长亭科技CEO陈宇森：网络安全战争里从不乏攻防较量

WannaCry勒索病毒横扫世界，其实起点并不是5月12日，而是4月15日，微软的漏洞利用工具被公告天下时。那一天，行动起来的黑客有两种，一种在准备血洗全世界的网络，另一种试图发出预警阻止战争。虽然勒索病毒事件让国内众多一线网络安全公司股票全线飘红，但对试图阻止战争的黑客来说，战争早就发生了，他们并没有获得胜利。

未被重视的预警

“3月的补丁，4月的预警，早知道的事情……”这是陈宇森在病毒事件爆发一周后发的朋友圈。这句话看起来有“事后诸葛亮”之嫌，但他的确有资格这么说。他的团队早在4月15日就作为国内首家，发出过跟这次事件相关的公开详细预警，他们当时预估，“这次事件影响力堪称网络大地震”，一语成谶。

陈宇森是一家叫长亭科技的网络安全创业公司CEO，因公司在应用层安全领域的技术突破和市场表现，今年名列福布斯“30 Under 30排行”。4月15日，公司高级安全工程师李昌志在知乎专栏发表了一篇文章“方程式又一波大规模0day攻击泄漏，微软这次要血崩”，称黑客组织“方程式”放出了一批微软漏洞利用工具，所有Windows服务器将暴露在危险之中，堪称“核弹级爆炸”。

方程式据称是美国国家安全局下属的黑客组织，握有大量的顶级网络漏洞利用工具。2016年8月，一个名叫“影子”的黑客组织号称入侵了方程式，盗窃了大量工具，希望公开拍卖，要价100万比特币(价值接近5亿美元)。或许是为了证实自己握有工具，“影子”团队曾陆续放出部分工具作为先声。在拍卖一直无法成功的情况下，“影子”团队放出了更多的漏洞利用工具。

漏洞是一个网络安全术语，指网络硬件和软件的设计缺陷，黑客可以根据这些漏洞，开发出专门的工具，任何人都可以下载这些工具，使用漏洞进行入侵。0day攻击则通常是指使用未知漏洞进行攻击。虽然文章中的部分漏洞，微软已经在3月给出了最新补丁，但是泄露出来的工具生产时间是2011年，之前一直在使用未知漏洞，所以仍然称得上“0day攻击”。而因为工具被公开，对没有及时升级补丁或使用特定端口的所有用户来说，立刻如赤膊现于重炮之下。

关于“影子”团队放出漏洞利用工具的消息，长亭科技内部是几名实习生最早在Twitter上看到的，时间是4月14日晚上10点左右。因为预感事态严重，公司安全团队连夜组织了员工讨论，一边确认消息的准确性，一边开始组织测试。测试完毕，团队将危害的等级确认为最高，随即写文章在知乎发布。长亭科技确定危害等级主要是从两个维度，一是危害程度，二是影响范围。而根据长亭科技团队的经验，国内众多政府机关、国企、高校甚至部分互联网公司依然在使用未升级的老版本Windows，使用的也正是几个易被攻击的端口，需要特别注意。到4月16日，国内还有其他网络安全公司如360也给出了简短的预警信息。