烏云他們這個(gè)生意，是聚集上萬(wàn)黑客在互聯(lián)網(wǎng)

他們的名字叫烏云，你不一定聽過他們的名字，但你用的互聯(lián)網(wǎng)服務(wù)一定上過它們的漏洞名單

“我去百合網(wǎng)相親了。”

“咋樣?效果如何? 找到了沒有?”

“我找到了他們的 bug。”

9 月 6 日，相親網(wǎng)站百合網(wǎng)一個(gè)涉及幾百萬(wàn)用戶數(shù)據(jù)安全的漏洞被一個(gè)黑客發(fā)現(xiàn)了。

和一般黑客電影里的情節(jié)不同，黑客 Croxy 并沒有拿起加密電話索要贖金，而是寫下開頭的段子，將安全問題提交給了名為烏云的漏洞平臺(tái)。

而百合網(wǎng)也沒有報(bào)警，而是在漏洞公布兩天后確認(rèn)問題存在，開始修復(fù)。不出意外的話，威脅幾萬(wàn)用戶信息的安全問題將在幾天時(shí)間得到解決，而烏云也將在 10 月份公布具體的漏洞所在。

“其實(shí)大部分漏洞可能花一周就能解決，但我們給出的 45 天時(shí)間……一些客戶端的軟件比如瀏覽器、建站系統(tǒng)這樣的產(chǎn)品，我們會(huì)給 90 天讓廠商有充分的時(shí)間修復(fù)漏洞。”烏云平臺(tái)的創(chuàng)始人孟卓告訴《好奇心日?qǐng)?bào)》。而公布這些漏洞是為了將測(cè)試思路回饋社區(qū)，讓其他互聯(lián)網(wǎng)安全從業(yè)者也來學(xué)習(xí)。

在烏云漏洞平臺(tái)上，類似的事情天天都會(huì)發(fā)生上百次。光是在 15 天，烏云上的新增漏洞已經(jīng)有 1940 條。而這些曝光的漏洞，很可能會(huì)影響你的生活：

今年 9 月，九陽(yáng)智能豆?jié){機(jī)的漏洞被曝光。因?yàn)橐粋€(gè)設(shè)計(jì)和控制的缺陷，任何人都可以控制任意一臺(tái)九陽(yáng)豆?jié){機(jī)。漏洞提交的當(dāng)天，九陽(yáng)就已經(jīng)獲取情況并且確認(rèn)開始了修復(fù)工作。

2014 年 7 月，阿里巴巴嚴(yán)重漏洞也在烏云上曝光，人們只需要通過搜索引擎，甚至不用賬號(hào)、密碼，就能直接獲取支付寶用戶的賬戶余額、交易記錄、收貨地址、姓名手機(jī)號(hào)碼等敏感信息。阿里巴巴得知此事之后，還給找到漏洞的白帽子黑客 5 萬(wàn)元人民幣的獎(jiǎng)勵(lì)。

“烏云”，還有“白帽子”是中文互聯(lián)網(wǎng)安全事件繞不開的名詞。

在 2010 年成立至今，烏云平臺(tái)的漏洞列表頁(yè)面上，漏洞數(shù)字已經(jīng)超過 7 萬(wàn)個(gè)。當(dāng)中涉及的公司除了騰訊、阿里巴巴、百度、小米、聯(lián)想等科技企業(yè)之外，還有國(guó)內(nèi)多家銀行、金融機(jī)構(gòu)，甚至地方政府網(wǎng)站的安全問題。

而作為這個(gè)漏洞社區(qū)的內(nèi)容生產(chǎn)者，在烏云上注冊(cè)的“白帽子黑客”也已經(jīng)有 1 萬(wàn)人以上。所謂的白帽子，就是一些有技術(shù)能力，熱愛網(wǎng)絡(luò)安全行業(yè)的人們，有別于傳統(tǒng)的黑客，他們通常會(huì)把漏洞告訴企業(yè)，提醒他們修復(fù)，而非用來獲取個(gè)人利益。

“一開始我們完全沒想到會(huì)做成現(xiàn)在這樣。”烏云的創(chuàng)始人孟卓告訴我們。在 2010 年，還在百度做安全工作的劍心(網(wǎng)名)因?yàn)橄Ｍ嗟男畔踩袠I(yè)同人交流，一路提高技術(shù)，所以昔時(shí)一些行業(yè)內(nèi)的同伙在業(yè)余時(shí)間建了“烏云漏洞平臺(tái)”。批用戶他們自己以及身邊的同伙，大家找到漏洞，就提交到烏云上。

