Keen：白帽黑客

王臣

創(chuàng)業(yè)之前的十年里，王琦經(jīng)歷過(guò)無(wú)數(shù)個(gè)通宵達(dá)旦編寫程序代碼的夜晚。有幾個(gè)早晨，他習(xí)慣性地翻看當(dāng)日的新聞?lì)^條，也會(huì)恍惚。比如，看到剛過(guò)而立之年的盛大網(wǎng)絡(luò)董事長(zhǎng)陳天橋晉身“中國(guó)首富”或者中國(guó)神舟飛船發(fā)射成功的消息時(shí)，王琦就會(huì)自己嘀咕，“我這是干什么呢？既很難賺錢，又不是什么利國(guó)利民的科學(xué)貢獻(xiàn)，我天天跟網(wǎng)絡(luò)黑客們打什么交道呢？！”

某種意義上說(shuō)，王琦也是一名“黑客”，只不過(guò)不是搗亂者。“黑客也分攻擊和防護(hù)的團(tuán)隊(duì)，我們想讓別人理解，我們是保護(hù)信息的‘警察！”王琦敲了敲桌子，加重語(yǔ)氣。作為Keen 團(tuán)隊(duì)的創(chuàng)始人，包括王琦自己在內(nèi)，所有技術(shù)成員只有七八個(gè)人，全部致力于“捕捉系統(tǒng)信息安全漏洞和惡意攻擊事件”。過(guò)去十年中，這個(gè)團(tuán)隊(duì)成功解決超過(guò)2000起國(guó)外信息安全應(yīng)急響應(yīng)事件，包括馬來(lái)西亞總理府、臺(tái)灣“行政院”、澳門銀行網(wǎng)絡(luò)惡意入侵事件的調(diào)查與處理。

同時(shí)，Keen是近年來(lái)報(bào)告微軟、蘋果、谷歌系統(tǒng)漏洞最多的團(tuán)隊(duì)。2010 年美國(guó)《福布斯》雜志報(bào)道，當(dāng)年蘋果在一個(gè)月內(nèi)更新了64個(gè)安全補(bǔ)丁，這些漏洞中有6個(gè)是蘋果內(nèi)部研究人員發(fā)現(xiàn)，而15個(gè)由Keen團(tuán)隊(duì)首席科學(xué)家吳石發(fā)現(xiàn)。在全球最著名的黑客大賽之一Pwn2Own上，Keen連續(xù)兩年奪冠，30秒內(nèi)分別攻破了iPhone iOS 7.0.3、MacOS X Mavericks 10.9.2和Windows 8.1系統(tǒng)，轟動(dòng)全球。

然而在中國(guó)，極少人聽(tīng)說(shuō)過(guò)Keen。這讓王琦偶爾有些失落，“今天看來(lái)，國(guó)內(nèi)信息安全行業(yè)發(fā)展還需要更好的土壤，在這之前，我們只能默默無(wú)聞?！蓖蹒鶎?duì)《中國(guó)新聞周刊》說(shuō)。在網(wǎng)絡(luò)安全概念剛開(kāi)始萌芽的中國(guó)，Keen所面對(duì)的不只是默默無(wú)聞，同時(shí)還有來(lái)自黑市的誘惑。

“一個(gè)是伏地魔一個(gè)是甘道夫”

Keen團(tuán)隊(duì)的工作室在上海徐家匯一座并不起眼的辦公樓中，只有四十多平米。七八個(gè)團(tuán)隊(duì)核心成員是中國(guó)最早一批研究網(wǎng)絡(luò)安全的IT工程師，平均年齡34歲。他們絕大部分曾供職于微軟、摩根斯坦利等世界頂尖企業(yè)，從事安全研究工作。

他們一般選擇在下午開(kāi)會(huì)。因?yàn)楹芏嗳肆?xí)慣了熬夜工作，每次碰面時(shí)，總會(huì)有人黑著眼圈出現(xiàn)在狹小的會(huì)議室。這群高智商的研究員，其實(shí)和大多數(shù)中國(guó)普通網(wǎng)民一樣，在1990年代中后期接觸到互聯(lián)網(wǎng)，逐漸知道了病毒和軟件漏洞的概念。

2007年左右，這群對(duì)網(wǎng)絡(luò)安全充滿興趣的人漸漸聚集在一起。那時(shí)，他們更像個(gè)興趣小組，一起研究信息安全，捕捉更多的漏洞，并試圖將其修補(bǔ)。

