因?yàn)椴《具M(jìn)入計(jì)算機(jī),需要經(jīng)過(guò)傳輸,而在傳輸過(guò)程中,只要發(fā)現(xiàn)并提示是否有病毒,并且阻止病毒進(jìn)入電腦,一切問(wèn)題迎刃而解。
鄭文彬天生具有一種直覺(jué),能從成千上萬(wàn)的可能性中挑出最好的路徑。他帶領(lǐng)團(tuán)隊(duì)把病毒的所有特征和指標(biāo)做出來(lái),就等于做了一個(gè)過(guò)濾網(wǎng),無(wú)論軟件還是病毒從這里過(guò)濾一下,人工智能就能分析判斷是不是病毒。當(dāng)時(shí)360已經(jīng)有數(shù)億個(gè)病毒樣本數(shù)據(jù),用人工智能調(diào)整好對(duì)比模型,大大提高了判對(duì)判錯(cuò)的能力。
2008年,“云”成了IT行業(yè)最熱門(mén)的名詞。所謂“云”,其實(shí)指的是后端(服務(wù)器端),也就是平時(shí)我們很少能夠看到的那一端,正因?yàn)槠綍r(shí)難得看到,所以有一種虛無(wú)縹緲的感覺(jué),也許就是因?yàn)檫@個(gè)原因,才被稱(chēng)為“云”。
云安全思維確定之后,鄭文彬帶領(lǐng)殺毒團(tuán)隊(duì)聯(lián)手人工智能專(zhuān)家,很快做出了云查殺安全軟件。
云安全打通了病毒的發(fā)現(xiàn)和處理兩個(gè)部分的障礙。也就是說(shuō),病毒還沒(méi)到電腦上,就在云端被識(shí)別和查殺了。等于有個(gè)孫悟空騰云駕霧,手搭涼棚給所有用戶站崗放哨打妖怪。
互聯(lián)網(wǎng)安全技術(shù)正在經(jīng)歷顛覆與重塑,這一思路抓住了這樣的趨勢(shì),實(shí)現(xiàn)了技術(shù)上的彎道超車(chē)。沿著這個(gè)思路,云查殺正式登場(chǎng)亮相。這款智能防御安全軟件的優(yōu)勢(shì)在于,在病毒還沒(méi)有進(jìn)行破壞的時(shí)候,安全軟件就發(fā)現(xiàn)它有問(wèn)題,把它給攔住。就像大街上萬(wàn)人之中的一個(gè)小偷,他沒(méi)下手的時(shí)候你不能抓他,但你可以隨時(shí)盯著他。只要他把手伸出來(lái),孫悟空就在云端看到這個(gè)微小的動(dòng)作,然后一棍子將妖怪撂倒在地。
這種看似簡(jiǎn)單的思維模式,卻開(kāi)創(chuàng)了東方網(wǎng)絡(luò)安全的云時(shí)代。剿滅超級(jí)火焰
2012年6月2日,全國(guó)各大媒體轉(zhuǎn)載了一則新華社消息:《席卷全球的“超級(jí)火焰”病毒已入侵中國(guó)》。
由新華社發(fā)布消息宣布一種病毒的來(lái)襲,是前所未有的,可見(jiàn)這種病毒的猖狂與可怕。這則消息稱(chēng),政府機(jī)構(gòu)、大型企業(yè)一旦感染,將迅速蔓延,面臨機(jī)密信息泄露的風(fēng)險(xiǎn)。國(guó)外多家網(wǎng)絡(luò)安全團(tuán)隊(duì)指出,超級(jí)火焰病毒很可能是由某些國(guó)家投入大量資金和技術(shù)支持而研制的,用于網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。
