南方人物周刊-第12章
按键盘上方向键 ← 或 → 可快速上下翻页,按键盘上的 Enter 键可回到本书目录页,按键盘上方向键 ↑ 可回到本页顶部!
————未阅读完?加入书签已便下次继续阅读!
大牛蛙觉得车白买了,“人家已经说攻破了,以后你说什么都没用,都是拾人牙慧。”但是最终Keen团队还是决定不放弃,全力以赴。
团队兵分两路,一路沿袭2014年黑帽大会上提出的思路,对车辆“内网”和通信协议进行分析研究,另一路发挥漏洞挖掘优势,将特斯拉的标志之一——中控平台作为目标,在浏览器中找到不少安全隐患。“360只是找到了安装在手机上的特斯拉APP的初级漏洞,攻破了手机而非攻破了特斯拉,而Keen则是真正车子本身中控系统的漏洞,安全级别要远远在其之上。”
10个人研究3个月,“这么高的成本,意义在于:摸到了未来的东西。”事后,特斯拉对于Keen的努力表达了赞赏和认可,其安全负责人特意访华拜访Keen,颁发了四枚最高安全荣誉勋章。“这在国内安全圈尚属首次。”
“所以,熊猫烧香算什么?”几乎安全社区所有人都不屑谈起“熊猫烧香”,但是大牛蛙每次都忍不住要提起“以正视听”:“这种技术能力很初级。我写了病毒生怕人知道,他生怕人不知道;我把别人东西偷走,都不留名,他急着告诉你:我叫熊猫烧香,叫李俊,毕业于武汉……这和“白帽”的初衷背道而驰,就是为了出名。”
大牛蛙对外界将熊猫烧香这种小黑客写的病毒捧成神,有着强烈不理解。他不理解的还有:“甚至有人在讨论,要不要把整个中国互联网封闭起来,如果有人攻击,咔碴断掉,把中国互联网做成局域网,中华公网,以为是最安全的。这无非是闭关锁国。”
大牛蛙承认心里“白帽”与“黑帽”的分界岭,并非只是正义感和道德感。“我也可以偷一票好莱坞明星的照片,然后去夏威夷度假,远走高飞。不是不愿意干坏事,凭心而论是胆小,万一被抓了怎么办?我说的是人的本性。此外我们对暴富的诉求没那么强烈。”
那些逆向思维的怪才
与行外“小白”聊起行内事,翘楚必然是与乔布斯创立苹果的沃兹,这是大牛蛙和Samuel一定会提及的人物。
“他是一个典型的黑客,邋里邋遢,但对电子技术狂热,话少,逆向思维多,不讲究个人卫生,也没什么朋友。”在正常社会里,这类人是不会有社会地位的,“他真的和扫大街一样,什么都没有,甚至没有丈母娘。但是沃兹在安全土壤健康的美国和乔布斯成立了苹果,如果缺少这样的土壤,这样的天才很可能就走偏成为黑帽子。”
八年前,大牛蛙与Keen团队的另一位研究员老王一起坐地铁,遇见一位乞讨者,老王习惯性地给钱,说:“我想不清楚为什么有人要饭?”大牛蛙解释:“每个人背后可能都有你知道或者不知道的悲惨经历。”
老王好奇:“我都没感觉我有什么悲惨的经历。”大牛蛙让老王回忆一下自小到大的伤心事。老王想半天,说:“我小学四年级的时候不想活了。原来一直是双百分,那一次数学只考了80多分,我都不想活了。”这是35岁的老王能想起来的人生最大挫折。
1994年,老王还是小王时,在《科幻世界》发表连载科幻小说,遇到了当时特别崇拜他的女孩,后来成为他的妻子,成为一对高考状元夫妇。但老王依然不善与人沟通,“因为生活没有要求我们,自己本身的性格也不太喜欢。与常人不太相同之处,就是逆向思维到让人抓狂。”
他们如此解释逆向思维:比如给一个输入银行卡的界面,别人不会去想别的,输密码就是输密码,我们就会想要输个别的会是什么情况呢?你打开滴滴打车,找一个出租车司机,司机给你返回一个头像,正常思维是:有一个头像过来,逆向思维是:如果它不是个头像呢,如果伪造一个东西反馈过来,如果这个程序里面没有考虑到这种情况,就改变了他的执行流程。本来要出一个头像,可是我让它流程跑到别的地方,拿一个照片出来。
这种逆向思维表现在生活中,就会把事实反过来去思考事实背后:比如别人告诉我一句话,我会想他为什么这么说?他为什么在这个时间说?他为什么说这样一句话,不是说那样一句话?
