人物志 | 360唐青昊：虛擬世界的越獄者

這次選擇，將永不能回頭。

你吞下藍(lán)色藥丸，將會(huì)在床上醒來，相信你曾經(jīng)相信的一切；你吞下紅色藥丸，將留在這里，我來告訴你這個(gè)世界的真相。

在尼奧做出抉擇的十七年后，生活在數(shù)字矩陣中的每個(gè)人，如你如我，都再次面臨這個(gè)艱難的抉擇。

吞下藍(lán)色藥丸，你會(huì)看到微信中跳動(dòng)的聯(lián)系人，支付寶中安靜的余額；你腦海里的每一組用戶名和密碼，都讓自己的身份鐵證如山。

吞下紅色藥丸，你會(huì)看到機(jī)房的排線，不息川流其中的代碼；你的一切財(cái)產(chǎn)和名譽(yù)，都只是閃爍著妖冶光芒的紅燈。

唐青昊選擇了那枚紅色藥丸。

黑客X檔案

如果那天他沒有在夕陽下的報(bào)刊亭多停留幾秒，海賊王、火影忍者這類熱血漫畫將會(huì)一直占據(jù)這個(gè)高中生的叛逆時(shí)光。真是不巧，這本名為《黑客X檔案》的雜志，在唐青昊最想改變世界的年齡，走進(jìn)了他的視野。

“如何制作遠(yuǎn)程控制軟件，怎樣截獲QQ信息，如何攻擊網(wǎng)站，怎樣控制別人的電腦”，彼時(shí)中國人正處在奧運(yùn)會(huì)的狂歡中，“有關(guān)部門”似乎也未有后來那般警惕。這個(gè)售價(jià)10元的暢銷雜志得以“知無不言，言無不盡地”詳細(xì)介紹了當(dāng)時(shí)流行的各種黑客技術(shù)。這些如天神一般掌控世界的技術(shù)給了這個(gè)看上去平淡無奇的少年一個(gè)充滿誘惑力的可能性。

雖然當(dāng)時(shí)我?guī)缀蹩床欢@些具體的技術(shù)，但是卻被這些攻擊的路徑和邏輯深深震撼。有一點(diǎn)我深信不疑，那就是——要想影響世界，就要成為一個(gè)黑客。

唐青昊對(duì)雷鋒網(wǎng)說。

對(duì)于一代慵懶而盲目的學(xué)生而言，在大學(xué)之前就找到堅(jiān)定的職業(yè)理想，顯然是一種幸運(yùn)。這種幸運(yùn)讓唐青昊有機(jī)會(huì)從長計(jì)議。他成為黑客的第一步，就是報(bào)考了吉林大學(xué)的軟件工程專業(yè)。

進(jìn)入大學(xué)，眼看周圍的人，無論大一大二還是大三大四，都整日忙于談情說愛，過著“正?！钡拇髮W(xué)生活。不過這樣的庸庸碌碌怎能是要“影響世界”的唐青昊的生活呢？于是，他的做法是：整日埋頭鉆研計(jì)算機(jī)技術(shù)，當(dāng)然，在此之前，要先找到女朋友。。。

【唐青昊】

在大學(xué)，唐青昊成為了知名互聯(lián)網(wǎng)安全論壇“看雪論壇”的常客。在這里，他認(rèn)識(shí)了大名鼎鼎的前輩黑客汪列軍和古河。

“技術(shù)特別弱，欲望特別強(qiáng)?！笔翘魄嚓粚?duì)彼時(shí)自己的評(píng)價(jià)。正是憑借超強(qiáng)的欲望和自己制作的略帶幼稚的遠(yuǎn)程控制軟件，在大二的暑假，他有機(jī)會(huì)進(jìn)入當(dāng)時(shí)汪列軍供職的老牌安全廠商綠盟實(shí)習(xí)；大三的時(shí)候，他得以進(jìn)入古河供職的趨勢科技實(shí)習(xí)。有趣的是，如今這三個(gè)人都被招至360麾下，成為不同領(lǐng)域的三面大旗。當(dāng)然這是后話。

正是在大二的時(shí)候，唐青昊發(fā)現(xiàn)了自己的黑客技能開始突飛猛進(jìn)，遠(yuǎn)遠(yuǎn)甩掉還在繼續(xù)談情說愛的同學(xué)們。

黑客大概分為兩種：純自學(xué)的和有人帶的。純自學(xué)的“野生黑客”很容易遇到天花板，但是跟著汪列軍學(xué)習(xí)漏洞挖掘的時(shí)候，我才發(fā)現(xiàn)黑客技術(shù)的天究竟有多高。

唐青昊說。

和360的第一次過招

大三的時(shí)候，已經(jīng)學(xué)了兩年基礎(chǔ)知識(shí)的唐青昊已經(jīng)不再滿足于學(xué)校里的“系統(tǒng)編程”“編寫驅(qū)動(dòng)”這種紙上談兵，迫不及待地想要影響世界了。