兩年后，微軟推出了新搜索引擎產(chǎn)品bing（必應(yīng)），準(zhǔn)備打入中國(guó)市場(chǎng)。王琦和他的團(tuán)隊(duì)開(kāi)始考慮如何利用安全經(jīng)驗(yàn)幫助微軟的搜索業(yè)務(wù)更成功、互聯(lián)網(wǎng)用戶得到更多保護(hù)，于是利用工作之余研究如何讓Bing搜索引擎的結(jié)果更安全。當(dāng)時(shí)，這些人還沒(méi)有固定辦公室，幾乎所有交流都通過(guò)郵件。這需要彼此之間有足夠的信任。“我們彼此相信共同分享的代碼是不會(huì)被拿去做攻擊網(wǎng)絡(luò)安全的事?！蓖蹒鶎?duì)《中國(guó)新聞周刊》解釋。

很快，他們檢測(cè)出千萬(wàn)級(jí)別的惡意網(wǎng)頁(yè)，并將其屏蔽Bing之外。微軟美國(guó)總部負(fù)責(zé)必應(yīng)的高管陸奇專門發(fā)信贊揚(yáng)了這個(gè)中國(guó)研究團(tuán)隊(duì)。

同時(shí)，他們也開(kāi)始研究Office軟件。因用戶眾多，Office已經(jīng)成為被惡意攻擊的重災(zāi)區(qū)。2009年，微軟花重金用幾萬(wàn)臺(tái)虛擬機(jī)搜尋到1900多個(gè)漏洞，認(rèn)為已經(jīng)萬(wàn)無(wú)一失。而王琦、吳石和他的這群伙伴在一個(gè)月內(nèi)用幾臺(tái)機(jī)器就又查到了50多個(gè)漏洞。

2008到2010年之間，這個(gè)團(tuán)隊(duì)成員連續(xù)3年獲得“全球計(jì)算機(jī)漏洞挖掘”白金獎(jiǎng)，并入選Google安全名人堂。

當(dāng)年，包括王琦在內(nèi)，團(tuán)隊(duì)中很多人供職于微軟安全響應(yīng)中心，工作內(nèi)容之一就是負(fù)責(zé)亞太地區(qū)所有高級(jí)別的攻擊問(wèn)題。這是一群出類拔萃但又必須默默無(wú)聞的人?！耙?yàn)楣舴脚c被攻擊方都不會(huì)將這樣的事拿來(lái)宣傳。我們所得的獎(jiǎng)項(xiàng)，也是全球安全圈的評(píng)比，并不會(huì)對(duì)外曝光。”王琦對(duì)《中國(guó)新聞周刊》說(shuō)。

彼時(shí)，在中國(guó)真正做網(wǎng)絡(luò)安全研究的團(tuán)隊(duì)鳳毛麟角，因?yàn)椤皩?duì)攻擊技術(shù)的研究是網(wǎng)絡(luò)安全研究的基礎(chǔ)，而漏洞研究幾乎又是所有攻擊的前提，但，這種基礎(chǔ)研究如果不結(jié)合產(chǎn)品，不可能轉(zhuǎn)換為經(jīng)濟(jì)效益?！蓖蹒f(shuō)。

這成了一個(gè)悖論，迷戀安全研究的人，要么必須面對(duì)職業(yè)的天花板，要么只能突破道德甚至法律底線，在黑客產(chǎn)業(yè)鏈條上才能換取更高的收益。

2014年年初，瑞星發(fā)布的《2013年中國(guó)信息安全報(bào)告》中顯示，未來(lái)8年內(nèi)，國(guó)內(nèi)虛擬化行業(yè)將增長(zhǎng)近400億元的市場(chǎng)價(jià)值。

“而‘黑產(chǎn)的規(guī)模與此相當(dāng)甚至更多?！币粋€(gè)從事十年網(wǎng)絡(luò)研究的人員告訴《中國(guó)新聞周刊》，“2005年開(kāi)始，移動(dòng)互聯(lián)網(wǎng)還未盛行，而網(wǎng)頁(yè)游戲產(chǎn)業(yè)已經(jīng)在中國(guó)蓬勃發(fā)展。地下產(chǎn)業(yè)的小黑客常做的買賣就是游戲盜號(hào)，偷了武器之后再賣掉?；蛘呃蒙先f(wàn)個(gè)僵尸網(wǎng)站攻擊其他網(wǎng)站或刷流量。當(dāng)年一個(gè)擁有一萬(wàn)臺(tái)PC的僵尸網(wǎng)站月租費(fèi)就是6萬(wàn)元。隨便一個(gè)‘黑產(chǎn)上的攻擊團(tuán)隊(duì)可能月入上千萬(wàn)元?！?/p>

王琦也曾接觸過(guò)很多適合做網(wǎng)絡(luò)安全研究的苗子，但之后大都不再做研究，也確實(shí)賺了大錢。

當(dāng)然，王琦和他的團(tuán)隊(duì)如此優(yōu)秀，必然會(huì)有一些“誘惑”找上門來(lái)?！耙粋€(gè)漏洞，加上寫好的攻擊代碼，少則幾十萬(wàn)，多則幾百萬(wàn)?！蓖蹒鶎?duì)《中國(guó)新聞周刊》說(shuō)。