烏云對(duì)于漏洞處理機(jī)制是這樣的：白帽子黑客向?yàn)踉铺峤坏穆┒葱畔?，烏云就?huì)通知漏洞所在廠商認(rèn)領(lǐng)，細(xì)節(jié)只對(duì)廠商透露，讓他們盡快修復(fù)。在這個(gè)漏洞曝光的 45 天(假如是瀏覽器，社交應(yīng)用等服務(wù)是 90 天)之后，烏云就會(huì)把漏洞的細(xì)節(jié)公之于眾，將漏洞的發(fā)現(xiàn)方法作為白帽子黑客社區(qū)的學(xué)習(xí)養(yǎng)料，而提供漏洞的白帽子，也會(huì)得到烏云的虛擬貨幣和等級(jí)的提拔。

在這個(gè)模式當(dāng)中，烏云漏洞平臺(tái)將自己定義為一個(gè)不盈利、自力于所有公司之外的第三方機(jī)構(gòu)。但這種模式自己并不好做。

“安全行業(yè)是一個(gè)特別很是封閉的行業(yè)南寧公司轉(zhuǎn)讓，”孟卓說，“別人發(fā)現(xiàn)了自己公司的漏洞，其實(shí)是很糟糕的事情，因?yàn)楹苡锌赡軙?huì)被黑色產(chǎn)業(yè)行使”。

因此，許多大型的科技公司如微軟、Facebook、雅虎、阿里巴巴，不但會(huì)有自己的安全團(tuán)隊(duì)，還會(huì)設(shè)立自己的漏洞平臺(tái)或者漏洞尋找競(jìng)賽，這些平臺(tái)或競(jìng)賽，就是希望募集公司外的黑客們給自己找漏洞，然后給發(fā)現(xiàn)漏洞的人一定數(shù)額的獎(jiǎng)金。找到漏洞的具體信息網(wǎng)，就只會(huì)歸公司所有，不會(huì)向公眾公布。

其實(shí)去年 Google 也嘗試做了一個(gè)和烏云相似的第三方漏洞平臺(tái) Project Zero，效果卻因?yàn)楣剂烁?jìng)爭(zhēng)對(duì)手微軟以及和蘋果公司的漏洞，而惹來不正當(dāng)競(jìng)爭(zhēng)的非議。這是因?yàn)?Google 自己是行業(yè)里的主要公司，競(jìng)爭(zhēng)對(duì)手會(huì)忌憚也是正常。

而烏云早期經(jīng)歷的麻煩到后期的成功，也都是因?yàn)樗麄儾⒎菍儆谌魏喂尽?/p>

網(wǎng)絡(luò)安全行業(yè)的封閉也是源于人們對(duì)于黑客的刻板印象：用高科技手段入侵網(wǎng)站、竊取信息，假如企業(yè)不合作，這些內(nèi)部的機(jī)密信息就會(huì)流轉(zhuǎn)到黑色產(chǎn)業(yè)當(dāng)中去。無(wú)論在國(guó)外照舊國(guó)內(nèi)，這種涉及信息倒賣的行為都會(huì)被定義成犯罪。

盡管并非所有擅長(zhǎng)網(wǎng)絡(luò)技術(shù)的人都會(huì)與黑色產(chǎn)業(yè)相關(guān)。而烏云經(jīng)常提及的“白帽子黑客”，就是一些有技術(shù)能力，熱愛網(wǎng)絡(luò)安全行業(yè)的人們，他們通常會(huì)把漏洞提交給企業(yè)，而非用來獲取個(gè)人利益。

但早期企業(yè)的邏輯是滑稽的。白帽子在烏云上公布漏洞存在，而不公布細(xì)節(jié)，其實(shí)是對(duì)公司的預(yù)警，讓他們盡快修復(fù)漏洞。而真正的黑客攻擊者從來不留修復(fù)的機(jī)會(huì)。這種漏洞的提交其實(shí)對(duì)企業(yè)安全是好事，也是那么多公司鼓勵(lì)白帽子的原因。

但在當(dāng)時(shí)，因?yàn)楣妼?duì)黑客的刻板印象，以及對(duì)信息安全的不理解，烏云在 2011 - 2012 年兩次被關(guān)站。

2011 年 12 月，互聯(lián)網(wǎng)上傳出開發(fā)者社區(qū) CSDN 遭黑客攻擊，有 600 萬(wàn)用戶帳號(hào)及明文密碼泄露，用戶的資料被大量傳播。而當(dāng)時(shí)，烏云上也有白帽子提交了相關(guān)的漏洞;在 CSDN 事件發(fā)生后不到三天，烏云上的白帽子提交了一個(gè)關(guān)于天邊社區(qū) 4000 萬(wàn)用戶資料泄露的漏洞。

