这就是他们给我讲述世界末日的方式

  • Bugs是永远也修补不完的。因为它是政治,而不仅仅是技术问题

【注】曾经在 “枪杆子” 里的政权,现在在代码中 。

它可能是本世纪最强大的政治武器。这是一场阴暗的地下军备竞赛,它可以毁灭任何人,不论是盟友还是政敌;它可以卖给任何人,只要你给足了钞票。

在这里没有什么意识形态,一切都是关于金钱和权力。全世界的政府都在秘密地这样做,包括你认为最善良和最民主的政府;但这里最大的玩家、一掷千金的顶级买主,只有那几个政府:美国、中国、以色列、俄罗斯…… 其中美国压倒其他所有国家

那些知道如何使用这种武器的人像巨人一样站在这个地球上。

政治是使他人屈服于你的意愿的斗争。战争是政治通过其他手段的延伸。在网络领域,政治和战争进入了新的篇章,至今仍在撰写 ……

这本书是经过七年多的采访调查的产物,采访了300多名参与、跟踪或直接受到地下网络武器行业影响的个人。这些人包括黑客、活动家、持不同政见者、学者、计算机科学家、美国和外国政府官员、取证调查员和雇佣军。相关文件被认为是机密的,或者在许多情况下通过保密协议享有特权。由于主题的敏感性,书中接受采访的许多人只有在匿名的情况下才同意说话。

本文是这本新书的摘录。

他们告诉我,要想从零日市场的根源上找到答案是一件很愚蠢的事。当涉及到零日 — 代码中的秘密漏洞时,政府并不是监管者,他们是客户,这些漏洞构成了政府监视政敌的间谍工具和网络武器的原材料。他们没有任何动力去向我这样的记者透露一个高度机密的项目,其中涉及高度机密的商品。

“你会撞上很多墙的”,当时的国防部长莱昂·帕内塔警告我说。而迈克尔·海登,最臭名昭著的前国家安全局局长,当我告诉他我要做什么时,他直接笑了。他说:“祝你好运”,同时还拍了拍我的背。

那一年,2013年,关于我开展调查的消息传得很快。零日漏洞交易商,那些处理漏洞和利用漏洞的人,为我准备了防虫喷雾 — — 我被拒绝参加黑客会议;有一次,有人在暗网上向任何能入侵我的电子邮件或手机的人提供数额诱人的奖金。但我已经瞥见了足够多的东西,我知道我必须继续下去。

这个世界最大的财富正在飞速发展,它就是数据。访问这些系统和数据的最可靠的方式是就零日漏洞。零日漏洞已经成为美国间谍活动和战争计划的一个重要组成部分斯诺登泄露的信息表明,美国是这个领域最大的玩家,但我知道,它不是唯一的一个。各种压迫性的政权正在紧跟其后,一个市场正在出现,以满足他们的需求。数字世界到处都有弱点,其中许多是我们自己造成的,而强大的权势  — — 包括我们自己的政府 — — 正在确保这种情况持续下去。许多人不希望这些事被人知道。

我花了好几年的时间才从这个市场早期的日子里找到一个愿意说话的零日漏洞经纪人。许多人从未回应。有些人直接挂断了电话。有一个人告诉我,他不仅不会和我谈论零日市场,而且他已经警告过所有他认识的人不要跟我说话。他警告我说,如果我继续在这条线上走下去,我只会让自己陷入 “危险”。

大多数人只是担心他们的底线。在他们的工作中,守口如瓶是必不可少的。每笔交易都需要慎重,而且大多数交易都被包裹在保密协议中,而且越来越多的是高级机密。最有利可图的经纪人都把他们的零日业务 — — 也就是有业务的事实当作秘密。越是谨慎的经纪人就越招政府客户的喜欢 。零日经纪人最快速的破产之路就是和媒体说话。至今都是如此

这绝不是一个偏执狂的问题。这些经纪人在与记者谈论零日市场的危险性方面有一个案例:一个南非著名的漏洞利用经纪人,总部设在曼谷,叫做 “Grugq”。Grugq 就是控制不住自己。与大多数零日经纪商避开任何可能留下数字痕迹的平台不同,Grugq 直接在Twitter上存在,他有超过10万名粉丝。2012年,他犯了一个致命的错误,公开与记者讨论他的业务。他后来告诉我,他是在不经意间说的,但他也很乐意在一大袋现金旁边摆出一张照片。当安迪·格林伯格对此的报道出现在《福布斯》杂志上时,Grugq 成了不受欢迎的人  — — 各国政府都不愿再向他购买漏洞了。

