這世間的故事，必有緣起。黑客的江湖，也不例外。兩位世外高手，是接下來這個(gè)故事的起源。

“神獸”降臨

我叫老王。不是隔壁老王，我就是老王。

這個(gè)低調(diào)了二十年的黑客，終于站在了聚光燈下。

在此之前，圈外人對(duì)于王俊卿的了解幾乎為零。事實(shí)上，作為中國最早的一批黑客，神秘的老王和他身后聲名顯赫的 0x557 統(tǒng)領(lǐng)了中國大半部黑客史。從互聯(lián)網(wǎng)安全的洪荒時(shí)代，老王就開始了“拿站”生涯，而隨著互聯(lián)網(wǎng)的發(fā)展，老王對(duì)世界上幾乎所有復(fù)雜的大型系統(tǒng)都進(jìn)行過滲透測(cè)試。他符合人們對(duì)于一個(gè)黑客的全部想象。用所向披靡來形容他在賽博世界的狀態(tài)并不夸張。在他腦海中，有一萬種游走于企業(yè)甚至政府內(nèi)網(wǎng)的姿勢(shì)。

白衣如雪，來去如風(fēng)，往往是武林高手的生存狀態(tài)。在中國互聯(lián)網(wǎng)并不長的歷史中，他一直站在某個(gè)高地，俯視陵谷變遷。據(jù)此，他自嘲為“上古神獸”。

【老王 王俊卿】

然而，在老王眼中卻充滿了憂慮。他看到這個(gè)賽博世界正在聚集越來愈多的妖云，陣腳的龍柱傾覆在即。而不自知的人們卻仍然歌舞升平。

據(jù)此，“神獸”振開雙翼，決定降臨人間。而同時(shí)嗅到危險(xiǎn)的，還有另一只“神獸”。

Jannock 這個(gè)名字，在百度上的信息寥寥無幾。他有三個(gè)身份：

靦腆而睿智的八零后。

老王的多年好友和親密戰(zhàn)友。

在曾經(jīng)叱咤風(fēng)云的“烏云平臺(tái)”上提交漏洞最多的那個(gè)人，沒有之一。人稱“烏云一哥”。

毋庸贅言，如果他想，只需要?jiǎng)觿?dòng)手指，可以突破幾乎所有企業(yè)的安全防護(hù)。有關(guān)烏云，他心中有很多故事。但是面對(duì)雷鋒網(wǎng)宅客頻道的好奇，他覺得現(xiàn)在還不是說出來的最好時(shí)機(jī)。

在這個(gè)超級(jí)白帽子心里，烏云曾經(jīng)是他保衛(wèi)世界的方法，他幫助企業(yè)發(fā)現(xiàn)的每一個(gè)漏洞，都是賴以抵擋子彈的盾牌。然而當(dāng)無數(shù)企業(yè)在面對(duì)黑客的戰(zhàn)爭(zhēng)中態(tài)勢(shì)急轉(zhuǎn)直下的時(shí)候，烏云卻告別了舞臺(tái)。

于是這位“一哥”似乎別無選擇地，走到了世人面前。

【Jannock】

榴蓮一樣的安全防護(hù)

老王和一哥究竟看到了什么？

我們社會(huì)對(duì)網(wǎng)絡(luò)安全的投入越來越多，理論上來說，網(wǎng)絡(luò)攻擊應(yīng)該越來越少。但是事實(shí)卻正好相反。這不是很奇怪嗎？

最近三年，每年都有幾起大的網(wǎng)絡(luò)攻擊事件爆發(fā)出來。被攻擊的對(duì)象不僅有世界五百強(qiáng)企業(yè)，還有專門研究攻擊控制軟件的安全廠商，甚至泄露別人數(shù)據(jù)的平臺(tái)，自己的數(shù)據(jù)也發(fā)生了泄漏。更可怕的是，很多專門盜取別人信息的黑客組織自己的工具也泄露了。這是很大的諷刺。

