文/王臣

白帽黑客

文/王臣

黑客其實(shí)也分為攻擊者和保衛(wèi)者。那些捍衛(wèi)網(wǎng)絡(luò)安全的技術(shù)人員被稱為“白帽黑客”。如果破壞者是伏地魔，那么“白帽黑客”就是甘道夫。中國(guó)的Keen團(tuán)隊(duì)就是這樣一群人。

創(chuàng)業(yè)前的10年里，王琦經(jīng)歷過(guò)無(wú)數(shù)個(gè)通宵達(dá)旦編寫(xiě)程序的夜晚。有幾個(gè)早晨，他習(xí)慣性地翻看當(dāng)日的新聞?lì)^條，也會(huì)恍惚。比如，看到剛過(guò)而立之年的盛大網(wǎng)絡(luò)董事長(zhǎng)陳天橋晉身“中國(guó)首富”或者中國(guó)神舟飛船發(fā)射成功的消息時(shí)，王琦就會(huì)自己嘀咕：“我這是干什么呢？既很難賺錢(qián)，又不是什么利國(guó)利民的科學(xué)貢獻(xiàn)，我天天跟網(wǎng)絡(luò)黑客們打什么交道呢？”

某種意義上說(shuō)，王琦也是一名“黑客”，只不過(guò)不是搗亂者?！昂诳鸵卜止艉头雷o(hù)的團(tuán)隊(duì)，我們想讓別人理解，我們是保護(hù)信息的‘警察’！”王琦敲了敲桌子，加重語(yǔ)氣。作為Keen團(tuán)隊(duì)的創(chuàng)始人，包括王琦自己在內(nèi)，所有技術(shù)成員只有七八個(gè)人，全部致力于“捕捉系統(tǒng)信息安全漏洞和惡意攻擊事件”。過(guò)去10年中，這個(gè)團(tuán)隊(duì)成功解決超過(guò)兩千起國(guó)外信息安全應(yīng)急響應(yīng)事件，包括馬來(lái)西亞總理府、臺(tái)灣“行政院”、澳門(mén)銀行網(wǎng)絡(luò)惡意入侵事件的調(diào)查與處理。

同時(shí)，Keen是近年來(lái)報(bào)告微軟、蘋(píng)果、谷歌系統(tǒng)漏洞最多的團(tuán)隊(duì)。2010年美國(guó)《福布斯》雜志報(bào)道，當(dāng)年蘋(píng)果在一個(gè)月內(nèi)更新了64個(gè)安全補(bǔ)丁，這些漏洞中有6個(gè)是蘋(píng)果內(nèi)部研究人員發(fā)現(xiàn)的，而15個(gè)由Keen團(tuán)隊(duì)首席科學(xué)家吳石發(fā)現(xiàn)。在全球最著名的黑客大賽之一Pwn2Own上，Keen連續(xù)兩年奪冠，30秒內(nèi)分別攻破了iPhone iOS 7.0.3、MacOS X Mavericks 10.9.2 和Windows 8.1系統(tǒng)，轟動(dòng)全球。

然而在中國(guó)，極少人聽(tīng)說(shuō)過(guò)Keen。這讓王琦偶爾有些失落，“今天看來(lái)，國(guó)內(nèi)信息安全行業(yè)發(fā)展還需要更好的土壤，在這之前，我們只能默默無(wú)聞?！蓖蹒f(shuō)。在網(wǎng)絡(luò)安全概念剛開(kāi)始萌芽的中國(guó)，Keen所面對(duì)的不只是默默無(wú)聞，同時(shí)還有來(lái)自黑市的誘惑。

“一個(gè)是伏地魔一個(gè)是甘道夫”

Keen團(tuán)隊(duì)的工作室在上海徐家匯一座并不起眼的辦公樓中，只有40多平方米。七八個(gè)團(tuán)隊(duì)核心成員是中國(guó)最早一批研究網(wǎng)絡(luò)安全的IT工程師，平均年齡34歲。他們絕大部分曾供職于微軟、摩根士丹利等世界頂尖企業(yè)，從事安全研究工作。

他們一般選擇在下午開(kāi)會(huì)。因?yàn)楹芏嗳肆?xí)慣了熬夜工作，每次碰面時(shí)，總會(huì)有人黑著眼圈出現(xiàn)在狹小的會(huì)議室。這群高智商的研究員，其實(shí)和大多數(shù)中國(guó)普通網(wǎng)民一樣，在二十世紀(jì)90年代中后期接觸到互聯(lián)網(wǎng)，逐漸知道了病毒和軟件漏洞的概念。