没有任何经纪人会学他这样,没有人会甘愿为了透明度放弃自己的财富和声誉。所以我用我知道的唯一方式报道这个市场,从公开的东西抓起,从那里开始调查工作  — — 直到我找到一个零日漏洞交易商,他可以转述这个行业不为人知的历史。

每一个市场都是从赌注开始的。我了解到,零日市场 — — 或者说至少是它的公众形象 — — 是从10美元开始的。

2002年夏天,约翰·P·沃特斯(John P. Watters)以10美元的价格收购了位于弗吉尼亚州尚蒂利(Chantilly)的网络安全公司 iDefense。Watters,一个对网络安全几乎一无所知的德克萨斯人,认为这对一家每月损失一百万美元的公司来说是一个合理的价格,而且没有明显的回本计划。员工已经好几周没有领到工资了。纳斯达克指数将在下个月达到最低点。再过两年,一半的网络公司将消失。连其员工都不认为 iDefense 有任何机会。

该公司向大银行和一些政府机构的客户出售 “威胁情报”。通常,这意味着软件中的缺陷,可以用来入侵那些客户的网络并最终窃取他们的数据。但 iDefense 提供的东西很少是独一无二的,原始信息经常可以在 BugTraq 等黑客论坛上免费获得,黑客们在那里不分昼夜地倾销和交易他们发现的漏洞。而现在,该公司很有可能也会失去获取这些信息的机会。

就在 Watters 走进 iDefense 总部的同一天,赛门铁克以7500万美元的价格挖走了 SecurityFocus,也就是运营 BugTraq 的公司。 iDefense 将永远无法与赛门铁克的雄厚财力竞争。而如果赛门铁克关闭了对 BugTraq 的访问,iDefense 就完蛋了。

iDefense 研究实验室里的两名年轻黑客为 Watters 提供了孤注一掷。大卫·恩德勒(David Endler)早年在美国国家安全局工作过;Sunil James 刚从大学毕业几年。两个人都是修补匠,他们知道世界上有一个未被开发的黑客库金矿,他们一天到晚的所有时间都在发现漏洞。

多年来,这些黑客一直没有好的选择。当他们发现甲骨文软件或 Sun Microsystems 的漏洞时,并没有一个1–800电话可以拨打。当他们找到公司的工程师报告编码错误时,黑客们往往被忽视。如果他们接到任何回电,经常是律师打来的,警告他们不要再打探他们的产品。这也无济于事,因为代码,而不是外交,才是他们的强项。而即使公司确实修复了问题,这些修复也往往包含了他们自己的明显错误。这些黑客提供的是免费的质量保证,而他们往往会因此受到惩罚。

Endler 和 James 有一天向 Watters 转述了这种动态。每天都有漏洞被引入代码中。黑帽黑客正在利用这些漏洞来谋取利益,进行间谍活动和制造数字混乱。那些想做正确事的白帽们正在失去向供应商报告的动力。那些公司更愿意用诉讼来威胁黑客,而不是修复产品中的漏洞。在这种准滥用的安排中,不可避免地,失败者是 iDefense 的客户。银行和机构依赖于脆弱的软件,他们的系统很容易受到攻击。

“如果我们开始一个项目呢?” Endler向 Watters 提议,“我们可以付钱给黑客,让他们把漏洞交出来”。iDefense 仍然可以把这些漏洞交给技术公司打补丁,但在有补丁之前,iDefense 可以为客户提供保护自己的变通办法。iDefense 将为其客户提供一些具体而独特的东西。它不会只是另一个嘈杂的feed。这将使 Watters 有理由提高费用并实现盈利。

任何其他CEO可能都会拒绝这种提议。但正是网络安全业务中的狂野西部元素,让Watters一开始就选择了 iDefense。于是,在2003年,iDefense 成为第一批公开向黑客敞开大门并为他们的漏洞付费的公司之一

