第二種核武器——你所不知道的漏洞戰爭

第二種核武器
你所不知道的漏洞戰爭


文 | 史中







1941年，德軍兵臨莫斯科城下，史達林慌得一比。


蘇聯的國土面向德國的「前門」，但凡能喘氣的活物，都上了戰場，連婦女和孩子都已經派去挖了戰壕。然而，就在國家另一側的「後門」，有60萬齊裝滿員的軍隊卻在原地待命。


首都都快被推了，史達林為神馬不把60萬軍隊調過來跟丫死磕呢？因為這60萬軍隊有一個特殊的使命：鎮守遠東，防止撿個肥皂的功夫被日本「走後門」。







話說當時的形勢，日本腳踩中國的土地，「大東亞共榮圈」的美夢正酣。接下來無外乎兩個選擇：1）「北上」進攻蘇聯；2）「南下」進攻美國太平洋諸島。


這兩種可能性接近對半，史達林不敢賭命。


就在最危急的時刻，情報部門收到一封絕密電報，內容只有一行字：「日本將南下」。


史達林二話不說，馬上把遠東軍隊調回莫斯科前線，這才有了如今歷史書上那些泛黃的照片：莫斯科保衛戰蘇軍艱難勝利。


這封電報是誰發的？



佐爾格




這位哥名叫佐爾格，被譽為二戰諜王。他最終因為一張紙條沒來得及銷毀而被日本識破，由於他誓不供認自己的效忠國，在日本投降前夕被判處絞刑。直到他死後20年，蘇聯解密檔案才公開承認佐爾格，追授他為民族英雄。


中哥想說兩句話：第一，戰場的煙塵再厚，也永遠無法掩蓋人的光芒。第二，這個故事裡其實隱藏著一個有趣的科學知識。


我問你：這場莫斯科保衛戰中，起到關鍵作用的那個諜報信息量有多大？


答案是：當時日軍只有兩個可能，南下或北上，就像二進位數1或0；而佐爾格給出的信息，相當於在0和1之間選定了一個數字，所以它的信息量只有1比特。


1比特的信息，影響一場戰役，甚至撬動幾億人的命運。我們的世界就是這麼牛逼。


這就引出了今天的第一個腦洞：





「信息」是一張精巧的多米諾骨牌，

玩得6的話，它可以反轉歷史的走向。


你可能會說：「用極少的信息撬動極大的能量，這種極端案例只有在戰爭情況下才會出現吧？」


錯。就在此時此刻的世界裡，「高能信息」早已經被製造成武器，時不時在海底的光纜裡飛行、爆燃。但大多數人仍然像《黑客帝國》裡那些泡在羊水裡的軀體一樣，蕩漾著甜甜的笑容，以為什麼都沒發生。