隱者老王已經(jīng)適應(yīng)了“布道者”這個(gè)新角色，向現(xiàn)場(chǎng)觀眾描述他眼中的網(wǎng)絡(luò)安全世界。

【老王在幻云發(fā)布會(huì)現(xiàn)場(chǎng)】

他陳述的是事實(shí)。各大頂級(jí)企業(yè)，包括專門從事網(wǎng)絡(luò)安全的企業(yè)和組織，不可能不重視網(wǎng)絡(luò)安全?？v然投入金山銀海，就是沒有辦法抵擋住老王和一哥這樣的黑客進(jìn)攻。

在老王眼里，很多企業(yè)對(duì)于黑客如何思考和進(jìn)攻一無所知。這使得他們精心構(gòu)建的“馬奇諾防線”淪為昂貴的擺設(shè)。因?yàn)楹诳屯鶗?huì)在某一個(gè)特別的位置上發(fā)現(xiàn)弱點(diǎn)，從而整體繞過防護(hù)機(jī)制。

老王舉了一個(gè)例子：

每個(gè)人心里的密碼都不是孤立產(chǎn)生的。你的密碼一定帶有個(gè)人色彩，和你的經(jīng)歷或性格有關(guān)，這本身就為黑客破解密碼埋下了巨大隱患。如果管理員想要“合規(guī)”地編出一套和自己毫無關(guān)系的隨機(jī)密碼表，而且按照規(guī)定讓所有的密碼生存期都不超過90天，那么他一定需要維護(hù)一張長長的密碼表。

而這恰恰又觸及了安全的禁區(qū)——密碼落于紙面。

內(nèi)網(wǎng)滲透的基礎(chǔ)并不在于找到應(yīng)用漏洞或者沒打補(bǔ)丁的系統(tǒng)，很多時(shí)候在于找到那張密碼表。使用密碼表上的密碼入侵內(nèi)網(wǎng)，是完全符合內(nèi)網(wǎng)防護(hù)策略的。

這只是千萬條“黑客思路”中的一條。老王不覺得傳統(tǒng)的滲透測(cè)試可以很好地找到網(wǎng)絡(luò)存在的問題。

滲透測(cè)試就像是軍演，而軍演是有劇本的。在真正的戰(zhàn)斗中，戰(zhàn)斗機(jī)可以躲在客機(jī)底下，潛艇會(huì)隱藏在客輪下面。這些開腦洞的進(jìn)攻方法是絕不可能出現(xiàn)在演習(xí)里的。

老王曾經(jīng)對(duì)雷鋒網(wǎng)宅客頻道講，

內(nèi)網(wǎng)，對(duì)于外人來說是一個(gè)神秘的地方，但是如果你去詢問任何一個(gè)黑客，他都會(huì)大笑著告訴你：只要突破邊界進(jìn)內(nèi)網(wǎng)之后，就暢通無阻。內(nèi)網(wǎng)的安全最爛。

如果打個(gè)比方的話，很多企業(yè)的防護(hù)都像是榴蓮，外表鋒芒畢露，里面軟滑香糯，只要你能從裂縫進(jìn)入，就可以暢享戰(zhàn)果。

目前并沒有很理想的技術(shù)來保護(hù)內(nèi)網(wǎng)安全。這也是他聯(lián)合一哥，還有另一只神獸黑客 CP 創(chuàng)建錦行科技的原因。這些“老奸巨猾”的“神獸”們，提出了一種全新的內(nèi)網(wǎng)防護(hù)策略——開門接客。

為黑客“造夢(mèng)”的幻云

“開門接客”并不是放棄防護(hù)投降。恰恰相反，是接受黑客可能突破邊界防護(hù)的事實(shí)。但是，當(dāng)黑客歷盡艱辛終于攻進(jìn)內(nèi)網(wǎng)，踏入的卻是早已備好的“盜夢(mèng)空間”。

