IT经理从黑客到红队

每天上午，有时候都要到十点了，王强才慢慢悠悠地去上班。再过几个月，他和他的同事们将从目前狭长的办公室里搬到宽敞而独立的办公间了。在那里，他们也许可以躺着工作，或者将自己心爱的滑板带过来。

王强  
在办公室里养着一只大青蛙，他把它放在大玻璃罐里面，每天工作之余都会去看望它。在他的家里，还养着一条狗和很多只乌龟。除此之外，王强还酷爱钓鱼。有一次，他和几位同事一起到大草原里游玩，却令人费解地带着鱼竿。别人都去骑马了，他却找到一个很大的水池边钓起鱼来。结果花了好几个小时的时间，挥了几百次的竿，最后却一无所获。直到要走的时候，他才听说水池里根本就没有鱼。

与王强类似，他的很多同事们也都有着各种看似稀奇古怪的爱好，也只有在这种宽松的环境下，他们的特殊技能才得到了最大程度的发挥。

王强和他的同事都是黑客，只不过他们已经不再是在网上自由闯荡的“独行侠”，而是组成了一只团队，并被纳入了公司的管理体系。这个1999年由启明星辰信息技术有限公司成立的组织有一个正式的名称—“积极防御实验室”（ADLAB）。

近年来，从“熊猫烧香”到“灰鸽子”病毒，从盗用网络股票交易帐户到网络游戏外挂，这些事件背后都有黑客的身影。但是，这也将“黑客”这个本来用来赞扬具备创新精神的技术天才的名词变成了网络罪犯的同义词。

“我们更愿意被人称为红队，因为我们是守护者而不是进攻者；而且，我并不是一个人在战斗。”一位ADLAB的成员认真地说道。

严格管理的黑客

两年前，有一位黑客通过植入僵尸程序，使得互联网上的8万台计算机变成了被他控制的“肉鸡”。在用户并不知晓的情况下，这些“肉鸡”被用来进行网络攻击和发送垃圾电子邮件等不法行为。

红队接下了找出这位“僵尸黑客”的重任，这是一个高难度的任务。“在互联网上，没有人知道你是条狗”。当然，要找到一个人就更加困难了。红队的三名成员日夜不停地查找着网络上留下的蛛丝马迹，希望能够从中分析出“僵尸黑客”实际的IP地址。但是，这位黑客显然也是此中高手，他每次上网的时候都非常小心，从来都是通过代理服务器，还要走好几次跳板，这也使得红队虽然花了半个多月的时间，收集到了很多有用的线索，但距离锁定目标却还是差那么一点点。

这位黑客一次偶然的失误帮助了他们，也许只是偶尔的疏忽，他这次上网的时候竟然没有使用代理服务器！虽然他很快就意识到了问题并改用了代理服务器，但是就是这么宝贵的一点时间就已经足够了—通过对积累的大量历史信息进行分析，红队最终锁定了他的IP地址。第二天，这位河北某地的黑客正在家中的时候，警察突然破门而入，一举将其抓获。 中国网管论坛bbs.bitsCN.com

“如果说以前我们还只是很自由主义的黑客的话，现在我们已经变成了维护网络安全的一种很正式的角色了。”虽然脸上的青春痘还没有退去，王强说起话来却已经显现出足够的成熟。

由于黑客们具备特殊的技能，因此管理起来就大有学问了：启明星辰既要给他们提供优厚的待遇和宽松的环境，也要对他们进行严格的管理。在日常工作中，红队有着非常严格的制度约束，例如绝对禁止进行未经授权的攻击测试、必须严格遵守保密制度、禁止介入用户内部的业务、必须定期参加公司的职业规范培训等。此外，公司也非常注重培养他们的社会责任、职业规划和团队精神。为此，公司甚至还返聘了航天员杨利伟所在部队的退休的政委，让他每周和红队的成员们单独谈心。

每年，红队都要对一些网站发动猛烈的“攻击”，这些网站有些隶属于国内知名的媒体集团，还有的则属于国内的一些大银行。当然，这种攻击都经过了被攻击者的允许，它实际上相当于一次类似实战的“军事演习”。

“我们绝对不允许进行任何未经授权的黑客攻击；如果这种情况出现的话，我们会立即进行处理。”启明星辰副总裁、ADLAB掌门人Lee表示。

网管下载dl.bitscn.com

在“攻击”的过程中，几乎所有的网站都发现了问题，这里说的问题不是简单的软件Bug，而是可以被黑客利用的安全漏洞。通过这种入侵渗透测试，红队就能够帮助他们的客户提高网站的安全防御水平；当然，客户要得到这种服务，必须支付一定的费用。

红队的生意

2001年5月，中美黑客之间曾经爆发了一场网络大战。红队并没有参与任何的攻击行为，而是忙着为伤痕累累的国内各大网站修补安全漏洞、恢复网页。如今，在中国举办的一些重大国际性运动会的网络安全保障上也出现了红队的身影。

如果用业内的“术语”来说，红队做的是“白帽子”的工作，即防御外界的非法入侵；而制作“灰鸽子”病毒的黑客扮演的则是“黑帽子”的角色，他们利用网络的安全漏洞实施攻击并谋取不当得利。