2007年左右，這群對(duì)網(wǎng)絡(luò)安全充滿興趣的人漸漸聚集在一起。那時(shí)，他們更像個(gè)興趣小組，一起研究信息安全，捕捉更多的漏洞，并試圖將其修補(bǔ)。

兩年后，微軟推出了新搜索引擎產(chǎn)品Bing（必應(yīng)），準(zhǔn)備打入中國(guó)市場(chǎng)。王琦和他的團(tuán)隊(duì)開(kāi)始考慮如何利用安全經(jīng)驗(yàn)幫助微軟的搜索業(yè)務(wù)更成功、互聯(lián)網(wǎng)用戶得到更多保護(hù)，于是利用工作之余研究如何讓Bing搜索引擎的結(jié)果更安全。當(dāng)時(shí)，這些人還沒(méi)有固定辦公室，幾乎所有交流都通過(guò)郵件，這需要互相信任?！拔覀儽舜讼嘈殴餐窒淼拇a是不會(huì)被拿去做攻擊網(wǎng)絡(luò)安全的事?！蓖蹒忉?。

很快，他們檢測(cè)出千萬(wàn)級(jí)別的惡意網(wǎng)頁(yè)，并將其屏蔽于Bing之外。微軟美國(guó)總部負(fù)責(zé)Bing的高管陸奇專門(mén)發(fā)信贊揚(yáng)了這個(gè)中國(guó)研究團(tuán)隊(duì)。

同時(shí)，他們也開(kāi)始研究Office軟件。因用戶眾多，Office已經(jīng)成為被惡意攻擊的重災(zāi)區(qū)。2009年，微軟花重金用幾萬(wàn)臺(tái)虛擬機(jī)搜尋到1900多個(gè)漏洞，認(rèn)為已經(jīng)萬(wàn)無(wú)一失。而王琦、吳石和他的這群伙伴在一個(gè)月內(nèi)用幾臺(tái)機(jī)器就又查到了50多個(gè)漏洞。

2008年—2010年之間，這個(gè)團(tuán)隊(duì)成員連續(xù)3年獲得“全球計(jì)算機(jī)漏洞挖掘”白金獎(jiǎng)，并入選Google安全名人堂。

當(dāng)年，包括王琦在內(nèi)，團(tuán)隊(duì)中很多人供職于微軟安全響應(yīng)中心，工作內(nèi)容之一就是負(fù)責(zé)亞太地區(qū)所有高級(jí)別的攻擊問(wèn)題。這是一群出類拔萃但又必須默默無(wú)聞的人?！耙?yàn)楣舴脚c被攻擊方都不會(huì)將這樣的事拿來(lái)宣傳。我們所得的獎(jiǎng)項(xiàng)，也是全球安全圈的評(píng)比，并不會(huì)對(duì)外曝光?！蓖蹒f(shuō)。

彼時(shí)，在中國(guó)真正做網(wǎng)絡(luò)安全研究的團(tuán)隊(duì)鳳毛麟角，因?yàn)椤皩?duì)攻擊技術(shù)的研究是網(wǎng)絡(luò)安全研究的基礎(chǔ)，而漏洞研究幾乎又是所有攻擊的前提，但這種基礎(chǔ)研究如果不結(jié)合產(chǎn)品，不可能轉(zhuǎn)換為經(jīng)濟(jì)效益?！蓖蹒f(shuō)。

這成了一個(gè)悖論，迷戀安全研究的人，要么必須面對(duì)職業(yè)的天花板，要么只能突破道德甚至法律底線，在黑客產(chǎn)業(yè)鏈條上才能換取更高的收益。

2014年年初，瑞星發(fā)布的《2013年中國(guó)信息安全報(bào)告》中顯示，未來(lái)8年內(nèi)，國(guó)內(nèi)虛擬化行業(yè)將增長(zhǎng)近四百億元的市場(chǎng)價(jià)值。

“而‘黑產(chǎn)’的規(guī)模與此相當(dāng)甚至更多?！币粋€(gè)從事10年網(wǎng)絡(luò)研究的人員透露，“2005年開(kāi)始，移動(dòng)互聯(lián)網(wǎng)還未盛行，而網(wǎng)頁(yè)游戲產(chǎn)業(yè)已經(jīng)在中國(guó)蓬勃發(fā)展。地下產(chǎn)業(yè)的小黑客常做的買賣就是游戲盜號(hào)，偷了武器之后再賣掉。或者利用上萬(wàn)個(gè)僵尸網(wǎng)站攻擊其他網(wǎng)站或刷流量。當(dāng)年一個(gè)擁有1萬(wàn)臺(tái)PC的僵尸網(wǎng)站月租費(fèi)就是6萬(wàn)元。隨便一個(gè)‘黑產(chǎn)’上的攻擊團(tuán)隊(duì)可能月入上千萬(wàn)元。”