Keen團(tuán)隊(duì)的成員都拒絕了。“一旦沾上就很難洗白，在這個(gè)圈子里就瞬間失去了公信力?！蓖蹒f(shuō)，“那是萬(wàn)劫不復(fù)的深淵。”

在這方面，Keen團(tuán)隊(duì)的成員有道德潔癖。他們寧愿將把漏洞直接發(fā)送給廠商，理由十分簡(jiǎn)單，“直接發(fā)送給他們，能保證最快時(shí)間修補(bǔ)漏洞，廠商才是最重視漏洞問(wèn)題的。”王琦說(shuō)。

這個(gè)團(tuán)隊(duì)很反感別人把他們與普通黑客相提并論，“就像一個(gè)是伏地魔，一個(gè)是甘道夫。”王琦對(duì)《中國(guó)新聞周刊》說(shuō)，“要承認(rèn)，兩者都具有能力，但前者是作惡，后者是與人為善的。如果要稱呼我們?yōu)楹诳?，也?qǐng)一定加上定語(yǔ)，‘白帽黑客，相當(dāng)于警察?！?

黑客的崛起

黑客文化是伴隨著互聯(lián)網(wǎng)的發(fā)展產(chǎn)生的。在中國(guó)，第一批黑客開(kāi)始通過(guò)遠(yuǎn)程搞惡作劇，讓對(duì)方電腦“藍(lán)屏”，或者當(dāng)機(jī)。漸漸地，有些“段位”更高的黑客利用系統(tǒng)漏洞遠(yuǎn)程操作對(duì)方電腦。

隨著網(wǎng)絡(luò)病毒肆虐，軟件廠商逐漸有了安全意識(shí)。全世界第一個(gè)嘗試跟網(wǎng)絡(luò)黑客“搞好關(guān)系”的便是微軟。

2002年，比爾·蓋茨在美國(guó)提出“可信賴計(jì)算”的概念，當(dāng)時(shí)針對(duì)Windows系統(tǒng)的病毒橫行，但具體如何解決這個(gè)困境，微軟也并不清楚。

2003年6月，微軟修補(bǔ)了一些系統(tǒng)漏洞。但那之后，一些黑客通過(guò)系統(tǒng)前后的變化找到了漏洞具體位置，并將其公之于眾。一個(gè)病毒寫手根據(jù)這些漏洞代碼寫出了著名的“沖擊波病毒”， 造成當(dāng)時(shí)幾千萬(wàn)臺(tái)電腦感染或者宕機(jī)，微軟股價(jià)暴跌。

微軟怒不可遏，公開(kāi)指責(zé)這些公布代碼的黑客是“邪惡”的。這進(jìn)一步激怒了全球的黑客。這些高手開(kāi)始報(bào)復(fù)性地專門尋找微軟的漏洞并將其公開(kāi)。隨后，看清現(xiàn)實(shí)的微軟轉(zhuǎn)變了態(tài)度，決定“善待、尊重”這群黑客高手。他們專門成立“安全響應(yīng)中心”，工作之一就是每年贊助這些黑客社區(qū)的成員聚會(huì)，并希望他們?cè)趲椭④浾业铰┒粗螅苯痈嬖V他們，以幫助微軟進(jìn)行修補(bǔ)。

兩年之后，微軟成立第二個(gè)安全響應(yīng)中心小組，地點(diǎn)設(shè)在中國(guó)。原因是中國(guó)擁有越來(lái)越多水平較高的網(wǎng)絡(luò)黑客活動(dòng)，并且擁有了更多的Windows系統(tǒng)用戶。

2006年，這個(gè)小組在中國(guó)的成員只有三個(gè)人，王琦作為技術(shù)負(fù)責(zé)人是其中之一，專門負(fù)責(zé)技術(shù)層面的研究，尋找漏洞，搜集其他黑客們發(fā)現(xiàn)的漏洞，判斷是否能形成攻擊，并及時(shí)修補(bǔ)。

微軟美國(guó)總部和王琦很快注意到一個(gè)中國(guó)人的名字“吳石”。在報(bào)告給Windows操作系統(tǒng)漏洞中，他的名字出現(xiàn)頻率極高，“不光多，而且是別人發(fā)現(xiàn)不了的。”王琦說(shuō)。

美國(guó)總部研究人員專門來(lái)中國(guó)，希望親眼見(jiàn)到這位高手，并高薪外聘他為微軟的安全專家。王琦也因此結(jié)識(shí)了這位之后的“戰(zhàn)友”，很快，他們?cè)诟髯陨砩险业搅俗畲蟮墓餐c(diǎn)——對(duì)安全技術(shù)分析的強(qiáng)烈愛(ài)好與單純講求誠(chéng)信的價(jià)值觀。漸漸地，王琦和吳石的周圍開(kāi)始聚集起越來(lái)越多志同道合的“伙伴”。

