按：本文为《冰川下的熔岩》系列第一部。本系列文章偏科普向，为行业爱好者和潜在的从业人员讲述平静中的暗流，冰川下的熔岩。

这是最好的时代，也是最坏的时代。有的日夜游走在法律的边缘，日进斗金却突然锒铛入狱。有的鲜花锦簇烈火烹油，实际上却是欺世盗名的伪君子，借上市公司之名行灰黑产违法犯罪之实。有的为国效力，实现了精神和物质追求，却冒着上境外Wanted List的风险。而绝大多数人勤勤恳恳，在甲方或乙方日复一日做着安全建设和安全响应，尝试防御着各种各样的网络攻击。有人守住一片宁静，以无上定力，行研究之艺术。而窗外，已是巨浪滔天。

倚天屠龙

可能会让大多数人失望的是，现实中并不存在美剧中那样指哪打哪的独行侠英雄。并不是说这些能力不存在，而是它更多成为了国家力量的展示。最接近电影剧情的组织当属以色列的NSO Group, 该组织常年以极其稳定的iOS/Android Exploit商业化著称，其提供的Peagus产品可以让顾客傻瓜式针对任何智能手机发动攻击，在目标毫无感知的情况下获取设备最高权限，持续性读取检测短信、相册、位置、浏览记录等等，实现全自动化远程攻击和监控。

如此神迹的工具背后有一整个天才团队支撑，而这并不是江湖快意恩仇的武侠故事，只是法律框架内商业社会的明码标价。这套工具售价1000万-5000万美元，对外销售要先取得以色列军火出口许可，且只提供给政府和执法部门以规避可能的法律和道德风险（请注意：为未获得授权的机构、商业组织、个人提供监控公民个人隐私的工具和服务是违法和不道德行为）。出于显而易见的原因，这个组织本身也非常低调，从未有任何公开的信息或文章出现。在公开的案例中，Citizen Lab多次指出一些“沙特用户”将这套工具用于攻击异见人士，而我们无从得知其是否被用在了更广泛的情报和机密领域（其实知道，但不能说）。而在西方之外的东方，执法和情报机关同样拥有类似的产业（不能说的太细），这是新时代的军备竞赛。

Google Project Zero则是针锋相对的另一个， Project Zero's mission is to make 0day hard。他们致力于通过领先深入的研究，先于攻击者发现基础设施软件中的0day，以及捕获和分析攻击者所使用的隐秘0day，通过负责任披露流程和公众影响力，倒逼厂商提高整体软硬件质量。他们通过自身的研究和分析，撞了/捕获了许多东西方使用的漏洞和利用手法，是这条军火链上最强劲的外部对手。从目前来讲，尽管Project Zero是一个西方的机构，但在漏洞的披露上，它对东西方还是一视同仁（至少看起来是）。我们无法预知这个中立立场未来是否会有所改变，就像Google本身限于所在地限制，某种程度上已经不中立一样。

Project Zero's team mission is to "make zero-day hard", i.e. to make it more costly to discover and exploit security vulnerabilities. We primarily achieve this by performing our own security research, but at times we also study external instances of zero-day exploits that were discovered "in the wild". These cases provide an interesting glimpse into real-world attacker behavior and capabilities, in a way that nicely augments the insights we gain from our own research.

Ben Hawkes, Project Zero

下图展示了仅在2020年，Project Zero发现、捕获和分析的在野0day攻击。

事实上，Project Zero已经出圈成为了核武器般的存在，无论对Google安全品牌能力的展示，抑或是公众眼中的安全裁判官。值得玩味的一个案例是，Project Zero和业界报告了如此多的Microsoft Edge Chakra引擎漏洞，以至于微软在Edge浏览器中废弃了自家的引擎，换用了Google的Chromium引擎。

我们无法揣测君子之腹中初心是否谋划了这样的结果，即使有，那也是堂正之战，以压倒性的领先能力让对手心悦诚服。不像有司一样，停留在派商业间谍入职竞对、指使员工对竞对进行违法犯罪黑客攻击的阶段。

但为什么要和敌人格斗？因为你傻

这些是顶级的技术兵器对抗，是杀红了眼的斯大林格勒。然而战争的形式显然不限于此。

- 为什么要狗斗（打0day）？

- 因为我有超机动（exp）

- 错，因为你傻

把海弄干的鱼在海干前上了陆地，从一片黑暗森林奔向另一片黑暗森林。阿登森林里冲出的德军装甲集团，太阳系外展开的二向箔，攻击者只会从意想不到的方向发起行动。当人们花了大量时间建设和运营防火墙、扫描器、IDS等等时，却未曾发现自己下载或购买的上游框架包或软件，已经在安装前就悄悄被攻击者篡改，成为入侵和潜伏的跳板。

2020年12月13日，FireEye披露了UNC2452的攻击活动：著名的IT管理软件和远程监控工具，客户包括了美国500强企业、美国所有前十大电信业者、美军所有五大部队、美国国务院、国家安全局，以及美国总统办公室等的SolarWinds Orion软件，在2019.4-2020.2.1版本中被植入了恶意后门。SolarWinds在文件中表示，在其30w+客户中，大约有33,000名是Orion客户，这其中大约又有18,000名客户安装了带有后门的 Orion 软件。超过一百多个美国的科技公司、政府和学校单位被确认受到了感染，包括美国国土安全部、美国能源部门、美国网络安全和基础设施安全局、微软等（笔者觉得肯定还有波音和洛克希德马丁）。而Fireeye发现和披露了自身被攻击，正是因为其也使用了Solarwinds而被攻击者入侵。

从事后复盘来看，斯拉夫民族的黑客们在很早之前就控制了这家用户量广泛公司的产品，以极大的耐心，慢慢等待被篡改的产品散布至整个美国。弱水三千只取一瓢饮，他们谋定而后动，以极大的克制，只在关键的目标实体上实施动作，放过了能带来巨额经济利益的被感染的游戏公司，从而成功潜伏了数年之久。（相比来说，东方一些过往的案例就存在出于物质诉求，攻击范围太广而过早暴露的情况）。

可能只有美国人才知道，他们究竟丢了多少数据和代码、设计图纸、间谍信息、病毒生化武器DNA吧。

(嗯，这个Google Prediction展示了西方一贯的怀疑对象)

后记

2020年是一个难忘的一年。在中美贸易战如火如荼大打出手之际，疫情的突然出现和爆发改变了整个世界历史的走向，甚至到现在还看不到它终结的一天。年初疫情的震中曾一度濒临崩溃，但中华民族总是会有英雄挺身而出，挽狂澜于既倒，扶大厦之将倾。国内情况稳定之后，国外却仍在屡屡发生历史性事件。美联储的救市核动力印钞机让货币洪流淹没了整个世界，一场每个人都知道最后无人买单的盛筵。

第一波移动智能的浪潮事实上已将每个人临摹在了互联网上，巨型互联网实体借此开始渗透乃至掌控你的数字生活，甚至于你的真实世界，你并没有掌控你的手机，反而是实体们通过你的手机掌控了你。而在第二波浪潮中广义物联网、车辆网（Internet of Things, V2X）、人工智能，会将触角覆盖整个实体世界。东方的互联网企业市值屡创新高，但却没有一家能像Apple一样，以M1翻转乾坤，产业链基础是无源之水，无根之木。时无英雄而使竖子成名，面壁十年图破壁，一剑霜寒震九州，东方会不会再有这样的横空出世？

在新春佳节之际，感谢所有朋友们，祝大家新春快乐，万事如意，牛年大吉：）