有些人称他们为安全侠客,也有些人称他们为网络恶徒。他们游走在灰色空间,他们刀锋上起舞,亦黑亦白,一念牢狱之灾,一念荣誉加身。
作者:麻策
时隔四年半,乌云网再次停摆。
多个信源证实,包括创始人方小顿在内的乌云网数名团队成员7月19日被警方带走。
停摆原因依然是外界喜欢猜测的话题,但两种截然相反的态度表明人们对这家公司的价值评判存在着本质差异。
乌云从来都不缺乏支持者和反对者。在支持者眼中,它就是“云时代罩在信息小偷和互联网企业头上的一道警示咒”。而在反对者眼里,它却像一枚随时可能会引爆的行业炸弹,悬得越久威力越大。
这个最早以猎捕大型互联网公司漏洞闻名的非营利性社区,已经迅速发展成为中国最大的白帽子聚集地和漏洞披露平台。创业家&i黑马查询资料获悉,早在2014年底,乌云就已聚集白帽子7000余人,日均上报漏洞超过100个。
按照其官方话述,乌云只和对用户知道安全问题持敌视态度的人产生矛盾。其中包括漠视用户信息安全的大企业、黑色产业以及靠封闭信息牟利的机构。
大互联网公司怕它,因为名为白帽子的“漏洞猎手们”对这些大公司的挖掘总是乐此不疲,并总能从它们看似坚实的信息安全高楼上撬下松动的砖瓦。小互联网公司也怕它。对发展速度的渴求,往往让它们的安全防护系统千疮百孔,不堪一击。
与美国西部片过去惯用的手法——好人戴白帽子,坏人戴黑帽子类似,延伸到网络安全行业,白帽子意指正面黑客。与黑帽(恶意)黑客不同,白帽子也可识别安全漏洞,但不会恶意利用而是选择公布。他们各个身怀绝技,也如恶意黑客一样遭受质疑。
猎捕漏洞的行为被视为最不稳定的环节。白帽子的渗透手段是否就是破坏?他们是否会窃取信息?有无权利?是否违法?
这一群体随乌云网一起被推上了舆论的风口浪尖,褒贬不一。他们既浪漫又神秘,但不得不受制于利益、商业和政治的非议。
乌云网继续停摆。只是大多数同行抑或业内资深人士均保持着“不表态、不评价、不传播”的姿势,而且所有的借题发挥都被视为炒作或者落井下石。
共识是,乌云网的危机不是整个安全行业的危机,但是会推动敏感的白帽子群体甚至整个安全行业逐步走向合法和规范。这只是一个开端。
但在此之前,乌云网及其同仁们都将继续游离于企业与白帽子的对立和互相猜忌之间,活在大众的争议声下。
乌托邦
2015年3月22日,北京朝阳大悦城。方小顿穿着格子衫、牛仔裤站在人群前面。他留着中长发蓄着胡子,敞怀的格子衫下露出半拉白色打底背心。众人注视下,他说,没有一个人能够从互联网虚拟世界逃脱,不管怎么拒绝。
*乌云网创始人方小顿(CFP供图)
就连他也逃脱不了。尽管作为安全圈、黑客圈里响当当的人物,曾经百度公司年轻派并风云一时的安全技术团队leader,方小顿依然把自己与普通民众一同列入“网络易受侵害者”名单。
网络安全从业者大多如此。当他们极力想要告诉你真相,必先博取你充分的心理认同。在他们看来,网络世界极不平衡,网络劫匪和普通人分站在信息安全天秤的两端,一方手持兵刃,藏匿于暗处;一方手无寸铁,暴露在明处。弱势一方任人宰割,胜负毫无悬念。
“我相信没有太多人愿意做坏的事情。”方小顿解释说,一个黑客他喜欢在网络世界里面自由穿梭,就像打游戏一样上瘾。
技术本身就让人着迷。
