【人物】侠客方兴
42岁的方兴中等身材,笑容质朴而谦逊,除了要比实际年龄略显年轻外,乍看之下,很容易淹没于人堆之中。初见面,绝难将这么一位“普通人”与中国信息安全领域的顶级高手联系起来。
按江湖传统,大侠别号往往比真名更响亮。与方兴这个名字相比,“flashsky”或“闪空”,几乎出现在所有对中国顶尖黑客的盘点文章和坊间传说之中。2003年,微软被曝光史上最为严重的LSD PRC DCOM漏洞,直接导致之后“冲击波”病毒在全球范围内疯狂肆虐,而此漏洞的发现者就是“闪空”,这使彼时涉足网络安全不久的方兴一战成名。
此后,方兴的履历不断刷新人们对“高手”的想象——他是数百个高危级安全漏洞的发现者,历任启明星辰、美国EEYE及微软的特聘安全专家,他还是微软BLUEHAT安全大会第一个中国演讲者。
十多年网络安全浸淫,高超的技术足以使方兴“肆意妄为”,但这个爱写诗的程序员却有种“古之侠士”的情意结。尽管出身微寒、历经坎坷,方兴始终将全部精力放在如何帮助人们防御恶意攻击上。他的朋友、启明星辰首席战略官潘柱廷认为,方兴能迈上技术巅峰,很重要一个原因就是——“责任感”。
严格来讲,方兴并非传统意义上的大侠。事实上,他更像是现代人最爱看的“废柴逆袭流”文章的主角——一个出身微寒,既无家学渊源,也没有天赋异禀的路人甲。
高考时,严重偏科的方兴没能考上本科,甚至在专科学校也被调剂,学了市场营销。对年轻时代的方兴来说,他也许幻想过许多种未来的工作,但“网络安全”一定不在其列——当时,一度沉迷于游戏和围棋的方兴对电脑、编程毫无兴趣,见到计算机教材就头疼,连计算机考试都是请同学代考才过关的。
1994年毕业,方兴进入湖北猴王集团。这家在当地赫赫有名的企业彼时正大肆扩张,从焊条生产到房地产投资,乃至经营酒楼、生产农用车,方兴的第一份工作,是被急调担任“太白酒楼”的经理。
入职第一天,难关挡道。因前任经理留下1万余元电费债务,若不能按时补上窟窿,酒楼就要被断电。时至今日,面对戴着眼镜、说话温言软语的方兴,很难想象当年才21岁的他是如何摆平的。但他的答案却很简单——“喝酒”。方兴让手下服务员买来十几条好烟,摆一桌酒席宴请对方。来人一共20,他一人3杯,杯满即干,一时间豪气冲天。失去意识之际,方兴隐约记得有人拍着他肩膀说:“小伙子,不错嘛。我教你一招吧,你去把电表弄坏,这电费就算免了。”
拼酒几乎成为他最重要的工作——解决拖欠的电费靠灌酒,老客人来了要拼酒,其他部门的同事来联系业务还得斗酒。然而,即使身陷这些令人不快的琐事,方兴的侠士之风仍然。有一次,总部某领导对酒楼服务员动手动脚,并强行要求陪酒,方兴挺身而出,不紧不慢地说:“她们都下班了,要陪我来陪。”
这事之后不久,在一次人事调整中,方兴被“优化”到了大山里的一家农用车厂,无非是把有缺陷的农用车卖给不懂行情的农民兄弟。方兴闻言,断然拒绝,索性辞了职,就此开始了自己人生当中最黑暗的一段日子。
辞职后的方兴四处碰壁,换了好几份工作,很不顺利。也正是在此期间,他开始自学计算机。“待业在家,压力大,算是逼上梁山吧”。作为一个计算机零基础的“菜鸟”,方兴选用的都是计算机结构和操作系统原理等汇编级的教材。彼时正发传单卖保险的方兴,因为是全公司唯一一个会打字的“高手”,被相中成为出单员。
当时,国内保险业正开始尝试电子化办公,出单软件漏洞百出、故障频频,方兴不自觉地兼起了软件维护员的角色。大半年过去,总部突然派人调查,“所有分公司都因为软件故障请求过支援,为什么这个最偏远的分部却从来没有过类似的请求?”于是,方兴之前被埋藏的计算机能力首遭“曝光”,惊呆了总部调查员。很快,一纸调令,方兴奔赴总部,开始专职从事软硬件维护工作。
在方兴的回忆中,年少轻狂与任侠气性贯穿了他整个青春岁月。毕业之后的8年里,他整整换了八份工作:做出纳,因不忿同事傲慢蔑视,他破解信用社管理员口令,遭致开除。做大学编外老师,因遭到对Unix技术一窍不通的教师们的疑忌,他拂袖而去。
很难说方兴那8年是成是败。他很努力,不挑不拣,对所有工作都尽心尽力,试图融入所谓“成熟”的社会环境,但他锋锐的性格,却总无法换来美好的结果。启明星辰首席战略官潘柱廷评价这位老朋友:“他真的是安全技术上的绝顶高手。”整整八年,这样一位绝顶高手大隐于市,默默修炼屠龙之术,几乎忍辱负重地接受随波逐流的命运,静静等待着爆发的时机。
其实,方兴在8年时间里已经达成了许多常人看来绝无可能的成就:几乎以完全自学的方式,他考出了高级程序员水平证书,掌握了各种计算机语言,并开始接触网络安全,就此开启对虚拟世界的攻防大门。
回头又说前言。2002年,方兴初露锋芒,就险些酿出“大祸”。在分析微软MS03-26漏洞时,方兴撰写了一篇论文,论述他对RPC DCOM漏洞的发现,并以XFocus(安全焦点)的名义投寄出去。一石激起千层浪,正是这篇论文,引发了微软史上最严重一场安全危机——国外黑客利用方兴的研究成果,制造席卷全球的“冲击波”病毒,导致微软悬赏50万美元来抓捕病毒作者。对当时的方兴来说,这简直就是路人甲放出了大魔头的剧情。