超級(jí)火焰這種用于網(wǎng)絡(luò)戰(zhàn)爭(zhēng)級(jí)別的病毒,實(shí)際上是一種間諜級(jí)的戰(zhàn)爭(zhēng)機(jī)器,令所有人不寒而栗。在此之前,超級(jí)火焰入侵伊朗、以色列、巴勒斯坦等中東國(guó)家和地區(qū)的大量電腦,收集信息情報(bào),已經(jīng)查明有幾千臺(tái)電腦中招。位于日內(nèi)瓦的國(guó)際電信聯(lián)盟稱(chēng),超級(jí)火焰是一種危險(xiǎn)的間諜工具。
鄭文彬研究發(fā)現(xiàn),這種強(qiáng)大無(wú)比的病毒,其復(fù)雜程度和功能效力,超過(guò)已知的任何病毒。從規(guī)模上看,超級(jí)火焰作為一種網(wǎng)絡(luò)間諜戰(zhàn)武器,背后必然是一支看不見(jiàn)的黑客軍團(tuán)。通俗一點(diǎn)說(shuō),超級(jí)火焰就像《潛伏》里的余則成,在悄無(wú)聲息中完成諜報(bào)行動(dòng)。
超級(jí)火焰引發(fā)了各國(guó)的恐慌,也引起國(guó)與國(guó)之間的口水戰(zhàn)。對(duì)此,頂級(jí)密碼專(zhuān)家認(rèn)為,這種間諜級(jí)的病毒,用正確的方法開(kāi)發(fā)出來(lái)需要八到十年,而破解它也需要八到十年!
顯然沒(méi)有十年時(shí)間去破解它。唯一可行的辦法就是找到它入侵的漏洞打補(bǔ)丁,阻止超級(jí)火焰的入侵!
這是一場(chǎng)事關(guān)國(guó)家安全、命運(yùn)攸關(guān)的阻擊戰(zhàn)。更令人膽戰(zhàn)心驚的是,這個(gè)病毒早已啟動(dòng)人侵程序!利用微軟數(shù)字簽名欺騙漏洞,偽裝為微軟簽名的文件。也就是說(shuō),即便被火焰病毒入侵并盜走了文件,幾乎所有用戶都茫然不知!
鄭文彬立即根據(jù)病毒特征找到漏洞,在第一時(shí)間為全體用戶推送了補(bǔ)丁,保護(hù)中國(guó)網(wǎng)民的電腦有效“滅火”。
與此同時(shí),微軟也已針對(duì)漏洞發(fā)布了補(bǔ)丁。國(guó)內(nèi)瑞星、金山等多家殺毒廠商同仇敵愾,紛紛推出了自己針對(duì)超級(jí)火焰的專(zhuān)殺工具。
超級(jí)火焰從中國(guó)的計(jì)算機(jī)用戶中盜竊了什么,對(duì)中國(guó)造成的損害有多大,目前沒(méi)有任何機(jī)構(gòu)做出確切統(tǒng)計(jì),實(shí)際上也難以統(tǒng)計(jì)。因?yàn)槌?jí)火焰來(lái)去無(wú)蹤,誰(shuí)也不知道自己丟過(guò)什么。
而在對(duì)超級(jí)火焰的阻擊戰(zhàn)中,國(guó)內(nèi)各大安全廠商群情激奮、合力阻擊,在第一時(shí)間內(nèi)御敵于國(guó)門(mén)之外,卻是罕見(jiàn)的同氣連枝。
人機(jī)大戰(zhàn)中的東方白帽子軍團(tuán)
黑客是一個(gè)不具有任何褒貶意味的中性詞,特指計(jì)算機(jī)編程專(zhuān)家。好奇心,探索欲,挑戰(zhàn)性,是黑客存在的三個(gè)原始驅(qū)動(dòng)力。就像江湖高手的巔峰對(duì)決,網(wǎng)絡(luò)安全的本質(zhì)就是攻防,在攻防中,黑客分出了正邪。
