烏云他們這個生意，是聚集上萬黑客在互聯(lián)網(wǎng)

他們的名字叫烏云，你不一定聽過他們的名字，但你用的互聯(lián)網(wǎng)服務(wù)一定上過它們的漏洞名單

“我去百合網(wǎng)相親了。”

“咋樣?效果如何? 找到了沒有?”

“我找到了他們的 bug。”

9 月 6 日，相親網(wǎng)站百合網(wǎng)一個涉及幾百萬用戶數(shù)據(jù)安全的漏洞被一個黑客發(fā)現(xiàn)了。

和一般黑客電影里的情節(jié)不同，黑客 Croxy 并沒有拿起加密電話索要贖金，而是寫下開頭的段子，將安全問題提交給了名為烏云的漏洞平臺。

而百合網(wǎng)也沒有報警，而是在漏洞公布兩天后確認問題存在，開始修復(fù)。不出意外的話，威脅幾萬用戶信息的安全問題將在幾天時間得到解決，而烏云也將在 10 月份公布具體的漏洞所在。

“其實大部分漏洞可能花一周就能解決，但我們給出的 45 天時間……一些客戶端的軟件比如瀏覽器、建站系統(tǒng)這樣的產(chǎn)品，我們會給 90 天讓廠商有充分的時間修復(fù)漏洞。”烏云平臺的創(chuàng)始人孟卓告訴《好奇心日報》。而公布這些漏洞是為了將測試思路回饋社區(qū)，讓其他互聯(lián)網(wǎng)安全從業(yè)者也來學(xué)習(xí)。

在烏云漏洞平臺上，類似的事情天天都會發(fā)生上百次。光是在 15 天，烏云上的新增漏洞已經(jīng)有 1940 條。而這些曝光的漏洞，很可能會影響你的生活：

今年 9 月，九陽智能豆?jié){機的漏洞被曝光。因為一個設(shè)計和控制的缺陷，任何人都可以控制任意一臺九陽豆?jié){機。漏洞提交的當(dāng)天，九陽就已經(jīng)獲取情況并且確認開始了修復(fù)工作。

2014 年 7 月，阿里巴巴嚴重漏洞也在烏云上曝光，人們只需要通過搜索引擎，甚至不用賬號、密碼，就能直接獲取支付寶用戶的賬戶余額、交易記錄、收貨地址、姓名手機號碼等敏感信息。阿里巴巴得知此事之后，還給找到漏洞的白帽子黑客 5 萬元人民幣的獎勵。

“烏云”，還有“白帽子”是中文互聯(lián)網(wǎng)安全事件繞不開的名詞。

在 2010 年成立至今，烏云平臺的漏洞列表頁面上，漏洞數(shù)字已經(jīng)超過 7 萬個。當(dāng)中涉及的公司除了騰訊、阿里巴巴、百度、小米、聯(lián)想等科技企業(yè)之外，還有國內(nèi)多家銀行、金融機構(gòu)，甚至地方政府網(wǎng)站的安全問題。

而作為這個漏洞社區(qū)的內(nèi)容生產(chǎn)者，在烏云上注冊的“白帽子黑客”也已經(jīng)有 1 萬人以上。所謂的白帽子，就是一些有技術(shù)能力，熱愛網(wǎng)絡(luò)安全行業(yè)的人們，有別于傳統(tǒng)的黑客，他們通常會把漏洞告訴企業(yè)，提醒他們修復(fù)，而非用來獲取個人利益。

“一開始我們完全沒想到會做成現(xiàn)在這樣。”烏云的創(chuàng)始人孟卓告訴我們。在 2010 年，還在百度做安全工作的劍心(網(wǎng)名)因為希望更多的信息安全行業(yè)同人交流，一路提高技術(shù)，所以昔時一些行業(yè)內(nèi)的同伙在業(yè)余時間建了“烏云漏洞平臺”。批用戶他們自己以及身邊的同伙，大家找到漏洞，就提交到烏云上。

