白帽黑客

王臣

黑客其实也分为攻击者和保卫者。那些捍卫网络安全的技术人员被称为“白帽黑客”。如果破坏者是伏地魔，那么“白帽黑客”就是甘道夫。中国的Keen团队就是这样一群人。

创业前的10年里，王琦经历过无数个通宵达旦编写程序的夜晚。有几个早晨，他习惯性地翻看当日的新闻头条，也会恍惚。比如，看到刚过而立之年的盛大网络董事长陈天桥晋身“中国首富”或者中国神舟飞船发射成功的消息时，王琦就会自己嘀咕：“我这是干什么呢？既很难赚钱，又不是什么利国利民的科学贡献，我天天跟网络黑客们打什么交道呢？”

某种意义上说，王琦也是一名“黑客”，只不过不是捣乱者。“黑客也分攻击和防护的团队，我们想让别人理解，我们是保护信息的‘警察！”王琦敲了敲桌子，加重语气。作为Keen团队的创始人，包括王琦自己在内，所有技术成员只有七八个人，全部致力于“捕捉系统信息安全漏洞和恶意攻击事件”。过去10年中，这个团队成功解决超过两千起国外信息安全应急响应事件，包括马来西亚总理府、台湾“行政院”、澳门银行网络恶意入侵事件的调查与处理。

同时，Keen是近年来报告微软、苹果、谷歌系统漏洞最多的团队。2010年美国《福布斯》杂志报道，当年苹果在一个月内更新了64个安全补丁，这些漏洞中有6个是苹果内部研究人员发现的，而15个由Keen团队首席科学家吴石发现。在全球最著名的黑客大赛之一Pwn2Own上，Keen连续两年夺冠，30秒内分别攻破了iPhone iOS 7.0.3、MacOS X Mavericks 10.9.2和Windows 8.1系统，轰动全球。

然而在中国，极少人听说过Keen。这让王琦偶尔有些失落，“今天看来，国内信息安全行业发展还需要更好的土壤，在这之前，我们只能默默无闻。”王琦说。在网络安全概念刚开始萌芽的中国，Keen所面对的不只是默默无闻，同时还有来自黑市的诱惑。

“一个是伏地魔

一个是甘道夫”

Keen团队的工作室在上海徐家汇一座并不起眼的办公楼中，只有40多平方米。七八个团队核心成员是中国最早一批研究网络安全的IT工程师，平均年龄34岁。他们绝大部分曾供职于微软、摩根士丹利等世界顶尖企业，从事安全研究工作。

他们一般选择在下午开会。因为很多人习惯了熬夜工作，每次碰面时，总会有人黑着眼圈出现在狭小的会议室。这群高智商的研究员，其实和大多数中国普通网民一样，在二十世纪90年代中后期接触到互联网，逐渐知道了病毒和软件漏洞的概念。

2007年左右，这群对网络安全充满兴趣的人渐渐聚集在一起。那时，他们更像个兴趣小组，一起研究信息安全，捕捉更多的漏洞，并试图将其修补。

两年后，微软推出了新搜索引擎产品Bing（必应），准备打入中国市场。王琦和他的团队开始考虑如何利用安全经验帮助微软的搜索业务更成功、互联网用户得到更多保护，于是利用工作之余研究如何让Bing搜索引擎的结果更安全。当时，这些人还没有固定办公室，几乎所有交流都通过邮件，这需要互相信任。“我们彼此相信共同分享的代码是不会被拿去做攻击网络安全的事。”王琦解释。

很快，他们检测出千万级别的恶意网页，并将其屏蔽于Bing之外。微软美国总部负责Bing的高管陆奇专门发信赞扬了这个中国研究团队。

同时，他们也开始研究Office软件。因用户众多，Office已经成为被恶意攻击的重灾区。2009年，微软花重金用几万台虚拟机搜寻到1900多个漏洞，认为已经万无一失。而王琦、吴石和他的这群伙伴在一个月内用几台机器就又查到了50多个漏洞。

