90后黑客：網(wǎng)絡(luò)世界充滿了不安全感

嚴(yán)冬雪

315晚會(huì)上演示攻破POS機(jī)的那家公司，沒有一個(gè)人敢用真名收快遞

往來于北京市海淀區(qū)學(xué)院路甲5號(hào)院的快遞小哥不會(huì)猜到，他每天敲開的紅色鐵門，喊下來的王一一、陳小明、李大帥，是一群每天與黑客打交道的人。鐵門后的26個(gè)年輕人，沒有一個(gè)用真實(shí)姓名收快遞。

陳宇森就是其中一員。去年8月，陳宇森所在的藍(lán)蓮花戰(zhàn)隊(duì)，第三次殺入DEFCON CTF總決賽。這是世界上最大的黑客“世界杯”賽事，挑撥著全球黑客們的好勝心，藍(lán)蓮花是全球首支殺入決賽的華人隊(duì)伍。從2013年開始，藍(lán)蓮花兩次取得第五名的好成績(jī)。百度總裁張亞勤也放下手中工作，到現(xiàn)場(chǎng)為他們助陣吶喊。

比賽日之外的時(shí)間，陳宇森的身份是長亭科技公司總裁。這家成立不到兩年的網(wǎng)絡(luò)安全公司攬下了國內(nèi)安全圈最優(yōu)秀的一群年輕人，比如，參加2015年CTF大賽的8位藍(lán)蓮花隊(duì)員中有5位都是長亭員工，包括隊(duì)長楊坤。與陳宇森同為隊(duì)友兼同事的，除了楊坤，還有朱文雷、劉超和崔勤。2014年7月，陳、楊、朱、劉四人作為聯(lián)合創(chuàng)始人，成立了長亭科技。一年后，長亭科技在2015年9月拿到真格基金的600萬元天使投資。

朱文雷親手敲下的幾行代碼，在今年的央視“3.15”晚會(huì)上被展現(xiàn)在大眾眼前。晚會(huì)展示了這段攻擊代碼的厲害之處：遠(yuǎn)程操控某幾款智能攝像頭，不但能看到所拍畫面，還能控制攝像頭方向、角度，自動(dòng)開啟拍照或錄影；遠(yuǎn)程控制某款POS機(jī)，只要有人刷卡消費(fèi)，就能立即復(fù)制這次消費(fèi)，輕擊幾下鍵盤，就能讓這張卡反復(fù)在POS機(jī)上消費(fèi)到透支，雖然實(shí)體卡仍在卡主手上，但其中的金額卻早就被盜刷一空。

“3.15”晚會(huì)上的這段影像其實(shí)是一次“原音重現(xiàn)”。去年10月，由騰訊主辦的GeekPwn智能硬件破解大賽上，長亭科技現(xiàn)場(chǎng)展示了三個(gè)項(xiàng)目：操控7款智能攝像頭；控制POS機(jī)，消費(fèi)者刷卡時(shí)，攻擊者只要掠過他身邊，就能復(fù)制出那張卡，竊取密碼；路由器也被完全控制，電腦、手機(jī)隱私一覽無余。這三個(gè)項(xiàng)目，使長亭成為GeekPwn的大獎(jiǎng)得主，取得了32萬元獎(jiǎng)金。

“央視用通俗易懂的電視語言，將我們?cè)诒荣悤r(shí)的攻擊場(chǎng)景重現(xiàn)了。”陳宇森向《財(cái)經(jīng)天下》周刊解釋，晚會(huì)中的安全專家，正是用長亭提供的原始代碼實(shí)現(xiàn)了攻擊展示。這段代碼在贏回32萬元獎(jiǎng)金后，又意外上鏡。

