📖 ZKIZ Archives

安全公司只是摧毀網絡犯罪的基礎設施，並不去追究背後的罪犯，但只有真正抓住背後黑手，才是網絡安全的終極解決方案◎ 財新記者 覃敏 文qinmin.blog.caixin.com 北京一家五星級酒店的豪華會客室內，一名長髮披肩、雙臂紋身的男人隨手拿起自己的iPhone，漫不經心地操弄了幾下，不到五分鐘，輕輕鬆松就攻入了現場一位嘉賓的手機，不僅獲取了嘉賓的所有短信，還錄下了嘉賓與周圍人群的談話。

對他來說，手機就像沒有上鎖的大門，他可以大搖大擺進進出出。他能悄悄地偷走用戶的話費、虛擬貨幣甚至真實的賬戶資金，也可以通過特殊的地下黑市批量出售用戶信息，他甚至還可以受僱于某些企業或個人竊取機密。這些都可以為他帶來不錯的財富，只不過，他斷然拒絕了這甜蜜卻邪惡的誘惑。

與之相反，他將配合執法機構譬打擊網絡犯罪視為職業生涯中最大的成就。在他看來，安全公司只是摧毀網絡犯罪的基礎設施，並不去追究背後的罪犯，但只有真正抓住背後黑手，才是網絡安全的終極解決方案。目前，他參與的案件數以百計。

他是里克· 弗格森（Rik Ferguson），一名經過政府機構認證的白帽黑客。里克幫助許多政府機構譬如英國警方設計安全架構，他是歐洲刑警組織和國際網絡安全防範聯盟（ICSPA）項目負責人，還經常在RSA、RUSI 等世界級信息安全大會上擔任主持人。全球網絡安全圈子幾乎都知道他的名字。2011年4月，里克正式踏進歐洲信息安全名人堂。這是歐洲安全領域的頂級榮譽，全球安全廠商卡巴斯基公司CEO 尤金· 卡巴斯基位列其中。

聲名赫赫之下，里克仍像黑客一樣低調，很小心地在網上留下足跡，外界很難窺見里克的出生、個人生活和日常工作。他潛伏著，在沒有人看到的地方，卻默默堅守著心裡的底線——不能違法。

黑客“無間道”

里克現在經常使用的身份是安全廠商趨勢科技的安全研究副總裁。在趨勢科技CEO 陳怡樺眼裡，里克的貢獻之一是讓趨勢科技在應對網絡安全挑戰時“ 知己知彼”：里克對黑客的地下論壇瞭如指掌，“ 他和做壞事的黑客不是同類，卻能夠從裡面獲得信息，讓我們瞭解黑客的行為”。

黑客們有自己專門的論壇，是安全業界心照不宣的秘密。這些論壇像普通論壇一樣，每個黑客都有自己的等級，等級高低取決于黑客在論壇上待的時間，也取決于地下交易的成交量大小、用戶的反饋。黑客之間的交流和互動，絕大部分通過地下論壇完成。地下論壇會有一個特別的交流方式，即便說的是母語，一個外來客能看見每一個文字，卻不明白到底表達的是什麼意思。

一名互聯網資深人士說，進入黑客地下市場很不容易，需要足夠的耐心和智慧。許多互聯網從業人員連入口都找不到，好不容易混進去，又常常被識破不是同道中人，很快被踢出來。

里克已經在黑客地下市場潛伏了十多年。2002年前後，他進入全球殺毒廠商McAfee 擔任高級產品工程師不久，出于個人興趣，開始接觸黑客地下論壇。“ 地下論壇的信息有一部分是同事分享給我，更多的是我自己通過穀歌做一些查證工作瞭解到的。”這些查證並不是簡單的通過查“ 黑客”這些單詞，而是一些黑客圈里的專業術語。里克瞭解到這些專業術語，開始做一些調查，追蹤到那些論壇，然後深入到其中。

黑客的地下論壇一般都由圈子里有名望的超級黑客建立，再嘯聚大大小小的黑客。這些黑客有各種不同的專長，有人善於寫代碼，有人專門把惡意代碼打包起來使其不容易被發現，有人擅長做測試以檢驗代碼會不會被安全掃描發現，有人專門販賣信用卡信息，有人專門做假信用卡，還有人負責資金轉移……形成了完整的產業鏈。

黑客們在地下論壇會貼公告公佈自己可以提供的服務，與買家討價還價。

里克解釋，它的形式有點像淘寶，超級黑客搭了一個平台，黑客們都在上面開店賣各種服務，用戶看中自己需要的服務就與賣家私聊，價格談得攏就成交。

只不過，黑市里，大部分人都覺得對方是不可信的，就會出現一些中間人，比如一筆信用卡信息交易，雙方談攏之後，賣家會將批量的信用卡信息給中間人，買家則將約定好的錢打給中間人，由中間人驗貨並交換。中間人由黑客里較有影響力的人擔任，一般是論壇版主。若買賣雙方願意，不經過中間人也可以私下交易。