他們偶爾也能看到一些蛛絲馬跡，然後自己騙自己：「哦，那些只是錯覺。」









（一）陽光下的「錯覺」 




2017年5月12日，一些大學機房裡，早起上機的同學們發現有一些屏幕上閃爍著詭異的窗口。


定睛觀瞧，這似乎是一封「勒索信」。






與此同時，不少加油站貼出了「系統升級」的告示，甚至有的車管所也掛出「免戰牌」。






站在月球上俯瞰：那幾天地球上有數十萬臺電腦都被同一個病毒攻陷。你可能還有印象，它的名字就叫 WannaCry。


很多淺友可能會說：「病毒爆發又不稀罕，天塌下來有殺毒軟體頂著，我該吃火鍋還吃火鍋，該坐火車還坐火車。」


如果你也是這樣想的，那麼恭喜你，你正在幻覺裡，而且成功錯失了一次窺探「那個世界」的機會。


下面中哥帶你拿起放大鏡，看一下這個蹊蹺的病毒。


要知道，這個病毒之所以能這樣肆意傳播，是因為它利用了 Windows 系統中一個非常離奇的漏洞，這個漏洞NB到了擁有自己的名字——永恆之藍。



EternalBlue





如果把 Windows 系統比作一個別墅，那麼漏洞就好像牆上的裂縫，知道這個裂縫的人，就能鑽進去偷東西搞破壞，不是別墅的主人勝似別墅的主人。


漏洞的厲害之處在於：軟體是大規模複製的，你電腦上的 Windows 有這個漏洞，我電腦上的 Windows 肯定也有這個漏洞。



就像電影《我，機器人》裡描述的那樣，所有的機器人都共享一套作業系統，也有同樣的弱點。




這意味著黑客一旦掌握某個漏洞，就能出入所有相同版本的 Windows 電腦。（當然每臺電腦的軟硬體環境還是有挺多細微差異的，這裡為了科普暫且認為完全一樣。）


能出入無數電腦，這技能得值不少錢吧！具體值多少錢我們後文還會說。我們說回永恆之藍。


在過去漫長的時間裡，永恆之藍漏洞一直是個絕密，全世界知道它存在的人寥寥無幾。而且這些人還隸屬於同一個屌炸天的組織——美國國家安全局（NSA）。







2016年，一個叫 Shadowbroker 的黑客組織突然向全世界宣布，自己通過一波騷操作把 NSA 的一個「黑客工具包」給偷來了。當時還有人不信，覺得 Shadowbroker 吹牛不上稅。


激將法很有效。一氣之下，Shadowbroker 直接把這些代碼公布在網上（其中就包括永恆之藍）。地球上各個種族、膚色的程式設計師爭先恐後地熬夜下載「學習資料」。


總之，看完的人，沒有不跪下的。


這是全世界人民第一次「人贓俱獲」——美國確實有一整套在網絡世界裡指哪打哪想黑誰黑誰的「超級武器」。


而且可怕的是，這次洩露的武器，很可能只是 NSA 龐大武器庫的冰山一角。（洩露的所有武器都是用來攻擊PC軟體的，而且針對的都是老版本系統，沒有一個是用來攻擊手機軟體的，這足以說明這套武器起碼是四五年前的。美國手裡的最新武器有多強，咱也不知道，咱也不敢問。。。）


由於漏洞信息被公開，相當於核武器製造圖紙洩露，誰都可以用「永恆之藍」做武器。全世界的黑客大神們奔走呼號，提醒大家「一級戒備」。不過普通人和大神的悲喜並不想通，只是覺得這些人吵鬧。。。


幾個月後，出來個身份不明的黑客，基於永恆之藍做出了 WannaCry 勒索病毒。由於 NSA 的「御用」漏洞實在過於鋒利，WannaCry 像「非典」一樣一發不可收，散播得滿世界都是，損失不可估量。


注意，這個故事細思極恐的重點來了：WannaCry 用最野的姿勢轟炸了全球100多個國家，才最終引起了世人的注意。而它的「靈魂」——永恆之藍漏洞——未被洩露之前，很可能已經被 NSA 用於攻擊過很多國家的很多重要目標，偷走了很多絕密的國家級情報。


但究竟是哪些國家、哪些目標、哪些情報，只要美國不說，我們就永遠不知道。對，我們就是這麼憋屈。


這裡，就要介紹今天故事的核心概念：0-Day 漏洞。







一個漏洞，被曝光在大庭廣眾之前，就叫做 0-Day 漏洞（永恆之藍被曝光之前就是0-Day漏洞）。針對 Windows、Linux、iOS、Android、Word、Excel 這種用戶量巨大的軟體的 0-Day 漏洞，無疑是絕好的網絡軍火：



只要目標人員在使用這個軟體，攻擊者就可以利用 0-Day 漏洞千裡之外盜取絕密信息，比諜王佐爾格還好使，而且由於是遠程操作，完全不會有佐爾格那樣的生命危險。



漏洞關乎千萬人生死。


2018年，沙特記者卡舒吉被殺死並肢解於沙特駐土耳其大使館。


根據西方媒體的八卦，卡舒吉之所以被大卸八塊，就是因為觸動了沙特某集團的利益。而這個集團之所以能把卡舒吉堵到大使館，就是因為監控了他的手機聊天記錄，預知了他的行程。這頓操作，恰恰就「歸功」於一個頂級漏洞。



卡舒吉




等等，沙特有這麼厲害的黑客嗎？


沒有。他們有錢。


以色列網絡武器軍火商 NSO Group 就被大伙兒懷疑是「助紂為虐」賣給沙特網絡武器的公司。於是有無數記者飛來，逼問 NSO Group 的老闆胡裡奧，胡裡奧自然是：「我不是，我沒有，別瞎說」，否認三連。



胡裡奧




不過記者們卻八卦得言之鑿鑿：這套 0-Day 漏洞供給系統最開始的開價是2億美元，最終的成交價格是5500萬美元。而且還有人親眼看到胡裡奧包了專機去沙特談了這筆買賣。