32萬元，按照目前國內(nèi)市場(chǎng)價(jià)，大概是4單企業(yè)安全服務(wù)的價(jià)碼，但如果是長亭的服務(wù)，則只能買兩單。“我們一手拉起了單價(jià)。業(yè)內(nèi)同樣的case單價(jià)都在10萬以下，我們拉到15萬到20萬。”陳宇森向《財(cái)經(jīng)天下》周刊說。作為向互聯(lián)網(wǎng)企業(yè)提供安全服務(wù)的公司，由于很多客戶本身處在創(chuàng)業(yè)階段，安全公司往往無法收取高額費(fèi)用，安全服務(wù)人員的價(jià)值長期被嚴(yán)重低估。

同樣被嚴(yán)重低估的還有國內(nèi)互聯(lián)網(wǎng)安全的重要性。在陳宇森看來，世界上只有兩種人，一種是知道自己被黑了，另一種是被黑了還不知道。中國的中小企業(yè)大部分屬于后者——還不知道網(wǎng)絡(luò)安全的意義。

兩年的創(chuàng)業(yè)經(jīng)歷更支撐了陳宇森的這一看法：取得企業(yè)授權(quán)，派出安全工程師從黑客的角度，對(duì)企業(yè)的所有線上服務(wù)進(jìn)行滲透測(cè)試，給出測(cè)試報(bào)告，并進(jìn)一步提供漏洞修復(fù)服務(wù)。攻擊時(shí)，一般兩人一組，反復(fù)查漏，梳理完畢后輪換下一組，直到對(duì)方經(jīng)受了全方位的攻擊，測(cè)試完畢，報(bào)告出爐。

結(jié)果顯示，陳宇森和同事們幾乎能幫所有客戶發(fā)現(xiàn)嚴(yán)重漏洞——“嚴(yán)重”是一種級(jí)別，指的是能直接攻入服務(wù)器獲取非常敏感的數(shù)據(jù)。

作為初創(chuàng)公司，長亭為企業(yè)提供的服務(wù)直到這一步都是完全免費(fèi)，如果對(duì)方足夠重視，就會(huì)購買接下來的收費(fèi)服務(wù)：漏洞修復(fù)。但這個(gè)模式曾讓長亭科技在創(chuàng)立的第一年非常苦悶：沒人愿意付費(fèi)。陳宇森發(fā)現(xiàn)，這是因?yàn)榭蛻舯旧頉]有錢，原本就帶著不愿付費(fèi)的動(dòng)機(jī)只想試試。或是都已經(jīng)融資到了C輪，但因?yàn)槭莟o C的公司，覺得用戶隱私安全沒有那么重要，所以還是不愿意付費(fèi)修復(fù)。

現(xiàn)實(shí)狀況讓陳宇森和朱文雷及時(shí)調(diào)整了方向：主攻金融P2P、電商、教育三大領(lǐng)域。他們總結(jié)這些企業(yè)特點(diǎn)是：離錢近，安全需求高。

去年8月底至今，長亭服務(wù)了約60家客戶，三分之一的客戶在拿到漏洞報(bào)告后選擇購買付費(fèi)服務(wù)。其中，上述三大領(lǐng)域的客戶幾乎百分百下達(dá)付費(fèi)訂單。

在安全領(lǐng)域，老牌安全公司的主要客戶是政府、大型國企等，客單價(jià)在百萬級(jí)別，他們不會(huì)對(duì)互聯(lián)網(wǎng)廠商投入太大精力。作為初創(chuàng)公司，無法與老牌企業(yè)正面交鋒，長亭便將服務(wù)對(duì)象定位在互聯(lián)網(wǎng)廠商，針對(duì)他們提供精細(xì)的安全服務(wù)。定價(jià)方案也與傳統(tǒng)安全企業(yè)不同，后者按照工作量計(jì)價(jià)，長亭則按照服務(wù)效果定價(jià)，分為高、中、低和免費(fèi)四檔。前述“嚴(yán)重”級(jí)別的漏洞，就屬于高檔。高客單價(jià)，加上不斷攀升的付費(fèi)率，使得長亭在創(chuàng)立第二年基本實(shí)現(xiàn)了收支平衡。