里克安靜地在地下論壇潛伏，像無間道里的臥底一般默默觀察，最大限度地搜集黑客時下流行的操作方法或一些活躍黑客的痕跡。他偶爾也偽裝成地下黑客的一份子，主動與活躍的黑客溝通，以便更深入地收集信息，比如瞭解某個黑客發郵件或打包文件的慣用手段。

“ 我一般都是看別人說什麼，自己很少去發表言論。畢竟我做安全工作，若在地下論壇很活躍，和我的工作性質相悖。”里克瞪大了眼睛，極其認真地說。

地下黑客不是沒有懷疑過里克的身份。他們措辭激烈，質疑里克是警方工作人員，至少是虛假的交易者。里克的應對措施往往是裝“ 無辜”，淡定地堅稱“ 我就是個新人，初來乍到，如果你要跟我分享一些東西我會很高興”。

“ 在地下論壇里，大家都是相互攻擊的，指責對方假冒黑客的事情太多了。而我雖然登錄的時間久，但論壇里等級評定還要看生意做得大不大，我又不做生意，所以一直是個新人。”里克說，地下論壇里，只要經常登錄，不時發言，一般都不會被清理出去。

不過，現在想要進入地下論壇已不如十多年前那般容易。以前，黑客的地下論壇很多都處於公開的狀態，只要能夠找到，註冊進去就可以了。現在很多公開狀態的地下論壇都關閉了，或者是假的，註冊進虛假的地下論壇不僅無法獲得任何信息，自己的信息反而會被黑客盜走。目前更多的黑客論壇實行內部推薦制，或者需要經過認證才能進入。

一直臥底的里克不認為可以關閉掉所有的地下論壇。美國FBI 曾重點打擊過黑客地下論壇，他們監測到了這些論壇，花一段時間搜集論壇上的所有信息，然後出手。但一個地下論壇關掉之後，黑客們馬上又會悄悄地重建新論壇，畢竟這裡涉及的經濟利益太大了。

“ 我會呆在裡面，看大家如何在黑市裡面去交易。”里克說。

找到幕後黑手

2007年之前，里克還只是偶爾配合網絡執法，像一個單純的黑客地下王國觀察者。2007年來到趨勢科技之後，里克開始頻繁與執法部門接觸並將其作為自己的日常工作。

陳怡樺介紹，趨勢科技和許多國家的執法部門有密切合作，做得最多的是分析病毒包含哪些內容，其次是幫助執法部門找到病毒的來源，分析可能的犯罪集團。趨勢科技也幫助執法部門做“ 搜證”的工作，但囿于人力無法做太多的工作。最近，趨勢科技跟國際刑警組織合作，給多個國家的警方培訓怎樣找出網絡罪犯、可以使用哪些工具等。

目前，趨勢科技在全球範圍內有6000多名員工，其中2000多名是技術工程師，大約五六百人可以勝任分析病毒、解碼的工作。至於搜集證據直至最後呈上法庭，大約只有30多人可以做到。“ 這種能力實在很難訓練，而且歷時長，需要耐心。”陳怡樺說。

作為趨勢科技的代表，里克與國際刑警組織對接，經常要參與追蹤一些跨國網絡犯罪。

“ 我們經常做的工作是將警方獲得的犯罪信息與我們的數據庫進行比對、分析，確定罪犯的大致範圍。舉個例子，當警方提供給我們一款惡意軟件，我們會對惡意軟件進行分析，找到它的基礎設施譬如IP、服務器地址，再通過註冊信息等線索搜索到一些諸如個人的電話號碼、郵件、用戶名、口令信息。

我們將這些信息與黑客地下論壇搜集的數據相比對，看看黑客論壇里哪些人談論了一些相關的信息，以及這些人之間有怎樣的邏輯聯繫。”里克說，他們有專門的工具進行這樣的邏輯分析，最終找到真實的罪犯。里克小心翼翼地不踩法律的紅線。

“ 在法庭上所有證據都要被公開，如果有些證據是通過非法手段獲取的，對方辯護時會大肆攻擊這一點，這可能讓之前做的努力都白費了。”里克說，取證的方式要非常小心，比如說趨勢科技有技術可以入侵黑客論壇，並且可以監控黑客聊天記錄，但趨勢科技不是執法部門，“ 我們都是把追蹤到的服務器所在位置告訴警方，讓警方進行監控”。

出于保密要求，里克不能透露他參與過哪些跨國網絡大案。不過，從一些允許公開的網絡犯罪案件里，里克的能力可窺一斑。比如去年一款惡意軟件偽裝成西班牙警方，鎖定了成千上萬用戶電腦上的文件，聲稱用戶違反了某某法律必須繳納罰款才能解鎖。警方遭到用戶投訴，於是著手調查。期間，警方向趨勢科技尋求幫助，經過六個月的漫長追蹤，里克的團隊發現了這款惡意軟件的服務器、IP 信息，並通過地下論壇信息比對鎖定了犯罪嫌疑人活動的論壇。

