發(fā)布日期：2017/7/24

摘要： 他們的名字叫烏云，你不一定聽(tīng)過(guò)他們的名字，但你用的互聯(lián)網(wǎng)服務(wù)一定上過(guò)它們的漏洞名單 我去百合網(wǎng)相親了。 咋樣?效果如何? 找到了沒(méi)有? 我找到了他們的 bug。 9 月 6 日，相親網(wǎng)

 

　　他們的名字叫烏云，你不一定聽(tīng)過(guò)他們的名字，但你用的互聯(lián)網(wǎng)服務(wù)一定上過(guò)它們的漏洞名單

　　“我去百合網(wǎng)相親了。”

　　“咋樣?效果如何? 找到了沒(méi)有?”

　　“我找到了他們的 bug。”

　　9 月 6 日，相親網(wǎng)站百合網(wǎng)一個(gè)涉及幾百萬(wàn)用戶數(shù)據(jù)安全的漏洞被一個(gè)黑客發(fā)現(xiàn)了。

　　和一般黑客電影里的情節(jié)不同，黑客 Croxy 并沒(méi)有拿起加密電話索要贖金，而是寫下開(kāi)頭的段子，將安全問(wèn)題提交給了名為烏云的漏洞平臺(tái)。

　　而百合網(wǎng)也沒(méi)有報(bào)警，而是在漏洞公布兩天后確認(rèn)問(wèn)題存在，開(kāi)始修復(fù)。不出意外的話，威脅幾萬(wàn)用戶信息的安全問(wèn)題將在幾天時(shí)間得到解決，而烏云也將在 10 月份公布具體的漏洞所在。

　　“其實(shí)大部分漏洞可能花一周就能解決，但我們給出的 45 天時(shí)間……一些客戶端的軟件比如瀏覽器、建站系統(tǒng)這樣的產(chǎn)品，我們會(huì)給 90 天讓廠商有充分的時(shí)間修復(fù)漏洞。”烏云平臺(tái)的創(chuàng)始人孟卓告訴《好奇心日?qǐng)?bào)》。而公布這些漏洞是為了將測(cè)試思路回饋社區(qū)，讓其他互聯(lián)網(wǎng)安全從業(yè)者也來(lái)學(xué)習(xí)。

　　在烏云漏洞平臺(tái)上，類似的事情天天都會(huì)發(fā)生上百次。光是在 15 天，烏云上的新增漏洞已經(jīng)有 1940 條。而這些曝光的漏洞，很可能會(huì)影響你的生活：

　　今年 9 月，九陽(yáng)智能豆?jié){機(jī)的漏洞被曝光。因?yàn)橐粋�(gè)設(shè)計(jì)和控制的缺陷，任何人都可以控制任意一臺(tái)九陽(yáng)豆?jié){機(jī)。漏洞提交的當(dāng)天，九陽(yáng)就已經(jīng)獲取情況并且確認(rèn)開(kāi)始了修復(fù)工作。

　　2014 年 7 月，阿里巴巴嚴(yán)重漏洞也在烏云上曝光，人們只需要通過(guò)搜索引擎，甚至不用賬號(hào)、密碼，就能直接獲取支付寶用戶的賬戶余額、交易記錄、收貨地址、姓名手機(jī)號(hào)碼等敏感信息。阿里巴巴得知此事之后，還給找到漏洞的白帽子黑客 5 萬(wàn)元人民幣的獎(jiǎng)勵(lì)。

　　“烏云”，還有“白帽子”是中文互聯(lián)網(wǎng)安全事件繞不開(kāi)的名詞。

　　

 

　　在 2010 年成立至今，烏云平臺(tái)的漏洞列表頁(yè)面上，漏洞數(shù)字已經(jīng)超過(guò) 7 萬(wàn)個(gè)。當(dāng)中涉及的公司除了騰訊、阿里巴巴、百度、小米、聯(lián)想等科技企業(yè)之外，還有國(guó)內(nèi)多家銀行、金融機(jī)構(gòu)，甚至地方政府網(wǎng)站的安全問(wèn)題。

