發布日期：2017/7/24

摘要： 他們的名字叫烏云，你不一定聽過他們的名字，但你用的互聯網服務一定上過它們的漏洞名單 我去百合網相親了。 咋樣?效果如何? 找到了沒有? 我找到了他們的 bug。 9 月 6 日，相親網

 

　　他們的名字叫烏云，你不一定聽過他們的名字，但你用的互聯網服務一定上過它們的漏洞名單

　　“我去百合網相親了。”

　　“咋樣?效果如何? 找到了沒有?”

　　“我找到了他們的 bug。”

　　9 月 6 日，相親網站百合網一個涉及幾百萬用戶數據安全的漏洞被一個黑客發現了。

　　和一般黑客電影里的情節不同，黑客 Croxy 并沒有拿起加密電話索要贖金，而是寫下開頭的段子，將安全問題提交給了名為烏云的漏洞平臺。

　　而百合網也沒有報警，而是在漏洞公布兩天后確認問題存在，開始修復。不出意外的話，威脅幾萬用戶信息的安全問題將在幾天時間得到解決，而烏云也將在 10 月份公布具體的漏洞所在。

　　“其實大部分漏洞可能花一周就能解決，但我們給出的 45 天時間……一些客戶端的軟件比如瀏覽器、建站系統這樣的產品，我們會給 90 天讓廠商有充分的時間修復漏洞。”烏云平臺的創始人孟卓告訴《好奇心日報》。而公布這些漏洞是為了將測試思路回饋社區，讓其他互聯網安全從業者也來學習。

　　在烏云漏洞平臺上，類似的事情天天都會發生上百次。光是在 15 天，烏云上的新增漏洞已經有 1940 條。而這些曝光的漏洞，很可能會影響你的生活：

　　今年 9 月，九陽智能豆漿機的漏洞被曝光。因為一個設計和控制的缺陷，任何人都可以控制任意一臺九陽豆漿機。漏洞提交的當天，九陽就已經獲取情況并且確認開始了修復工作。

　　2014 年 7 月，阿里巴巴嚴重漏洞也在烏云上曝光，人們只需要通過搜索引擎，甚至不用賬號、密碼，就能直接獲取支付寶用戶的賬戶余額、交易記錄、收貨地址、姓名手機號碼等敏感信息。阿里巴巴得知此事之后，還給找到漏洞的白帽子黑客 5 萬元人民幣的獎勵。

　　“烏云”，還有“白帽子”是中文互聯網安全事件繞不開的名詞。

　　

 

　　在 2010 年成立至今，烏云平臺的漏洞列表頁面上，漏洞數字已經超過 7 萬個。當中涉及的公司除了騰訊、阿里巴巴、百度、小米、聯想等科技企業之外，還有國內多家銀行、金融機構，甚至地方政府網站的安全問題。

　　而作為這個漏洞社區的內容生產者，在烏云上注冊的“白帽子黑客”也已經有 1 萬人以上。所謂的白帽子，就是一些有技術能力，熱愛網絡安全行業的人們，有別于傳統的黑客，他們通常會把漏洞告訴企業，提醒他們修復，而非用來獲取個人利益。

　　“一開始我們完全沒想到會做成現在這樣。”烏云的創始人孟卓告訴我們。在 2010 年，還在百度做安全工作的劍心(網名)因為希望更多的信息安全行業同人交流，一路提高技術，所以昔時一些行業內的同伙在業余時間建了“烏云漏洞平臺”。批用戶他們自己以及身邊的同伙，大家找到漏洞，就提交到烏云上。

　　烏云對于漏洞處理機制是這樣的：白帽子黑客向烏云提交的漏洞信息，烏云就會通知漏洞所在廠商認領，細節只對廠商透露，讓他們盡快修復。在這個漏洞曝光的 45 天(假如是瀏覽器，社交應用等服務是 90 天)之后，烏云就會把漏洞的細節公之于眾，將漏洞的發現方法作為白帽子黑客社區的學習養料，而提供漏洞的白帽子，也會得到烏云的虛擬貨幣和等級的提拔。

