光辉与标尺
有人曾评价:“没有大师,将成为中国一代又一代黑客心中永远的痛,而其后遗症将长存于中国黑客的成长之中。”中国黑客没有大师,但并非没有光彩夺目的标杆。其间最典型的技术人物,很多人认为当数袁哥和小榕。
同样是1998年,袁仁广(袁哥),一个胖胖的、不善言辞的男孩,正在青岛海信公司编写电视机顶盒程序。他毕业于山东大学数学专业,当年报考数学专业,源于其天才般的数学天分和对解析数论的热爱,成为山东大学数学泰斗潘承洞教授的博士,曾经是他一直的理想。但命运让他走进了山东大学,又捉弄了他,让他每天面对一个枯燥的嵌入式系统。
不过很快,袁哥的兴趣迁移到了网络安全上。娴熟的反汇编调试技巧让他直逼Windows 9x系统的内核,而在他数学家般精确的头脑审视之下,他发现微软的代码十分脆弱。很快,他就找到了Windows 95系统的一个网络邻居协议的认证漏洞。靠这个漏洞,只要把本机的一个文件换成他修改过的文件,就可以直接进入任何有密码的远端Windows 95系统的共享目录。袁哥模仿美国的黑客前辈们,给微软写信,可没有得到积极的答复。他被微软的这种高傲态度激怒了,决心公开这个漏洞。在湖州信息港的个人空间,他开启了自己的个人网站——袁哥的技术天地。此后,袁哥来到一个叫“太阳岛”站的BBS信息安全版上发帖子。很快,小小的太阳岛站已经不能承载他的才华了,在整个网络安全系统内,他开始被广泛关注,微软也和他主动联系了。他没有想到,他成为后来一个炙手可热的安全前沿技术领域的境内奠基者,这个领域叫漏洞挖掘。袁哥凭借他扎实的技术功底和灵感打开了一扇门,即使是flashsky、Funnywei等如日中天并广为境外关注的后起之秀,也十分认可袁哥的实力和前辈的地位。
还是1998年,就在袁哥正在Windows内核中探索的时候,一个比袁哥年长两岁、戴着眼镜、脸上挂着去年打架遗留下的伤痕的青年人,也在思考着。刚刚拿到的高级程序员水平证书被他抛在一边,他在构思一个能够自动化注入的扫描器的结构。他就是小榕,其网名的来历,是因为其女朋友的名字里有一个“榕”字,所以他就为自己取了小榕的网名。
这个自称从小搞怪、早恋、大学挂了4科,全班31人排名30的另类,在中国网络安全大潮中开始声名鹊起。扫描工具“流光”、web破解工具“朔雪”和密码破解工具“乱刀”,这三套程序,很长一段时间内都是国内黑客初学者的必杀器。
“流光”被广泛推崇,是因为与当时其他扫描器只能扫描到漏洞不同,流光能直接植入后门,从而让那些笨手笨脚的初学者可以体验一下傻瓜黑客的快乐。但小榕自己从没有滥用过自己的技术。小榕说:“通往电脑的道路不止一条,就看你怎么走。只要我敲键盘的速度足够快,可以一天黑掉100个网站,但我不会这样做。”据说小榕曾经在一个月里进入1000家网站,并找出其中的漏洞来提示网管,但此说法并不可靠。因为更多圈内人认为,小榕轻易不出手,他只负责提供技术。
小榕的父亲是大学教授,父亲的书生气息深深地影响了小榕,从类似“流光”“朔雪”这样的名字,就可以看出其骨子里的感性。这也使小榕对黑客的道德观认识得很清楚:黑客像美国西部开发时的牛仔,没有法律的约束,但有自己的做事准则。黑客要有道德底线,小榕的三条做黑客原则是:不能仇视社会、不能给别人制造麻烦、不能给别人带来损失。
小榕的密码学算法功底非常扎实,但有趣的是其高等数学曾两次不及格。不知道这是否是对中国教育一种莫大的讽刺。
令人疑惑的是,之前的出场者们,竟然无一例外活跃于Windows平台。对于开放、共享的黑客精神来说,中国黑客对开源领域如果没有任何贡献,实在是说不过去的事情。是真的毫无建树,还是被很多浮躁的声音所掩盖。中国的Linux界和黑客界难道没有交集么?
