揭秘乌云网：“白帽子”聚集的中国最大黑客基地？ - A5创业网
扫一扫，联系编辑获得审核机会
符合以下要求，获得报道机会
1. 新公司求报道
2. 好项目求报道
3. 服务商求报道
4. 投资融资爆料
客服热线：400-995-7855
当前位置：&&&
揭秘乌云网：“白帽子”聚集的中国最大黑客基地？
11:31&&来源：电脑报&
　　揭秘乌云网：中国最大的黑客培训基地?
　　10月10日，如家等酒店开房信息泄露;10月29日，来往被指存漏洞波及支付宝;11月5日，搜狗浏览器被曝存在重大安全漏洞;11月20日，腾讯7000万QQ群用户数据被指泄露;11月26日，360出现任意用户修改密码漏洞;甚至连相关部门网站漏洞也被公布....。.
　　一系列泄露事件让人们人人自危，也让公布这一系列泄密事件的乌云网声名鹊起。人们在震惊相关企业不负责任同时，也对乌云网充满了好奇：这是怎样的一个平台，背后又是一个怎样的隐秘江湖?
　　&白帽子&聚集的黑客基地
　　&老K&说：自己是一名重塑黑客理想的白帽子
　　11月15日，某咖啡厅。
　　距与&老K&约定的时间已过去了半个小时，记者用手机QQ给他发去一条消息：&到了么?&
　　&堵车快到了，还有几分钟。&&老K&回复。
　　又过了半个小时，&老K&仍未出现。又过了十分钟，记者收到了一条&老K&发来的消息：&抱歉，我刚才在咖啡厅外徘徊了很久，想了想，还是QQ上交流比较好吧。&
　　&在这个圈子，真实身份是个秘密。除非完全信任你，否则不会告诉你全部。&对&老K&所在圈子有很深了解的本报网络工程师&董师傅&对记者说。
　　对普通用户而言，&老K&所在圈子是一个很隐秘的江湖&&&老K&在一家网络公司工作，表面上和普通人没什么区别。但晚上，他就成了某高手云集的黑客团队里重要一员，网名就是他的身份代表，通常只用QQ和外界交流。
　　2010年，&老K&第一次将某个网站改了主页，插入图片与音乐，&与利益无关，那感觉很兴奋。&老K说他们与贩卖数据的传统黑客不同，&我们的理想是重塑黑客精神。&&老K&把自己称为黑客中的&白帽子&，他现在的乐趣在于寻找、测试和捕捉各大企业的安全漏洞，然后提交给第三方漏洞平台乌云网。
　　&我有自己正当的工作，不靠那个牟利。&&老K&在乌云网上的等级是普通白帽子，2012年至今，他已在该平台上提交了20多条漏洞，大部分在厂商确认都已公开，涉及电信、传统IT厂商、证券网站。&找到漏洞，就是要找寻所谓的后门，即作为&开门钥匙&的用户名和密码。&
　　在普通公众心中，神秘和危险是黑客的代名词。但在黑客界，所有黑客被归为三种类型：白帽子、黑帽子、灰帽子。像老K这样&重塑黑客理想、不恶意利用而且公不漏洞&的就是白帽子。灰帽子擅长攻击技术，但不轻易造成破坏。而黑帽子则是以盗取信息牟利为生。
　　很难统计目前中国有多少活跃的黑客，但公布一系列泄密事件的乌云网，正是集结网络白帽子的主要力量。据记者不完全统计，目前至少有4000多名白帽子活跃在乌云网上。&这些白帽子身份很复杂，有各大公司的网络安全工程师，有黑帽子洗白的，有IT从业人员，也有白领、律师甚至厨师。&&老K&说。&可以说，乌云网聚集了全国最多的黑客，也是乌云网让白帽子这个词语火爆起来。&
　　&乌云网就是一个黑客聚集之地。&2011年底，在接受某媒体采访时，化名的乌云网组织者&WooYun&也如此表示，这些黑客中的白帽子挖掘网站中的安全漏洞，在&黑帽子&利用它们之前，提交到平台上，或者向厂商报告，使厂商及时进行修复。
　　&乌云之前，全是黑的&
　　乌云网联合创始人孟德说：在乌云之前，(安全界)全是黑的
　　根据记者不完全统计数据，乌云网首页&最新公开&的安全问题达1.5万个，&最新确认&漏洞近1千个，11月25日至11月28日提交的漏洞也有30多个。从记者观察来看，这些漏洞所涉领域中繁多，除了传统的联想、腾讯、中国移动等多家IT企业，还有中科院、各大银行、国家航空、海关系统甚至政府各部门官方网站等核心网站。
　　&这些漏洞来源均来自民间安全研究人员，漏洞提交上来后平台会进行一个简单的验证，确定后就转交给各个企业在乌云的的安全接口人进行确认，厂商对其真实性负责。&孟德说。