烏云對于漏洞處理機制是這樣的：白帽子黑客向烏云提交的漏洞信息，烏云就會通知漏洞所在廠商認領(lǐng)，細節(jié)只對廠商透露，讓他們盡快修復(fù)。在這個漏洞曝光的 45 天(假如是瀏覽器，社交應(yīng)用等服務(wù)是 90 天)之后，烏云就會把漏洞的細節(jié)公之于眾，將漏洞的發(fā)現(xiàn)方法作為白帽子黑客社區(qū)的學(xué)習(xí)養(yǎng)料，而提供漏洞的白帽子，也會得到烏云的虛擬貨幣和等級的提拔。

在這個模式當(dāng)中，烏云漏洞平臺將自己定義為一個不盈利、自力于所有公司之外的第三方機構(gòu)。但這種模式自己并不好做。

“安全行業(yè)是一個特別很是封閉的行業(yè)南寧公司轉(zhuǎn)讓，”孟卓說，“別人發(fā)現(xiàn)了自己公司的漏洞，其實是很糟糕的事情，因為很有可能會被黑色產(chǎn)業(yè)行使”。

因此，許多大型的科技公司如微軟、Facebook、雅虎、阿里巴巴，不但會有自己的安全團隊，還會設(shè)立自己的漏洞平臺或者漏洞尋找競賽，這些平臺或競賽，就是希望募集公司外的黑客們給自己找漏洞，然后給發(fā)現(xiàn)漏洞的人一定數(shù)額的獎金。找到漏洞的具體信息網(wǎng)，就只會歸公司所有，不會向公眾公布。

其實去年 Google 也嘗試做了一個和烏云相似的第三方漏洞平臺 Project Zero，效果卻因為公布了競爭對手微軟以及和蘋果公司的漏洞，而惹來不正當(dāng)競爭的非議。這是因為 Google 自己是行業(yè)里的主要公司，競爭對手會忌憚也是正常。

而烏云早期經(jīng)歷的麻煩到后期的成功，也都是因為他們并非屬于任何公司。

網(wǎng)絡(luò)安全行業(yè)的封閉也是源于人們對于黑客的刻板印象：用高科技手段入侵網(wǎng)站、竊取信息，假如企業(yè)不合作，這些內(nèi)部的機密信息就會流轉(zhuǎn)到黑色產(chǎn)業(yè)當(dāng)中去。無論在國外照舊國內(nèi)，這種涉及信息倒賣的行為都會被定義成犯罪。

盡管并非所有擅長網(wǎng)絡(luò)技術(shù)的人都會與黑色產(chǎn)業(yè)相關(guān)。而烏云經(jīng)常提及的“白帽子黑客”，就是一些有技術(shù)能力，熱愛網(wǎng)絡(luò)安全行業(yè)的人們，他們通常會把漏洞提交給企業(yè)，而非用來獲取個人利益。

但早期企業(yè)的邏輯是滑稽的。白帽子在烏云上公布漏洞存在，而不公布細節(jié)，其實是對公司的預(yù)警，讓他們盡快修復(fù)漏洞。而真正的黑客攻擊者從來不留修復(fù)的機會。這種漏洞的提交其實對企業(yè)安全是好事，也是那么多公司鼓勵白帽子的原因。

但在當(dāng)時，因為公眾對黑客的刻板印象，以及對信息安全的不理解，烏云在 2011 - 2012 年兩次被關(guān)站。

2011 年 12 月，互聯(lián)網(wǎng)上傳出開發(fā)者社區(qū) CSDN 遭黑客攻擊，有 600 萬用戶帳號及明文密碼泄露，用戶的資料被大量傳播。而當(dāng)時，烏云上也有白帽子提交了相關(guān)的漏洞;在 CSDN 事件發(fā)生后不到三天，烏云上的白帽子提交了一個關(guān)于天邊社區(qū) 4000 萬用戶資料泄露的漏洞。