　　而作為這個(gè)漏洞社區(qū)的內(nèi)容生產(chǎn)者，在烏云上注冊(cè)的“白帽子黑客”也已經(jīng)有 1 萬(wàn)人以上。所謂的白帽子，就是一些有技術(shù)能力，熱愛(ài)網(wǎng)絡(luò)安全行業(yè)的人們，有別于傳統(tǒng)的黑客，他們通常會(huì)把漏洞告訴企業(yè)，提醒他們修復(fù)，而非用來(lái)獲取個(gè)人利益。

　　“一開(kāi)始我們完全沒(méi)想到會(huì)做成現(xiàn)在這樣。”烏云的創(chuàng)始人孟卓告訴我們。在 2010 年，還在百度做安全工作的劍心(網(wǎng)名)因?yàn)橄Ｍ�更多的信息安全行業(yè)同人交流，一路提高技術(shù)，所以昔時(shí)一些行業(yè)內(nèi)的同伙在業(yè)余時(shí)間建了“烏云漏洞平臺(tái)”。批用戶他們自己以及身邊的同伙，大家找到漏洞，就提交到烏云上。

　　烏云對(duì)于漏洞處理機(jī)制是這樣的：白帽子黑客向?yàn)踉铺峤坏穆┒葱畔ⅲ瑸踉凭蜁?huì)通知漏洞所在廠商認(rèn)領(lǐng)，細(xì)節(jié)只對(duì)廠商透露，讓他們盡快修復(fù)。在這個(gè)漏洞曝光的 45 天(假如是瀏覽器，社交應(yīng)用等服務(wù)是 90 天)之后，烏云就會(huì)把漏洞的細(xì)節(jié)公之于眾，將漏洞的發(fā)現(xiàn)方法作為白帽子黑客社區(qū)的學(xué)習(xí)養(yǎng)料，而提供漏洞的白帽子，也會(huì)得到烏云的虛擬貨幣和等級(jí)的提拔。

　　在這個(gè)模式當(dāng)中，烏云漏洞平臺(tái)將自己定義為一個(gè)不盈利、自力于所有公司之外的第三方機(jī)構(gòu)。但這種模式自己并不好做。

　　“安全行業(yè)是一個(gè)特別很是封閉的行業(yè)南寧公司轉(zhuǎn)讓，”孟卓說(shuō)，“別人發(fā)現(xiàn)了自己公司的漏洞，其實(shí)是很糟糕的事情，因?yàn)楹苡锌赡軙?huì)被黑色產(chǎn)業(yè)行使”。

　　因此，許多大型的科技公司如微軟、Facebook、雅虎、阿里巴巴，不但會(huì)有自己的安全團(tuán)隊(duì)，還會(huì)設(shè)立自己的漏洞平臺(tái)或者漏洞尋找競(jìng)賽，這些平臺(tái)或競(jìng)賽，就是希望募集公司外的黑客們給自己找漏洞，然后給發(fā)現(xiàn)漏洞的人一定數(shù)額的獎(jiǎng)金。找到漏洞的具體信息網(wǎng)，就只會(huì)歸公司所有，不會(huì)向公眾公布。

　　其實(shí)去年 Google 也嘗試做了一個(gè)和烏云相似的第三方漏洞平臺(tái) Project Zero，效果卻因?yàn)楣�布了�?jìng)爭(zhēng)對(duì)手微軟以及和蘋果公司的漏洞，而惹來(lái)不正當(dāng)競(jìng)爭(zhēng)的非議。這是因?yàn)?Google 自己是行業(yè)里的主要公司，競(jìng)爭(zhēng)對(duì)手會(huì)忌憚也是正常。