2002年,16岁的方小顿考上哈尔滨理工大学化学专业,但这个来自湖北的小伙儿不爱化学偏爱互联网,大量的课余时间用于互联网技术自学与钻研。如果没有当时的“不务正业”,也就不会有后面关于乌云和白帽子们的传说。
他很快在黑客江湖崭露头角。在发现Discuz!漏洞后成功进入安全行业,22岁便加入百度负责安全技术工作。2012年,26岁的方小顿决定离开百度时,已经做到了T7级别,他曾笑言,如果不离开,现在薪水不菲。
早在2010年百度任职期间,他就和几个志同道合的朋友一起借助业余时间打造了乌云网,并于2012年下半年决定全职投入,这是他离开百度的直接原因。
乌云网起步于五道口的一间破旧的民宅,后来发展成为国内颇具影响力的漏洞平台。有人曾如此评价,2010~2011年的乌云是一个打破行业信息不对称的新兴社区,像一道闪电在尴尬的网络安全行业撕开了一个口子,也把幕后的技术人员推到了台前。
杨蔚是白帽子中的顶尖高手,江湖人称301,最早在乌云平台崭露头角。江湖传言,他曾在云集了一万名白帽子的乌云众测(乌云于2014年推出的安全众包平台)排行榜中名列第二。
2013年底,方小顿找到杨蔚。本以为只是一次技术探讨,却让杨蔚面临一次重要选择。一顿烤肉的工夫,两人就达成共识,杨蔚决定以合伙人的身份加入乌云,负责乌云众测。
在乌云这个小生态圈子里,涌现了许多知名白帽子。猪猪侠也是其中之一。他曾因曝出携程信用卡漏洞引发轩然大波。在他的刀下,百度、腾讯、阿里巴巴、新浪、搜狐等众多知名互联网企业无一幸免。
Jannock十分腼腆且不善言辞,他因遇到乌云而迷上技术,自我研习并疯狂成长,后曾因长期盘踞精华漏洞提交数第一位而被尊称为“一哥”。
有人闻名来乌云,也有人因乌云成名。2011年,刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞,此后又接连指出支付宝2500万用户资料泄露、如家酒店开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列安全问题。乌云也因此声名大噪。
2011年底,工信部下属“国家信息安全漏洞共享平台”主动上门来寻求合作,希望乌云能够共享数据信息,帮助推动政府、央企改进系统。2012年,乌云获得国家互联网应急中心赞助,承担部分“国家信息安全漏洞库”的工作,正式成为有国家相关部门支持的第三方非营利性民间组织。
方小顿曾透露,乌云有两大赞助平台:国家信息安全漏洞共享平台和广东省信息安全测评中心。每年的资金赞助,基本已经可以覆盖平台成本。而借助上述两大平台,乌云也成为涵盖互联网公司、金融、大中型企业、政府机构网站的全行业漏洞入口。
乌云网聚集了全国最多的黑客,但白帽子的身份却尤为复杂。按照著名黑客老K的说法,有各大公司的网络安全工程师、IT从业人员、白领、律师甚至厨师,也有洗白的黑帽子。
白帽子一词因乌云网而火爆起来。
孟卓,网名“疯狗”,乌云网联合创始人。在创办乌云之前,他曾任职于腾讯。乌云之前没有合理的漏洞提交渠道,他说,一个“善良的黑客”要提交漏洞可能会被厂商威胁。因此,他认为乌云在做一件前所未有且很有情怀的事。
