烏云網集合5000多名白帽子堅持中立和非盈利
責編:admin |2014-11-24 16:58:20互聯網安全漏洞爆料平臺烏云聯合創始人孟卓、合伙人鄔迪做客《公司人俱樂部》直播間,他們表示,平臺上有將近5000個白帽子,他們發現漏洞上傳,烏云會有一個5天的確認期,之后還會給企業大概還有40天的修復期,修復期過去之后,烏云才會給它公開的。
想做時髦的云 最小的黑客只有13歲
烏云網是國內一個立足于計算機廠商和安全研究者之間的安全問題反饋及發布平臺,集中了國內的黑客資源。用戶可以在線提交發現的網站安全漏洞,企業用戶也可以通過該平臺獲知自己網站的漏洞。
主持人:為什么起名“烏云”?
孟卓:因為烏云成立之初,正好是計算機互聯網時代的云時代然后感覺叫帶"云"字的名字都是沒有趕上時髦,所以我起了一個叫烏云。
主持人:黑客的日常工作需要在一個辦公室嗎?
孟卓:我們經常開玩笑說,只要黑客一臺電腦,一根網線,他在全球各地都可以開展自己的工作。烏云網現在有20個人,我們都是黑客出身。
主持人:一起共事彼此也不會見到真人?
孟卓:大家見面就會非常少,但是現在這些年來,可能大家相聚的機會越來越多了。聚在一起,聊聊技術,因為之前都是一個ID,突然見到背后ID這個人,會有很多很多的問題,我認識最小的黑客只有13歲,最年長有40多歲了,但是最年長的接觸的還不是很多,我們接觸的圈子還是比較年輕的群體。
黑客宅男居多 大部分是兼職
主持人:黑客行業男女比例如何?
孟卓:男女比例非常失調的,很少有女孩子。
主持人:黑客的工作習慣和其他職業最大區別是什么?
孟卓:經常熬夜,因為黑客研究一門技術,有時候會非常忘我,時間觀念是根本不存在的。
主持人:黑客的日常工作是什么?
孟卓:其實黑客這個詞大家會有一些誤解,就是認為黑客都是有惡意性目的的人,利用計算機這種技術去攻擊別人,其實黑客只是一種掌握了計算機攻防技術的人,只要掌握這種技術的人都可以成為一個黑客,一些大型互聯網公司的安全從業人員,他們每天工作就是尋找自己企業安全漏洞,杜絕安全隱患。
主持人:他們大多都有常規職位嗎?
孟卓:大部分都是有的,有的是在IT的企業,有些比如像銀行職員、收銀員、商場保安,還有我認識一位非常厲害的,他是生物學的博士。
鄔迪:我還見過一位送水工,一位黑客催我們幫他審漏洞,說他要出去送水,我們覺得開玩笑,結果后來他還是發一張照片,確實是在網吧邊上堆了很多桶的水。
主持人:一般如何向別人介紹你的工作?
孟卓:介紹的時候還真是有點困難,特別是很多人對網絡安全不是很了解,有些人聽完一些,我個人專業的描述之后,原來就是保安。有的黑客是善意的,他可能就是保護自己身邊的人,或者自己工作這家企業數據一些安全等等,他們就是在做這種事情。
主持人:人們對黑客的最大誤解是什么?
鄔迪:黑客是一個通稱,黑客是掌握攻防技術的人。另外,我們這種屬于白帽子,我們是做安全研究的,其實我們更多發現企業安全的問題,報告給企業,幫助企業和整個行業改善問題。
黑客分好壞 有黑產也有白帽子
黑客里面也分好黑客和壞黑客,壞就是利用漏洞去賺錢,也有好人,在中國被叫做叫白帽子。
主持人:套用在黑客這個群體上呢?
孟卓:黑客的群體上,像烏云的白帽子,發現漏洞的目的并不是想去利用它,攻擊它,而是希望幫助企業修復,而且這個邏輯也非常簡單。
孟卓:灰帽子,第一他們的技術非常高超,但是有的時候也在迷盲,要走哪一條的路。我們一直在說,如果說能光明正大的,賺非常多的錢,誰都不愿意做一些的低下、骯臟的黑錢。所以中間這種的灰色群體,他正好處在一個矛盾點,他既在當前可能無法得到一個非常好的工作,而且自身的家庭等等原因又需要很大的開銷。所以他們在中間又不希望走黑色的道路,確實有法律的責任,不是一個很好的結局,所以他們在中間是飄忽不定。
主持人:有白帽子是由黑帽子變過來的嗎?