　　而烏云早期經(jīng)歷的麻煩到后期的成功，也都是因?yàn)樗麄儾⒎菍儆谌魏喂�司�?/p>

　　網(wǎng)絡(luò)安全行業(yè)的封閉也是源于人們對(duì)于黑客的刻板印象：用高科技手段入侵網(wǎng)站、竊取信息，假如企業(yè)不合作，這些內(nèi)部的機(jī)密信息就會(huì)流轉(zhuǎn)到黑色產(chǎn)業(yè)當(dāng)中去。無(wú)論在國(guó)外照舊國(guó)內(nèi)，這種涉及信息倒賣的行為都會(huì)被定義成犯罪。

　　盡管并非所有擅長(zhǎng)網(wǎng)絡(luò)技術(shù)的人都會(huì)與黑色產(chǎn)業(yè)相關(guān)。而烏云經(jīng)常提及的“白帽子黑客”，就是一些有技術(shù)能力，熱愛(ài)網(wǎng)絡(luò)安全行業(yè)的人們，他們通常會(huì)把漏洞提交給企業(yè)，而非用來(lái)獲取個(gè)人利益。

　　但早期企業(yè)的邏輯是滑稽的。白帽子在烏云上公布漏洞存在，而不公布細(xì)節(jié)，其實(shí)是對(duì)公司的預(yù)警，讓他們盡快修復(fù)漏洞。而真正的黑客攻擊者從來(lái)不留修復(fù)的機(jī)會(huì)。這種漏洞的提交其實(shí)對(duì)企業(yè)安全是好事，也是那么多公司鼓勵(lì)白帽子的原因。

　　但在當(dāng)時(shí)，因?yàn)楣�眾�?duì)黑客的刻板印象，以及對(duì)信息安全的不理解，烏云在 2011 - 2012 年兩次被關(guān)站。

　　2011 年 12 月，互聯(lián)網(wǎng)上傳出開(kāi)發(fā)者社區(qū) CSDN 遭黑客攻擊，有 600 萬(wàn)用戶帳號(hào)及明文密碼泄露，用戶的資料被大量傳播。而當(dāng)時(shí)，烏云上也有白帽子提交了相關(guān)的漏洞;在 CSDN 事件發(fā)生后不到三天，烏云上的白帽子提交了一個(gè)關(guān)于天邊社區(qū) 4000 萬(wàn)用戶資料泄露的漏洞。

　　就是這兩個(gè)漏洞，讓烏云的名字一會(huì)兒出現(xiàn)在公眾的面前。

　　“當(dāng)時(shí)相關(guān)機(jī)構(gòu)、網(wǎng)民都沒(méi)有做好預(yù)備，這事情就曝光了。人們對(duì)于企業(yè)信息安全的信賴就一會(huì)兒被打破了，覺(jué)得這事情太恐怖了，自己的名字等信息可能會(huì)被陌生人知道了。”孟卓回憶道。

　　因?yàn)楣�眾的不安，政府�?duì)于黑客產(chǎn)業(yè)和烏云平臺(tái)目的的嫌疑，烏云只要在事件發(fā)生后一周便公布暫時(shí)關(guān)站。

　　第二次關(guān)站，是 2012 年烏云曝光了某個(gè)運(yùn)營(yíng)商地級(jí)市的嚴(yán)重漏洞，對(duì)方要求將漏洞信息刪除，但是烏云方面拒絕了這個(gè)要求。然后就是被“拔網(wǎng)線”，然后連網(wǎng)站的備案記錄都消逝了。

　　孟卓說(shuō)，他們有幾個(gè)建站以來(lái)就定下來(lái)規(guī)則，除了 45 天公開(kāi)漏洞之外，就是“不刪除漏洞”。“我們也有我們情懷，經(jīng)過(guò)我們審核的漏洞，就不會(huì)因?yàn)閴毫�或者什么原因刪除。我們得給提交漏洞的白帽子一個(gè)交代，他們提交過(guò)的東西，不會(huì)莫名其妙地消逝，不會(huì)努力白費(fèi)或者被威脅什么的。”

　　但是在被關(guān)站之后，孟卓也覺(jué)得很無(wú)助，對(duì)于烏云這樣一個(gè)新生的安全漏洞平臺(tái)來(lái)說(shuō)，一切都走得太艱難。