大家的懷疑是有道理的。因為 NSO Group 有「前科」。


早在2017年，一位阿聯民權人士曼蘇爾收到了一個神秘的簡訊，裡面附了個連結，覺得這玩意兒有點蹊蹺，於是沒敢點，轉發給自己加拿大的朋友讓他研究一下。








朋友不是普通的朋友，他供職的單位叫做「公民實驗室」，專門做網絡安全研究。公民實驗室一檢查，我去了不得！這條簡訊裡的連結包含一個天了嚕的用於攻擊 iOS 的 0-Day 漏洞，只要點擊一下，iPhone 就會被控制，聊天記錄看光光。


跟颱風一樣，凡是厲害的漏洞，最後都會被「起名」，這個漏洞後來被叫做「三叉戟」。


查來查去，他們認定三叉戟就是 NSO Group 賣給阿聯政府的。


你可能會奇怪，NSO Group 好像總是幹壞事，這種公司是合法的嗎？沒錯，大體上是合法的。你可能已經猜到了，「助紂為虐」只是媒體的猜測，而這種 0-Day 漏洞有一個最政治正確的作用：反恐。


NSO 的老大胡裡奧就說：「我們的漏洞武器只賣給政府。我不能透露我們的漏洞產品都賣給了哪國政府，但是我可以說，全世界有150個人正在被用這些 0-Day 漏洞監視著，他們都是像賓·拉登一樣的人物。我們已經挫敗了很多恐怖襲擊，拯救了成千上萬人的生命。」


這就是世界，普通人看到的是鳥語花香歲月靜好。而那些對世界負有責任的人，卻在網絡空間戰場裡，操縱著巨大的漏洞飛彈，負重前行保衛著每個人的安全。


說到這，就到了今天的第二個腦洞：





0-Day 漏洞是武器，

高級的 0-Day 漏洞是高級的武器，

最頂級的 0-Day 漏洞是核武器。


看到這，你可能又會覺得這個世界好黑暗：「我會不會分分鐘就被某個組織用 0-Day 漏洞給監控了？」


中哥要說，你多慮了。你不妨先照照鏡子，看看自己值不值那5500萬美元的漏洞錢。









（二）漏洞從哪裡來，到哪裡去？




剛才說了這麼多八卦，感覺 0-Day 漏洞一發入魂，稀有程度和NB程度都堪比《九陰真經》，一般人不僅一輩子都見不到，連被人用《九陰真經》裡的招式打的資格都沒有。


真是悲從中來啊。


沒錯。這些大系統大軟體的安全性都做得很好，所以能掌握這類 0-Day 漏洞的人肯定都是極少數「武林高手」，他們有可能是供職於安全公司的世界級黑客大牛，有可能是供職於 NSA 這樣國家機構的大內高手，也有可能是散落民間沉默的掃地僧。。。


中國人有個好習慣，看到牛逼的東西先問：「多少錢？」


那這些 0-Day 漏洞到底值多少錢呢？


中哥滿足你的一切窺私慾，先給你看兩張神秘的表格。








這是世界著名「漏洞販子公司」 ZeroDium 給出的對各種漏洞的「收購價」。


你仔細看，這個表格裡幾乎涵蓋了所有著名軟體，只要你能找到他們的 0-Day 漏洞，ZeroDium 就買單。價格公道，童叟無欺。至於他再賣給誰，那您就別問了。（友情提示，這裡頭有個中國軟體。）









這些漏洞報價堆起來就像個山，位於頂端最貴的那個漏洞叫做：Android FCP Zero Click，價值250萬美元。


這一長串英文是啥意思？


Android 指的是安卓系統，FCP 指的是穩定的全鏈條攻擊，Zero Click 指的是「零次點擊」。


翻譯成人話就是：如果你的漏洞，可以不需要被攻擊者做任何操作，就能穩定地把他的 Android 系統全部拿下，而且這個漏洞別人還不知道，那麼，我就花250萬美元買。


別說250萬美元，就是表格上最便宜的漏洞，10萬美元一個，也夠你每天三頓煎餅果子吃到死了。。。


這裡中哥順便插入強勢科普一下：



頂級漏洞也有兩種成色：One Click（一次點擊）和 Zero Click（零次點擊）。



One Click 需要被攻擊者「配合」，也就是要誘騙他點擊一個連結，黑客才能完成控制。在剛才的例子裡，阿聯民權人士曼蘇爾遭受的漏洞攻擊就是 One Click，但是他非常警覺，就連這一下都沒點，最終才讓陰謀大白於天下。


Zero Click 什麼都不需要。不是有句話麼：「我愛你，和你有什麼關係？」 Zero Click 漏洞的運作方式也是類似：「我想入侵你的系統，跟你有什麼關係？」這種入侵是指哪打哪的。被肢解的沙特記者卡舒吉遭遇的就是這種漏洞。