　　乌云网(WooYun)成立于2010年5月，主要创始人为百度前安全专家方小顿&&这位1987年出生的国内知名黑客&剑心&，因在2010年2月和李彦宏一道参加湖南卫视《天天向上》节目，因为女友高歌一首而为人所知。此后，方小顿联合几位安全界人士成立了乌云网，其目标是成为&自由平等的&的漏洞报告平台，为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。
　　&乌云之前，你当他(安全界)全是黑的好了。因为没有合理的漏洞提交渠道，一个所谓的善良黑客要提交漏洞可能会被厂商威胁 。&10月21日，乌云网对外发言人孟德对记者说，乌云网的创立初衷之一是在厂商和白帽子之间建立一个沟通平台。
　　孟德，和活跃在乌云上的白帽子一样，他更愿意让人们叫他的网名&疯狗&。自称为业余渗透师，web安全爱好者。拥有9年互联网安全经历，乌云网联合创始人。
　　孟德如此描述乌云网对国内安全界的重大贡献：&有了乌云之后呢，我们会告诉大家，漏洞你别乱发，我们帮你跟厂商沟通，培养漏洞先给厂商的习惯.....。.把平台上的白帽子们思想和习惯给规范化、合理化......。.变成一支互联网安全的中坚力量。&
　　根据孟德的说法，现在乌云网员工都是&兼职&行为，由企业与合作伙伴的朋友共同支撑。&我们并不是一个组织，只是一个平台聚集了一些爱好安全技术的人。很多白帽子都来这里分享漏洞，也只有得到核实并已经采取防范措施解决问题后才会被公开。&孟德说，此前由于沟通渠道的缺乏，&白帽子&即使发现了漏洞也很难将信息传递给网站，而网站也根本无法顾及散落在互联网各地的漏洞信息，最终导致一些漏洞被人遗忘，未得到修复而造成损失。
　　乌云网一炮打响是在2011年底&&当年11月，乌云网根据白帽子提供的各种材料，连续披露京东商城、支付宝、网易(71.81, 1.28, 1.81%)等著名互联网企业存在高危漏洞，12月29日更是指出支付宝1500万至2500万用户资料泄露，以及广东省公安厅出入境政务网444万用户信息泄露。
　　而此后，如家酒店等开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件均由乌云网公布。
　　三方暗战的江湖
　　对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。
　　根据《乌云网漏洞审核机制改进公告》，普通漏洞披露流程为5天厂商确认期，10天向核心白帽子公开其漏洞细节，20天向普通白帽子公开，30天向实习白帽子公开，45天向公众公开其细节。&超过周期厂商无回应，或者在期间内否认漏洞的真实性，乌云网一般都会公开其细节。&&老K&说。
　　来自乌云网官方的数据显示，目前有500多家厂商与乌云网有合作或被公布漏洞。对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。
　　&厂商是否应该给予乌云网上的白帽子奖励?&10月26日，在京东安全沙龙上，一位参会者提出了一个引起热议的问题。1个月后的11月20日，乌云网公布了一个&不太听话&的厂商――称腾讯7000多万QQ群关系数据被泄露，在迅雷快传很轻易就能找到数据下载链接。根据QQ号，可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。
　　一位业内人士还对记者举了一个例子：10月29日，乌云网公布了一个白帽子提交的漏洞，其标题为《&来往&致淘宝账号被破解 波及余额宝支付宝》的漏洞消息，称该漏洞处于等待厂商处理状态，也就是说，用户选择通过淘宝帐户登陆来往后，看到消息时仍可波及到支付宝余额宝的安全问题。&据我了解，这位白帽子先把漏洞提交给了阿里官方，但阿里官方没有理睬，后来这位白帽子气不过，又提交到了乌云网，乌云网则对其进行了公布。&
　　这个漏洞消息带来的后果之一是&&在声讨支付宝安全漏洞的热议中，根据媒体报道，在三元里做服装生意的杨先生，其银行账号通过支付宝莫名其妙转走了5万元。随后一名&黑客&发来短信自称在测试支付宝漏洞时所为。
　　去年2月14日，一位网名为&zazaz&的黑客在国内安全问题反馈平台乌云上提交漏洞，称中国联通客服系统存安全隐患，该漏洞在乌云平台公布后，有部分用户用于娱乐。而如家等酒店的开房信息泄露，更是在全国引起了疯狂的下载、查询开房信息风波。