如今，红队每年都要为很多客户做十多次入侵渗透测试，而处理的黑客入侵事件则高达100多例。每当客户发出求救请求的时候，红队队员们都会在第一时间出现在事故现场，他们对此已经习以为常了。当然，这对于红队提高自身的技术水平也有很大的帮助，因为他们在现场能够了解到安全攻击手段的第一手资料，而这是坐在实验室里无法研究出来的。 网管bitscn_com

当然，红队对于启明星辰的业务也有很大的支持。作为专业的网络安全厂商，启明星辰有一个主力产品是入侵检测和防御系统，而这个产品的核心就是事件库。第一个事件库是王强建立起来的，后来红队又不断地将研究成果注入到事件库中，从而保证了启明星辰在这个领域的领先地位。

由于这块业务，红队还与全球最大的软件公司微软“不打不相识”。2005年12月，红队发现Windows操作系统存在3个致命的安全漏洞。根据业内的惯例，他们先将这些漏洞通过电子邮件和网站提交的方式通报给了微软。但是，他们迟迟都没有收到微软的答复。

无奈之下，他们只好将报告提交给在这方面权威的国际漏洞公布组织（CVE）。在得到CVE的认可后，他们将自己的研究成果率先对外界发布。当时正值圣诞节，他们的这个举动在网络安全领域引起了轰动，以前还没有其他国内组织能够如此大规模地发布微软的安全漏洞。

这下子，微软终于也发现了这些漏洞并打了补丁。事后，“愤怒”的微软指责红队怎么不说一声就对外界发布，直到红队找出了此前向微软提交的邮件和网站记录之后才改变了态度。“要有发言权，你就必须有实力。”如今，微软专门安排了一名员工与红队保持联系，并对红队发布的安全漏洞在第一时间进行验证。 网管bitscn_com

去年，启明星辰的ADLAB已经成为国内发布安全漏洞的冠军，仅得到CVE认可的安全漏洞就有23个，这已经远远超出了其他国内安全厂商提交的数量。对于启明星辰这样的专业安全厂商来说，红队的技术积累和研究成果起到了至关重要的作用。

团队而非个人

王强很满意自己现在的状态，他的队友们也是如此，虽然有一些国外安全厂商开价百万年薪想把他们挖走，而且他们也面临着卖代码或者做外挂获取暴利的潜在诱惑—在中国，黑客的地下产业链已经非常发达。但是，王强仍然选择了留下来，近年来整个红队队员的流失率也是非常之低。

“其实，搞技术的人都是很单纯的。如果他们很喜欢自己的工作，有一个很舒适的环境，有一个很好的职业规划，有一个和谐的团队氛围，他们就不会去做违反原则的事情。就算是每个月多几千块钱，你的生活又能改变什么呢？关键是做自己感兴趣的事情。”

在加入ADLAB之前，王强是一名不折不扣的黑客。80后的他早在初中时就对计算机着了迷，从286微机和DOS操作系统一路玩起，他的编程水平越来越高。后来，他开始疯狂地迷上了黑客，这是因为，“黑客做的很多事情都是不确定的，除了你本人之外没有人知道要往哪个方向前进，这是最吸引我的地方。”

来到北京上大学的王强学的是法律，可是他却一点都不喜欢这个专业，仍然醉心于黑客技术的研究。他很快就有了自己的成果。在校期间，他首先发现了IE浏览器的一个致命的安全漏洞，并将自己的发现传播到了黑客的小圈子里面。此时，ADLAB的负责人找到了他，问他愿不愿意做一名职业黑客，他自然是毫不犹豫地放弃了大学的学业并投身其中，“这不仅是我的工作，也是我的兴趣所在。”

与王强的经历类似，很多黑客之所以加入这个团队，都是因为自己的兴趣爱好。张丽大学毕业已经有10年的时间了，她在学校里学的是通信专业，却没有像很多同学那样去电信运营商那里，“他们很多都进了机房，管理一些设备，很多工作都和技术没多大的关系，我不是很感兴趣。而做网络安全，你的每一天都是新鲜的。”

渐渐的，ADLAB形成了几十人的规模并稳定了下来。实际上，要一下子找到那么多的黑客高手也并不是一件容易的事情，他们也都不是全才—王强的特长是在Windows操作系统方面，张丽则对数据库研究得更深一些；至于赵晓，他对Linux更加熟悉。此外，红队中还有专门研究Unix的，研究智能手机软件的，大家组合在一起，才能发挥出团队的威力。“一个没有黑客团队的安全公司不会有技术领先优势；但是，如果只是以黑客文化作为公司的文化，这家公司不仅无法走入正轨，也根本无法发展壮大。” ADLAB掌门人Lee认为，“如今网络的技术发展太快了，只掌握一门技术已经不能够解决哪怕是一个客户的安全问题了。因此，独行侠的时代已经逐渐过去。如果你把那些黑客比作武林高手的话，我们就更像是三角洲特种部队，任何一位武林高手都不可能击败作为团队的特种部队，这其实也是成立红队的主要原因。” 网管论坛bbs_bitsCN_com