這一年，他寫出了人生中第一個(gè)“完美的”遠(yuǎn)程控制軟件。之所以說完美，是因?yàn)檫@個(gè)軟件不僅可以監(jiān)控對(duì)方的顯示器內(nèi)容，可以控制對(duì)方的鼠標(biāo)，還可以繞過卡巴斯基的查殺，也可以在360殺毒軟件的鼻子底下順利運(yùn)行。

唐青昊怎么能夠錯(cuò)過這個(gè)炫技的好機(jī)會(huì)，他把軟件的演示 Demo 放到了看雪安全論壇。出乎意料的是，他的帖子在論壇大火，而且竟然有人通過QQ聯(lián)系到了他，出價(jià)購買了這個(gè)軟件。

唐青昊對(duì)360的勝利維持了大約一個(gè)月。直到另一個(gè)買家再次光臨。

這個(gè)買家告訴唐青昊，原來的軟件已經(jīng)被360查殺了，他想要買一個(gè)升級(jí)版，即使貴一點(diǎn)也無所謂。交談中，他告訴唐青昊一個(gè)驚人的秘密。

唐青昊回憶道：

他告訴我，一個(gè)月前購買我控制軟件的就是他的朋友，這個(gè)人把這個(gè)軟件用在了“灰色地帶”。僅僅一個(gè)月的時(shí)間，他賺到了一個(gè)天文數(shù)字。

得知這些，唐青昊大吃一驚。他猛然意識(shí)到，這個(gè)世界遠(yuǎn)比想象中更復(fù)雜。而自己可以親手制作一頭猛獸，這頭猛獸已經(jīng)開始擁有影響世界的力量。他嚴(yán)辭拒絕了這個(gè)買家的請求，并且再也沒有和這些人來往。

在那個(gè)互聯(lián)網(wǎng)的蠻荒時(shí)代，一念之差就可能犯錯(cuò)?，F(xiàn)在想起來，我慶幸自己當(dāng)時(shí)的選擇。

唐青昊說。

這之后半年左右，國家正式出臺(tái)相關(guān)法律，編寫木馬被認(rèn)定為違法的行為。也正是在這一年，唐青昊的啟蒙老師《黑客X檔案》停刊，在最后一期中沒有任何關(guān)于?？虻恼f明。

《黑客帝國》+《盜夢空間》+《楚門的世界》

“我上大學(xué)的時(shí)候，漏洞挖掘領(lǐng)域能稱為高手的，全國大約只有100人。即使到現(xiàn)在，這個(gè)數(shù)量也不會(huì)超過200。在這么小的圈子里混，又認(rèn)識(shí)大牛，不是很容易嗎？”

一畢業(yè)就進(jìn)入360的唐青昊發(fā)現(xiàn)，原來這里有如此多的熟人。如此看來，“漏洞挖掘”成為他順理成章的工作選擇。

作為一個(gè)天賦過人的選手，他沒有選擇傳統(tǒng)的 Web 安全和方興未艾的 Android 安全，而是選擇了一個(gè)以幾何數(shù)級(jí)膨脹的，正如潮水般把我們所有人吞沒的數(shù)字矩陣：云。

實(shí)際上，云計(jì)算不像這個(gè)名字聽上去那么枯燥無味。通俗地講，我們試圖用虛擬計(jì)算的方法來替代真實(shí)存在的機(jī)箱。

云上的虛擬機(jī)用純軟件的形態(tài)模擬出一個(gè)個(gè)主機(jī)，這些主機(jī)擁有虛擬的CPU、顯卡、內(nèi)存和硬盤，可以提供極其變態(tài)的計(jì)算和存儲(chǔ)性能。我們熟悉的QQ、微信、支付寶這些服務(wù)其實(shí)都坐落在虛擬的云主機(jī)之上。

目前， 包括中國在內(nèi)的全世界互聯(lián)網(wǎng)服務(wù)，都在以唐青昊都沒有預(yù)想到的速度向云主機(jī)上遷移。在網(wǎng)線另一端，這是一場轟轟烈烈的革命。

【諸多服務(wù)都坐落在云端】

以阿里云為例，其上不僅運(yùn)行著支付寶、淘寶這些重頭業(yè)務(wù)，也租給無數(shù)企業(yè)或政府單位用以運(yùn)轉(zhuǎn)他們的業(yè)務(wù)。無論是阿里云、百度云、騰訊云，或者360云，都包含了無數(shù)相互獨(dú)立的虛擬機(jī)。