起初,James 和 Endler 不知道自己在做什么。据他们所知,没有市场,没有竞争项目。他们拟定了一个古怪的小价目表,这个漏洞75美元,那个漏洞500美元。在前18个月提交的上千个漏洞中,有一半是垃圾。他们考虑将黑客拒之门外,但他们知道他们需要建立信任,这样黑客才会带着更大更好的收获回来找他们。

这招果然奏效了。土耳其、新西兰和阿根廷的黑客,甚至堪萨斯州的13岁少年,都开始交出漏洞,揭示了攻击者如何通过杀毒软件钻进 iDefense 客户的系统,或者拦截密码,窃取用户与网络浏览器之间的数据。

随着2003年这个项目受到关注,Watters 开始接到电话。大多数都是来自大型科技公司的,他们对他邀请并支付黑客来探测他们的产品感到愤怒。但在2003年末和2004年,他开始接到新类型的电话。对方声称为 Watters 从未听说过的政府承包商工作,对方问他是否会考虑从供应商和客户那里扣留一些黑客提交的漏洞,以换取更高的利润。

那个 iDefense 最多支付1万美元买来的bug?这些打电话的人开出了15万美元的价格,只要 iDefense 不向任何人 — — 包括它的客户,也包括软件厂商 — — 提供线索这些漏洞会被用在间谍工具和网络武器中,用来对付政敌,而且没有人会知道它们的存在。

这些打电话的人愿意花这么多钱买漏洞,这让 Watters 大吃一惊。

当 Watters 拒绝后,打电话的承包商们就把话题转向了爱国主义。老一套的 “为国效力” 的宣传方式。声称这些bugs “可以让政府监视恐怖组织、俄罗斯间谍嫌疑人、以及双重间谍的巴基斯坦情报官员”。

Watters 是一个爱国者,但他也首先是一个商人。“那会害死我们的”,他告诉我,“如果你和政府合谋,在客户使用的核心技术上挖洞,你本质上就是在和客户作对”。

那些来电者最终被回复了这个拒绝信息。但 Watters 可以看到风向的转变。黑客们开始要求六位数的bugs,而仅仅一年前他们只要几千美元

他们暗示了其他选择。

像 Digital Armaments 这样的神秘组织开始在网上出现,为甲骨文微软和VMWare产品中的零日漏洞提供五位数的高额赏金。除了一个在东京注册的简陋的网站外,还不清楚这些bugs的客户会是谁。他们声称征集所谓的 “独家代理权”,只说计划 “最终” 通知科技公司。

很快,iDefense 就被它帮助催生的市场淘汰了。Watters 终于读懂了局势。2005年7月,他以4000万美元的价格将自己花10美元买下的公司卖给了威瑞信。是时候让市场发挥它的作用了。

【注:威瑞信是美国一家专注于多种网络基础服务的上市公司,位于弗吉尼亚州赖斯顿。该公司将他们的业务统称为“智能基础设施服务”。】

“这本来是一门巨大的生意”,零日市场的一位首批经纪人在咬着他的墨西哥卷饼的间隙告诉我。终于,在2015年秋天 — — 经过了两年的不断尝试,一位零日漏洞交易商终于违背自己的判断,同意与我面对面地坐下来。

那年10月,我飞到杜勒斯去见一个人,我得叫他吉米·萨比恩。萨比恩已经退出零日市场多年,但考虑到他还在为当年的政府机构工作,他只愿意和我说话,条件是我不使用他的真名。是萨比恩第一次向Watters 开出了15万美元的价格,买下了一个 iDefense 花了不到一千块钱买下的bug。“你做梦都想不到比这更好的利润了”,他告诉我。

10年后,他仍然对 Watters 当年的轻视摇头。

在他帮助开创零日漏洞业务之前,萨比恩在军队中工作,保护世界各地的军用计算机网络,他看起来很适合扮演这个角色。高个子,宽肩膀,头发剪得又高又紧,有军人的黑色幽默感。

我们安排在鲍尔斯顿的一家墨西哥餐厅见面,离他以前的几个客户只有几英里远,在那里他转述了一个很少有人知道的市场的历史。

20世纪90年代末,萨比恩被招募到三家顶级政府承包商中的一家,这三家承包商首次代表美国情报机构开始进行零日漏洞交易。当时这些交易还没有被列为机密,这意味着他和我谈话并没有违反任何法律。即便如此,他还是坚持让我隐去他的真名。