里克將論壇服務器地址提供給了西班牙警方，西班牙警方一直監控著該論壇的動向，注意到該嫌疑人發佈了要從迪拜轉機去某地度假的信息，他們聯合歐洲刑警組織到迪拜機場逮捕了嫌疑人。

“ 現在，這起案件已經有11人落網。

在迪拜逮捕的是整起案件的首腦，策劃、組織了整個交易過程。另外又在西班牙逮捕了十人，他們只是負責收錢的。”里克說。

里克將20%-30% 的工作時間交給了配合網絡執法。一旦遇到大案子，里克全身細胞都興奮起來，經常簡化了吃飯、睡覺、娛樂各種活動，像獵犬一樣在網上展開追蹤。迄今為止，里克參與的案件數以百計。

里克介紹，針對普通的消費者，黑客大部分會使用惡意軟件進行攻擊，譬如利用銀行類惡意軟件操縱消費者賬戶。若針對特定的目標譬如某家公司，通常就不太用惡意軟件，而是仔細研究目標公司的員工或工作流程是否有缺口，想方設法利用缺口攻入某一台電腦，再以這台電腦為基點一步步提升權限，獲得想要的東西。最容易受到攻擊的是政府、電訊、軍事領域，特別是軍事製造企業，還有一些高科技公司。

“ 我們所做的不僅僅是幫受到毒害的用戶清理他們的電腦，摧毀網絡犯罪的基礎設施，我們希望把幕後真正犯罪的人抓到，實現一個終極解決。”不過里克承認，現在起訴成功並判刑的案件占比還不夠多。

犯罪學心理師

盡管里克參與了多起跨國網絡犯罪大案，他的編程水平不怎麼高明。里克的現任老闆陳怡樺評價，里克不是趨勢科技裡面最高級的程序員，實際上他不太會寫程序。里克的長處是完整分析事件的能力，從而知道別人在想什麼、下一步會幹什麼。

在里克看來，要成為一個優秀的黑客，好奇心很重要，“ 你看到了一件事情，要去想這件事是怎麼發生的，為什麼會這麼發生，接下來可能會怎麼走”。

出生于上世紀70年代的里克， 大學畢業之前一直生長在英國。他身高一米八五左右，長著一張典型英國紳士的臉，擁有高挺的鼻子和抿成一條線的嘴，金黃色的頭髮堪堪過肩，經常穿休閒的T 恤和帆布鞋，說起話來也是溫和幽默，一副好好先生的模樣。不過，稍微熟悉他的人都知道，里克性格活潑，愛玩愛鬧，在好幾個樂隊里擔任主唱，還不時去逛逛夜店，恣意得像他雙臂上黑紅相間的精緻刺青。

他從來沒有對自己的人生有過清晰的規劃，像所有小孩子一樣，七歲時想當宇航員，十歲時想當演員。天性散漫的里克後來發現自己對電腦有莫名的熱情。11歲的時候他獲得了第一部電腦，內存只有48k，能運行一行行數據。“ 自從有了這台電腦，每個月我都會訂一本名字叫《Your Computer》的雜誌，這個雜誌中間有六頁全是代碼，我就坐在那裡把所有代碼敲到電腦裡面，看這些代碼的運行。我花了大部分時間做這個事情。”里克說，“ 當然，我也喜歡看女孩圖片。”大學畢業的時候，里克並沒有從事計算機工作。實際上，學法語的里克在很長一段時間內找不到工作，“ 拒絕信都收了很厚一摞”。他最終到了一家打印機公司上班，負責最底層的編程工作。“ 工作過程中，我發現別人發過來 的信息存在一些問題，我需要找出問題 所在，而且需要知道為什麼會發生這些問題，還要找出解決辦法。學會瞭解決問題的同時，我也學會了如何破壞。”里克說。這種全盤的思考習慣延續到了里克之後的所有工作當中。

陳怡樺在趨勢科技遇見里克的時候，稱里克為犯罪學心理師，“ 他會知道為什麼罪犯要做這件事，會用什麼手段來做。這很難解釋，就像偵探會分析頭髮、比對DNA，屬於犯罪心理學。”里克解釋為什麼很多學計算機專業的畢業生都沒有成為黑客時，多次提及心理學。他說，黑客涉及了很多計算機專業之外的知識，特別是涉及了很多心理學的知識。計算機專業的畢業生數學非常好，邏輯性和技能非常強，他們所做的事就是設計好一個系統，然後考慮最終運行的結果。黑客不是從設計角度去考慮，而是從用戶角度去考慮，考慮用戶怎麼使用系統、存在什麼樣的漏洞、用戶行為會因此怎樣改變。此外，黑客還要考慮社交工程，例如，怎樣使用郵件偽裝成用戶的老熟人或者怎麼騙取人家的信任等等，這些都是非邏輯的東西，很多都涉及心理學。“ 成為黑客，一個非常重要的技能是你的好奇心。它和你在學業上的努力是兩碼事。”