“我有一个梦,我想我飞起时,那天也让开路,我入海时,水也分成两边,众神诸仙,见我也称兄弟,无忧无虑,天下再无可拘我之物,再无可管我之人,再无我到不了之处,再无我做不成之事,再无我战不胜之物。”
很多年里,张瑞冬的QQ签名栏都写着这段话。
它的出处是2000年爆红的小说《悟空传》。在小说里,齐天大圣孙悟空被塑造成一个个性张扬、不受束缚、备受妖界崇拜的反叛者。
少年时,张瑞冬向往这种状态,并且在一定程度上实现了:有技术实力,专挖大公司的漏洞,在网络安全圈打出一片天,同时,积累下一笔小小的财富。
人生路继续这样走,也没什么不好。但在2017年,张瑞冬做了个决定:创业,方向是“反网络犯罪”。很多人因此调侃他“想不开”。
要考虑的事情多了起来,比如什么样的技术才能有效追踪诈骗犯、公司账上的钱还能花多久,以及所有员工的生计问题。
“大圣”似乎不再自由。
圣诞节时,张瑞冬在公司留影。受访者供图。
撕碎教科书
一些白帽黑客入行是因为拥有惨淡的、物质并不丰裕的童年,但张瑞冬恰恰相反。得益于优渥的家境,他在10岁左右就拥有了第一台个人电脑。
黑客之路是从改装MUD游戏《江湖》开始的。张瑞冬发现,网上流传着各种各样的游戏版本。他从网友那里买到一版,很快找到门道,通过调整游戏参数,让游戏主人公直接满级。
90年代末,MUD游戏开始流行。图自网络。
现实世界里有各种规则和限制,网络空间里也不例外。但改装游戏的经历让张瑞冬意识到,在网络空间里,他可以重建规则,做秩序的建立者。这尤其让他着迷。
14岁那年,他决定不再上学。在网上泡了几年的论坛,他已经意识到自己对网络安全的兴趣,且成了小有名气的黑客。普通学校的知识不能再满足他。
何况,他在学校里也不太开心。互联网已进入中国十年,但许多家庭刚用上电脑,素质教育更谈不上。在小镇的老师看来,好好学习、参加高考才是唯一的正道。即便张瑞冬上课时只是安安静静地猫在后排看书,一些老师也还是不能接受。师生间冲突最激烈的一次,张瑞冬把教科书撕得粉碎。
父母尊重张瑞冬的决定。于是,网络成了张瑞冬的“第二故乡”。他在这里认识了伙伴和同好,又在十几年的时间里和他们发展成为亲密的战友和兄弟。在网络的陪伴下,一个独生子女的孤独被消解。网络安全这份小众的爱好,也找到了共鸣。
当时在上大学、和张瑞冬同为技术论坛超级版主的Verkey回忆,张瑞冬很自然地成为团队的leader。“虽然年龄比较小,但是他很聪明。他讲的东西总是直击要点,让人信服。”Verkey说。
2018年的一场网络安全竞赛上,张瑞冬和参赛队员们。受访者供图。
“这地方怎么会没有问题?”
从十几岁至今,张瑞冬每天只睡4个小时。凌晨4点入睡,早上8点起床。大概也是因为这样,他觉得自己不是天才型黑客,只是“有点聪明但很努力的普通人”——睡得少,相当于比同龄人“多活”了五年。
在电脑和互联网刚开始普及的年代,张瑞冬的父母也一度因为担心儿子沉迷网络而作出干涉。他们会藏电脑的电源线,但张瑞冬很快偷偷地找了替代品:家里DVD的电源线,跟电脑的电源线是一样的。
类似的“小聪明”,在张瑞冬的技术生涯里一直延续。他承认,自己的思维角度往往跟别人不太一样,更喜欢“走捷径”。
2012年10月,微信开始爆发式增长之际,一篇题为“微信任意用户密码修改漏洞”的技术帖出现在某安全论坛,署名为“only_guest”。
“only_guest”,中文意为“只是过客”,是张瑞冬的网名。帖子里晒出截图,是他破解了腾讯高管的微信账号,并给马化腾发去微信消息:“马哥,我QQ号码被盗了,能帮我找回来吗?”
给马化腾发微信,只是一个顺手的玩笑。按照白帽黑客的惯例,发现漏洞后,需要第一时间通知厂商。帖子发布时,该漏洞已被微信修复。随后,中央广播电台等媒体的跟进报道,让张瑞冬和团队的名气冲出安全圈。
而在团队提交的漏洞列表上,厂商一栏除了腾讯,还包括新浪、迅雷、微软等大企业。
在网络安全领域,漏洞是用来进行网络攻击的工具。漏洞类型不同,利用价值也不一样,有的漏洞像冷兵器,有的则像核武器。经过千禧年的微软冲击波病毒后,厂商们普遍意识到,白帽黑客不是敌人,黑灰产才是,所以,对于白帽黑客的漏洞挖掘行为,厂商基本上持正面态度。
时隔多年回忆,张瑞冬也坦言,当年挖到的一些大企业的漏洞,利用价值并不算高,而选择去挖,很大程度上是因为“好奇”。一般人都觉得企业的家大业大,安全方面不会有问题,张瑞冬却经常反过来想:“这地方怎么会没有问题?”