　　这引发了人们的追问：乌云网是否应该将漏洞公布于众?根据孟德的说法，在厂商未确认或驳回前，公众不会看到漏洞的具体细节，黑客很难根据这些消息进行违法行为。但一位互联网人士也对记者称：&如果黑客对此有兴趣，那么只要知道企业名字和大概漏洞消息源头，侵入这个企业并不是难事。&该人士表示，从他的观察来看，乌云网上的众多待确认和刚提交的漏洞，甚至涉及到各个政府部门的安全问题，虽然没有具体细节，但仍然让外界用户感到吃惊。
　　&厂商前方百计要把影响降到最低，要么否认、驳回其漏洞，要么乖乖和乌云网进行合作。而乌云网则千方百计想要炒作自己，亏大自己的影响。&&老K&说，而白帽子，也有自己的诉求，或为了名，或为了利，因此如果提交给厂商被驳回，一般都会提交到乌云网。
　　对此，一位不愿透露姓名的某互联网企业高层人士对记者称，对于乌云网，他们也是颇为无奈。一方面，企业有自己的安全数据中心，随时在对企业网站进行测试;另一方面，乌云网亦不时公布些耸人听闻的消息，炒作自己在业界的权威，不理睬也不行&&但事实上，那些引起热议的泄露事件，其漏洞早在几个月前就已修复。
　　对于是否炒作的说法，孟德对此并不否认。&这其实是国内互联网舆论的一个怪圈 ，只要是曝光率比较高， 或因为什么比较热门了 ，就可能会被认为是自我炒作 ，乌云现在也在经历这个怪圈而已。&
　　按照乌云联合创始人，原百度安全架构师&剑心&在知乎的说法，乌云网得到&除了腾讯这样的封闭企业的认可。&对此一位知情人士对记者称，腾讯是唯一不对乌云网上的白帽子送礼物或奖励的厂商，相对应的，乌云网上公布问题最多的企业也是腾讯&&根据记者不完全统计，乌云网公不的腾讯各种安全问题多达数百个。
　　送礼物或奖励，是厂商给予提交漏洞的白帽子一种报酬。这种模式在美国很常见，去年，微软还设立了一项20万美元的奖项，悬赏能够解决Windows操作系统中存在的内存漏洞的人;Google、Mozilla、Facebook等则向发现本公司产品安全漏洞的研究人员，提供最低500美元的奖金。
　　但在国内，由于厂商对提交漏洞者的轻视或偏见，向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定)，大多是T恤衫、笔、水杯等等纪念礼物。乌云网一名&白帽子&、在纽约证券交易所一家美国上市公司就职的一位企业架构师由于在乌云网发布了一条小米网的安全漏洞，小米公司赠送了他一部小米手机以示谢意就让他深感满意。孟德认为，实际上，在相对&白帽子&花费不少精力找到的漏洞来说，这点激励也算不上什么。
　　但是厂商也有自己的委屈。&一是担心漏洞信息给自己带来负面影响，二是各家企业漏洞都不少，开了奖励先河后，成千上万名黑客都盯着自己的漏洞。&上述互联网高层人士对记者称。
　　一次提交，就是一次侵入
　　白帽子的反思：黑亦白，白亦黑。乌云上的白帽子，真的是白帽子?
　　&客观来说，乌云网解决了许多问题，如黑客与厂商之间的信任问题，减少了沟通上的时间成本，降低了终端客户可能面临的安全风险。&一位互联网安全观察人士对记者称，但一个重要问题是，数千名白帽子是如何发现各个行业、各大企业网站漏洞的?即便漏洞真实存在，获得漏洞的过程是否合法?
　　11月18日，某科技公司人士&yuange1975&的一条微博引起热议：这些人胆子比较大哈，这种事情不要拿自己的命来成就别人。虽然我不赞成厂商因此抓这些人，但是如果真要抓人分分钟钟的事情。
　　这条引起众多业内人士关注的消息是&&11月17日，名为&NILIU"的白帽子在乌云网上提交了一个名为&某银行某分行管理系统命令执行导致服务器沦陷&的漏洞，尽管该漏洞并未公布详细细节，但还是引起业内的关注与担心。
　　&谁给你授权测试该网站漏洞了?你是通过什么方式得到的该漏洞?如果要根据该漏洞抓你，那也是有根有据。&网友&网路游侠&如此评论，悄悄的黑站，吆喝的不要。发现漏洞的过程，很多时候也是违法的过程。
　　&黑亦白，白亦黑。乌云的白帽子，真的是白帽子?很多白帽子的测试渗透过程，完全就是一系列的入侵、破坏和信息盗取行为。&在腾讯微博，认证为&乌云平台白帽子成员&的于小葵发微博进行反思。
　　&自己所提交到乌云网的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻击进行的，根本不可能提前通知相关部门和厂商。&&老K&对此承认，这其实也是一种违法行为。&所谓的白帽子，本质就是黑客，只是黑客不好听，谁都不愿意承认。&