隨著對(duì)網(wǎng)絡(luò)安全問(wèn)題研究的深入,鄭文彬開(kāi)始把視野拓展到國(guó)際黑客大賽上。自從2013年360公司組建以鄭文彬?yàn)楹诵牡墓シ缹?shí)驗(yàn)室之后,這支陣容豪華的戰(zhàn)隊(duì)躍躍欲試,準(zhǔn)備到國(guó)際擂臺(tái)上一展身手。
Pwn20wn是全世界最著名、獎(jiǎng)金最豐厚的黑客大賽,由美國(guó)五角大樓網(wǎng)絡(luò)安全服務(wù)商、惠普旗下的項(xiàng)目組ZDI主辦,谷歌、微軟、蘋(píng)果等互聯(lián)網(wǎng)和軟件巨頭都對(duì)比賽提供支持,通過(guò)黑客攻擊挑戰(zhàn)來(lái)完善自身產(chǎn)品。
這是全球最頂級(jí)的黑客大賽!在2015年3月的Pwn20wn大賽上,鄭文彬率領(lǐng)團(tuán)隊(duì)首次參賽,僅用17秒就成功攻破了Win8,1系統(tǒng)和64位IEll瀏覽器,成-為賽事歷史上首支拿下IE最高級(jí)別瀏覽器的亞洲團(tuán)隊(duì)。
沒(méi)有經(jīng)久不息的掌聲,因?yàn)楹诳蛡兌际且蝗簶O端自負(fù)的家伙。面對(duì)這匹東方黑馬,西方黑客們只有久久合不攏的驚愕下巴。鄭文彬戰(zhàn)隊(duì)也因此被外媒稱(chēng)為“東方最強(qiáng)白帽子軍團(tuán)”!
2015年11月6日,在韓國(guó)首爾舉行的POC網(wǎng)絡(luò)安全大會(huì)上,鄭文彬帶領(lǐng)他的安全戰(zhàn)隊(duì)再次出戰(zhàn),利用一個(gè)遠(yuǎn)程代碼執(zhí)行漏}同,通過(guò)對(duì)Edge瀏覽器的沙箱逃逸操作,成功攻破了Windowslo。鄭文彬因此獲得“最重磅黑客獎(jiǎng)”。
2016年3月9日至15日,在韓國(guó)首爾進(jìn)行的韓國(guó)圍棋九段棋手李世石與人工智能?chē)宄绦颉鞍柗ü贰敝g,進(jìn)行了五番比賽。在這次人機(jī)大戰(zhàn)中,谷歌完虐李世石。
兩天之后的3月17日,另一場(chǎng)大賽悄無(wú)聲息地進(jìn)行著。新的一場(chǎng)世界黑客大賽在加拿大溫哥華舉辦。鄭文彬帶領(lǐng)的戰(zhàn)隊(duì)用時(shí)11秒,攻破了本屆賽事難度最大的谷歌瀏覽器,并成功獲得系統(tǒng)最高權(quán)限,控制了瀏覽器。
谷歌瀏覽器代表著谷歌安全防御技術(shù)的最高水平。除了全球聞名的“黑客天團(tuán)”以外,谷歌還擁有上千臺(tái)服務(wù)器以深度挖掘技術(shù)對(duì)谷歌瀏覽器等產(chǎn)品進(jìn)行漏洞測(cè)試,其計(jì)算能力完全不亞于剛剛在圍棋“人機(jī)大戰(zhàn)”中戰(zhàn)勝李世石的“阿爾法狗”。
攻破谷歌瀏覽器并獲得系統(tǒng)控制權(quán),幾乎被認(rèn)為是“不可能完成的任務(wù)”。而中國(guó)黑客戰(zhàn)隊(duì),攻破谷歌瀏覽器只用了11秒。鄭文彬當(dāng)然有他與眾不同的絕招,他發(fā)現(xiàn)使用單一的漏洞攻擊很難攻破谷歌瀏覽器,這次攻擊他使用了四個(gè)漏洞的組合攻擊。就像韓信圍住了項(xiàng)羽,玩了一場(chǎng)四面楚歌。
如今,中國(guó)國(guó)家信息安全漏洞庫(kù)中有14位特聘專(zhuān)家,鄭文彬是其中最年輕的一位。
責(zé)任編輯:阮瑩