2008年—2010年之间，这个团队成员连续3年获得“全球计算机漏洞挖掘”白金奖，并入选Google安全名人堂。

当年，包括王琦在内，团队中很多人供职于微软安全响应中心，工作内容之一就是负责亚太地区所有高级别的攻击问题。这是一群出类拔萃但又必须默默无闻的人。“因为攻击方与被攻击方都不会将这样的事拿来宣传。我们所得的奖项，也是全球安全圈的评比，并不会对外曝光。”王琦说。

彼时，在中国真正做网络安全研究的团队凤毛麟角，因为“对攻击技术的研究是网络安全研究的基础，而漏洞研究几乎又是所有攻击的前提，但这种基础研究如果不结合产品，不可能转换为经济效益。”王琦说。

这成了一个悖论，迷恋安全研究的人，要么必须面对职业的天花板，要么只能突破道德甚至法律底线，在黑客产业链条上才能换取更高的收益。

2014年年初，瑞星发布的《2013年中国信息安全报告》中显示，未来8年内，国内虚拟化行业将增长近四百亿元的市场价值。

“而‘黑产的规模与此相当甚至更多。”一个从事10年网络研究的人员透露，“2005年开始，移动互联网还未盛行，而网页游戏产业已经在中国蓬勃发展。地下产业的小黑客常做的买卖就是游戏盗号，偷了武器之后再卖掉。或者利用上万个僵尸网站攻击其他网站或刷流量。当年一个拥有1万台PC的僵尸网站月租费就是6万元。随便一个‘黑产上的攻击团队可能月入上千万元。”

当然，王琦和他的团队如此优秀，必然会有一些“诱惑”找上门来。“一个漏洞，加上写好的攻击代码，少则几十万，多则几百万。”王琦说。

Keen团队的成员都拒绝了。“一旦沾上就很难洗白，在圈子里就瞬间失去了公信力。”王琦说，“那是万劫不复的深渊。”

在这方面，Keen团队的成员有道德洁癖。他们宁愿将把漏洞直接发送给厂商，理由十分简单，“直接发送给他们，能保证最快时间修补漏洞，厂商才是最重视漏洞问题的。”王琦说。

这个团队很反感别人把他们与普通黑客相提并论，“就像一个是伏地魔，一个是甘道夫。”王琦说，“要承认，两者都具有能力，但前者是作恶，后者是与人为善的。如果要称呼我们为黑客，也请一定加上定语，‘白帽黑客，相当于警察。”

干净的生意

Keen的初创人员渐渐聚拢之后，由于一直坚守着不参与黑市交易的原则，所以一直很难找到合适的盈利模式。“现在还没想到这块市场将是怎样的一个蛋糕。但我们这里，有人会揉面，有人会劈柴，有人会烧火。能够做一个馒头出来，我们先卖，先开一个铺。”王琦鼓励团队成员一起创业，渐渐打动了他们。2011年，团队正式注册了公司，取名Keen——敏锐之意。之前那些志同道合的朋友陆续加入进来。

创业之初，很多所谓网络安全信息产业内的人都无法理解和信任他们的工作。王琦试图做网络安全普及，但总是碰壁。大多普通用户的回答是，“我的电脑没什么重要资料，不用多安全，更不想花钱。”

每当王琦向别人推销和解释自己的技术时，百分之百都会被问到同一个问题，“我们用了你们的技术，怎么能确保你们只是保护系统，而不是从我们这偷东西？”他不知该如何回答。

创业最初两年，公司一直“勒紧裤腰带做事”，尽量降低成本，也联系过一些国内的风投公司，但绝大多数不明白他们的技术，很多人对安全的理解，只停留在杀毒软件的阶段。Keen的合作方主要是微软、谷歌这些国际上知名的系统厂商。

“因为我们太不知名了，国内市场几乎没人知道我们。”王琦说。他决定从更成熟的市场入手，在国际上先打响知名度。

2013年，Keen在Twitter上注册，只发布了几十条推文，都是最简洁的公式或者一张图，却吸引了全球顶级黑客的关注。

之后的两届全球黑客大赛上，Keen蝉联冠军，渐渐引起国内媒体的关注。但是，他们仍不得不一次次对外解释“白帽黑客”的概念以及“信息安全”的真正定义。