鄔迪:但是其實如果做了黑帽子,我們覺得真正再轉回白帽子很難,因為它賺的錢是很快的,有的人,他今天還是騎個自行車,第二天開一個跑車,這是夸張一點的說法,但是那個錢賺的很快,他再從事一些工作,去上班,他這些人他回不去了。
張奧:能給我們舉兩個你們知道的案例。黑客一夜之間暴富的。
孟卓:這個是有的,黑客有自己的功能的圈子,我也是在有一個QQ群,然后跟這個朋友他可能恰好有這方面做黑色產業的黑帽子,他有一天突然發給我一張圖片,黑帽子在他空間上更新了一句話,這句話讓人看了觸目驚心,那個人他這么說,說最近終于找回狀態了,什么狀態是日入過萬的狀態。所以說可以想像在一些二三線城市,可能一個人半年的收入才過萬,像北上廣深一線的城市可能有些人一個月的收入才剛剛過萬,但是你再想一個人一天的收入就能過萬,對于一個人價值觀來說。
主持人:所以利益這么大,你們還能堅定下來做這個白帽子,您覺得這是一個怎樣的想法?
孟卓:這個第一出發點是自己和家人的角度去思考,因為這種事做的時候會有巨大的利益回報,但是一旦想到自己因為某一天因為做出一件事情,影響到自己影響到家人的話,想想還是挺恐怖的,雖然那個時候腰纏萬貫了,但是也沒有什么意義了。
黑客多半由于興趣
主持人:很多的年輕人還是對黑客充滿了好奇的,想成為一名黑客,到底具備哪些素質?
孟卓:我所理解的黑客最簡單的素質就是說,就是有一種勤于思考的心,這個怎么解釋,就是像互聯網一開始出來之后,就是很開放、很自由的,所有東西大家可以下載,但是時間慢慢推移之后,這個網絡變得商業化,很多人希望在上面盈利,所以互聯網變得封閉化了,所以有的時候一種想法,我想突破這種封閉。
鄔迪:我們覺得能成為一個技術比較好的人,更多人還是興趣,有一些人,我一個月給你幾萬塊錢,讓你去做黑客,最后他可能自己堅持不下去,你不給他錢,但有些人你可能不給他錢,他就是有興趣,他會沒命在這個興趣上去研究,反倒是這些人成長更快,走的很遠。
烏云曾多次遭遇企業威脅 還被大公司拔過網線
主持人:為什么要成立烏云網?
孟卓:因為當時我們幾個在企業做安全工作的小伙伴,就感覺現在的互聯網有很多弊端,有什么弊端呢,民間的安全運作非常多,他們的技術也非常強,然后就有一個問題,那個時代已經有人在善意向企業報告問題,但是會發現很大的矛盾,民間的安全意識包括報道的寫發現漏洞沒有渠道,然后后來他們就會覺得可能走一個錯誤的方法,發在自己的博客上,這樣在未修復的情況下,很多人看到,可以進行攻擊。第二,有些人善意給企業報告這個安全問題,但是企業這邊,會有一個誤解,他會認為你找我的漏洞,你來找我是不是要挾我。
主持人:以前我聽說過,有些廠家有些企業,對這些報告發布者、爆料者進行過威脅。
孟卓:因為企業不理解這個行為,而且他會感覺認為你在找他的麻煩,在給它曝光一個大的問題,對它名稱甚至有損害,所以說這個時候對白帽子態度就會非常的很不友善,然后這個情況導致白帽子在某種情況下作出一些某種錯誤的行為,所以后來我們就感覺這個問題非常非常的大,因為我們當時有一些項工作,就是主動發現自己的漏洞怎么發現的,就是看各種各樣黑客的博客。會不會發現漏洞。
白帽子提交漏洞 烏云45天之后向公眾發布
烏云網2010年5月正式上線的,平臺上有將近5000個白帽子注冊了。很多人的訪問時間很長,一上去幾個小時,然后一頁一頁去發,仔細去看,停滯的時間特別長。每天白帽子會發現一些漏洞,上傳到烏云。
鄔迪:烏云做的是相當于初審,他們報漏洞,我們檢查一下這個信息的完整性,一些基本的內容,當時我們初步覺得這個沒有太大問題的話,最終這個確認是由企業來確認的。我們有一個5天的確認期,企業可以來確認這個漏洞是否存在,你是忽略還是確認,5天過去,大概還有40多天給企業的修復期,修復期過去之后,我們才會給它公開的。
主持人:現在企業能夠接受你們這種模式或者認可這種形式嗎?
孟卓:隨著時間的推移慢慢有企業理解了,因為現在其實我們不知道這種攻擊對企業造成的攻擊非常多。然后白帽子出現其實有時候恰好真正解除企業的問題,一些安全漏洞,一些隱患等等,甚至企業很多年都沒有發現的問題,白帽子能指出,能解決掉,所以企業也發現,白帽子為自己的安全創造了價值。
主持人:現在有沒有企業主動來尋求和你們一起來合作。
鄔迪:不過剛才的合題我還得插一句,現在還有企業不理解這個事情,很多企業就說他們沒有這個問題,或者它修完以后,它說沒有,也會質疑我們你們怎么這么做,包括發一些漏洞的時候,現在還是會有很多企業,我給你們多少錢,你們把這個刪了吧。但是這個我們基本上不會去,讓他們按照我們的正常的流程去走。
2011年短暫關閉后 烏云再度出發
烏云網運作過程當中,有一個年份不得不提,2011年,那一年我們看到很多人說你們的白帽子一炮打響,一炮而紅,是因為你們指出了很多比較大的這種像支付寶、京東、搜狗輸入這些的問題,同時在那一天年底12月31號,烏云網暫時關閉了網站,那一年到底經歷了什么?