這個(gè)盜夢(mèng)空間名為“幻云”。

幻云的基本原理是：模擬出和企業(yè)真實(shí)情況極其相似的內(nèi)網(wǎng)環(huán)境，讓黑客在這個(gè)“盜夢(mèng)空間”里打轉(zhuǎn)，自以為正在一步步獲取目標(biāo)信息，接近想要的內(nèi)容。而實(shí)際上他的一舉一動(dòng)都暴露在幻云的監(jiān)控下。

這個(gè)邏輯聽上去簡(jiǎn)單而解恨。但是，黑客來犯的目標(biāo)肯定是企業(yè)的真實(shí)內(nèi)網(wǎng)，如何保證黑客一定會(huì)踏進(jìn)幻云的陷阱中呢？

老王給雷鋒網(wǎng)宅客頻道舉了一個(gè)例子：

黑客就如同入室盜竊的小偷。如果他進(jìn)入一幢房子，里面有五扇門。他沒辦法判斷哪個(gè)門后藏著想要的東西。事實(shí)證明，如果我是那個(gè)小偷，我會(huì)從我最容易打開的那把鎖開始攻擊，然后尋找是否有暗門、窗戶等等其它通道進(jìn)入別的房間，就算沒有，也可以開辟一條進(jìn)入別墅的通道，從而不必每次從大門出入，站穩(wěn)腳跟之后再來判斷周圍的環(huán)境。

實(shí)際上，幻云在真實(shí)的內(nèi)網(wǎng)系統(tǒng)部署了多個(gè)“捕獸夾”。這些捕獸夾都是有經(jīng)驗(yàn)的黑客在進(jìn)攻中非常感興趣的節(jié)點(diǎn)。只要黑客踩到任意一個(gè)獸夾，之后他所有的進(jìn)攻都會(huì)被靜靜地引流到位于云端的幻云中。接下來，黑客的所有攻擊行為都不會(huì)對(duì)真實(shí)系統(tǒng)有任何影響。我們可以坐在屏幕前，看這只困獸如何一步步暴露形跡。

整個(gè)過程中，誘導(dǎo)黑客踩中捕獸夾，成為了問題的關(guān)鍵。

捕獸夾只是一個(gè)工具，而問題的關(guān)鍵是把捕獸夾放在什么位置。只有對(duì)獵物了如指掌的獵手才能把獸夾放到獵物的必經(jīng)之路上。而這時(shí)，需要的就是老王這樣的黑客前輩的經(jīng)驗(yàn)。

錦行首席運(yùn)營官 Oscar 如此解釋幻云的獨(dú)門絕技。

Oscar 曾經(jīng)擔(dān)任騰訊安全平臺(tái)不品牌運(yùn)營及對(duì)外合作團(tuán)隊(duì)負(fù)責(zé)人，曾在騰訊內(nèi)部和黑產(chǎn)斗爭(zhēng)多年，他深知用好這樣的捕獸夾對(duì)于打擊黑產(chǎn)黑客有多大的意義。

【幻云的主要功能】

“黑客意圖”——無價(jià)之寶

感知到黑客入侵固然重要，但是，判斷黑客的意圖同樣重要。Oscar 說，幻云系統(tǒng)不僅可以再現(xiàn)黑客攻擊的所有步驟，還可以根據(jù)黑客的行為判斷黑客的下一步意圖。

了解對(duì)方意圖有多重要呢？他舉了一個(gè)有趣的例子：

小時(shí)候我不喜歡寫作業(yè)，爸爸為了防止我一個(gè)人在家的時(shí)候偷看電視，進(jìn)行了“關(guān)鍵節(jié)點(diǎn)對(duì)抗”——每天他出門時(shí)，都把那根閉路電視線裝在包里帶走。

但是，他不知道我的真正目的其實(shí)是打游戲。每次他一出門，我就用游戲機(jī)連接電視打游戲，而在他回來之前，我會(huì)把游戲機(jī)物歸原處。包括游戲卡的疊放順序，游戲機(jī)盒子的角度都絲毫不錯(cuò)。我還會(huì)用濕毛巾為電視機(jī)降溫，銷毀電視機(jī)曾經(jīng)工作的證據(jù)。