萨比恩告诉我,为军方保护网络的工作,让他对技术的缺陷有了深刻的认识。在军队中,安全通信意味着生与死的区别,但大的技术公司似乎并没有把握住这一点。“人们显然是为了功能而设计这些系统,而不是为了安全。他们并没有考虑如何操纵它们”。

操纵计算机系统几乎是萨比恩离开军队后的全部想法,他加入了一家顶级承包商,在那里他管理着一个25人的团队,为美国政府开发入侵工具。萨比恩了解到,如果没有办法部署这些工具,他的团队所建立的黑客工具就毫无用处。可靠地访问目标的计算机系统是至关重要的。

“你可以成为世界上最好的珠宝窃贼,但除非你知道如何绕过宝格丽商店的警报系统,否则它不会让你去任何地方”,他告诉我,“通道是王道。”

萨比恩的团队贩卖数字访问权限,寻找漏洞,并为客户编写代码以利用它们。大部分收入  — — 超过80% — — 都来自五角大楼和情报机构,其余的来自执法部门。他们的目标是向这些机构提供秘密的、经过测试的入侵方法,进入对手使用的每一个系统。

他们的一些工作是机会主义的。如果他们在像微软Wins这样广泛使用的产品中发现了一个bug,他们就会开发一个漏洞利用,并将其卖给尽可能多的政府机构。但他们的大部分工作都是有针对性的:政府机构会来找萨比恩的团队,寻找监控比如俄罗斯驻基辅大使馆或巴基斯坦驻贾拉拉巴德领事馆的方法。萨比恩的团队必须进行侦查,破译目标使用的电脑以及运行的操作环境。然后再想办法进去。

总会有办法的。只要人类负责编写代码,设计、构建和配置机器,萨比恩的团队就知道会有bug。找到这些bug只是战役的一半;另一半是编写和磨练漏洞利用代码,为政府机构提供一个可靠的、干净的入口。

萨比恩的客户不只是想要一个入侵的方法。他们想要一种不被察觉的网络穿行方式,一种植入隐形后门的方式,即使在他们的漏洞被发现后,他们也能继续存在,以及将对手的数据拉回他们的命令和控制服务器而不触发警报的方式。

“他们想要的是整个杀戮链  — — 一种进入的方式,一种向他们的指挥控制服务器发出信标的方式,一种渗出能力,一种混淆能力”,他说,使用军事语言,“当你想到特种部队和海豹突击队六队的时候,这很有意义。他们有狙击手、扫荡手、排查专家,还有专门负责破门而入的人。”

神圣的一石三鸟是一连串的零日漏洞和植入物,提供可靠性、隐形性和持久性。你很少能做到这三点,但只要你做到了,“咔嚓!” 萨比恩说。

当我请他讨论具体的开发时,他回忆起一些故事,就像其他人在回忆自己的初恋时的感情那样。他最喜欢的是视频存储卡中的一个顽固的零日漏洞。存储卡运行在计算机的固件上,使得这个漏洞几乎不可能被发现,也更难被根除。即使有人将自己的机器完全格式化,这个漏洞也会卡在那里。唯一能让受害人摆脱被间谍的方法就是把电脑扔进垃圾箱。

“那个漏洞是最棒的”,萨比恩回忆道,眼睛里闪烁着光芒。

萨比恩告诉我,间谍们在闯入一台机器后,首先要做的就是监听其他间谍的声音。如果他们发现有证据表明被感染的机器正在向另一个指挥控制中心发出信号,他们就会把别人抓到的东西搜刮出来。

萨比恩说,发现多个间谍在同一台机器上监听并不奇怪,尤其是在高调的外交官、军火商或恐怖网络的情况下。萨比恩告诉我,惠普打印机中有一个零日漏洞,多年来被 “全世界的政府机构” 所利用。这个漏洞让间谍可以捕获任何通过打印机的文件,并在IT管理员最不会怀疑的地方给入侵者搞一个滩头堡。萨比恩说,惠普公司修补打印机漏洞的那天,“我只记得自己在想,‘很多人今天过得很糟糕’”。