大牛蛙承认这是一种没有安全感的表现:“本质上做这行的人都是缺乏安全感的,他会觉得很多东西都是有问题,缺乏安全感,但是偏偏又是做安全的。
大牛蛙认为世间最大的不安全是坐飞机。他会专门搜集空难和车祸的电影来看,提醒自己:没有人死之前知道自己会死,所有的都是意外。“为什么怕坐飞机,我觉得这个世界上有很多人是不严谨的,我们坐飞机是一种侥幸,我想当然认为机械师、机长是认真负责的,他们所有检查都做了,但还是有意外,有疏忽。”
陈良是Keen三夺Pwn2Own冠军的主攻手。除了技术,1986年出生的陈良最感兴趣的是金融。他看了一个月书,考了美国注册管理会计师(CMA),这是很多人读几年书都通不过的考试。
吴石是Keen的技术核心。他的声名随2010年《福布斯》对他的采访广为人知,但之后他不仅闭门谢客,而且也要求慕名而来拜师学艺的学徒们潜心钻研,拒绝外扰。
2015年1月11日,他在朋友圈里转发了一篇题为《数学界的扫地僧们》,评论说:“搞学问要宅,就算你智商200,现在这个环境下不努力不静心也是不行的。送给天才少年们。”
五年前的一次安全更新中,苹果公司针对iPhone操作系统发布了64个新补丁,其中15个漏洞都是由吴石发现,而由苹果内部研究人员发现的漏洞只有6个。《福布斯》评价称:“自2007年以来,这位家住上海的35岁研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞……这表明吴石一年汇报给ZDI和iDefense的漏洞比全世界任何一个研究人员都多。”
吴石的日常作息是美国时间,同事们常很久不见他,突然再见时发现皮肤都白很多,“因为他从来都不出门,都不晒太阳,成果就是没日没夜对着电脑这么做出来的。”
大牛蛙与吴石同样的星座,同样的血型,同样在微软打过工。“网上传黑客都是金牛座,微软公司70%都是B型血,B型血的人可能更适合当工程师。”Keen的另一个特点是,大多数成员是名校理工科高考状元,智商高,情商低。
一群如此相同的人在一起相处,自然是论各自“武功”高低。此外,吃饭必需有肉,时常也会喝白酒,吃菜必然要辣椒。
从“正规军”到“散兵”
出生在河南的大牛蛙在父亲去世十多年后,仍记着他说的话:“东方不亮西方亮,鸡蛋不放在一个篮子里。”所以父亲创业去了,而他按部就班读大学等着找个好工作。
大牛蛙在中学并非特别优秀的天才少年,“就是从来不听课,对着黑板发呆想东想西。”到高三,发现很多东西都是第一次学,第一次听说。就靠着突击努力,他考上了浙江大学电子专业。
最初萌生一点创业想法的时候,是第一份工作干了三四个月被辞退。“公司倒闭,我是第一个被辞退的。”他认定一定要自己去做点这个东西。
特斯拉赠送给KEEN的安全勋章
被辞退后,他去了盛大面试。盛大找一个安全人员,大牛蛙到那里一看,公司才30多个人。他去楼上面试,问盛大在几楼?保安说,你是找流行密码的吗?我没听懂,那是个客服,要到另外一层。他们问我:你知道我们公司吗?我说我不知道。最后大牛蛙并没有被录用。
在微软后期,大牛蛙越来越感觉到:“我开发的安全软件,其实并不解决真正的问题,做的东西太过时,我做的安全并不能让这个公司更成功。”Vista在中国发布时,XP的流氓软件太多,而360还没起来,那时大牛蛙做的一件事情是:在微软Vista里面发布一个防病毒的反间谍软件——windowsdefender,就是杀这种软件的。“可是美国人不了解中国的流氓软件有多恶劣。把电脑插的全都是”。他带领陈良等Keen初创成员,向当时的CNMSRC安全团队提交了1000多份中国流氓软件,希望能够帮助微软在中国更成功。他并未如愿。因为美国总部说:这不是正常的软件吗?3721,视频小插件,都是正常软件。“他们不理解装的过程是流氓的,是没经过用户同意的,卸载还卸载不了。”
随后360崛起。一年多之后,微软美国总部才反应过来,但是已经晚了,360已经抢占了市场。“我希望帮它更成功,但是一拳打在棉花上。”
两年后,微软发布亚洲地区恶意软件排行榜,前25个软件中,有12个是大牛蛙提交的。“我们都是默默无闻的,当时我就觉得在那待着没太大意义了”,他提出辞职被他当时的老板、现在的同事Samuel挽留。
大牛蛙那时的工作内容是:微软哪个地区大客户被黑客入侵了,他就去调查。“因为还没失手过,所以那份工作也很快厌倦了。你问几个问题,大概就知道,看几个现象就知道对方大概什么方法入侵的。在我看来已经是重复性的工作了。”
此外大牛蛙认为微软应该打败Google,此时必应发布了,CNMSRC帮着做必应的恶意网址屏蔽。“技术满足感是够了,可是并没有因为这个打败Google,又感觉一拳打在棉花上。”
当大牛蛙跟伙伴说想出去做点事情时,他认为那个火候点到了。“没有人知道哪个事情一定会成功,但我想一定要做未来方向的东西。移动是我看好的,当时决定离开微软的时候,我对这个行业有点失望了。”
2002年凌晨五点准备洗洗睡觉时,偶然一看新闻,“陈天桥当首富了!”他发现自己一直在钻研技术,早上醒来陈天桥却成了首富,“这对我是一个小刺激,倒并不是财富。那时候发现我对满足自我的成就感不需要了,因