你肯定也看出來了，Zero Click 比 One Click 的漏洞好使，當然價格也更貴。


說了這么半天，獎金嗷嗷的，但到底誰有能力找到這些漏洞，賺到這些錢呢？


其中一位遠在天邊，近在眼前。



MJ0011




MJ 同學，是我們的老朋友，他是黑客界著名的漏洞大神，淺友們估計對他也很熟悉了。他是現任 360 集團首席安全官，一手創辦的 360 Vulcan 團隊，至今仍然在源源不斷地發現著各大系統中的 0-Day 漏洞。別人一輩子都看不到一眼《九陰真經》，而 360 簡直就是個大型《九陰真經》印刷現場。



Nate，是微軟漏洞的負責人，他曾經在 Twitter 上評價 MJ：你有一個槓槓的隊伍，跟你和你的黑客隊伍們合作真是爽爆。





不過要澄清的是，無論是 MJ，還是360公司，都有著一個基本的底線，不會把這些殺傷力巨大的漏洞交給不明不白的人，比如剛才說的漏洞販子 Zerodium 或者漏洞軍火商 NSO Group。因為無法確定這些漏洞究竟被用在世界和平上，還是用在世界不和平上。


你可能會問：「好不容易找到個漏洞，又不賣錢？那黑客大牛研究漏洞的意義何在呢？」


這句話特別像一個路人問金庸小說裡的大俠：你這麼一身武藝，不去打架，那有什麼意義呢？


大俠多半會說：「習武之人，絕不是為了欺凌弱小，而是為了維護人間正道。」


你細品品。


具體來說，黑客們維護「人間正道」的方法分三步走：



第一步：把這些漏洞告訴廠商——Windows 的漏洞就會告訴微軟，Android 的漏洞就會告訴谷歌，以此類推。




第二步：廠商當然會在第一時間修復漏洞，然後給我們這樣的草民發送「升級補丁」。




第三步：草民裝完補丁，就再也沒人能用這個漏洞傷害他們了。這個漏洞也從 0-Day 變成了 1-Day。（假設你沒有及時升級，還用舊版本軟體，那麼這個1-Day 漏洞依然可以幹掉你。）




如果你仔細看版本升級的說明，有時會發現「安全性更新」這樣的字樣。




每修復一個漏洞，廠商都會對提交漏洞的研究院公開致謝。但「謝謝」兩個字還不夠。。。


廠商們*現在*為了表彰黑客的貢獻，也會相應地給漏洞發現者一些獎金。不過畢竟是獎金，比 Zerodium 買漏洞的錢低多了。各家廠商不等，大概在 5000-20萬美元一個  0-Day 漏洞。


注意，我剛才特意標紅了「現在」兩個字。


漏洞大神們可不是從一開始就被這麼尊敬地「供奉」的。


以谷歌、微軟、蘋果，三大巨頭為例：


21世紀初，網際網路剛剛興起，大家都覺得黑客全是壞人——沒事兒研究我家系統的漏洞幹啥呀？肯定非奸即盜。他們金庸小說看得少，不知道這世界上有俠客練武真的是為了除暴安良。


2010年，谷歌最早扭轉思路，推出「漏洞賞金計劃」，世人第一次見到了大公司為漏洞付費的善良操作。十年來，谷歌已經為漏洞獎勵出去了大概2000萬美元，純爺們。







微軟就摳門多了，他們的系統人人都用，相當普及，卻一直不願意為漏洞付錢。


不過2013年的時候，他們開啟了一個變通計劃：不為單獨的漏洞付費，但是如果你能找到我整個安全機制存在問題，我還是會給賞金的。中國黑客，大名鼎鼎的TK教主就是在2014年拿到了這份賞金，10萬美金。


在隨後的七年時間裡，微軟一點點擴大獎勵範圍，直到2019年，微軟才真正針對旗下包括 Windows、Office 等所有產品開啟了漏洞獎勵計劃，獎金也提高到了史無前例的最高25萬美元。







至於蘋果，壓根就不想提「漏洞」這兩個字。什麼漏洞？我們的系統很和諧，代碼很幸福。。。


這倒也能理解。因為蘋果的調性一直是「完美」，承認自己的系統裡可能有漏洞，那人設就崩塌了。但實際上，只要是系統就會有漏洞，掩蓋是掩蓋不住的。


2016年的時候，蘋果偷偷地開啟了一個漏洞獎勵計劃，邀請全世界20支研究蘋果系統的頂尖團隊到了美國總部，然後告訴他們：「有漏洞悄悄給我們，打槍的不要，我們給賞金」。