　　&老K&不愿详细透露自己采用了哪些手段渗透进企业内网，获得了企业的漏洞，但他表示很多入侵思路都来自乌云网&&实际上，乌云网除了是第三方漏洞提交平台，还是一个获取漏洞学习交流研究平台。这些攻略一部分只有白帽子可见，另一部分则对公众公开。比如在日，乌云网就公布了一份《我是这样搞定全省万象网吧的(网吧渗透测试实例，超详细)》，万象网吧原为盛大旗下子公司，后被盛大出售给杭州顺网科技，尽管该漏洞测试时间是今年2月，但其中攻击步骤、方式、操作手段都无比详细，从中可以看出该漏洞的获得本身就是一次违法入侵行为。
　　一些高调的白帽子则现身说事。去年10月19日，一位叫&only_guest&的知名白帽子在乌云网发《微信任意用户密码修改漏洞》的技术帖，称通过利用微信账号安全的设置漏洞，成功地破解了多位名人的微信账号和手机号，并公布为证。
　　截图显示该名白帽子在成功破解柳岩、马化腾的微信账号前，选择修改了两个人微信账号密码，一个是明星柳岩的经纪人，一个是腾讯的某位高管，并通过这两位的微信账号获取了柳岩和马化腾的微信号或QQ号，甚至用该名腾讯高管的号码给马化腾发了消息。
　　因此，获取漏洞本身就是一次黑客的入侵过程。&我们经常可以看到，乌云网上一些白帽子为了提交漏洞，而经常渗透进企业内网的过程。挖个漏洞需要上传真实的shell，进入内网转一圈吗?你看到别人家房门没有关，然后你就跑进去给熟睡的女主人拍了几张裸照，然后发到她的邮箱里面说，你家门没有关，你看这个照片就是证明，然后你还评论了一下，女主人的屁股还挺白。你让人家情以何堪?&XMD5解密网站长汪利辉在《白帽子看过来，漏洞平台那点事》中表示，白帽子测试的目标网站谁给你授权了?真出了问题，没有人给担着的。如果乌云如不能正确引导这些白帽子，估计会有某些白帽子哭的一天。
　　&不处理好授权问题，提交到乌云的漏洞报告就可能成为入侵证据。&武汉大学计算机学院副教授、信息安全博士彭国军说。
　　&对此乌云网也心知肚明，因此在声明上做了风险规避，提交漏洞的事情和乌云没有任何关系。&&老K&说。根据乌云网的信息安全和保护声明，白帽子注册必须通过邮件验证，对于提交虚假漏洞信息的用户在证实后，乌云网将根据情况扣除用户的Rank甚至直接删除用户。同时，乌云网也强调，对于白帽子研究漏洞的方法、方式、工具及手段的合法性，乌云网对此不承担任何法律责任。
　　11月19日，或许是基于业界的议论，或许是基于其他担心，提交该漏洞的白帽子&NILIU&在乌云网该漏洞下发布声明表示：&此次测试未对系统做任何破坏，未窃取任何数据，只是截图证明。&
　　但在律师看来，乌云网的声明并不能免责。&假如乌云网是一名&善意的黑客&，其目的仅是为帮助企业修补漏洞，那么乌云网应该私下就找出的漏洞与企业沟通，而不是公之于众。要知道酒店登记入住涉及个人隐私和资料，一旦信息被泄露不仅涉嫌对企业侵权，也涉嫌对个人侵权，假如客人因此状告酒店而酒店再以侵权状告乌云网，那么乌云网就会很麻烦。&上海袁圆律师事务所陈军律师分析。
　　或许，更为严重的是，由于乌云网对&白帽子&真实身份难以确定，像&老K&这样的&白帽子&，神秘身份背后到底是什么?是否竞争对手的恶意攻击行为?是否会发布虚假漏洞消息?对于心怀叵测的黑客来说，是否伪装成白帽子潜伏其中，伺机而动?
　　这并非杞人忧天。日，乌云网宣布暂停服务，对系统做短暂的升级，原因是&频繁披露的安全事件及带来的影响&&根据国家互联网信息办披露，CSDN、天涯网站被入侵事件也同样是因为网友的个人行为，调查发现，网名 &臭小子&的许某某出于个人炫耀的目的，于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露，并公布泄露的数据包截图。此外，一些白帽子甚至以信息泄露相要挟索要利益，乌云网白帽子&我心飞翔&就因涉嫌敲诈勒索京东商城被刑事拘留。
责任编辑：佩佩
延伸阅读：关键词：
创业好项目
微企点：海量精美模板 H5自助建站平台
扫描二维码关注A5创业网了解最新创业资讯服务
&徐州八方网络科技有限公司&版权所有&
举报投诉邮箱：
