黑客陈良:不知攻焉知防

5秒，你能做什么？陈良给出的答案是：攻破以安全著称的苹果桌面Safari浏览器或微软Edge浏览器。陈良和KeenLab（腾讯科恩实验室）是我国最知名的“白帽”黑客团队，也是全球发现并报告安全漏洞最多的安全研究团队。

2016年3月15日，陈良和队友们踏上了飞往加拿大温哥华的飞机，他们要去参加Pwn20wn――全球最著名、奖金最丰厚的黑客大赛。

2013年他们曾攻破苹果iOS，2014年攻破了苹果MacOS和微软Windows8.1，2015年拿下了Flash与Reader。发展到现在，Pwn2Own的赛制更加“变态”了。陈良说：“去年，你只要在半小时内攻破浏览器就算成功，但今年只有15分钟，给你3次机会。有时候即便你找到了漏洞，系统本身的漏洞缓解方案也不会令系统立刻崩溃。而且，你发现的必须是未知漏洞，厂商掌握的不算；之前出场的参赛团队已经使用的漏洞，也不能再用了。”

这次，他们将攻击目标锁定为一直以安全著称的苹果桌面Safari浏览器和微软Edge浏览器。为此，他们精心备战，在比赛前3周，终于完成了第一套用于比赛的方案。

比赛两周前，苹果放了一个“大招”，安装完这个大补丁，陈良团队准备攻击的漏洞竟被苹果封堵了，大家异常沮丧。他们只好翻遍所有研究记录，再次挖掘新的漏洞。“有了！”陈良和何淇丹发现，在苹果系统的视频渲染程序中，当两个锯齿重叠时，会发生微小的计算错误。为了提高胜率，陈良团队和来自腾讯电脑管家的团队混编为“狙击手”“神盾”两支战队，他们的对手则是360公司的“火神伏尔甘”战队和来自韩国的黑客神童李政勋。

3月16日，Pwn2Own正式开赛。为期两天的比赛战况胶着，第一天晚上陈良团队在积分榜上还是倒数，对手们已经认为胜券在握了。

第二天上午，陈良和何淇丹出场了。裁判按下回车键，陈良盯着屏幕，目光由紧张到兴奋再到克制――Safari被攻破了，但还要进一步确认。美国总部确认，这的确是一个未知漏洞，他们成功了！最终，“狙击手”战队拿下4场比赛单项冠军，成为这一顶级赛事史上第一个获得“世界破解大师”称号的战队！

走近这些黑客，你就会发现他们几乎无一例外都有着这样几个标签：“学霸”“热爱技术”“道德洁癖”……技术可以赚到钱，也可以做坏事。在诱惑面前，选择金钱，还是捍卫技术的纯洁性？这也成了“黑帽”和“白帽”的本质不同：前者利用技术去赚黑心钱，后者则将发现的漏洞汇报给厂商。

在黑客们的世界里，只有两件事：攻和防。用陈良的话来说“未知攻，焉知防，防守要走在攻击前面，才能找到防御手段，所以‘白帽’必须要走在‘黑帽’前面。”对于一个“白帽”而言，最兴奋的时刻，就是攻破系统时从位子上跳起来那一瞬，因为他阻止了网络世界的一次潜在的恐怖行动，尽管现实中的人们可能永远意识不到。天下无贼，正是他们的追求。

（张秋伟摘自《环球人物》）