就是這兩個漏洞，讓烏云的名字一會兒出現(xiàn)在公眾的面前。

“當(dāng)時相關(guān)機構(gòu)、網(wǎng)民都沒有做好預(yù)備，這事情就曝光了。人們對于企業(yè)信息安全的信賴就一會兒被打破了，覺得這事情太恐怖了，自己的名字等信息可能會被陌生人知道了。”孟卓回憶道。

因為公眾的不安，政府對于黑客產(chǎn)業(yè)和烏云平臺目的的嫌疑，烏云只要在事件發(fā)生后一周便公布暫時關(guān)站。

第二次關(guān)站，是 2012 年烏云曝光了某個運營商地級市的嚴重漏洞，對方要求將漏洞信息刪除，但是烏云方面拒絕了這個要求。然后就是被“拔網(wǎng)線”，然后連網(wǎng)站的備案記錄都消逝了。

孟卓說，他們有幾個建站以來就定下來規(guī)則，除了 45 天公開漏洞之外，就是“不刪除漏洞”。“我們也有我們情懷，經(jīng)過我們審核的漏洞，就不會因為壓力或者什么原因刪除。我們得給提交漏洞的白帽子一個交代，他們提交過的東西，不會莫名其妙地消逝，不會努力白費或者被威脅什么的。”

但是在被關(guān)站之后，孟卓也覺得很無助，對于烏云這樣一個新生的安全漏洞平臺來說，一切都走得太艱難。

“也是那時候開始覺得，我們自己的力量太弱小了。”孟卓說，2012 年，他們開始找互聯(lián)網(wǎng)應(yīng)急中間合作，成為了一個第三方的非營利性的民間組織。

當(dāng)時，互聯(lián)網(wǎng)應(yīng)急中間其實自己也有一個公開的漏洞平臺 CNVD，其實他們也想做收集漏洞的工作，但因為是政府機構(gòu)的緣故，并沒有吸引太多的白帽子黑客參與他們的項目。而烏云的出現(xiàn)，則剛好是幫 CNVD 承擔(dān)一些“國家信息安全漏洞庫”的工作。

“有些漏洞，假如讓我們?nèi)ネㄖ髽I(yè)，那么可能對方不一定會有行動，但和 CNVD 合作的話，他們能夠自上而下地去推進這些事情。”

有了認證以及國家應(yīng)急中間的合作，烏云團隊在這之后更加專心地做他們的白帽子黑客社區(qū)。他們希望給國內(nèi)黑客一個正向的刺激機制：鼓勵提交漏洞，促進廠商修補，從而得到了社區(qū)的虛擬貨幣，等級的提拔，還因為給社區(qū)反饋了養(yǎng)分，而增添了和安全技術(shù)牛人交流和學(xué)習(xí)的機會。

“假如不是烏云的話百度關(guān)鍵詞排名，我可能不會往這個方向走。盡管它說改變了人生是一個很夸張的說法，但確實是這樣。”今年 18 歲的白帽子黑客“小 K”在 3 年前開始琢磨計算機的基礎(chǔ)知識，以及如何入侵一個網(wǎng)站。

“一個人在做技術(shù)，你對于這個技術(shù)自己的認知很有限，在知道烏云之后，知識就從點到面的擴張開來，這種孤獨感就慢慢消失了。”去年，小 K 已經(jīng)加入了烏云，正在幫助烏云知識庫做一些國際化的工作。

小 K 并不是特例。今年才上初三的 ZPH 今年還在天河一號的超級計算機中間發(fā)現(xiàn)了一個可以輕松進入內(nèi)網(wǎng)的漏洞，讓他一會兒受到許多的外來關(guān)注。從 2014 年到現(xiàn)在，ZPH 已經(jīng)在烏云上提交了 40 多個漏洞，而他的媽媽對此還感到很放心：“我覺得烏云(對白帽子黑客)的指導(dǎo)很好，今年我已經(jīng)讓他自己去參加烏云的年度大會了。”ZPH 的媽媽告訴我們。