扫一扫关注最新创业资讯是什么让白帽子渐渐无路可走?是什么让白帽子渐渐无路可走?自由互联百家号; ; 在这个时代，网络安全极其重要，在早些时候，网络的防御几乎如纸窗一般，那时候大批的脚本小子也趁虚而入，许多数据都被盗取，而这时白帽子一词便也问世，白帽子和骇客不同之处在于白帽子是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞，但并不会恶意去利用，而是公布其漏洞。这样，系统将可以在被其他人（例如黑帽子）利用之前来修补漏洞，因此白帽子本因是一个帮助他人的职业。; ; 很多具备一定技术的非网络安全工作者也会为各大网站检查漏洞成为一个业余的白帽子，乌云、补天等平台也因此运营而生，这种平台相对来说会更加自由，专业的渗透测试工程师都需要提前与公司，而这种业余的白帽子直接检查就可以，这种业余的白帽子的实力当然是不输专业的渗透测试工程师，但是他的自由性很高。; ; 我想大家应该有听说过乌云事件，一名白帽子发现了世纪佳缘的一个漏洞，提权到了世纪佳缘的主服务器并提取了4000条数据，当然他提取这4000条只是为了测试，而世纪佳缘竟然报警了，这件事让所有白帽子非常气愤，之前有因白帽子发现了特斯拉的一处漏洞而被奖励了一辆车的事，而这与世纪佳缘的行为比起来就可以知道世纪佳缘的行为的可恶了，而连国内聚集安全专家最多的地方——乌云也被拆散，很多白帽子不仅没有得到应有的奖励，还被惩罚，这当然打击了白帽子，说难听一点这甚至都是把白帽子往犯罪的道路上推。; ; 不久后，网络安全法也被提出了，将在2017年中旬施行，其中也提到了白帽子的行为，在第二十二条可以看到，经过管理者同意后可以检查，像百度这样的大企业都有自己的src，但是其他的地方都非常苛刻，包括公开黑客工具等，非法入侵要罚款五万有期徒刑三年且五年内不得从事网络安全方面的工作。; ; 黑客最初的目标是“free、clear、share”，而这种黑客精神却慢慢流失了，在人们眼中黑客就是非法犯罪的人，当白帽子站出来后却又被一次次的打击，这种为他人服务的精神应该是很值得宣扬的，但现在却被压抑，这到底是谁的，未来网络的安全又该谁来负责，让我们继续看下去......本文仅代表作者观点，不代表百度立场。系作者授权百家号发表，未经许可不得转载。自由互联百家号最近更新：简介:免费、透明、共享是我们共同的目标与方向！作者最新文章相关文章白帽子:黑客“狙击者”
我的图书馆
白帽子:黑客“狙击者”
&&&&本报记者　张小叶&&&&大约在10年前，17岁的高中生杨蔚开始经营自己的第一门生意。两台电脑，一根网线，几个合伙的同学，杨蔚的工作室就开张了，业务范围是倒卖游戏装备和QQ刷钻。&&&&这份工作需要的技术含量不算高，但竞争者甚多。对出生在湖南湘西小县城的少年杨蔚而言，这是他接触技术世界的缘起，还给他带来了一些收入:在工作室解散以前，杨蔚靠这些“业务”赚了好几千元。&&&&10年前，整个中国网络安全的法律边界尚未确立，一个小县城的少年又如何知道，黑客是什么?　怎么做一个好的黑客?&&&&几乎在同时，一个比杨蔚大不了多少的年轻人正在思考如何改变这一切。他叫方小顿，1987年出生，15岁考进大学，21岁进入百度安全部门工作。两年之后，他创建“乌云社区”，这个自由社区吸引　了国内几乎所有的顶尖黑客，并迅速成长为中国最大的互联网漏洞报告平台。它不仅推动了中国信息安全的进程，使几乎所有互联网使用者直接或间接地从中获益，而且改变了万千像杨蔚这样年轻黑客的命运。&&&&方小顿:“乌云来了，要下雨了”&&&&即使是最普通的、对信息安全一窍不通的用户，也或多或少听说过“乌云”这个名字。成立5年来，超过1万名漏洞挖掘者累计在乌云公开了3万余个漏洞，其中一部分足以在网络上掀起轩然大波。2014年，乌云先后曝出腾讯QQ群关系数据泄露、携程信用卡信息泄露、12306密码泄露和联通系统漏洞，这使乌云在名声大噪的同时饱受争议。在许多人看来，乌云就像是一个手持利剑的搅局者，剑指之处，山摇地动。&&&&相比乌云，创始人方小顿的形象却出乎意料的简单。28岁的他，留着中长发、戴眼镜、蓄着胡子，一看就是“热爱摇滚的技术青年”。事实也是如此，方小顿崇尚技术、热爱音乐，并刻意通过不同寻常的打扮，将这种内心的喜好直接展示于人:“如果真的有人因为我的打扮觉得不舒服，那就直接不聊呗。我倾向于让事情变得更简单，拐弯抹角的就不好。”&&&&2010年，方小顿曾跟随百度的CEO李彦宏去了“天天向上”，并在节目中高歌一曲　《一无所有》。这是他首次在公众面前亮相，也成为日后圈内人聊起他必提的轶事之一。但方小顿本人却从来没有回头看过这档节目:“了解我的人都说，台上的我和平时相差不大。当时也没有准备或者排练，说让我上去唱歌，我就上去了，心想就算唱砸了不是还有后期吗?”&&&&大概只有心思剔透的人，才能创造出乌云。