就是這兩個(gè)漏洞，讓烏云的名字一會(huì)兒出現(xiàn)在公眾的面前。

“當(dāng)時(shí)相關(guān)機(jī)構(gòu)、網(wǎng)民都沒有做好預(yù)備，這事情就曝光了。人們對(duì)于企業(yè)信息安全的信賴就一會(huì)兒被打破了，覺得這事情太恐怖了，自己的名字等信息可能會(huì)被陌生人知道了。”孟卓回憶道。

因?yàn)楣姷牟话玻畬?duì)于黑客產(chǎn)業(yè)和烏云平臺(tái)目的的嫌疑，烏云只要在事件發(fā)生后一周便公布暫時(shí)關(guān)站。

第二次關(guān)站，是 2012 年烏云曝光了某個(gè)運(yùn)營(yíng)商地級(jí)市的嚴(yán)重漏洞，對(duì)方要求將漏洞信息刪除，但是烏云方面拒絕了這個(gè)要求。然后就是被“拔網(wǎng)線”，然后連網(wǎng)站的備案記錄都消逝了。

孟卓說，他們有幾個(gè)建站以來就定下來規(guī)則，除了 45 天公開漏洞之外，就是“不刪除漏洞”。“我們也有我們情懷，經(jīng)過我們審核的漏洞，就不會(huì)因?yàn)閴毫蛘呤裁丛騽h除。我們得給提交漏洞的白帽子一個(gè)交代，他們提交過的東西，不會(huì)莫名其妙地消逝，不會(huì)努力白費(fèi)或者被威脅什么的。”

但是在被關(guān)站之后，孟卓也覺得很無(wú)助，對(duì)于烏云這樣一個(gè)新生的安全漏洞平臺(tái)來說，一切都走得太艱難。

“也是那時(shí)候開始覺得，我們自己的力量太弱小了。”孟卓說，2012 年，他們開始找互聯(lián)網(wǎng)應(yīng)急中間合作，成為了一個(gè)第三方的非營(yíng)利性的民間組織。

當(dāng)時(shí)，互聯(lián)網(wǎng)應(yīng)急中間其實(shí)自己也有一個(gè)公開的漏洞平臺(tái) CNVD，其實(shí)他們也想做收集漏洞的工作，但因?yàn)槭钦畽C(jī)構(gòu)的緣故，并沒有吸引太多的白帽子黑客參與他們的項(xiàng)目。而烏云的出現(xiàn)，則剛好是幫 CNVD 承擔(dān)一些“國(guó)家信息安全漏洞庫(kù)”的工作。

“有些漏洞，假如讓我們?nèi)ネㄖ髽I(yè)，那么可能對(duì)方不一定會(huì)有行動(dòng)，但和 CNVD 合作的話，他們能夠自上而下地去推進(jìn)這些事情。”

有了認(rèn)證以及國(guó)家應(yīng)急中間的合作，烏云團(tuán)隊(duì)在這之后更加專心地做他們的白帽子黑客社區(qū)。他們希望給國(guó)內(nèi)黑客一個(gè)正向的刺激機(jī)制：鼓勵(lì)提交漏洞，促進(jìn)廠商修補(bǔ)，從而得到了社區(qū)的虛擬貨幣，等級(jí)的提拔，還因?yàn)榻o社區(qū)反饋了養(yǎng)分，而增添了和安全技術(shù)牛人交流和學(xué)習(xí)的機(jī)會(huì)。

“假如不是烏云的話百度關(guān)鍵詞排名，我可能不會(huì)往這個(gè)方向走。盡管它說改變了人生是一個(gè)很夸張的說法，但確實(shí)是這樣。”今年 18 歲的白帽子黑客“小 K”在 3 年前開始琢磨計(jì)算機(jī)的基礎(chǔ)知識(shí)，以及如何入侵一個(gè)網(wǎng)站。

“一個(gè)人在做技術(shù)，你對(duì)于這個(gè)技術(shù)自己的認(rèn)知很有限，在知道烏云之后，知識(shí)就從點(diǎn)到面的擴(kuò)張開來，這種孤獨(dú)感就慢慢消失了。”去年，小 K 已經(jīng)加入了烏云，正在幫助烏云知識(shí)庫(kù)做一些國(guó)際化的工作。

小 K 并不是特例。今年才上初三的 ZPH 今年還在天河一號(hào)的超級(jí)計(jì)算機(jī)中間發(fā)現(xiàn)了一個(gè)可以輕松進(jìn)入內(nèi)網(wǎng)的漏洞，讓他一會(huì)兒受到許多的外來關(guān)注。從 2014 年到現(xiàn)在，ZPH 已經(jīng)在烏云上提交了 40 多個(gè)漏洞，而他的媽媽對(duì)此還感到很放心：“我覺得烏云(對(duì)白帽子黑客)的指導(dǎo)很好，今年我已經(jīng)讓他自己去參加烏云的年度大會(huì)了。”ZPH 的媽媽告訴我們。