當(dāng)然，王琦和他的團(tuán)隊(duì)如此優(yōu)秀，必然會(huì)有一些“誘惑”找上門(mén)來(lái)?！耙粋€(gè)漏洞，加上寫(xiě)好的攻擊代碼，少則幾十萬(wàn)，多則幾百萬(wàn)?！蓖蹒f(shuō)。

Keen團(tuán)隊(duì)的成員都拒絕了?！耙坏┱瓷暇秃茈y洗白，在圈子里就瞬間失去了公信力?！蓖蹒f(shuō)，“那是萬(wàn)劫不復(fù)的深淵?！?/p>

在這方面，Keen團(tuán)隊(duì)的成員有道德潔癖。他們寧愿將把漏洞直接發(fā)送給廠商，理由十分簡(jiǎn)單，“直接發(fā)送給他們，能保證最快時(shí)間修補(bǔ)漏洞，廠商才是最重視漏洞問(wèn)題的?！蓖蹒f(shuō)。

這個(gè)團(tuán)隊(duì)很反感別人把他們與普通黑客相提并論，“就像一個(gè)是伏地魔，一個(gè)是甘道夫?！蓖蹒f(shuō)，“要承認(rèn)，兩者都具有能力，但前者是作惡，后者是與人為善的。如果要稱呼我們?yōu)楹诳停舱?qǐng)一定加上定語(yǔ)，‘白帽黑客’，相當(dāng)于警察?！?/p>

干凈的生意

Keen的初創(chuàng)人員漸漸聚攏之后，由于一直堅(jiān)守著不參與黑市交易的原則，所以一直很難找到合適的盈利模式。“現(xiàn)在還沒(méi)想到這塊市場(chǎng)將是怎樣的一個(gè)蛋糕。但我們這里，有人會(huì)揉面，有人會(huì)劈柴，有人會(huì)燒火。能夠做一個(gè)饅頭出來(lái)，我們先賣，先開(kāi)一個(gè)鋪?！蓖蹒膭?lì)團(tuán)隊(duì)成員一起創(chuàng)業(yè)，漸漸打動(dòng)了他們。2011年，團(tuán)隊(duì)正式注冊(cè)了公司，取名Keen——敏銳之意。之前那些志同道合的朋友陸續(xù)加入進(jìn)來(lái)。

創(chuàng)業(yè)之初，很多所謂網(wǎng)絡(luò)安全信息產(chǎn)業(yè)內(nèi)的人都無(wú)法理解和信任他們的工作。王琦試圖做網(wǎng)絡(luò)安全普及，但總是碰壁。大多普通用戶的回答是，“我的電腦沒(méi)什么重要資料，不用多安全，更不想花錢(qián)?！?/p>

每當(dāng)王琦向別人推銷和解釋自己的技術(shù)時(shí)，百分之百都會(huì)被問(wèn)到同一個(gè)問(wèn)題，“我們用了你們的技術(shù)，怎么能確保你們只是保護(hù)系統(tǒng)，而不是從我們這偷東西？”他不知該如何回答。

創(chuàng)業(yè)最初兩年，公司一直“勒緊褲腰帶做事”，盡量降低成本，也聯(lián)系過(guò)一些國(guó)內(nèi)的風(fēng)投公司，但絕大多數(shù)不明白他們的技術(shù)，很多人對(duì)安全的理解，只停留在殺毒軟件的階段。Keen的合作方主要是微軟、谷歌這些國(guó)際上知名的系統(tǒng)廠商。

“因?yàn)槲覀兲恢?，?guó)內(nèi)市場(chǎng)幾乎沒(méi)人知道我們?！蓖蹒f(shuō)。他決定從更成熟的市場(chǎng)入手，在國(guó)際上先打響知名度。

2013年，Keen在Twitter上注冊(cè)，只發(fā)布了幾十條推文，都是最簡(jiǎn)潔的公式或者一張圖，卻吸引了全球頂級(jí)黑客的關(guān)注。

之后的兩屆全球黑客大賽上，Keen蟬聯(lián)冠軍，漸漸引起國(guó)內(nèi)媒體的關(guān)注。但是，他們?nèi)圆坏貌灰淮未螌?duì)外解釋“白帽黑客”的概念以及“信息安全”的真正定義。