干凈的生意

Keen的初創(chuàng)人員漸漸聚攏之后，由于一直堅(jiān)守著不參與黑市交易的原則，所以一直很難找到合適的盈利模式。在游戲產(chǎn)業(yè)興盛的時(shí)期，甚至有人建議團(tuán)隊(duì)人員“去太平洋電腦城支一個(gè)攤位，破解PS3游戲機(jī)，一個(gè)能賺一百塊，也比單純搞研究賺錢”。

作為團(tuán)隊(duì)創(chuàng)始人，王琦聽(tīng)著有些心酸。他清楚目前中國(guó)網(wǎng)絡(luò)安全的土壤并不好，但總不能埋沒(méi)這群程序員的才能，“去賺那個(gè)錢”。

“現(xiàn)在還沒(méi)想到這塊市場(chǎng)將是怎樣的一個(gè)蛋糕。但我們這里，有人會(huì)揉面，有人會(huì)劈柴，有人會(huì)燒火。能夠做一個(gè)饅頭出來(lái)，我們先賣，先開(kāi)一個(gè)鋪?！蓖蹒膭?lì)團(tuán)隊(duì)成員一起創(chuàng)業(yè)，漸漸打動(dòng)了他們。2011年，團(tuán)隊(duì)正式注冊(cè)了公司，取名Keen——敏銳之意。之前那些志同道合的朋友陸續(xù)加入進(jìn)來(lái)。

創(chuàng)業(yè)之初，很多所謂網(wǎng)絡(luò)安全信息產(chǎn)業(yè)內(nèi)的人都不能理解也不信任他們的工作。王琦試圖做網(wǎng)絡(luò)安全普及，但總是碰壁。大多普通用戶的回答是，“我的電腦沒(méi)什么重要資料，不用多安全，更不想花錢?！?/p>

每當(dāng)王琦向別人推銷和解釋自己的技術(shù)時(shí)，百分之百都會(huì)被問(wèn)到同一個(gè)問(wèn)題，“我們用了你們的技術(shù)，怎么能確保你們只是保護(hù)系統(tǒng)，而不是從我們這偷東西？”他不知該如何回答。

創(chuàng)業(yè)最初兩年，公司一直“勒緊褲腰帶做事”，盡量降低成本，也聯(lián)系過(guò)一些國(guó)內(nèi)的風(fēng)投公司，但絕大多數(shù)也不明白他們的技術(shù)，很多人對(duì)安全的理解，只停留在殺毒軟件的階段。Keen的合作方主要是微軟、谷歌這些國(guó)際上知名的系統(tǒng)廠商。

“因?yàn)槲覀兲瑹o(wú)聞了，國(guó)內(nèi)市場(chǎng)幾乎沒(méi)人知道我們?！蓖蹒行┦?。他決定從更成熟的市場(chǎng)入手，在國(guó)際上先打響知名度。

去年，Keen 在Twitter上注冊(cè)，只發(fā)布了幾十條推文，都是最簡(jiǎn)潔的公式或者一張圖，卻吸引了全球頂級(jí)黑客的關(guān)注?！皟?nèi)行人一看就明白，我們把對(duì)蘋果、微軟系統(tǒng)進(jìn)行安全突破的截圖放上去，就表明了我們的水平?！蓖蹒f(shuō)。

之后的兩屆全球黑客大賽上，Keen蟬聯(lián)冠軍，漸漸引起國(guó)內(nèi)媒體的關(guān)注。但是，他們?nèi)圆坏貌灰淮未螌?duì)外解釋“白帽黑客”的概念以及“信息安全”的真正定義。

比賽之后，在國(guó)內(nèi)的關(guān)注度給Keen帶來(lái)了一些風(fēng)投以及新的合作伙伴。2013年11月，微軟宣布將不再為Windows XP系統(tǒng)提供包括系統(tǒng)更新和安全補(bǔ)丁在內(nèi)的技術(shù)支持。騰訊就找到Keen ，希望聯(lián)合針對(duì)過(guò)渡期繼續(xù)使用XP系統(tǒng)的用戶提供服務(wù)。這是他們發(fā)揮自己能力的絕好領(lǐng)域。

在看慣過(guò)去很多“安全研究的好苗子”被黑市生意吞噬后，Keen團(tuán)隊(duì)中這群對(duì)技術(shù)和安全有著純粹追求的技術(shù)男，還是看到了一些改善，“國(guó)家和社會(huì)越來(lái)越理解和重視信息安全的重要性?！蓖蹒f(shuō)，“但這過(guò)程還不會(huì)那么快”。

“質(zhì)疑”和“不理解”不會(huì)很快消散，keen也只能用自己相信的東西慢慢說(shuō)服別人——技術(shù)和道德。