目前長亭科技一共26人，除了兩位1989年、一位1987年生人，其他均為90后。初創(chuàng)公司的身份使他們難以接到銀行等大客戶。“不是我們水平不夠，而是資質(zhì)不夠。”為此，他們需要花費(fèi)時(shí)間去接受國家相關(guān)部門的培訓(xùn)，拿到相關(guān)證書。

在這群年輕氣盛的極客們看來，培訓(xùn)老師的水平遠(yuǎn)遠(yuǎn)不如自己。但在現(xiàn)實(shí)面前，他們選擇服從，“畢竟，to B公司的目標(biāo)就是做大客戶”，陳宇森總結(jié)道。

在國外，新興安全公司的壽命一般只有五到六年，隨著技術(shù)更新?lián)Q代，企業(yè)更換硬件設(shè)備供應(yīng)商，就會(huì)出現(xiàn)新機(jī)會(huì)，新的細(xì)分領(lǐng)域的公司也應(yīng)運(yùn)而生。而在中國，這個(gè)周期則更短，四五年前成立的那批安全公司，基本都逃不過被控股或收購的命運(yùn)。

與長亭同期成立的新興安全公司有十來家，大家各自細(xì)分領(lǐng)域不同，做法也有差異。作為團(tuán)隊(duì)的老大哥，1989年生人的朱文雷曾與陳宇森商定：我們先在安全領(lǐng)域做5年再說，最多做10年。畢竟，在中國，安全市場(chǎng)還是太小了，在可預(yù)見的未來都不會(huì)是個(gè)太大的市場(chǎng)。現(xiàn)階段，他們追求的是成為同期中最好、最大的一家。

但在未來，他們想涉足的不止安全領(lǐng)域。因?yàn)榛竟υ鷮?shí)，這群科班出身的年輕人，經(jīng)常會(huì)把人工智能、大數(shù)據(jù)等技術(shù)結(jié)合進(jìn)來，用很多新方法來解決安全問題。2016年新的產(chǎn)品與大動(dòng)作也在醞釀之中。

他們還想盡量保持低調(diào)。“我們不想被太早盯上。不想被挖人、被模仿，也不想被收購。”陳宇森說。他們從未想過被收購，融資時(shí)也格外謹(jǐn)慎。

身處安全圈內(nèi)，同樣謹(jǐn)慎的還有他們的上網(wǎng)作風(fēng)。他們會(huì)用VPN等加密方式聯(lián)網(wǎng)，只在手機(jī)里裝屬于“剛需”的應(yīng)用。陳宇森甚至從來不在購物網(wǎng)站保存銀行卡信息，每次購物都會(huì)從頭輸入一遍。他也不會(huì)點(diǎn)擊“保存密碼”的選項(xiàng)，而是靠著強(qiáng)勁的記憶力輸入復(fù)雜的密碼。他的各類密碼也從不重復(fù)，他建議自己的父母也這樣做，并告訴他們?nèi)绻洸蛔√嗝艽a，可以手寫在小本上。

在他們眼中，這個(gè)網(wǎng)絡(luò)世界充滿不安全感。他們從不去掃地推的二維碼，返利等互聯(lián)網(wǎng)牟利方式更讓他們退避三舍。輸入姓名和年齡來“算命”等小游戲，他們也不愿沾手。他們手機(jī)里還會(huì)有虛擬號(hào)碼軟件，在自己的真實(shí)手機(jī)號(hào)上套一個(gè)小號(hào)外殼，陌生人只能通過小號(hào)聯(lián)系，以杜絕騷擾。他們甚至不會(huì)擺出剪刀手來拍照，以防被從照片中提取指紋。

對(duì)于這些做法，陳宇森解釋道：“隱私是多維度信息的組合，包括姓名、電話、住址、身份證號(hào)等。在網(wǎng)絡(luò)上，你的信息組合就代表了你。”