在反复的信息挖掘中,号称“清华三杰”的李志鹏、令狐和谢华刚,走进了本书作者的视野中。而其中的代表人物谢华刚,则正是本书作者所企盼的典型的Linux界和黑客界的交集人物。
谢华刚,网名vertex,清华大学热能系本科毕业和中科院计算所硕士研究生毕业,为国际项目LIDS(Linux入侵检测系统)创始人。LIDS是一个用于增强Linux核心安全级别的核心“补丁”。该项目也是全球性Linux开发项目中,由中国人主持的少数项目之一。
谢华刚的期望是在Linux系统中安装LIDS之后,文件系统、进程、访问控制都将得到保护。无论是普通用户还是超级用户,都不能修改被LIDS保护的文件,也不能中断被LIDS保护的进程;任何人对系统的访问,都将受到ACL规则(一种访问控制技术)的严格限制。LIDS入选了国际知名安全站点www.insecure.org评出的“50个顶级安全工具”。
除了漏洞分析、入侵工具、Linux开源,必须提到中国黑客另外一个成长源头,那就是民间的反病毒爱好者和病毒爱好者。1998年,面对突如其来的安全行业变局,他们有着比其他初学者更扎实的反汇编功底和系统底层实力。
在民间的病毒爱好者中,黄鑫、王娟夫妇是一对典型的代表。黄鑫有两个绰号,一个是黄师傅,这缘于他的姓氏;另一个绰号叫冰河,这个称号缘于黄鑫曾经编写过的一个软件——冰河。冰河的产生本是黄鑫出于个人兴趣,为远程控制自己的电脑而编写的一个软件,但演变成本土黑客最喜欢用的木马程序。在1998年前后,木马虽然已经在黑客中间普遍使用,但多数为国外的BO和NETBUS等木马。对于一些刚接触黑客技术的新手来说,理解这些软件的使用方法和熟练使用这些软件,无疑成了“通往黑客道路”上最大的难题。此外,这些木马多数会被杀毒软件擒获。冰河在诞生之初凭借国产化和暂时无杀毒软件能防杀的特点,迅速地成了黑客们使用最广泛的木马。这给冰河带来了很多江湖名声,但也带来了监管部门不请自来的询问和盘查,甚至引发牢狱之灾,这让冰河苦不堪言。
黄鑫的妻子王娟也是一个黑客,网上ID“四川人”。当初在海南一家网络公司工作时,学计算机专业的王娟对网络安全产生了极大的兴趣,并写出了Wollf木马。2000年年底,在海南的一个信息安全论坛上,已经是“标准女黑客”的王娟认识了“冰河”的黄鑫,两个志同道合的人切磋之后,情投意合,开始并肩闯江湖。随着人们对“冰河”的滥用,黄鑫停止继续开发这一款远程控制工具,继而开发了X-Scan这一款知名的免费网络隐患扫描工具。
与黄鑫、王娟二人热衷于编写工具不同,一个叫贾佳的黑客则长篇累牍地编写如何写病毒的技术文章,这些文章彰显了其对技术核心的理解。
1998年,在与民间病毒爱好者相对立的另外一个阵营,即民间反病毒爱好者的队伍里,也有一个中国网络安全的标志性人物,在这一年内完成了转身。这个人叫江海客,真名肖新光,1997年毕业于哈尔滨工业大学自动控制系。从小学开始,江海客就有条件在苹果电脑上编写程序。1998年的江海客已经是哈尔滨工业大学软件开发中心的技术骨干了,同时也是互联网上知名的反病毒技术爱好者。1998年,CIH病毒大爆发,当国内反病毒企业普遍宣称被CIH破坏的C盘是无法恢复的时候,他却发现,由于Windows机理的限制,多数情况下对C盘的破坏是无法完成的。于是江海客在网上发表了一篇如何手工恢复C盘的详细技术文章,再次把自己扯入了与反病毒厂商的是非之中。
在这个圈子里,还有中国最早一批获得系统分析员证书的网络安全救援站点“救救我吧”站长、杭州的程序员幼虫、免费杀毒软件“搜毒”的作者陶辰等。而当时,他们的领袖是水木清华病毒版版主蓝海(真名杨海)。蓝海、江海客、幼虫、陶辰等,并称为网络安全的游侠式人物,他们也毫不客气地向当时本土最成功的杀毒软件、山东人王江民创办的KV系列投去了批评之剑。在这几个“计算机从娃娃抓起”、外表谦和但内心无比高傲的程序员看来,KV的设计和代码水平是惨不忍睹的,他们竭力通过个人的逆向分析能力,为反病毒树立唯技术是瞻的标尺。而他们极力推荐和逆向分析的一个软件,正是在当时寂寂无闻,但10年之后暴得大名的杀毒软件——卡巴斯基。
同时,互联网上出现的一个毒岛论坛的站点,成了国内反KV的大本营,站点甚至提供了KV系列的破解版本。相对应的是王江民一怒之下,对这些破解版本进行加密。这造成了那些下载了破解版本的电脑出现被锁住CPU而无法运转的情况。此事轰动一时。
而江海客、蓝海、陶辰等人,都成为主创毒岛论坛的“嫌疑人”。多年以后本书作者一一与当事人确认真伪,但他们非常郑重地表示了否认。不过回忆起往事来,每个当事人都无限惆怅。
与脚本小子们的狂热不同,蓝海、江海客所代表的民间反病毒群体凭借其技术底蕴,无论对中国安全产品的炒作还是对中国黑客群众运动式的疯狂,都表现出一种不合时宜的反感。蓝海的“业内的争论,留在业内、臭在业内”,一度成为国内民间反病毒群体最终走向不争论路线的招牌性语言。而江海客则是中国黑客运动中少有的冷静批评者之一,他不断地批评和建言,中国黑客群体应该建立起技术正义感和基本的商业伦理,反对黑客平民化,也对黑客借强烈的民族主义情绪出名,保持必要的警惕。事实证明,这些都成为后来中国黑客未能像美国一样,形成一股独立力量和特色群体的关键所在。