這些團隊裡就包括中國「360安全團隊」、「騰訊科恩實驗室」和老牌越獄大神「盤古團隊」。


由於籤署了保密計劃，他們究竟給了蘋果多少漏洞，不得而知。


然而，隨著蘋果用戶越來越多，專門攻擊蘋果系統的壞人也越來越多。2019年，蘋果也繃不住了，公開面向全世界開啟漏洞賞金計劃，英雄不問出處，誰都可以拿漏洞來領賞，最厲害的 Zero Click 漏洞給100w美元。


下圖就是2019年8月公布賞金的 PPT。







值得一提的是，最近幾年，很多領先的國產廠商也陸續開啟了漏洞賞金計劃。阿里、騰訊、百度、小米、華為、滴滴等等，幾乎你想得到的大網際網路企業，都在懸賞收漏洞，只不過大多所給的賞金遠遠不如谷歌、微軟。


我覺得，「漏洞賞金計劃」不是赤裸裸的金錢交易，反而是世界越來越文明的標誌：



之前的日子，世界上一直存在「地下漏洞黑市」，很多靠正常渠道生計堪憂的漏洞研究者萬般無奈，只好把漏洞偷偷賣給壞人，換來錦衣玉食。




「官方漏洞賞金計劃」雖然沒有讓黑市完全消失，卻讓這個黑暗森林一般的網絡世界照進了一抹光線。至少它讓一些有「俠客」情懷，不願意做壞事的黑客找到了被認可，被獎勵的土壤。不至於空有一身武藝還得長年吃土。



好，截止到目前，中哥給你講的都是基礎知識。接下來扶穩坐好，我們準備開車了。


看過《射鵰英雄傳》的淺友們都知道，習武之人雖然都有家國情懷，但是高手之間難免想爭個高低，於是才有了各大門派的比武大會——「華山論劍」。


網絡安全的江湖，和武俠小說很相似。全世界有那麼多「漏洞大神」，他們之間也想分個高下。


接下來，我們就說說頂級黑客界的「比武」的往事。






（三）比武大會 




從2014年開始，一個神奇的比賽開始走進了中國黑客的視野。


這個比賽叫做 Pwn2Own（直接翻譯大概是「破解就贏錢」），舉辦者是美國網絡安全公司趨勢科技名下一個名為 ZDI 的小組，比賽始於2007年，歷史悠久。


就是這個比賽，撩撥了一代中國頂級黑客們綿延至今又波瀾壯闊的愛、恨、情、仇。
Pwn2Own 的比賽規則簡單粗暴：


比賽設置幾個攻擊目標，每年略不相同，一般就是 Windows、MacOS、Safari 瀏覽器、Edge 瀏覽器這類大型常用軟體，黑客隊伍們用 0-Day 漏洞分別進行攻擊，控制了對方電腦就算攻擊成功，獲得相應的積分和獎金。


最後還會算一下每個隊的總分，積分最多的那個隊，除了已經得到的各個項目的相應獎金，還能得到「破解王」（Master of Pwn）的稱號，發個獎盃，有時候還給個皮夾克，挺威風的。


形式不重要，重要的是內容：這個稱號意味著，對手們公認他是年度「武林盟主」，心服，口也服。這很重要。



穿著皮夾克拿著獎盃的 MJ 擺出了六親不認的表情，旁邊就是騰訊的漏洞大神 TK。





Pwn2Own 有個有趣的設定：


黑客們蹂躪某軟體的時候，軟體的娘家人會等在一邊收屍。。。這麼說有點抽象，還是以 Windows 為例吧：



比賽現場有一個小黑屋。如果某個黑客成功用一個 0-Day 漏洞幹掉了 Windows，那麼 ZDI 要先在小黑屋裡查驗一遍你的攻擊代碼，確認沒有問題，再把微軟的人叫進小黑屋，告訴他們漏洞的情況，讓他們確認，然後回去趕緊打補丁。




P2O比賽現場大概就是這樣，一個人幹，一堆人看




注意，這一個流程下來，知道這個 0-Day 漏洞詳情的人就有三撥：黑客本人、微軟、ZDI。你想想，這裡面是不是有什麼不對勁的地方，我們等會兒會詳細說。


本來，Pwn2Own 就是西方黑客自娛自樂的一個比武擂臺，但是從2014年開始，事情變得複雜了。


從這年開始，國內兩大漏洞安全能力最強的公司 360 和騰訊開始組團參加 Pwn2Own，把集全公司頂尖大牛之力苦心研究出來的 0-Day 漏洞都傾瀉在這片戰場上，誓要爭個你死我活。讓原本活躍在比賽裡的外國安全團隊集體黯然失色。