　　“也是那時(shí)候開(kāi)始覺(jué)得，我們自己的力量太弱小了。”孟卓說(shuō)，2012 年，他們開(kāi)始找互聯(lián)網(wǎng)應(yīng)急中間合作，成為了一個(gè)第三方的非營(yíng)利性的民間組織。

　　當(dāng)時(shí)，互聯(lián)網(wǎng)應(yīng)急中間其實(shí)自己也有一個(gè)公開(kāi)的漏洞平臺(tái) CNVD，其實(shí)他們也想做收集漏洞的工作，但因?yàn)槭钦�府機(jī)構(gòu)的緣故，并沒(méi)有吸引太多的白帽子黑客參與他們的項(xiàng)目。而烏云的出現(xiàn)，則剛好是幫 CNVD 承擔(dān)一些“國(guó)家信息安全漏洞庫(kù)”的工作。

　　“有些漏洞，假如讓我們?nèi)ネㄖ�企業(yè)，那么可能對(duì)方不一定會(huì)有行動(dòng)，但和 CNVD 合作的話，他們能夠自上而下地去推進(jìn)這些事情。”

　　有了認(rèn)證以及國(guó)家應(yīng)急中間的合作，烏云團(tuán)隊(duì)在這之后更加專心地做他們的白帽子黑客社區(qū)。他們希望給國(guó)內(nèi)黑客一個(gè)正向的刺激機(jī)制：鼓勵(lì)提交漏洞，促進(jìn)廠商修補(bǔ)，從而得到了社區(qū)的虛擬貨幣，等級(jí)的提拔，還因?yàn)榻o社區(qū)反饋了養(yǎng)分，而增添了和安全技術(shù)牛人交流和學(xué)習(xí)的機(jī)會(huì)。

　　“假如不是烏云的話百度關(guān)鍵詞排名，我可能不會(huì)往這個(gè)方向走。盡管它說(shuō)改變了人生是一個(gè)很夸張的說(shuō)法，但確實(shí)是這樣。”今年 18 歲的白帽子黑客“小 K”在 3 年前開(kāi)始琢磨計(jì)算機(jī)的基礎(chǔ)知識(shí)，以及如何入侵一個(gè)網(wǎng)站。

　　“一個(gè)人在做技術(shù)，你對(duì)于這個(gè)技術(shù)自己的認(rèn)知很有限，在知道烏云之后，知識(shí)就從點(diǎn)到面的擴(kuò)張開(kāi)來(lái)，這種孤獨(dú)感就慢慢消失了。”去年，小 K 已經(jīng)加入了烏云，正在幫助烏云知識(shí)庫(kù)做一些國(guó)際化的工作。

　　小 K 并不是特例。今年才上初三的 ZPH 今年還在天河一號(hào)的超級(jí)計(jì)算機(jī)中間發(fā)現(xiàn)了一個(gè)可以輕松進(jìn)入內(nèi)網(wǎng)的漏洞，讓他一會(huì)兒受到許多的外來(lái)關(guān)注。從 2014 年到現(xiàn)在，ZPH 已經(jīng)在烏云上提交了 40 多個(gè)漏洞，而他的媽媽對(duì)此還感到很放心：“我覺(jué)得烏云(對(duì)白帽子黑客)的指導(dǎo)很好，今年我已經(jīng)讓他自己去參加烏云的年度大會(huì)了。”ZPH 的媽媽告訴我們。

　　

2015 烏云大會(huì)的宣傳圖片

　　到目前為止，烏云上已經(jīng)注冊(cè)了超過(guò) 1 萬(wàn)名白帽子黑客。在白帽子黑客聚集起來(lái)后，也有廠商開(kāi)始自動(dòng)擁抱烏云平臺(tái)。

