我不是前LulzSec黑客团队成员，不是前FBI，我是一个安全研究员。

——海克特·蒙赛格

6个月前，著名黑客海克特·蒙赛格，从社交媒体上精心挑选了某西雅图科技公司新招聘的十几名员工，向他们发送了一封电子邮件。他发送的电子邮件，其实是经典的网络钓鱼骗局：伪造一份通知，要求目标登录公司的内部信息共享平台。但与任何合格IT员工都不屑一顾的那种简陋URL的网络钓鱼垃圾邮件不同，这个链接看起来像是具有相当可信度的自有网站子域名。

蒙赛格使用了域名系统枚举的方法，挖掘出该公司以前用来连接第三方服务的一个废弃子域名。他将自己的钓鱼网站建立在该URL上，虚假登录页面看起来就像是托管在该公司内部网络中一样。大约半数的目标都吞下了诱饵，这位33岁的黑客坐在自己位于曼哈顿的公寓中，就迅速收获了访问该公司内网所需全部权限，电邮归档、敏感文件、DNS注册凭证等可用于劫持公司网站的资源也落入手中。蒙赛格说：“这基本宣告了游戏结束。仅1次社会工程行动，就获取到所需全部东西。”

5年前， 蒙赛格还是著名黑客组织“匿名者(Anonymous)”下属组织Lulzsec的领军人物，网上尊号Sabu。若是5年前的他，那么他会盗取该公司数据，发布到网上，并在推特上广为宣传此次信息窃取。但在2016年，蒙赛格已改头换面，不再将数据发送给团队成员，而是写了一份关于该公司不安全因素的报告，附上一张内容充实的发票，然后下班。

过去一年里，Sabu都很低调地在一家小小的西雅图安全公司Rhino安全实验室工作，作为他们的首席渗透测试员，带领一个6人小组，专职突破客户网络以展示漏洞并帮助公司打上补丁。该工作标志着他朝向全职网络安全工作的华丽转身。

之前，作为激进黑客团队高傲的队长，他有着一份相当高调的履历，几乎天天在入侵各种目标，包括索尼、美国公共广播公司(PBS)、新闻集团，以及HBGary和Mantech之类的安全公司。自从被抓，他的狂暴黑客生涯便戛然而止，迅速收缩成了一名FBI线人，帮助该机构预防他曾帮助策划过的类似网络攻击。然后，签署认罪书之后，享受了7个月的铁窗生活。

如今，他的新白帽职位正在经受考验：公司企业是否会允许全球最臭名昭著的黑客——无论是否改过自新，来攻击他们的网络；网络安全行业是否会将不久前还各种重创安全公司的黑客，接纳到自己阵营一方。

我不是前LulzSec黑客团队成员，不是前FBI，我是一个安全研究员。Sabu只是一个符号。此人已不再存在。今天在你们面前的，只是普通职员，照顾家庭，支付各种账单。

据蒙赛格的新老板，Rhino创始人本·考迪尔说，目前为止，公司企业令人惊讶地非常渴望请蒙赛格来测试他们的安全。只有一家客户拒绝接受前黑帽子探测他们的服务器漏洞，让Rhino将蒙赛格从渗透测试队伍中排除掉。不过，考迪尔称，客户将蒙赛格的参与，视作Rhino的安全审计真实有效的额外保障——他有助于修复那种真正的黑帽子可能会利用的安全漏洞。“就像是篮球队里有乔丹一样。他们知道海克特，这个名字出现在太多新闻头条里了。他们雇佣我们的时候就知道，有海克特在，每个漏洞都能找出来。”

考迪尔称，蒙赛格已经进行过数十次客户渗透测试，每个案子中都成功侵入了目标网络。例如，一项工作中，蒙赛格通过在Excel电子表格中植入恶意XML代码，黑掉了某大型零售商的工单上传网页。另一场针对金融公司的攻击里，蒙赛格挖掘出了曾被发布在网上的旧凭证。他让考迪尔接近那家公司总部，站在他们楼下，用一台笔记本电脑+一根天线，挨个测试那些凭证能不能用。最终找到一个能用的凭证，借以登录该公司Wifi网络，然后渗透进他们的服务器。

从进监狱的罪犯黑客，到职业渗透测试员，是很多黑客曾经走过的路。但是几乎没人像蒙赛格及其LulzSec团队那样公然黑过如此之多的受害者，他们在5年前甚至一手缔造了重创安全产业的所谓“LulzSec之夏”。那时，在2个月的疯狂作案过程中，蒙赛格的LulzSec团队几乎每天都在黑目标，明目张胆地在推特上公布他们的行动，将几百GB的被盗数据晒在网上。“他们是破坏的主力军。我从没见过如此疯狂的黑客活动。就像‘匿名者’突然爆发了一样。”安全公司 Taia Global 创始人及《深入网络战争》作者杰弗瑞·卡尔说。

那年夏天，蒙赛格被探员发现之后转成了FBI线人，离间了黑客社区中更为颠覆性的一面。很多人依然在谴责他辅助FBI抓捕“匿名者”黑客成员，比如杰里米·哈蒙德，现在还因入侵了情报公司Stratfor而在服他那10年刑期。去年蒙赛格本来被安排在卡尔的“Suits and Spooks”安全大会上做演讲的，但网上的抗议逼使大会纽约会场在最后一刻取消了现场预订。“对海克特的恨是疯狂的。”卡尔说。

穆斯塔法·埃尔巴萨姆，来自英国的LulzSec成员，2013年在即将进入伦敦大学学院攻读博士学位之前，因计算机攻击行为被判进行社区服务。他说：“从个人角度来说，我不会信任他。他习惯于操纵别人……这就是FBI觉得他作为线人的价值所在。”

而蒙赛格，则坚称自己从未指认过任何“匿名者”黑客同行给FBI。(他的辩护律师在裁决听证庭上给他漏了气，告诉法官说“他的帮助，让政府得以撕裂该组织的伪装，指认并定位其核心成员，成功起诉他们。”蒙赛格称之为“为了减刑的政治性声明”。)他说自己十分后悔犯下的各种大型黑客活动，比如曝光 HBGary Federal 首席执行官攻击维基解密和其他激进分子的阴谋电邮，最终导致其辞职。“这是我做的，我感觉很不好。我没有扮演上帝去评判并惩罚他们的权力。”

不过，蒙赛格更倾向于忘记过去向前迈进，而不是所谓的赎罪。他被释放后的3年时间里，都不可以使用电脑，让他只能在纽约皇后区为家里的拖车生意干活。后来，他在找工作上依然受限：网络安全公司甚至连对跟他谈话都忧心忡忡。他转而将自己的黑客技术应用到雅虎和联合航空这样的公司组织的“漏洞奖励”项目上，通过向这些公司报告一系列漏洞，赚取数千美元和百万英里的常客飞行里程奖励。

既然已经找到全职工作，蒙赛格说自己也就不会再退回到黑帽子习惯了。他还记得与一位犯了移民欺诈的犹太学者狱友的长谈，从他那里学到了卡巴拉数字命理学，聆听过优美的希伯来语唱诗。蒙赛格说，那位学者解释称，某种程度上，犹太文化中死亡有着不同层次，监狱代表着其中一种仍可救赎的死亡形式。“我从中认识到，自己处于十字路口，可以选择保持死亡状态，或者试图前行，朝向美好生活，去做一些事情。Sabu已死，站在你面前的是海克特·蒙赛格。”

译自《连线》杂志
原文作者：Andy Greenberg