孟卓:現在互聯網有一種非常盛行的攻擊,也是非常難以解決的攻擊,叫“撞庫”,撞庫就是說很多的網站企業他們的很關鍵的會員的數據庫泄露了,這個會員數據庫包括什么,我們的姓名、身分證號、手機號、郵箱等等信息,然后烏云為什么在這一年,出了這么大事,就因為烏云把這個事情曝光。因為這個攻擊在安全圈子里面知道,可能已經流傳很多年了,但是那一年太大了,已經開始有把控不住的效果,有白帽子發現這個問題就上報了。為什么對我們影響非常大,因為也是那一年企業和用戶不了解烏云,當時這個問題一報告,引起非常大的轟動與反響,企業用戶會認為以為是烏云做的攻擊,把這個數據泄露來,但是其實大家對烏云的流程那個時候不了解。
主持人:所以你們在流程上做了一些改變嗎?
孟卓:沒有改變,而且說再次向社會說出我們到底是什么樣的一些流程,比如說像那一次的攻擊,在互聯網流傳了很久了,很多人在網隨隨便便就能下載到了,只不過有人覺得這個問題影響非常大,然后報告給我們,我們向社會進行預警,有這樣一種攻擊,大家的數據可能都已經泄露了,然后這種泄露可能會對我們造成詐騙攻擊等等,甚至說到我們的信用卡、銀行或者各種各樣的互聯網賬號。
烏云堅持非盈利初衷 主要依靠國家補助
主持人:如何盈利?
鄔迪:目前烏云就是一個第三方的平臺。比如我收了一家企業的錢,我們是不是不去報這個企業的漏洞,會比較矛盾。我們希望白帽子自身能夠去報漏洞賺一些錢,使自己的生活變的更好,我們給企業提供一些安全服務,我們叫烏云公測。
主持人:現在有些企業,比較認可白帽子,補缺它的漏洞會給一些獎勵,但是好像中國對于白帽子獎勵都是非常小的獎勵,其實在美國這樣的獎勵是很正常的,其中微軟拿出20萬美元的現金,然后來獎勵給這樣的白帽子。白帽子們在乎這個嗎?
孟卓:其實有一些小獎勵,白帽子還是很在乎,是企業承認它作了正確的事情,有些人還拍照片,把家里的各種各樣公司獎勵的公仔擺了一床,其實那些東西加起來不過一、兩百塊錢。
主持人:在這樣情況之下,烏云網這些白帽子更多只能是兼職行為吧?
孟卓:對,目前是。
主持人:但是你們兩個是專職的,現在有一個矛盾在里面,你們又是一個非盈利的組織,給白帽子就是一個公仔,你們還有一個辦公室,養了20多個人,日常開銷怎么辦?
鄔迪:因為我們跟國家相關方面有合作,因為他們也要去收集中國互聯網一些漏洞,我們把這個提供給他們,這樣我們靠政府資金維持平臺日常運轉。
孟卓:因為像白帽子報的漏洞,除了像互聯網企業的,可能還有政府、金融、教育、保險一些航空等等行業的安全漏洞。像這種安全漏洞,我們會走國家互聯網中心這個渠道,進行下發通報。
主持人:現在這種模式你們將會堅持下去嗎?一直會走這種非盈利模式嗎?
孟卓:是的,一旦說我們以烏云來盈利的話,最終這個公平中立性會被打破。
張奧:現在有沒有企業來找你們,說你們能不能組織手下的這些,比較很厲害的黑客、白帽子,幫我專門去測我競爭對手的漏洞,幫我去做這種平臺?
鄔迪:我們肯定不會去做這樣的事情,如果他自身想去解決,解決自身的安全問題,沒有問題,可以組織一批人幫他做。
企業從回避漏洞到主動曝光
孟卓:現在烏云平臺上可見一些主流的互聯網企業已經是600多家,但是還有很多地方級的這種,加起來近2000家企業了。
鄔迪:現在有一個比較好玩的趨勢,過去企業是不希望在烏云上被報漏洞的,但是現在有一個變化,有一些企業,它以前在烏云上沒有報漏洞,但是它自己過來注冊,說你們能不能幫我們去找找漏洞,現在越來越多,上個月我們看到好幾個企業。希望白帽子幫助他們發現安全問題,因為企業它的安全觀念也在變化,過去有問題,趕緊把它蓋住,不要讓任何人知道,把它藏起來,但是現在他們覺得,你幫我發現一些問題,然后用戶會覺得我這個平臺更安全、更放心,更多用戶敢去用。
主持人:或者說以前企業自己要有一些網絡安全原因,是不是可以不用聘請了,跟你們合作就行了?
鄔迪:我們覺得很多在將來會成為一個趨勢,很多中小企業的話,安全人員現在身價越來越高了,一個好的安全人員,工作起來之后,40、50萬年薪是沒有問題的,特別是創業的企業,他不可能在業務沒有做成熟的時候,花這么多錢雇一個安全人員。