　　“我們新做的產(chǎn)品，都是在廠商推著做起來(lái)的。”孟卓說(shuō)。年，烏云的團(tuán)隊(duì)除了依然在運(yùn)營(yíng)烏云漏洞平臺(tái)的發(fā)展之外，還在做額外的產(chǎn)品。“假如光是漏洞驗(yàn)證、漏洞平臺(tái)的維護(hù)施工圍擋制作，4、5 個(gè)人天天盯一下就可以了。”孟卓說(shuō)。但在烏云的辦公室里，還有 20 多個(gè)年輕人，他們各自在忙著烏云在漏洞平臺(tái)之外的不同產(chǎn)品。

　　這些項(xiàng)目里面包括了例如“眾測(cè)”，一個(gè)烏云團(tuán)隊(duì)在 2012 年開(kāi)始嘗試更直接地讓白帽子賺到錢的項(xiàng)目。

　　孟卓說(shuō)，這個(gè)需求也是他們平臺(tái)上的廠商提出。因?yàn)槟壳斑�只有比較大的互聯(lián)網(wǎng)公司有資金去聘請(qǐng)安全團(tuán)隊(duì)，對(duì)于中小型創(chuàng)業(yè)公司來(lái)說(shuō)，網(wǎng)絡(luò)安全這事情有點(diǎn)難。烏云于是就開(kāi)了這么一些項(xiàng)目，讓有需求的公司到眾測(cè)上發(fā)布測(cè)試義務(wù)，然后烏云通過(guò)匹配找到合適的白帽子黑客參加眾測(cè)，然后企業(yè)根據(jù)找到的每個(gè)漏洞高危程度，給白帽子黑客支付一定的酬勞。

　　“你可以當(dāng)做是一次讓白帽子黑客給你做的專家會(huì)診。”烏云平臺(tái)的合伙人 Wudi 向我們介紹到，在烏云的官方介紹中，我們看到眾測(cè)的客戶已經(jīng)有知乎、聯(lián)想、百度等多家企業(yè)。

　　除了眾測(cè)之外，“當(dāng)時(shí)他們問(wèn)的的就是能不能協(xié)助招人。”孟卓說(shuō)。考慮到廠商和白帽子黑客有同樣需求，烏云從 2014 年起就開(kāi)始做他們漏洞平臺(tái)之外的個(gè)產(chǎn)品“烏云招聘”，形式十分簡(jiǎn)單，就是企業(yè)發(fā)布招聘信息，有意的白帽子黑客們就參加應(yīng)聘。“即使我們不做這個(gè)，許多廠商在招聘網(wǎng)絡(luò)安全人員的時(shí)候也會(huì)直接問(wèn)這些白帽子黑客的 ID、等級(jí)和有多少烏云幣。用這個(gè)體例來(lái)衡量他們的能力。”

　　烏云在今年炎天還推出了“唐朝安全巡航”服務(wù)，模式看起來(lái)則成熟許多。Wudi 透露，他們希望通過(guò)此服務(wù)接觸到一些有長(zhǎng)期安全服務(wù)需求的公司，為他們提供更加標(biāo)準(zhǔn)化服務(wù)——經(jīng)常有安全體檢，還會(huì)檢索企業(yè)現(xiàn)有的互聯(lián)網(wǎng)“資產(chǎn)”，包括以前曾經(jīng)在網(wǎng)上曾購(gòu)買過(guò)服務(wù)器。

　　而且，他們還會(huì)召集白帽子黑客們把自己發(fā)現(xiàn)漏洞的思路總結(jié)稱經(jīng)驗(yàn)供廠商參考，而假如這個(gè)思路被采納，那么白帽子就會(huì)得到一筆分成。

　　但無(wú)論是這上面的哪一款商業(yè)產(chǎn)品，在烏云漏洞平臺(tái)主站上都沒(méi)有設(shè)置入口。對(duì)這些帶有商業(yè)性質(zhì)的新產(chǎn)品，烏云團(tuán)隊(duì)并不希望會(huì)打攪原來(lái)的用戶。“我們是希望那些知道我們有這個(gè)服務(wù)的人，才去搜索這個(gè)新產(chǎn)品。”孟卓告訴我們。

　　比起盈利和賺錢，孟卓說(shuō)，“白帽子們才是主要的。”