而仔细查看当年那些漏洞的类型,会发现许多都属于“逻辑错误”。这意味着,张瑞冬并不是硬碰硬地攻破了对方的安全防线,而是通过推导对方的业务逻辑,巧妙地找到了“暗度陈仓”的捷径。
和很多内敛的黑客不同,张瑞冬不畏惧抛头露面,经常受邀去安全论坛做分享。即便是登上讲台中央,接受几千双眼睛的注视,他也没憷过。用他妻子的话说,在台上的时候,他整个人是“闪闪发光”的。
“技术带给你的成就感,没办法从其他任何事情上获得”。他至今这么认为。
曾经的“小鲜肉”。受访者供图。
另一种大义
刚接触网络安全时,张瑞冬和Verkey等兄弟便与黑产有过交锋。
那还是团队名为“网络仲裁者”的时期,成员们颇为“中二”,比同龄人掌握了更多技术,便希望在网络空间主持正义。一天,一个儿童色情网站的链接,让QQ群炸开了锅。“怎么会有这种鬼东西?”“我们要去搞一下,给它全删了!”愤怒不已的少年们全员出动,黑掉所有能找到的儿童色情网站,并在404页面的显眼处,骄傲地留下“网络仲裁者”的名号。
黑产团伙自然不会善罢甘休。对方派出技术牛人修复网站,还顺藤摸瓜找到团队的各个成员,通过大规模的流量攻击,黑掉成员们的网络。
家乡小镇的网络流量本就有限,黑产团伙的攻击常常导致全镇断网。几番回合下来,张瑞冬很崩溃。“我所有的朋友都在网上,断网了我就联系不到他们啊。”他说。与朋友失联,是他当时最大的软肋。
散落各地的少年,当然无法跟利益巨大的黑产团伙对抗。认识到自身局限后,14岁的张瑞冬将队名改为“PKER”,取“破壳小鸟”还需成长之意。他自己则只身前往长沙,跟团队里的好朋友一道,开始技术进阶之路。
团队后来改名为“PKAV”,这是他们的“全家福”。
打击儿童色情网站的事业被暂时搁置下来,但是张瑞冬从未放弃关注黑产与网络犯罪。做白帽子的多年里,他也曾配合公安机关,查找网络犯罪线索。
对他而言,2017年“以反网络犯罪”为方向创业,像是机缘巧合,又像是冥冥注定。
2016年8月,山东女孩徐玉玉遭遇电信诈骗后不幸离世,案件震动社会,由此引发全国新一轮的电信诈骗整治活动。作为一个资深的网络安全从业者,张瑞冬也参与过类似案件侦破,但没想到,后院也起了火——
就在2017年,张瑞冬的母亲遭遇了电信诈骗。待张瑞冬循着网络杀过去,对方已经人去楼空。这令他倍感挫败。
“我们这一批的白帽子,脑子里总是想着大义,想着‘守护国家安全’。为什么我不能多关注民生,去对抗电信诈骗?这不也是一种‘大义’吗?”他思来想去,觉得这是一个全新的、值得开拓的创业方向。
此前,一帮十几年的兄弟们聚集在成都,原本打算朝着网络大数据方向创业。决定改做反网络犯罪之后,张瑞冬将已经到账的融资,悉数退回投资人的账户。
对此,兄弟们没有二话。“我们都有一种情结,希望能尽自己的力量,为这个社会做一点有用的事情。”Verkey说,张瑞冬提出想法后,大家一拍即合,干!
2018年,张瑞冬(左二)和众多好友一起在北京参加网络安全技术论坛。受访者供图。
暗战
谈到如今的网络犯罪,张瑞冬反复提起“猖狂”一词。在虚拟江湖行走多年,他早已对形形色色的黑暗见怪不怪。但近几年,这片原本潜藏在地下的黑暗,大有向地上蔓延之势。
张瑞冬很清楚,黑暗无法被彻底消灭。但从创业伊始,他便下定决心:要把黑暗赶回地下。
无糖信息资深反网络犯罪顾问十四,曾是一家智能硬件公司的外聘CEO。被张瑞冬邀请共同创业时,十四的孩子两岁。他至今还记得张瑞冬谈话时的严肃神色。
“他问我,现在网上这么多违法犯罪,甚至还有儿童色情的,我会希望自己的孩子成长在这样一个环境里吗?”十四说,“那我当然不希望了,然后就被他忽悠过去创业啊。哈哈哈。”
用了“忽悠”这个词,是因为十四从高大上的CEO,一下子变成了没工资的创业者。创始团队九个人,再加一个行政人员,十个人挤在成都高新区一间150