直到现在，乌云仍然以自由社区的形式存在于网上:页面干干净净，漏洞按照发布、确认和公开等不同阶段，以列表的形式排布于首页上，除此之外，这里看不到一个商业广告。“像是过时的、已经被淘汰的论坛。”方小顿如此形容。&&&&这正是他多年前构想的乌托邦的模样。让他欣慰的是，5年过去了，初心仍未改变，正如社区对自己使命描述中所强调的:“我们尝试唤回大家对技术的尊重，乌云将跟踪漏洞的报告情况，所有跟技术有关的细节都会对外公开。”&&&&几年前，这种对漏洞的公开行为被企业视为一种冒犯，但这两年，在乌云的不懈努力下，它已经渐渐变得可以被接受。行业的封闭正在被打破，信息安全也因此得到了前所未有的重视。&&&&这一切来之不易。方小顿不会忘记自己刚刚工作时，一个安全工程师的处境是如何艰难:站在企业的角度，安全是成本、是限制，它不产生效益。企业的管理者自然希望每一年都风平浪静，可是当真的什么事情都没发生时，他们又会质疑安全部门是不是无所作为。而安全工程师的贡献更是无法衡量———“第三方的安全厂商永远说你的工作做得很糟，当然是这样，否则它的产品卖给谁?　和同类型的公司对比也是不现实的，因为任何一家企业都不可能对外公开自己的安全状况。”&&&&行业无法进步，也是黑产横行、黑客肆意攻击的根源。在那个时候，任何人发现漏洞，上报给企业，不仅得不到奖励，反而会被企业威胁，因为企业将这种“未经授权的测试行为”视为“非法攻击”。因此，越来越多的漏洞流向地下黑市，通过它们，犯罪者可以窃取大量的用户信息，并以此牟利。&&&&随着互联网爆发式的发展，越来越多的人将日常生活的信息搬到了网上，但信息安全的发展却被锁死了———就像一个日益丰富的宝藏，却没有安装相应级别的安保系统。&&&&高墙重重，但仍有间隙，程序员的技术交流是唯一的突破。那时，各大企业的安全工程师彼此相识，并在QQ群里无私地共享、交流技术心得，方小顿就是其中的积极分子。后来，他和朋友在北京的酒仙桥一带开了一个黑客酒吧，作为线下交流的活动场所，同时也是表达黑客存在和价值的一种方式。但这些远远不够，他在寻求更行之有效的方式改变这一切。&&&&2010年，乌云社区诞生。在云概念刚刚兴起的环境下，“乌云”这个名字显得意味深长———保存着海量用户数据的云，却得不到很好的保护，这样的云不是纯洁的。&&&&真正的挑战者出现了:乌云来了，要下雨了。&&&&杨蔚:“白帽子的伟大理想”&&&&而对于杨蔚而言，2010年是比较特殊的一年。他的工作室因为利润越来越薄，终于解散，同时又遭遇了高考失利。心灰意冷的杨蔚决定离开老家去外面闯一闯，他在珠三角的几个大城市里辗转，四处投靠老乡，投递简历。到了这时，杨蔚才感觉人世艰险，只有高中学历的他在大城市里几乎难以谋生。碰壁多次，终于找到了一份和计算机沾点边的工作:去电脑城给别人装机，月薪2000元。&&&&这份工作和想象中差距太大了，也养活不了自己，杨蔚没去。他最终去了比亚迪工厂，在车间里做流水线工人。&&&&流水线上的劳动既漫长又枯燥、周而复始，杨蔚知道自己不属于这里，周围人也觉得他眼高手低、格格不入。那几个月，他在大城市的最底层游走，体验人间辛酸，每一天都更坚定要逃离的心。终于熬到夏末，父母托人给他找了个大学，杨蔚如释重负，回到了长沙，烫了个头，作为新生活开始的标志。&&&&重回校园，本应好好珍惜，但杨蔚拿到课表后，顿时眼前一黑:“因为计算机专业的学费太贵，我就看名字选了机械工程，本以为和计算机沾点边。结果机械工程居然是制造业，毕业后还是去车间工作，和之前一模一样。”而此前，他已经下定决心绝不回到“传统的、固化的、一尘不变的”制造业中。&&&&在学校里，杨蔚仍然是一个异类。他买了电脑，通过搜索引擎和安全论坛自学技术，关注信息安全产业的动态，此外，他最喜欢看行业内已经被“封神”的黑客自传和经历。&&&&印象最深刻的是方兴的自传，杨蔚是在被窝里一口气看完的。方兴充满传奇的经历，是中国早期黑客的典型代表:他出身微末，从保险公司的出单员做起，几乎靠着完全自学的方式，考出高级程序员证书，掌握各种计算机语言，一路修炼成攻防高手。他历任启明星辰、EEYE和微软的安全专家，是第一个登上微软BLUEHAT安全大会演讲的中国人，后来又创立了国内第一家专注于对抗　APT&(&Advanced&Persistent&Threat，即高级持续威胁)　攻击的安全公司瀚海源。&&&&杨蔚从别人的故事中汲取信念和力量，同时也被他们的选择和善恶观所影响。