但他毕竟不是路人甲,侠客之名开始在“江湖”流传。身负绝学的方兴,始终秉持人间正道——他从未想过靠卖漏洞来发财致富,尽管因此暴富的“挖漏者”屡见不鲜。曾经一阵,圈内有这么一个为人津津乐道的传说:在安全厂商们悬赏捉拿黑客的同时,黑客们也在悬赏破解方兴的电脑,不为别的,只为他电脑里存放着大量的0Day漏洞,那意味的,是海量的财富。
正是这种正直秉性,让一度痛恨他的微软在2006年向他抛出了橄榄枝。微软安全中心负责人Andrew Cushman专程赴华邀请方兴:“虽然微软当初痛恨你,认为你影响了我们的生意。但是现在我们意识到,其实你是微软的朋友,因为我们有共同的敌人——网络犯罪。”
在启明星辰、EEYE和微软,方兴都从事着最高精尖的信息安全专业技术工作,可视为其个人职业生涯非常重要的第二阶段。不过,这些并非终点。2010年,在国内国外各大安全厂商辗转一圈之后,方兴与安焦伙伴王伟(Alert7)一起创建“翰海源”,作为一家专注于对抗APT(Advanced Persistent Threat,即高级持续威胁)攻击的新一代安全公司,其发展方向,正是方兴对信息安全新理念的践行。
“信息安全发展,是从技术向数据的发展,未来信息安全能力的核心在于数据运维能力。”方兴在很多场合都表达过这样的观点。随着信息安全产业发展,单纯将现有信息安全知识产品化,以信息安全产品应对随时变化更新的攻击手段,已经远远不够了。
方兴还有一个观点:网络攻防未来的方向在于以攻对攻(通过合法手段给攻击者造成风险或损失),或者说以威慑对抗攻击,而非单纯对防御的叠加。各种防御措施只能提供最基础的安全底线,叠加太多,不但无法应对攻击变化,反会损害易用性和灵活性。“冷兵器时代,骑士们穿着厚重的铠甲;到了热兵器时代,士兵的头盔就只能用来防范跳弹和弹片了。”主动寻找可能的攻击方向并加以应对,这是方兴所要追求的。
创业无疑是方兴实现自己理念的最好方式,但也意味着他不得不放下手里的长剑。从侠者武士变为将军统帅,一时让方兴颇多焦虑。一方面,创始人和战略投资之间在决策方面屡起冲突,让他心力交瘁;另一方面,作为团队领袖,方兴又不得不强迫自己在技术上放手。“有的下属没有我这样的技术积淀,在我看来他干活很差。但如果我去替他干,从长远来看,一方面公司难以发展,一方面他会被我打击,失去信心。我给自己定的一条规矩是,无论大家做成什么样,我也不能自己去干。”放弃自己的核心技能有多艰难?他形容说,就像江湖高手要自废武功。
若是仔细看,方兴两鬓几空,他说全是在创业期间脱落的,“时常焦虑,整夜睡不着,幸好30来岁才做安全。如果更早入行,恐怕头发都要全白了”。
为了生存,创业者方兴再次涉足商业社会。这个社会自有的一套独立于技术之外的规则,时常超出方兴可掌控的范围。他感觉非常痛苦,似乎又回到了毕业伊始、那座让他浑身不自在的酒楼里面。
他以商人自居(其实多少能听出他语气中的戏谑和无奈),尽管如此,他还是遮掩不住骨子里的单纯与质朴。“喝酒。”这是灰色的商业规则中,他自认为唯一擅长的一条。可是,年届40,他已经没有了一夜干尽60杯的海量,最多4两小白,他就倒了。
苦熬五年,2014年12月,翰海源被阿里巴巴收购,方兴结束了自己的创业生涯,终于上岸了。朋友们都说这是好事,因为这意味着侠客可以重新擦亮匣中宝剑,重新找回最让他意气风发的氛围和状态。
其实当时瀚海源面临多个选择,方兴有着自己坚定的判断:“放眼未来,IT环境的变化就两块,一是智能硬件,二是云。阿里云上的数据是最耀眼的。”作为“数据替代产品”论的持有者,方兴对阿里拥有的海量数据显然倍感兴趣。“对阿里来说,安全并不是其用来攻城略地的武器,而是自身业务的需要。与百度、腾讯相比,阿里的业务,无论是云还是淘宝,本身就有强烈的安全诉求,这意味着阿里需要有个安全生态,需要大量厂商给他提供安全服务。”在方兴看来,只要传统信息安全厂商能够做好安全服务,为用户着想,同时不苛求用户私享,那么阿里就非常愿意将市场开放给传统安全厂商。“如果我们能在阿里云上找到一个很好的分界线,约定一套规则,我们会非常欢迎由各种安全公司来直接满足用户需求。阿里并不担心传统公司窃取流量和入口,关键是定好分界和规则。阿里决心做好这个,事实上就是在为传统厂商铺路。”
从技术高手,到创业商人,最终“靠岸”阿里,方兴终于又回到了更单纯、更直接的状态。采访终了,问他:“你认为自己是黑客吗?”他沉吟半晌,显然对于“黑客”的定义略有犹疑,最后他说:“如果你说的是控制他人电脑、以漏洞来牟利的那种黑客,很显然,我不是。”
起落沉浮二十载,却抹不去他孩童般的执拗和纯真,42岁的方兴,依然信守内心,侠义犹存。
深度阅读:
【访谈】方兴:信息安全需要“核威慑”(请点击左下方原文阅读看更多原创文章)