希望获得自己的零日武器库的政府机构的短名单从未有缺席者美国国家安全局拥有情报界最庞大、最聪明的网络战大军,在早期,该机构并不需要太多的外部帮助。但在上世纪90年代中期,当大众开始使用网络和电子邮件,分享自己的日常生活、人际关系、内心想法和最深层的秘密的细微记录时,越来越多的间谍机构担心自己没有准备好利用互联网的快速应用。1995年末,中情局的一个特别工作小组认定,该机构的准备严重不足。其他机构的情况也是如此,他们甚至更落后。越来越多的人开始寻求获得这些能力的途径。

肯尼亚内罗毕和坦桑尼亚达累斯萨拉姆的美国大使馆几乎同时被炸,这只会刺激政府对更多情报、更多数据和数字入侵工具的需求。积累零日漏洞成为一项竞争性的事业。

与此同时,国会在整个90年代都在削减军费开支,继续批准模糊的 “网络安全” 预算,却没有掌握这些钱是如何投入进攻还是防御的。

政策制定者对网络冲突的思考,正如美国战略司令部前指挥官詹姆斯·埃利斯所说的那样,“就像格兰德河一样,一英里宽,一英寸深” 。但在每个机构内部,官员们都了解到,最好的零日漏洞能获得最好的情报,这反过来又能转化为更大的网络预算

而萨比恩就在这一切的中心位置。

他的团队无法快速制造出零日漏洞。不同的机构想要进入同一系统的方法,从底线的角度来看是好的,但是,从美国纳税人的角度来看就不是那么回事了。他的公司把同样的零日漏洞卖了两、三、四次。重叠和浪费是在1998年的爆炸事件和然后的9/11事件之后加剧。随着国防和情报开支在接下来的五年里膨胀了50%以上,五角大楼和情报界几乎是一窝蜂地涌向了专门从事数字间谍活动的 Beltway 承包商。

【注:首都圈内(Inside the Beltway)指用于表示部分团体、个人利益比美国普通民众利益更优先。这些团体、个人包括美国联邦政府官员及其承包商、游说者,以及报道这些事件的企业媒体。】

但是,漏洞和漏洞的发现和开发利用需要时间,萨比恩得出结论,将寻找漏洞的工作外包给黑客是对他们时间的更有效利用。不论如何他们都会编写代码来利用这些漏洞,那为什么不挖掘黑客为他们提供原材料呢?

“我们知道我们不可能找到所有的人,但我们也知道进入门槛很低”,萨比恩回忆说,“任何人只要有2000美元买一台戴尔,就可以加入游戏了”。

于是在90年代末,萨比恩的团队开始接触黑客,美国的地下零日市场就这样诞生了 — — 同样的一个市场最终也会消耗掉 iDefense,以及我们其他人。

萨比恩早期的故事就像间谍小说一样,充满了斗篷和匕首的会议,装满现金的袋子和阴暗的中间人 — — 只是在这种情况下,没有任何一个细节是文学的或想象的。这一切都已经被证实了。

在90年代,政府机构会向像萨比恩这样的承包商支付大约100万美元的费用,以获得一组10个零日漏洞利用。萨比恩的团队会将其中一半的预算用于购买bug,然后自己开发成漏洞利用。一个像 Windows 这样被广泛使用的系统中的一个像样的bug可能会卖到5万美元;一个关键对手使用的不知名系统中的bug可能会卖到两倍的价格。一个允许政府间谍深入敌手系统而不被察觉,并停留一段时间的bug呢?很容易卖到15万美元。

萨比恩的团队避免了理想主义者和抱怨者。而且因为这个市场没有规则,他们的供应商大部分都是东欧的黑客。

“随着苏联的解体,有很多有技能的人没有工作”,萨比恩解释说。在欧洲,黑客们,有些年仅15、16岁的黑客,把他们的发现卖给零日交易商,这些交易商会把他们的发现直接卖给政府机构和他们的经纪人。萨比恩告诉我,一些最有天赋的黑客在以色列,是以色列8200部队的老兵。其中最优秀的是一个16岁的以色列孩子。

【注:8200部队相当于美国的国安局,臭名昭著的NSO就是8200部队退伍兵组建的,它现在在前世界追捕甚至杀害异议人士和活动家。】

这是一个秘密的业务和令人震惊的错综复杂的头脑。萨比恩的团队不能直接打电话给黑客,要求他们通过电子邮件发送他们的漏洞,并给他们邮寄回一张支票。漏洞和漏洞利用必须在多个系统中仔细测试。有时,黑客可以通过视频来实现这一点。但大多数交易都是面对面的,通常是在黑客大会的酒店房间里进行。