方兴说自己不是黑客:“如果黑客说的是控制别人电脑、以漏洞来牟利的那种人，很显然，我不是。”在这样的故事中，杨蔚看到了真正的守护者和“黑客精神”是怎样的，也下决心要做这样的人。&&&&这时，一个机会来了。有个同学对他说，杭州有家企业在招计算机技术人员，可以帮忙推荐。杨蔚想去搏一搏，他与父母长谈一次，坦诚了自己的志向，随后去办理了退学手续。就这样，重返校园不过一年，杨蔚又回到了社会上。&&&&在他原本的构想中，自己可以从一个普通的程序员做起，一步步向安全领域发展。可现实比他想象得要残酷，介绍人没能帮上忙，他再一次飘无定所，租房、吃饭都成了问题。几经辗转，他在数码城的手机店找到一份活，卖手机，每天工作12个小时。杨蔚唯一的要求是:“生意不忙的时候，让我用店里的电脑上上网吧。”&&&&在这个时候，他接触到了乌云。彼时，乌云正身陷创立以来最大的危机中，因为曝光了中国最大的-T技术论坛CSDN的漏洞，网站遭到疯狂攻击，关闭了将近一个月。再度恢复后，又因为曝光了某运营商的漏洞，被对方直接注销了网站备案。&&&&那个时候，企业觉得网站漏洞这种事情是“家丑不可外扬”，没有靠山的乌云随时面临关停的危险。就在这种风雨飘摇的环境中，杨蔚慢慢成长为乌云最核心的“白帽子”。他一度不被承认的才能，在这个社区里得到了展现和认可。他比以前更加忘我地投入了“挖漏洞”的事业中，在白帽子当中的积分和排名也直线上升，最高时冲到了第二:“冲榜单是一件很刺激的事情，你会发现自己在挖漏洞刷积分的时候，别人也在这么做。”&&&&那个时候，白帽子杨蔚的伟大理想，是把厂商列表中的所有企业挖一遍漏洞，就像小孩子集齐一套闪卡那样。那时，中国的互联网企业才数百家，实现这个愿望并非不可能:“这也是每一个白帽子梦寐以求的成就。”&&&&2012年，因为发现了腾讯的漏洞，他结识了腾讯安全部门的负责人，对方把他拉进了一个QQ群，群里全是“传说中的人物”。就在两年前，杨蔚是看着他们的故事熬过现实中的失意和挫败的，如今他终于跻身为其中的一员。这个江湖人人都有代号，他的代号是“301”———来源于他在某个安全群的编号，后来就沿用下来。&&&&同一年，杨蔚得到了一家知名安全咨询企业的认可，企业的老板问他有没有兴趣来上班。于是，22岁的杨蔚终于实现了最初的梦想，真正意义上进入了安全行业。&&&&乌云:“无所畏惧的理想主义”&&&&方小顿和杨蔚，天各一方、经历迥异的两个年轻人，也因为乌云有了交集。方小顿的代号是“剑心”，杨蔚也习惯以此称呼他:“剑心喜欢和我们这些白帽子聊，在这种交流的过程中，乌云渐渐变成了现在的形态。”&&&&在白帽子们的建议下，乌云设立了“集市”。提交漏洞攒下来的积分可以变成“乌云币”，并在集市中购买物品，1个“乌云币”相当于10元人民币。杨蔚还记得，乌云集市推出的第一个商品是一台iPhone5，当时遭到了白帽子的疯抢，价格水涨船高，最终被人以950乌币的价格拍走了。“就相当于用9500元买了一台iPhone5，但那个白帽子感觉特别光荣，拿去给自己媳妇儿用了。”杨蔚说。&&&&事实上，白帽子的价值，远远不止一台iPhone5。尽管乌云对漏洞的强制曝光令厂商不快，但后者终于从中认识到安全的重要性，渐渐地，开始有小厂商找到他们:“我们没有安全部门，养不起专职的安全工程师，能不能把这块工作外包给白帽子，请他们定期来为我们做漏洞的扫描和监测?”&&&&乌云的商业价值开始浮出水面。从2012年起，“乌云众测”正式向公众推出。3年来，超过200个众测项目在平台上进行，白帽子们总计获利超过500万元。如今，一个在乌云上水平较高的白帽子，通过合法的、有偿的漏洞测试，能够月入数万。&&&&方小顿说:“你会发现，在媒体中曝光的黑客群体，大多是‘三线城市的、高中没毕业的天才少年，，他们算是有点技术，但业内的人一看，这种技术也算?　为什么是这样?　因为大城市里一流的技术人员能够找到很好的工作，如果你的技术被认可、收入又高，谁愿意去做坏事?　相反，如果他得不到周围人认可，日常开销也难以维持，又没人引导，他能去干什么呢?”&&&&业内有一句话:“乌云之前，全是黑的。”乌云带来的暴雨，一点点地冲刷了行业的阴暗面。方小顿的初衷原是为了帮助像自己这样的安全从业者，却无心插柳柳成荫，大量黑客在这里“上岸”，安全工程师的身价水涨船高。如今，在乌云上提交过漏洞，甚至成为不少企业招聘安全工程师的前置条件。&&&&“2012年，我从百度辞职，专职运营乌云。