接下來到了熟悉的《黑客帝國》+《盜夢空間》+《楚門的世界》橋段：

由于這些“虛擬機(jī)”是被“宿主機(jī)”創(chuàng)造出來的。所以根據(jù)設(shè)定，它們“以為”自己就是真實(shí)存在的主機(jī)，以為自己就是世界的全部，而不知道自己是宿主機(jī)所創(chuàng)造的一個(gè)“夢境”，更無法感知到身邊其他虛擬機(jī)的存在。

當(dāng)然，運(yùn)行在虛擬機(jī)上的支付寶是不會(huì)自我覺醒，進(jìn)而發(fā)現(xiàn)自己其實(shí)生活在一片數(shù)字矩陣之中的。如果一切順利，世界會(huì)相安無事地按照這個(gè)邏輯運(yùn)行到天荒地老。

但是，正如你已經(jīng)知道的那樣——唐青昊選擇了那枚紅色藥丸。

矩陣之上帝

宿主機(jī)和虛擬機(jī)的關(guān)系，并不是母親和孩子，而是上帝和眾生。

母親雖然創(chuàng)造了孩子，但卻不能控制他的行動(dòng)；而上帝卻可以看穿眾生的每一個(gè)細(xì)胞。

唐青昊首先要做的，就是以一個(gè)“破壞者”的身份來思考。化身一段代碼，從云主機(jī)上的任何一個(gè)虛擬機(jī)進(jìn)入，然后在其中吞下紅色的藥丸，完成一次曠世的覺醒，“逃逸”到宿主機(jī)之內(nèi)。此時(shí)，唐青昊成為那個(gè)世界里不容置疑的神，在他眼里，身下所有的虛擬機(jī)，都不再是所謂的“支付寶”“微信”，而僅僅是一段段柔弱的代碼。他可以動(dòng)動(dòng)手指，修改這個(gè)世界里的任何一個(gè)設(shè)定。

【從虛擬機(jī)逃逸的黑客，可以成為“上帝”，修改同一宿主機(jī)下的任何設(shè)定】

理論上來說，如果黑客入侵了合適的宿主機(jī)，他可以：

為自己的支付寶余額加上10億。

刪掉所有人的微信聊天記錄。

把白宮網(wǎng)站的首頁換成莆田醫(yī)院的廣告。

讓一個(gè)城市所有的交通信號(hào)燈像舞池里一樣閃爍。

讓一個(gè)國家的電力供應(yīng)在一秒鐘之內(nèi)癱瘓。

賽博世界的恐怖之處就在于它的極端簡潔——所有的這些可怕的攻擊，只需要兩個(gè)條件：

攻擊對(duì)象本身處在云服務(wù)器之上；

攻擊者擁有一個(gè)致命的虛擬化漏洞。

唐青昊的職責(zé)，就是帶領(lǐng)著他的 Marvel Team 尋找這樣的漏洞，并且在第一時(shí)間提交官方予以修補(bǔ)，防止壞人作惡。

核武器：傳送門

尋找虛擬化的漏洞并不像找墻上的裂縫那么簡單，實(shí)際上，這種攻擊更像是沖出一個(gè)戒備森嚴(yán)的監(jiān)牢。要逃出這個(gè)看上去真實(shí)無比的虛擬世界，就要發(fā)現(xiàn)其中的微小裂痕。正如盜夢空間中所言，只有當(dāng)你做出一些意想不到的行為，這個(gè)裂痕才會(huì)顯現(xiàn)。

一個(gè)如空氣般的虛擬機(jī)，要靠代碼來模擬完成所有硬件的功能。所以要想發(fā)現(xiàn)虛擬機(jī)的漏洞，需要對(duì)于硬件最底層的運(yùn)作原理有著清晰冷靜的認(rèn)識(shí)。正是由于門檻極高，全世界只有大約50人在做這類研究，至于其中頂尖的專家，不會(huì)超過10個(gè)人。

這種致命的漏洞就真實(shí)地存在于虛擬化世界之中。唐青昊告訴雷鋒網(wǎng)，2015年爆出的毒液漏洞，就是一個(gè)非常致命的漏洞，在全球引起了極大的恐慌。但是，由于利用這個(gè)漏洞的條件非常苛刻，至今都沒有人能夠?qū)懗鰧?duì)于毒液漏洞的利用程序。而從另一面看，虛擬化軟件本身也進(jìn)化出越來越強(qiáng)大的安全防護(hù)策略。

Marvel Team 用了兩年時(shí)間，發(fā)現(xiàn)了30多個(gè)虛擬化漏洞。這些漏洞如同尼奧手中的機(jī)槍，可以打穿虛擬世界的邊界。但是就漏洞本身的破壞性而言，它們都不及接下來這顆“原子彈”。

就在不久之前，唐青昊和團(tuán)隊(duì)發(fā)現(xiàn)了主流虛擬化軟件 Xen 和 Kvm 上存在的一個(gè)致命漏洞。這個(gè)漏洞的質(zhì)量極高，僅僅依靠它就可以完整地實(shí)現(xiàn)虛擬機(jī)逃逸。唐青昊把這個(gè)漏洞命名為——暗黑傳送門（Dark Portal）。