萨比恩的团队越来越多地依赖这些模糊的中间人。他说,多年来,他的雇主派遣一名以色列中间人,用行李袋塞满了50万美元的现金,从波兰和东欧各地的黑客手中购买零日bug。

在这个极其复杂的交易结构中,每一步都依赖于信任和默契。政府必须信任承包商,以提供一个有效的零日;承包商必须相信中间人和黑客不会在他们自己的逃亡过程中炸毁这个漏洞,或者将其转卖给 “我们最可怕的敌人”;黑客们必须相信承包商会付钱给他们,而不只是拿着他们的演示去开发他们自己的变种bug。这些是在比特币出现之前,有些款项是通过西联汇款支付的,但大多数是用现金支付的。

不论如何你也无法想象出一个效率更低的市场了。

这就是为什么在2003年,萨比恩注意到 iDefense 公开向黑客支付漏洞费用,并打电话给 Watters。

对于像 Watters 这样的商人来说 ,他正试图将该市场推向公开化,承包商的行为是愚蠢的,甚至是危险的。

“没有人愿意公开谈论他们在做什么”,Watters 回忆说,“整个都是这种神秘的空气。但市场越黑暗,效率就越低。市场越是开放,越是成熟,就越是买家当家。而他们却选择在潘多拉的盒子里工作,价格就一直在涨。”

到2004年底,其他政府和幌子公司又有了新的需求,他们都在不断抬高漏洞的价格,让 iDefense 难以竞争。

随着市场的蔓延,让 Watters 感到困扰的不是市场对 iDefense 的影响,而是越来越多的全面网络战的可能性。“这就像在一个不受监管的市场中拥有网络核弹,可以在世界上任何地方买卖,而不需要斟酌”,他告诉我。

冷战时代的确定性 — — 及其令人不寒而栗的平衡 — — 正在让位于一个巨大的未知的数字荒野。你不太确定敌人会在哪里出现或何时出现。

美国间谍机构开始越来越多地依赖网络间谍活动来收集尽可能多的对手和盟友的数据。但这不仅仅是间谍活动。他们还在寻找可以破坏基础设施的代码,破坏电网。渴望贩卖这些工具的承包商的数量开始每年翻倍,萨比恩说。

大型承包商 — — 洛克希德·马丁公司、雷神公司、诺斯罗普·格鲁曼公司、波音公司 — — 都无法快速雇佣网络专家。他们从情报机构内部挖人,并收购了像萨比恩这样的小店。这些机构开始从目录中采购零日漏洞,由法国蒙彼利埃的一家零日经纪人Vupen提供,该经纪人后来改名为 Zerodium。它在离最好的客户更近的地方开店,并开始在网上公开发布价目表,对远程入侵 iPhone 的尝试性方法开出高达100万美元(后来是250万美元)的价格。

“我们支付的是BIG赏金,而不是BUG赏金”,口号是这样的。前国家安全局的操作员也开始了自己的业务,如 Immunity 公司,并培训外国政府的贸易技巧。

一些承包商,如 CyberPoint,把他们的业务安置在海外,驻扎在阿布扎比,在那里,阿联酋人奖励前美国国安局黑客丰厚的金钱,以打击它的政敌,不论是真实的还是感知的。很快,像 Crowdfense 这样专门卖给沙特人和阿联酋人的零日交易商,就开始比 Zerodium 出价高出一百万美元甚至更多。最终,这些工具会都被转向瞄准美国人

等到2015年萨比恩同意和我见面时,该市场已经难以避免。“在90年代,只有一个小社区的人在从事开发和销售零日。而如今,它是如此的商品化。它已经飞起来了。现在  — — 他用手指比划了一个宽大的圈 — — “我们被包围了。这一行有一百多家承包商。”

该市场在美国机构中的分布并不影响萨比恩。让他感到不安的是它在国外的蔓延。

“每个人都有自己的敌人”,他告诉我,“即使是你永远不会怀疑的模范式国家也在储备漏洞利用,以备不时之需。大多数人这样做是为了保护自己。但是,很快有一天”,在我们起身离开时他说,“他们知道自己可能需要主动出击。”

“继续前进吧”,他告诉我,“你已经到这了。这不会有好结果的。”

就这样,他走了。⚪️

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据