2015 烏云大會的宣傳圖片

到目前為止，烏云上已經(jīng)注冊了超過 1 萬名白帽子黑客。在白帽子黑客聚集起來后，也有廠商開始自動擁抱烏云平臺。

“我們新做的產(chǎn)品，都是在廠商推著做起來的。”孟卓說。年，烏云的團隊除了依然在運營烏云漏洞平臺的發(fā)展之外，還在做額外的產(chǎn)品。“假如光是漏洞驗證、漏洞平臺的維護施工圍擋制作，4、5 個人天天盯一下就可以了。”孟卓說。但在烏云的辦公室里，還有 20 多個年輕人，他們各自在忙著烏云在漏洞平臺之外的不同產(chǎn)品。

這些項目里面包括了例如“眾測”，一個烏云團隊在 2012 年開始嘗試更直接地讓白帽子賺到錢的項目。

孟卓說，這個需求也是他們平臺上的廠商提出。因為目前還只有比較大的互聯(lián)網(wǎng)公司有資金去聘請安全團隊，對于中小型創(chuàng)業(yè)公司來說，網(wǎng)絡(luò)安全這事情有點難。烏云于是就開了這么一些項目，讓有需求的公司到眾測上發(fā)布測試義務(wù)，然后烏云通過匹配找到合適的白帽子黑客參加眾測，然后企業(yè)根據(jù)找到的每個漏洞高危程度，給白帽子黑客支付一定的酬勞。

“你可以當(dāng)做是一次讓白帽子黑客給你做的專家會診。”烏云平臺的合伙人 Wudi 向我們介紹到，在烏云的官方介紹中，我們看到眾測的客戶已經(jīng)有知乎、聯(lián)想、百度等多家企業(yè)。

除了眾測之外，“當(dāng)時他們問的的就是能不能協(xié)助招人。”孟卓說?？紤]到廠商和白帽子黑客有同樣需求，烏云從 2014 年起就開始做他們漏洞平臺之外的個產(chǎn)品“烏云招聘”，形式十分簡單，就是企業(yè)發(fā)布招聘信息，有意的白帽子黑客們就參加應(yīng)聘。“即使我們不做這個，許多廠商在招聘網(wǎng)絡(luò)安全人員的時候也會直接問這些白帽子黑客的 ID、等級和有多少烏云幣。用這個體例來衡量他們的能力。”

烏云在今年炎天還推出了“唐朝安全巡航”服務(wù)，模式看起來則成熟許多。Wudi 透露，他們希望通過此服務(wù)接觸到一些有長期安全服務(wù)需求的公司，為他們提供更加標(biāo)準(zhǔn)化服務(wù)——經(jīng)常有安全體檢，還會檢索企業(yè)現(xiàn)有的互聯(lián)網(wǎng)“資產(chǎn)”，包括以前曾經(jīng)在網(wǎng)上曾購買過服務(wù)器。

而且，他們還會召集白帽子黑客們把自己發(fā)現(xiàn)漏洞的思路總結(jié)稱經(jīng)驗供廠商參考，而假如這個思路被采納，那么白帽子就會得到一筆分成。

但無論是這上面的哪一款商業(yè)產(chǎn)品，在烏云漏洞平臺主站上都沒有設(shè)置入口。對這些帶有商業(yè)性質(zhì)的新產(chǎn)品，烏云團隊并不希望會打攪原來的用戶。“我們是希望那些知道我們有這個服務(wù)的人，才去搜索這個新產(chǎn)品。”孟卓告訴我們。

比起盈利和賺錢，孟卓說，“白帽子們才是主要的。”

本文題目：烏云他們這個生意，是聚集上萬黑客在互聯(lián)網(wǎng)
鏈接分享：http://www.muchs.cn/news14/284664.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設(shè)、網(wǎng)站改版、App設(shè)計、做網(wǎng)站、網(wǎng)站建設(shè)、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)