為什麼是 360 和騰訊？


淺友們去複習一下「3Q大戰」就明白了。這裡限於篇幅，實在不能展開說了。


總之，360這邊就是總指揮 MJ 和他的好夥伴古河、龔廣等等，騰訊那邊就是幕後大神吳石和他的得意門徒陳良、黑客天才 Flanker 等等。（以上歷史我「稍微」隱去了一萬字精彩的細節，等到時機合適的時候，我會試著把它們寫出來。）


總之，Pwn2Own 慢慢變成了「3Q大戰」的延伸，兩家公司都想在這個戰場上證明實力，拼命拿到那個漏洞之王的獎盃和皮夾克，然後新聞稿鋪天蓋地。


2016年，騰訊拿到了第一名↓↓↓





2017年，360 拿到了第一名↓↓↓







主辦方 ZDI 團隊作為美國人，這幾年下來都看透了其中的恩怨，他們曾經對 MJ 說：「我知道，你們兩家公司不對付，你們根本不是為了這點獎金，騰訊和 360 就算倒貼錢都願意來這比賽。。。」


這話雖然有點傷人，但人家說得對。


MJ 啞口無言，很多時候，兩家巨大公司之間的恩怨，不是一兩個黑客大神能左右的，就像大俠郭靖也左右不了宋元和戰的歷史局勢。MJ 和陳良私下裡是惺惺相惜的朋友，一起喝酒吹牛逼，但是在戰場上又不得不各為其主，爭風吃醋。這種感覺挺微妙。


總之，ZDI 在中間，肯定是「有便宜不佔王八蛋」，隨著 360 和騰訊在比賽中競爭加劇，原來那些西方黑客團隊覺得拼不過，好多都不來了。Pwn2Own 的獎金也一再壓低，而且還巧立名目各種剋扣。


直到2017年參加完 Pwn2Own，兩家公司突然恍然大悟：不對啊，咱們中國黑客比武，憑什麼讓美國人佔便宜看笑話啊。


這還不是問題的關鍵。


仔細思考，更可怕的細節出現了。。。。


坐在對面的 MJ 問了我三個直擊靈魂的問題：


第一、我們使用 0-Day 漏洞攻擊的過程，主辦方 ZDI 全部記錄了下來，等於他拷貝了一份我們的武林秘籍，雖然這個漏洞會第一時間提交給廠商修復，但是，廠商修復是有排期的，短則幾月，長則半年，這期間，ZDI 用這個漏洞做了什麼，誰能知道？


第二、在 Pwn2Own 的比賽上，規則要求「受害者」點擊一下攻擊者發來的遠程連結，如果系統被控制，就算挑戰成功。也就是說，他們只認可 One Click 的漏洞，而 Zero Click 漏洞雖然更厲害，但是比賽裡沒有這個項目。ZDI 肯定知道 像「永恆之藍」這樣的Zero Click 更厲害，但是在NSA曝光之前，他們卻堅持用不加入這個規則，這是為什麼？


第三、現在在世界範圍內最重要的基礎設施——雲計算——相關的虛擬化軟體，在很長時間以來，也並沒有出現在 Pwn2Own 的比賽項目中，又是為了什麼？


我眨眨眼，緩緩點頭，似乎想到了一些東西，對他說：「我 TM 哪知道為什麼！」


MJ 所描述的事實，其實在表明 ZDI 有意在引導全世界黑客在一個固定的圈子裡研究，而那些殺傷力更大，破換範圍更廣的新型 0-Day 漏洞，ZDI 似乎在有意規避，不鼓勵全世界的黑客去研究。


那麼，ZDI 在規避什麼呢？







接下來，MJ 說出了他自己的分析：



雖然沒有證據表明 ZDI 和美國政府之間有超越友誼的關係，但是，也有很多黑客懷疑他們之間有信息互通的機制。



之前說過，美國的 NSA，僅僅是不小心洩露的舊武器「永恆之藍」，都能把全世界幾十萬臺電腦打得雞飛狗跳。


因而有理由推測，NSA 掌握著針對 Windows、Android、iOS、MacOS、Linux 全套「指哪打哪」的「Zero Click」漏洞，還有能穿透雲計算來盜取企業信息的漏洞，而他們不希望全世界的黑客向著他們已經領先的方向研究，從而逼近他們的水平。