“乌云是一座桥。”方小顿如此比喻。他们在厂商和白帽子之间建立一个沟通平台的目的不是为了将其变成一个营利性的安全技术中介。它以前不为营利,未来仍将延续在线的公益模式。“我自己仍是一个技术员,不是商人。”他说。
这就又回到了方小顿的理想:让网络安全问题更透明,企业更重视,漏洞研究者和厂商之间更平等。“乌云为平等而努力。”
为此,方小顿不止一次提到:我们要建立一个乌托邦。
公开
乌云显得有些执拗。经它披露的所有企业安全漏洞它执意要公开。这是得罪人的事儿,方小顿心知肚明。
孟卓直言,大部分中国企业在遇到问题时,首先想到的不是妥善处理而是掩盖,尽力不让外界知道。
但乌云反其道而行,某种程度上触犯了这部分企业的“容忍”底线。
*乌云网创始人方小顿(CFP供图)
而这些企业则提出了正当的疑问——白帽子的测试渗透本身就代表着攻击和破坏,那白帽子的行为谁来监管?企业的利益又如何保障?并占据了舆论制高点。
方小顿并没有打算让步。
“我们不是免责的平台。如果有人窃取了人家的数据,又把漏洞报在乌云上,这是两件事。攻击是一件事,报告漏洞又是一件事情,后者我绝对鼓励。”方小顿在接受安全行业新媒体“安在”采访时,如此反驳。他说,乌云鼓励测试并不纵容攻击,企业有权力追究任何使它受到损失的行为,但测试和攻击不能混为一谈。
事实上,他苦于解释。乌云创立之初,他花费大量时间去跟企业、监管部门解释乌云的作用仅仅相当于安全预警,并非真正的黑客行为。他认为一名白帽子黑客除了要在技术方面感兴趣之外,另一点就是必须拥有一个正能量的理想。而且,他相信。
乌云给出了自己的“期限”。他们允许企业在与其有关的漏洞信息提交审核后(平台方会通知企业)的5天之内来确认,逾期将默认并分批向核心白帽子及相关领域专家、普通白帽子、实习白帽子公开漏洞细节,一般以10天、20天、30天为节点。45天后则向全民公开。
某种程度上来讲,乌云将此视为一种敦促企业重视安全和改进的手段。有的企业显然不这么想。它们感受到的更多是威胁。
乌云的敌人不断增加。对于网站每天都会遭受的DDoS攻击、黑产(黑色产业链)的挑衅、企业的指责,还有乙方公司的抱怨,方小顿早习以为常。“推动一个事情向前,注定要损害很多既得利益者。而有人反对,也必然会有人支持。”
破坏和建设一样。方小顿说。
乌云坚持对外公开所有的漏洞报告情况,以及技术相关的细节。哪怕是企业认领、确认的,依旧如此,只是待企业修复完成再做公开处理。
方小顿认为,互联网企业犹如信息大楼的建造者,用户是户主。现状是,建造者只注重大楼的销量而不在意质量。“他只管卖出去收钱,而用户真正住进去怎么样并不负责。”
很多问题,都需要建立一个开放的渠道去解决。方小顿也想。也许,他第一步只是想“逼”企业表个态。
去年9月,方小顿接受安全行业资深媒体人张耀疆的访谈。张问:你做的事情法律没有明确规定或反对,所以被认为是在打擦边球,你怎么看?
方小顿答:先考虑价值,大家认可,就应该去做。法律既然讲不清楚,公开、透明是最好的方式。
他反复强调公开透明。但在外界看来,问题的关键在于,仅靠白帽子的自律和情怀,能否撑得起一个公开透明的良性机制。换句话讲,这群人的情怀靠不靠得住?