回头看这个选择，损失极大，仍然留在大公司的朋友现在都已身居高位，身价高出我几倍。”方小顿说，但倘若没有乌云，你很难说这个行业会怎样发展。腾讯玄武实验室的创始人，被业内尊为“黑客教父”的于旸说:“从这一点上，所有安全行业的从业者，都应该感谢乌云。”&&&&即使是最普通的互联网使用者也受益于乌云。这几年利用互联网漏洞牟利的“黑色产业”之所以减少，原因无非是两个，都与乌云的出现紧密相关:一是企业的保护越做越好，攻击成本越来越高，黑产渐渐无利可图;二是随着白帽子的价值越来越受重视，没有人愿意回去做黑客了。&&&&争议仍然存在。比如，白帽子未经授权的测试是否合法，仍然没有定论。对此，方小顿常说的一句话是:“这个时代，很多企业把用户的信息保存在云上，却保护得很差，那是不是应该先来探讨这个行为是否合法?”如他所说，封闭永远无法解决问题，只有把争议的部分拿出来公开讨论，才能取得共识和进步。&&&&进入安全行业后，杨蔚一有机会就向怀有成见的企业解释乌云的价值。2013年底，方小顿找到他，邀请他以合伙人的身份加入乌云，负责“乌云众测”项目。杨蔚欣然接受，在这个改变了自己命运的平台上，他要改变更多人的命运。&&&&随着乌云的名气越来越响，有些前来众测的企业也怀着其它心思:“我出钱请你们做众测服务，你们要删除我们网站的漏洞。”按照社区的规则，一个漏洞的公布周期一般为45天:前5天，向厂商公布，10天后向核心及相关领域专家公开;20天后向普通白帽子公开;30天后向“实习白帽子”公开;45天后向公众公开。5年来，“不删除任何漏洞”是乌云严守的底线———哪怕在企业接受众测的过程中，被众测团队以外的白帽子发现并提交了漏洞，对此，杨蔚和他的团队免不了要去向企业一一解释。&&&&令所有白帽子欣慰的是，乌托邦因商业兴盛，却没有受到利益的污染，直到如今，这条“铁律”仍在坚守。&&&&“他是一个精神至上的人，因此他才不会被柴米油盐所左右，并把这种理想主义的东西坚持下来。”方小顿的朋友、信息安全媒体“安在”的主编张耀疆这样评论方小顿。&&&&现在，方小顿在不变初衷的前提下，想要带领乌云走得更远。从商业化角度来说，乌云众测并不算是一个成功的产品:首先是需求有限，每个众测项目的规模都不大，成交额约在2-3万元，需求在可预期的范围内不会出现爆发式的增长;乌云只抽取很小的一部分作为分成，所得利润只能够维持社区团队的日常运转。方小顿和他的团队将这个项目看作是乌托邦的延续:“只要是有利于白帽子的事情，我们一定会去做。”&&&&相比起来，去年12月推出的“唐朝安全巡航”，才被赋予了真正商业化的期待。这个安全巡航系统像是一个体检中心，由白帽子添加检测规则和策略，企业可以通过它进行安全漏洞的监控、检测和扫描。作为一个自动化的漏洞扫描系统，“唐朝安全巡航”可以低成本地完成许多日常的漏洞检测工作，同时，它会在众多白帽子的维护下变得越来越强大。&&&&自乌云创立第一天起，方小顿就严肃地考虑过它的命运，无非两种:存在，或是死亡。“如果是后者，那就说明这个理想是行不通的，这个方法是不被允许的。”那怎么办?“找别的方法呗，可以做的事情那么多，我不会在意一次失败。”&&&&正如张耀疆评价的，方小顿拥有真正的、良善的“黑客精神”———“这种精神无关于物质、无关于现实，是一种简单纯粹的理想主义。正因为他把一切都想明白了，知道什么是对的，也知道自己要做什么，因此才能够无所畏惧。”&&&&名词解释&&&&“白帽子”:正面的黑客，他们拥有识别计算机系统或网络系统中安全漏洞的能力，但并不会恶意利用，而是选择通知企业修复漏洞、修复后最终公开细节。&&&&“乌云”:乌云网　(WooYun)目前是中国最大的互联网漏洞报告平台，这个平台上汇聚了国内几乎所有“白帽子”。在乌云出现前，厂商与“白帽子”缺乏平等的交流:“白帽子”发现网站的漏洞后无法联系厂商，厂商也无暇寻找散落在互联网各处的漏洞信息，导致一些漏洞无法得到及时修复，最终造成损失。乌云鼓励“白帽子”采用合法的方式、手段和工具研究并提交厂商的漏洞，经平台审核后，关于漏洞的一切细节将对公众公开。&&&&漏洞报告平台机制的确立，极大地推进了互联网厂商对信息安全的重视，也促使万千黑客“上岸”，成为收入不菲、受人尊敬的“白帽子”。这个在争议中不断前行的网站，最终打破了信息安全的封闭状态，并在某种程度上改变了中国互联网的环境。
馆藏&47755
TA的最新馆藏
喜欢该文的人也喜欢}