所以，ZDI 有意規避這些最新的攻擊方法，很可能出於一種和美國大內高手的「默契」。







順著這個思路想下去，可怕的結論就出現了——過去幾年，中國黑客在「比武大會」 Pwn2Own上掐架，一招一式卻很有可能被某隻眼睛看得清清楚楚。


雖然疑車無據，但 360 和騰訊都覺得，「再也不能這樣活，再也不能這樣過」。。。


2018年開始，Pwn2Own 上一個中國隊都沒有了。別問原因，問就是不想去了。


騰訊和 360 掐歸掐，但是在民族大義面前，無論是馬化騰還是周鴻禕，還是這些漏洞俠客們，都用行動做出了自己的選擇。


雖然現在還說不清，不過中哥覺得，多年後回望，這將被追認為一次偉大的抉擇。


不去 Pwn2Own，這些大俠可要寂寞了。那麼他們從此就不比武了嗎？呵呵，門兒也沒有。不讓大俠比武，還不如殺了他們。。。


幾家國內網際網路公司大佬們，終於平心靜氣地坐在一起合計：比武在哪兒不行啊？憑什麼要跋山涉水去國外？咱們在自己的地盤上搞個「華山論劍」，邀請全世界的黑客來比武，不是更好嗎？！


說幹就幹，比武的場地選在哪呢？


既然是華山論劍，就選在華山？華山不行，信號不太好。。。


經過各方聯絡，在成都天府新區的支持下，比賽地點終於在了成都，漏洞大神們「新華山論劍」的名字也最終定為——天府杯。









（四）華山論劍 




我知道你在想什麼，「天府杯」，聽上去有點土土的，比 Pwn2Own 這種名字差到不知哪裡去了。


中哥想說，我完全同意你的看法。


不過，起名字這種事情你懂的，不是一個人就能說了算。你來不是看名字的，是來看大神的。沒錯，那些曾經在 Pwn2Own 上鏖戰的中國頂級黑客大神，一個都不少地出現在了天府杯上。


甚至，過去因為路途遙遠、籤證複雜、參賽名額有限等原因不能去國外的眾多中國漏洞研究團隊，這次都能去成都，一邊吃火鍋一邊一較高下。


給你看張圖：






這是天府杯的主辦方，記住這些 Logo，這基本上就代表了中國網絡安全漏洞研究的幾大門派。他們聯席組成了裁判組，而裁判組中，又有一個最核心的「長老會」，負責審核每個漏洞的詳情，承擔 Pwn2Own 上 ZDI 的那個角色。


2018年第一屆天府杯，長老會由 MJ（360）、袁哥（騰訊）、善功（阿里）、黃正（百度）四人組成。


幾位大神開會，決定天府杯第一年的規則完全照搬 Pwn2Own，只有一點沒有照搬它，那就是——獎金。


比賽總獎金100萬美元。


你還記得之前我給你看的「漏洞販子」 ZeroDium 的價格表嗎？對於同樣一個漏洞，天府杯的獎金和 ZeroDium 基本持平，有的還比它高。





這是2018年天府杯的賽題，每一個圓圈裡的圖標就是一個目標，下面是破解成功的隊伍以及得到的獎金。




回過頭說 Pwn2Own。2018年由於之前兩年的冠軍隊伍騰訊和360都放了鴿子，比賽一下子變得很空曠。不過，把地球儀轉到背面，成都可是人聲鼎沸。


一個著名的美國黑客 TheGrugq 在推特上發聲，在中國發生了「TianfuCup」這麼大事兒，我們歐美黑客圈居然沒人關心，也沒人發聲！這太可怕了！







第一屆天府杯熱鬧開幕，360 參加 Pwn2Own 的原班人馬老溼傅悉數登場，一如脫韁的火雲邪神。最終 360Security 隊拿了第一名（62萬美元獎金）；中科院計算所+騰訊聯隊獲得了第二名（7.5萬美元獎金）。


你可能有點納悶，為什麼之前在公眾心中漏洞研究能力不相上下的兩個公司，這次差距有點大呢？


究其本質：漏洞軍備競賽和核武器軍備競賽一樣，是很費錢的。


2018年開始，騰訊似乎不太想燒錢了，主動做出了調整，很多過去純研究的團隊背上了一些商業任務，走上了經典的「賽馬」機制。面對這樣的局面，一些安全研究員不太適應，有的積極調整，有的就選擇了離開。而相比之下，360的安全研究團隊糧草充裕，一直保持相對穩定。


這也很好理解，畢竟「漏洞研究」在騰訊內部的優先級怎麼可能比得過微信、QQ、《王者榮耀》那些明星產品，而對於公司小得多也專得多的360來說，漏洞研究就是立命之本，每一個漏洞都是一顆重磅彈藥，必須拼盡全力。