然而，毒液漏洞的前車之鑒說明，僅僅發(fā)現(xiàn)了漏洞并不能證明它的實(shí)質(zhì)危害性，還需要一個(gè)具有高度可操作性的攻擊方法。

為了利用漏洞實(shí)現(xiàn)最終的目標(biāo)——虛擬機(jī)逃逸，唐青昊和同事們需要在矩陣中創(chuàng)造出“子彈時(shí)間”。

無論一個(gè)CPU有多強(qiáng)大，它都不能同時(shí)運(yùn)行兩個(gè)指令。在足夠小的時(shí)間片段內(nèi)，它只能進(jìn)行一次運(yùn)算。為了騙過虛擬機(jī)，黑客需要在每一個(gè)時(shí)序內(nèi)不斷修改CPU寄存器內(nèi)的數(shù)值。通過這種電子手術(shù)刀式的操作，可以劫持系統(tǒng)的運(yùn)行流程，從而繞過系統(tǒng)對(duì)于簡單溢出的攻擊的緩解措施。

形象地說來，這就像張生巧妙地躲在棋盤之后，跟著紅娘的腳步和節(jié)奏行進(jìn)，躲過眾多的耳目接近最后的目標(biāo)——崔鶯鶯。

至此，黑客已經(jīng)成功進(jìn)入了虛擬世界最底層的“幻境”——Limbo。但是，此時(shí)也到了最為兇險(xiǎn)的步驟。為了引爆這個(gè)核武器，黑客還需要一段代碼作為引信。在 Limbo 里，一切都非常簡單，這意味著任何外來的信息都會(huì)引起系統(tǒng)的警覺。為了成功制造這根引信，黑客需要“就地取材”，用內(nèi)存中的地址符號(hào)拼湊出這段攻擊代碼。然而，這個(gè)世界的守護(hù)者并沒有那么好欺騙。每個(gè)系統(tǒng)的地址編碼都是隨機(jī)的。為此，黑客首先需要破譯地址符號(hào)。他們會(huì)守候在這里，讀取大段的內(nèi)存信息，從而根據(jù)特定的規(guī)則“猜出”地址符號(hào)。當(dāng)這一步完成，便可以順利地制造出引爆這個(gè)漏洞的引信。

所有的這些，都在比你的極限想象還要短的一瞬間內(nèi)完成。霎時(shí)間，秒針重新開始跳動(dòng)，世界崩塌殆盡。

尾聲

然而，這一切都只能在唐青昊的想象中發(fā)生。他要做的恰恰相反。在找到毀滅這個(gè)虛擬世界的方法之后，他會(huì)第一時(shí)間報(bào)告給虛擬化廠商，而廠商會(huì)馬上通知阿里云百度云等云服務(wù)商進(jìn)行修復(fù)，這樣的修復(fù)一般在2天之內(nèi)就可以完成。而在10天之后，虛擬化廠商會(huì)對(duì)外公布漏洞的詳情。

為了杜絕危險(xiǎn)，他甚至不能把這個(gè)核武器在自己手上多留一秒。因?yàn)?，一旦自己或者團(tuán)隊(duì)成員出于任何目的使用了這個(gè)核武器，都將會(huì)造成不可想象的后果。5月26日，唐青昊將趕赴阿姆斯特丹，在歐洲頂級(jí)安全會(huì)議HITB會(huì)議上，向世界分享他的成果。

唐青昊的夢想是“影響世界”。有趣的是，如今他影響世界的方式，恰恰是在核武器被引爆之前，拆掉引信，讓一切如原來一樣平淡無奇。

你也許聽過這個(gè)有關(guān)扁鵲的故事：

魏王問扁鵲：“我聽說你們兄弟三人都擅長醫(yī)術(shù)，那么三個(gè)人之中，誰的醫(yī)術(shù)最高明？”

扁鵲答說：“長兄最好，中兄次之，我最差?！?/p>

魏王驚訝：“那為什么獨(dú)有你聞名天下？”

扁鵲答說：“我長兄治病，治病于病情發(fā)作之前。一般人無法了解他可以事先鏟除病因，所以他的名氣無法傳揚(yáng)，只有家人知道；我中兄治病，治病于病情初起之時(shí)。一般人以為他只能治治小疾，所以他的名氣只及于本鄉(xiāng)里。而我扁鵲治病，是治病于病情嚴(yán)重之時(shí)，一般人都看到我在經(jīng)脈上穿針管來放血、在皮膚上敷藥等大手術(shù)，所以以為我的醫(yī)術(shù)高明，名氣因此響遍全國。”

居功至偉者，令世界如常。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。