你看，不知道對(duì)手的意圖有多可怕。

幻云產(chǎn)品總監(jiān)胡鵬講述了一個(gè)真實(shí)案例。

某公司被黑客入侵，但是黑客只對(duì) VPN 登陸的信息感興趣，并且僅僅盜走了這部分信息?？雌饋磉@對(duì)于公司并沒有實(shí)質(zhì)性的傷害。但后來的調(diào)查表明，這家公司為其他公司提供服務(wù)，而這些 VPN 登陸信息，正好和它的服務(wù)對(duì)象相關(guān)。結(jié)果證明，黑客的真正攻擊對(duì)象是這家公司的客戶。對(duì)于攻擊者來說，拿到這些數(shù)據(jù)就足夠了。如果沒有對(duì)于黑客真實(shí)意圖的判斷，那么另一家公司已經(jīng)陷入了危險(xiǎn)之中。

幻境或是雷區(qū)

嚴(yán)格來說，幻云的最小粒度是一個(gè)個(gè)蜜罐，而蜜罐之間相互聯(lián)系組成蜜網(wǎng)，而蜜網(wǎng)層疊形成蜜場(chǎng)。這種蜜場(chǎng)極其致密，以至于黑客無論進(jìn)行怎樣的動(dòng)作，都能夠得到應(yīng)有的回應(yīng)。

這就像《黑客帝國》中的場(chǎng)景，只要給人類的大腦輸入足夠細(xì)膩的信號(hào)，泡在營養(yǎng)液中的人們，會(huì)相信自己正幸福地走在寬敞的街道上。甚至有的時(shí)候，幻云并不需要完整地仿制它所保護(hù)的系統(tǒng)。

有時(shí)，完全和真實(shí)系統(tǒng)相同，未必會(huì)達(dá)到最好的效果，而最好的效果，是模擬一個(gè)和黑客想象中一樣的系統(tǒng)。

老王的總結(jié)意味深長。

實(shí)際上，黑客手中并沒有那個(gè)陀螺，來判斷自己究竟在真實(shí)世界還是在夢(mèng)境之中。在這種情況下，故事的發(fā)展無外乎會(huì)有兩種可能：

1、黑客極有可能在幻云中打轉(zhuǎn)，每次覺得自己快要接近目標(biāo)的時(shí)候，就被困難阻攔，曙光在前，卻無法掙脫。他使用的所有工具和進(jìn)攻方法，都被幻云掌握，而真實(shí)的系統(tǒng)毫發(fā)無損。

2、黑客也許會(huì)懷疑系統(tǒng)的真實(shí)性。但是他卻找不到任何的證據(jù)來證明自己處在虛擬世界。因?yàn)樗拿恳粭l指令都會(huì)得到應(yīng)有的回應(yīng)。這種情況，就像面對(duì)一片空曠的場(chǎng)地，有一個(gè)牌子提示：前方雷區(qū)。如果冒進(jìn)，黑客擔(dān)心所有的行蹤，乃至使用的攻擊木馬，包括 0Day 漏洞武器，甚至把自己的身份都暴露給了對(duì)手。黑客此時(shí)冒進(jìn)，無異于自廢武功，代價(jià)高昂不可承受。于是他躊躇不前。

這兩種劇情，我們都喜歡。

Oscar 說，幻云和傳統(tǒng)安全防護(hù)產(chǎn)品并不沖突。畢竟德軍是被馬奇諾防線逼迫無奈才鋌而走險(xiǎn)最終選擇繞過，而在希臘使用“特洛伊木馬”之前，特洛伊人頑強(qiáng)抵抗了九年。

在電光火石的對(duì)抗中，幻云提供了寶貴的應(yīng)對(duì)時(shí)間、信息和不斷浮現(xiàn)的真相。這些，能夠給黑客最后的致命一擊。

幻云的核心理念可以總結(jié)為“欺騙防御”。而欺騙防御，在全球安全界都是一個(gè)最新的方向。“神獸”們的努力，讓中國人在欺騙防御的方向中，占得了先機(jī)。

據(jù)此，他們值得敬佩。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。