2015 烏云大會(huì)的宣傳圖片

到目前為止，烏云上已經(jīng)注冊(cè)了超過 1 萬(wàn)名白帽子黑客。在白帽子黑客聚集起來后，也有廠商開始自動(dòng)擁抱烏云平臺(tái)。

“我們新做的產(chǎn)品，都是在廠商推著做起來的。”孟卓說。年，烏云的團(tuán)隊(duì)除了依然在運(yùn)營(yíng)烏云漏洞平臺(tái)的發(fā)展之外，還在做額外的產(chǎn)品。“假如光是漏洞驗(yàn)證、漏洞平臺(tái)的維護(hù)施工圍擋制作，4、5 個(gè)人天天盯一下就可以了。”孟卓說。但在烏云的辦公室里，還有 20 多個(gè)年輕人，他們各自在忙著烏云在漏洞平臺(tái)之外的不同產(chǎn)品。

這些項(xiàng)目里面包括了例如“眾測(cè)”，一個(gè)烏云團(tuán)隊(duì)在 2012 年開始嘗試更直接地讓白帽子賺到錢的項(xiàng)目。

孟卓說，這個(gè)需求也是他們平臺(tái)上的廠商提出。因?yàn)槟壳斑€只有比較大的互聯(lián)網(wǎng)公司有資金去聘請(qǐng)安全團(tuán)隊(duì)，對(duì)于中小型創(chuàng)業(yè)公司來說，網(wǎng)絡(luò)安全這事情有點(diǎn)難。烏云于是就開了這么一些項(xiàng)目，讓有需求的公司到眾測(cè)上發(fā)布測(cè)試義務(wù)，然后烏云通過匹配找到合適的白帽子黑客參加眾測(cè)，然后企業(yè)根據(jù)找到的每個(gè)漏洞高危程度，給白帽子黑客支付一定的酬勞。

“你可以當(dāng)做是一次讓白帽子黑客給你做的專家會(huì)診。”烏云平臺(tái)的合伙人 Wudi 向我們介紹到，在烏云的官方介紹中，我們看到眾測(cè)的客戶已經(jīng)有知乎、聯(lián)想、百度等多家企業(yè)。

除了眾測(cè)之外，“當(dāng)時(shí)他們問的的就是能不能協(xié)助招人。”孟卓說。考慮到廠商和白帽子黑客有同樣需求，烏云從 2014 年起就開始做他們漏洞平臺(tái)之外的個(gè)產(chǎn)品“烏云招聘”，形式十分簡(jiǎn)單，就是企業(yè)發(fā)布招聘信息，有意的白帽子黑客們就參加應(yīng)聘。“即使我們不做這個(gè)，許多廠商在招聘網(wǎng)絡(luò)安全人員的時(shí)候也會(huì)直接問這些白帽子黑客的 ID、等級(jí)和有多少烏云幣。用這個(gè)體例來衡量他們的能力。”

烏云在今年炎天還推出了“唐朝安全巡航”服務(wù)，模式看起來則成熟許多。Wudi 透露，他們希望通過此服務(wù)接觸到一些有長(zhǎng)期安全服務(wù)需求的公司，為他們提供更加標(biāo)準(zhǔn)化服務(wù)——經(jīng)常有安全體檢，還會(huì)檢索企業(yè)現(xiàn)有的互聯(lián)網(wǎng)“資產(chǎn)”，包括以前曾經(jīng)在網(wǎng)上曾購(gòu)買過服務(wù)器。

而且，他們還會(huì)召集白帽子黑客們把自己發(fā)現(xiàn)漏洞的思路總結(jié)稱經(jīng)驗(yàn)供廠商參考，而假如這個(gè)思路被采納，那么白帽子就會(huì)得到一筆分成。

但無(wú)論是這上面的哪一款商業(yè)產(chǎn)品，在烏云漏洞平臺(tái)主站上都沒有設(shè)置入口。對(duì)這些帶有商業(yè)性質(zhì)的新產(chǎn)品，烏云團(tuán)隊(duì)并不希望會(huì)打攪原來的用戶。“我們是希望那些知道我們有這個(gè)服務(wù)的人，才去搜索這個(gè)新產(chǎn)品。”孟卓告訴我們。

比起盈利和賺錢，孟卓說，“白帽子們才是主要的。”

本文題目：烏云他們這個(gè)生意，是聚集上萬(wàn)黑客在互聯(lián)網(wǎng)
鏈接分享：http://www.bm7419.com/news14/284664.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站改版、App設(shè)計(jì)、做網(wǎng)站、網(wǎng)站建設(shè)、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)