2019年，第二屆天府杯捲土重來。


組委會改進了獎金規則，也增加了更多有關虛擬機和「Zero Click」的挑戰項目。360仍然拿下冠軍，而在隊伍列表裡，沒有騰訊的名字。據說，騰訊並不是沒有參賽，而是考慮到當時的實力現狀，沒有用官方名字參賽。畢竟，如果各大媒體的新聞裡都是：「360力壓騰訊獲得第一」，實在是會招來很多不必要的麻煩。


江湖就是這樣，本來是一場純粹切磋武藝的華山論劍，但是名、利、爭奪、權衡，總是世間難逃的陰影。


不過，令人鼓舞的是，雖然承受壓力，以科恩實驗室為代表的騰訊安全卻一直盡力保持著漏洞研究世界級的能力。


江湖上有宿敵，高手才不敢懈怠。



2019年天府杯的論壇上，頗有一些外國面孔。






（五）網絡世界的「戰略核威懾」





我們通篇都在強調的腦洞是——漏洞的本質是武器。


說到這裡，恐怕有些淺友還有個疑問：「既然漏洞是武器，那為什麼我們中國的漏洞大神找到 0-Day 漏洞之後要選擇參加比賽讓廠商修復，而不是偷偷藏起來，「關鍵時刻」作為武器來用呢？」


這就要說到 0-Day 漏洞的「生命周期」。


MJ 把系統比作一片土地，漏洞就是土地下面的礦藏。全世界的漏洞大神都在這片土地上採礦，誰也攔不住誰。


你找到這個漏洞，別的大神也可能找到這個漏洞。如果你找到 0-Day 漏洞之後不公開，那麼其他人找到了這個漏洞就會公開，到時候廠商還是會修復漏洞，你手中的武器自然失效。


一般來說，一個普通的 0-Day 漏洞的生命周期只有半年到一年。也就是說，如果你找到了漏洞，捂在手裡半年，基本上就會被另一個大神找到。


而只有腦洞非常奇葩的頂級 0-Day 漏洞，才能保留很久，五年甚至十年。就像永恆之藍漏洞那樣。


但是，這種頂級的漏洞，即使是 MJ 這樣的大神，一生中都難以發現幾個。而真正在國家對抗中，僅僅靠幾個囤積的神級 0-Day 漏洞也並不保險。


這就是今天的最後一個腦洞：





持續發現頂級 0-Day 漏洞的能力，


才是網絡世界裡的戰略核威懾。





而從各個方面的信息綜合判斷，我們國家此時此刻並沒有掌握「漏洞核威懾」的能力。


從民間能力來看，美國有很多大小公司甚至是安全團隊，都有不同的大俠在各個方面進行漏洞研究，而把目光移到中國，幾乎只有 BAT3 這幾家巨頭有能力進行純漏洞研究。


而要擁有持續發現頂級漏洞的能力，僅僅寄希望於黃金一代黑客的靈光乍現是不行的。正如中國籃球隊，有姚明的日子風生水起，沒有姚明的時代一蹶不振。


煙花再耀眼也只是在歷史的天空轉瞬即逝，而只有持續燃燒的陽光才能讓萬物顯形。


漏洞的「核武器」研究，需要一個龐大的從業者底座，這個底座，由年輕人組成。在天府杯上，這些捧著獎金的小鮮肉中，也許就藏著未來的漏洞大神。


有人說用漏洞換獎金很俗氣。


錢就是很俗氣，但正是這樣的獎金，才能解決那些年輕的漏洞研究者的衣食住行，才能讓他們覺得這條路有未來，從而可以堅持走下去十年二十年，最終才有可能親手握住那些「核武器漏洞」。



毛澤東主席有一句名言：原子彈是紙老虎。過去我們這樣看，現在我們仍然這樣看。中國發展核武器不是由於中國相信核武器的萬能，要使用核武器。恰恰相反，中國發展核武器，正是為了打破核大國的核壟斷，要消滅核武器。



1964年10月16日，在試爆了第一顆原子彈8個小時後，中國政府面對全世界發布了如上聲明。



和核武器一樣，我們持續地研究漏洞，不是為了炫耀，更不是為了首先發起攻擊，而是為了讓某些人再也沒辦法威脅我們。



告別很久之後，MJ 給我發來了這句話。


如今，第一顆原子彈爆炸已經過去五十多年，物理世界的核武器沒有消失，反而在網絡世界又多了一場徵程。


時間的岸邊風潮湧動，無數俠客正少年。