　　在這個模式當中，烏云漏洞平臺將自己定義為一個不盈利、自力于所有公司之外的第三方機構。但這種模式自己并不好做。

　　“安全行業是一個特別很是封閉的行業南寧公司轉讓，”孟卓說，“別人發現了自己公司的漏洞，其實是很糟糕的事情，因為很有可能會被黑色產業行使”。

　　因此，許多大型的科技公司如微軟、Facebook、雅虎、阿里巴巴，不但會有自己的安全團隊，還會設立自己的漏洞平臺或者漏洞尋找競賽，這些平臺或競賽，就是希望募集公司外的黑客們給自己找漏洞，然后給發現漏洞的人一定數額的獎金。找到漏洞的具體信息網，就只會歸公司所有，不會向公眾公布。

　　其實去年 Google 也嘗試做了一個和烏云相似的第三方漏洞平臺 Project Zero，效果卻因為公布了競爭對手微軟以及和蘋果公司的漏洞，而惹來不正當競爭的非議。這是因為 Google 自己是行業里的主要公司，競爭對手會忌憚也是正常。

　　而烏云早期經歷的麻煩到后期的成功，也都是因為他們并非屬于任何公司。

　　網絡安全行業的封閉也是源于人們對于黑客的刻板印象：用高科技手段入侵網站、竊取信息，假如企業不合作，這些內部的機密信息就會流轉到黑色產業當中去。無論在國外照舊國內，這種涉及信息倒賣的行為都會被定義成犯罪。

　　盡管并非所有擅長網絡技術的人都會與黑色產業相關。而烏云經常提及的“白帽子黑客”，就是一些有技術能力，熱愛網絡安全行業的人們，他們通常會把漏洞提交給企業，而非用來獲取個人利益。

　　但早期企業的邏輯是滑稽的。白帽子在烏云上公布漏洞存在，而不公布細節，其實是對公司的預警，讓他們盡快修復漏洞。而真正的黑客攻擊者從來不留修復的機會。這種漏洞的提交其實對企業安全是好事，也是那么多公司鼓勵白帽子的原因。

　　但在當時，因為公眾對黑客的刻板印象，以及對信息安全的不理解，烏云在 2011 - 2012 年兩次被關站。

　　2011 年 12 月，互聯網上傳出開發者社區 CSDN 遭黑客攻擊，有 600 萬用戶帳號及明文密碼泄露，用戶的資料被大量傳播。而當時，烏云上也有白帽子提交了相關的漏洞;在 CSDN 事件發生后不到三天，烏云上的白帽子提交了一個關于天邊社區 4000 萬用戶資料泄露的漏洞。

　　就是這兩個漏洞，讓烏云的名字一會兒出現在公眾的面前。

　　“當時相關機構、網民都沒有做好預備，這事情就曝光了。人們對于企業信息安全的信賴就一會兒被打破了，覺得這事情太恐怖了，自己的名字等信息可能會被陌生人知道了。”孟卓回憶道。

　　因為公眾的不安，政府對于黑客產業和烏云平臺目的的嫌疑，烏云只要在事件發生后一周便公布暫時關站。

　　第二次關站，是 2012 年烏云曝光了某個運營商地級市的嚴重漏洞，對方要求將漏洞信息刪除，但是烏云方面拒絕了這個要求。然后就是被“拔網線”，然后連網站的備案記錄都消逝了。

　　孟卓說，他們有幾個建站以來就定下來規則，除了 45 天公開漏洞之外，就是“不刪除漏洞”。“我們也有我們情懷，經過我們審核的漏洞，就不會因為壓力或者什么原因刪除。我們得給提交漏洞的白帽子一個交代，他們提交過的東西，不會莫名其妙地消逝，不會努力白費或者被威脅什么的。”

　　但是在被關站之后，孟卓也覺得很無助，對于烏云這樣一個新生的安全漏洞平臺來說，一切都走得太艱難。

　　“也是那時候開始覺得，我們自己的力量太弱小了。”孟卓說，2012 年，他們開始找互聯網應急中間合作，成為了一個第三方的非營利性的民間組織。

　　當時，互聯網應急中間其實自己也有一個公開的漏洞平臺 CNVD，其實他們也想做收集漏洞的工作，但因為是政府機構的緣故，并沒有吸引太多的白帽子黑客參與他們的項目。而烏云的出現，則剛好是幫 CNVD 承擔一些“國家信息安全漏洞庫”的工作。

　　“有些漏洞，假如讓我們去通知企業，那么可能對方不一定會有行動，但和 CNVD 合作的話，他們能夠自上而下地去推進這些事情。”