根据早前的报道,2011年,“臭小子”(网名)曾出于个人炫耀的目的在乌云网上发帖称CSDN等网站密码泄漏,并公布泄漏数据包截图。此外,乌云白帽子“我心飞翔”因涉嫌敲诈勒索京东商城被刑拘。
今年4月12日,“白帽子”袁炜因涉嫌非法获取计算机信息系统数据犯罪被批捕,引发业界轰动。业内认为,白帽子与企业、与漏洞平台间的关系,“必须从暧昧走向清澈”。这一过程,起码要从健全白帽子行为边界、企业授权制度、平台监管制度开始。
“凯文·米特尼克!”方小顿在北京朝阳大悦城的那次分享会中提道,这是一个传奇黑客,闯入北美空中防护指挥系统、侵入了美国五角大楼电脑……其传奇经历足以让世界震惊,他的一句话让方小顿印象深刻。
“我能从全世界的每一个ATM机里取出钱,但是我没有。”方小顿复述给大家听,他觉得这特牛。
疑云
事发于7月20日。
当天凌晨,乌云网突然无法访问,一时传言四起。官方随后贴出系统升级公告,意在辟谣。
然而,一个多星期后,多个信源证实乌云网已被查处,包括创始人方小顿在内“多名高管被抓”。
事实难辨。
该报道引发了舆论一边倒——“乌云摊上了大事!”但也招致部分业内人士的不满。
“破坏远比建设要简单。”前乌云合伙人杨蔚在一文中感悟道,安全是特殊的行业,想要赢得别人的赞美很难,得到否定却很容易。
7月20日事发当天,杨蔚最早站出来辟谣。“谣言止于智者。”他在微博中敲下这几个字,并配上一个笑脸。“没事就好。”底下有人评论。
创业家&i黑马就此事试图联系多位安全行业人士或黑客,但均遭委婉拒绝。“乌云为中国网络安全事业做了很多贡献,这个时候评论它的功过是非,都不恰当。”一名安全行业从业者向创业家&i黑马如此表示。
5年多以来,乌云想用行动证明它的价值。“对于倚靠技术而非忽悠的安全厂商,乌云为他们提供了一种证明自身贡献的方式。而白帽子也通过乌云获得了体面、有尊严的回报。”方小顿曾对外表示。他眼中的乌云使命,除了要推进企业重视信息安全、唤回社会对技术的尊重,同时也为白帽子群体的生存待遇和社会尊严而努力。
十年前,两个年轻人曾破解了六间房创始人刘岩的邮箱,并掌握了他的工作动态。俩人“堵”在刘岩的办公室门口,见了他说:“你们有安全漏洞,您请我们当顾问吧。”刘岩形容他们:中专毕业,留着长发,顶多20岁。
“这帮孩子太吓人了。”刘岩对创业家&i黑马说,他的大量信息被他们掌握,他吓得“汗毛都竖起来了”。刘岩养了他们两年,让他们专门负责给自己的网站找漏洞。刘岩讲,他觉得这俩年轻人胸怀利器必有杀心,要是在外边混非得干出坏事不可。
身怀“绝技”,难免有人走入歧途。这也是社会对这一群体最大的担心。十年前如此,如今这一群体依旧未走出这一尴尬的处境。
相对于外界关于黑客的人性探讨,方小顿认为机制更重要。他认为过去大家对安全不重视,企业不投入,因此白帽子的待遇不好,“为了生活就会有人去做黑色产业”。他觉得这些人不去引导,那不作好一定作恶。如果企业允许他们去做漏洞测试,并且认可他们的贡献,他们的技术就有了一个出口,就能做正事。
方小顿希望改变旧有的恶性循环。首先让公众了解漏洞和安全问题,然后反向推动企业增加安全领域投入,以此改善白帽子的生存状态,从而更好保障公众信息安全。
“没有天生的好人或坏人,只有好的机制和坏的机制。”方小顿多次这么说。至今,乌云的“好的机制”建设虽有所进展,但仍任重道远。
截至目前,乌云的“升级”仍在持续。其称:“我们将在最短的时间内,以最好的姿态回归。”
这一幕似曾相识。
2011年12月29日,新年在即,乌云网临时宣布关站。彼时,官方给出的理由同样是系统升级,同样是称要“以一个更好的方式重新开始”。至于本次“危机”,乌云能否回归,又能以怎样的姿态回归,都是未知数。
方小顿曾无数次考虑过乌云的命运。他认为无非两种:存在,或者死亡。如果是后者,他想,说明乌托邦理想暂时行不通。
“我不会那么在意。”方小顿在与张耀疆的那场对话中显得很是淡然。因为他觉得乌云之外,自己可以做的事情还有很多。
但愿,他还能做很多事情。
*本文为创业家原创,作者麻策,王根旺编辑。CFP供图。转载请后台回复“转载”获取转载格式。未经授权,转载必究。i黑马微信(ID:iheima)