　　有了認證以及國家應急中間的合作，烏云團隊在這之后更加專心地做他們的白帽子黑客社區。他們希望給國內黑客一個正向的刺激機制：鼓勵提交漏洞，促進廠商修補，從而得到了社區的虛擬貨幣，等級的提拔，還因為給社區反饋了養分，而增添了和安全技術牛人交流和學習的機會。

　　“假如不是烏云的話百度關鍵詞排名，我可能不會往這個方向走。盡管它說改變了人生是一個很夸張的說法，但確實是這樣。”今年 18 歲的白帽子黑客“小 K”在 3 年前開始琢磨計算機的基礎知識，以及如何入侵一個網站。

　　“一個人在做技術，你對于這個技術自己的認知很有限，在知道烏云之后，知識就從點到面的擴張開來，這種孤獨感就慢慢消失了。”去年，小 K 已經加入了烏云，正在幫助烏云知識庫做一些國際化的工作。

　　小 K 并不是特例。今年才上初三的 ZPH 今年還在天河一號的超級計算機中間發現了一個可以輕松進入內網的漏洞，讓他一會兒受到許多的外來關注。從 2014 年到現在，ZPH 已經在烏云上提交了 40 多個漏洞，而他的媽媽對此還感到很放心：“我覺得烏云(對白帽子黑客)的指導很好，今年我已經讓他自己去參加烏云的年度大會了。”ZPH 的媽媽告訴我們。

　　

2015 烏云大會的宣傳圖片

　　到目前為止，烏云上已經注冊了超過 1 萬名白帽子黑客。在白帽子黑客聚集起來后，也有廠商開始自動擁抱烏云平臺。

　　“我們新做的產品，都是在廠商推著做起來的。”孟卓說。年，烏云的團隊除了依然在運營烏云漏洞平臺的發展之外，還在做額外的產品。“假如光是漏洞驗證、漏洞平臺的維護施工圍擋制作，4、5 個人天天盯一下就可以了。”孟卓說。但在烏云的辦公室里，還有 20 多個年輕人，他們各自在忙著烏云在漏洞平臺之外的不同產品。

　　這些項目里面包括了例如“眾測”，一個烏云團隊在 2012 年開始嘗試更直接地讓白帽子賺到錢的項目。

　　孟卓說，這個需求也是他們平臺上的廠商提出。因為目前還只有比較大的互聯網公司有資金去聘請安全團隊，對于中小型創業公司來說，網絡安全這事情有點難。烏云于是就開了這么一些項目，讓有需求的公司到眾測上發布測試義務，然后烏云通過匹配找到合適的白帽子黑客參加眾測，然后企業根據找到的每個漏洞高危程度，給白帽子黑客支付一定的酬勞。

　　“你可以當做是一次讓白帽子黑客給你做的專家會診。”烏云平臺的合伙人 Wudi 向我們介紹到，在烏云的官方介紹中，我們看到眾測的客戶已經有知乎、聯想、百度等多家企業。

　　除了眾測之外，“當時他們問的的就是能不能協助招人。”孟卓說。考慮到廠商和白帽子黑客有同樣需求，烏云從 2014 年起就開始做他們漏洞平臺之外的個產品“烏云招聘”，形式十分簡單，就是企業發布招聘信息，有意的白帽子黑客們就參加應聘。“即使我們不做這個，許多廠商在招聘網絡安全人員的時候也會直接問這些白帽子黑客的 ID、等級和有多少烏云幣。用這個體例來衡量他們的能力。”

　　烏云在今年炎天還推出了“唐朝安全巡航”服務，模式看起來則成熟許多。Wudi 透露，他們希望通過此服務接觸到一些有長期安全服務需求的公司，為他們提供更加標準化服務——經常有安全體檢，還會檢索企業現有的互聯網“資產”，包括以前曾經在網上曾購買過服務器。

　　而且，他們還會召集白帽子黑客們把自己發現漏洞的思路總結稱經驗供廠商參考，而假如這個思路被采納，那么白帽子就會得到一筆分成。

　　但無論是這上面的哪一款商業產品，在烏云漏洞平臺主站上都沒有設置入口。對這些帶有商業性質的新產品，烏云團隊并不希望會打攪原來的用戶。“我們是希望那些知道我們有這個服務的人，才去搜索這個新產品。”孟卓告訴我們。

　　比起盈利和賺錢，孟卓說，“白帽子們才是主要的。”