乌云网集合5000多名白帽子坚持中立和非盈利

  互联网安全漏洞爆料平台乌云联合创始人孟卓、合伙人邬迪做客《公司人俱乐部》直播间,他们表示,平台上有将近5000个白帽子,他们发现漏洞上传,乌云会有一个5天的确认期,之后还会给企业大概还有40天的修复期,修复期过去之后,乌云才会给它公开的。

  想做时髦的云 最小的黑客只有13岁

  乌云网是国内一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,集中了国内的黑客资源。用户可以在线提交发现的网站安全漏洞,企业用户也可以通过该平台获知自己网站的漏洞。

  主持人:为什么起名“乌云”?

  孟卓:因为乌云成立之初,正好是计算机互联网时代的云时代然后感觉叫带"云"字的名字都是没有赶上时髦,所以我起了一个叫乌云。

  主持人:黑客的日常工作需要在一个办公室吗?

  孟卓:我们经常开玩笑说,只要黑客一台电脑,一根网线,他在全球各地都可以开展自己的工作。乌云网现在有20个人,我们都是黑客出身。

  主持人:一起共事彼此也不会见到真人?

  孟卓:大家见面就会非常少,但是现在这些年来,可能大家相聚的机会越来越多了。聚在一起,聊聊技术,因为之前都是一个ID,突然见到背后ID这个人,会有很多很多的问题,我认识最小的黑客只有13岁,最年长有40多岁了,但是最年长的接触的还不是很多,我们接触的圈子还是比较年轻的群体。

  黑客宅男居多 大部分是兼职

  主持人:黑客行业男女比例如何?

  孟卓:男女比例非常失调的,很少有女孩子。

  主持人:黑客的工作习惯和其他职业最大区别是什么?

  孟卓:经常熬夜,因为黑客研究一门技术,有时候会非常忘我,时间观念是根本不存在的。

  主持人:黑客的日常工作是什么?

  孟卓:其实黑客这个词大家会有一些误解,就是认为黑客都是有恶意性目的的人,利用计算机这种技术去攻击别人,其实黑客只是一种掌握了计算机攻防技术的人,只要掌握这种技术的人都可以成为一个黑客,一些大型互联网公司的安全从业人员,他们每天工作就是寻找自己企业安全漏洞,杜绝安全隐患。

  主持人:他们大多都有常规职位吗?

  孟卓:大部分都是有的,有的是在IT的企业,有些比如像银行职员、收银员、商场保安,还有我认识一位非常厉害的,他是生物学的博士。

  邬迪:我还见过一位送水工,一位黑客催我们帮他审漏洞,说他要出去送水,我们觉得开玩笑,结果后来他还是发一张照片,确实是在网吧边上堆了很多桶的水。

  主持人:一般如何向别人介绍你的工作?

  孟卓:介绍的时候还真是有点困难,特别是很多人对网络安全不是很了解,有些人听完一些,我个人专业的描述之后,原来就是保安。有的黑客是善意的,他可能就是保护自己身边的人,或者自己工作这家企业数据一些安全等等,他们就是在做这种事情。

  主持人:人们对黑客的最大误解是什么?

  邬迪:黑客是一个通称,黑客是掌握攻防技术的人。另外,我们这种属于白帽子,我们是做安全研究的,其实我们更多发现企业安全的问题,报告给企业,帮助企业和整个行业改善问题。

  黑客分好坏 有黑产也有白帽子

  黑客里面也分好黑客和坏黑客,坏就是利用漏洞去赚钱,也有好人,在中国被叫做叫白帽子。

  主持人:套用在黑客这个群体上呢?

  孟卓:黑客的群体上,像乌云的白帽子,发现漏洞的目的并不是想去利用它,攻击它,而是希望帮助企业修复,而且这个逻辑也非常简单。

  孟卓:灰帽子,第一他们的技术非常高超,但是有的时候也在迷盲,要走哪一条的路。我们一直在说,如果说能光明正大的,赚非常多的钱,谁都不愿意做一些的低下、肮脏的黑钱。所以中间这种的灰色群体,他正好处在一个矛盾点,他既在当前可能无法得到一个非常好的工作,而且自身的家庭等等原因又需要很大的开销。所以他们在中间又不希望走黑色的道路,确实有法律的责任,不是一个很好的结局,所以他们在中间是飘忽不定。

  主持人:有白帽子是由黑帽子变过来的吗?

  邬迪:但是其实如果做了黑帽子,我们觉得真正再转回白帽子很难,因为它赚的钱是很快的,有的人,他今天还是骑个自行车,第二天开一个跑车,这是夸张一点的说法,但是那个钱赚的很快,他再从事一些工作,去上班,他这些人他回不去了。

  张奥:能给我们举两个你们知道的案例。黑客一夜之间暴富的。

  孟卓:这个是有的,黑客有自己的功能的圈子,我也是在有一个QQ群,然后跟这个朋友他可能恰好有这方面做黑色产业的黑帽子,他有一天突然发给我一张图片,黑帽子在他空间上更新了一句话,这句话让人看了触目惊心,那个人他这么说,说最近终于找回状态了,什么状态是日入过万的状态。所以说可以想像在一些二三线城市,可能一个人半年的收入才过万,像北上广深一线的城市可能有些人一个月的收入才刚刚过万,但是你再想一个人一天的收入就能过万,对于一个人价值观来说。

  主持人:所以利益这么大,你们还能坚定下来做这个白帽子,您觉得这是一个怎样的想法?

  孟卓:这个第一出发点是自己和家人的角度去思考,因为这种事做的时候会有巨大的利益回报,但是一旦想到自己因为某一天因为做出一件事情,影响到自己影响到家人的话,想想还是挺恐怖的,虽然那个时候腰缠万贯了,但是也没有什么意义了。

  黑客多半由于兴趣

  主持人:很多的年轻人还是对黑客充满了好奇的,想成为一名黑客,到底具备哪些素质?

  孟卓:我所理解的黑客最简单的素质就是说,就是有一种勤于思考的心,这个怎么解释,就是像互联网一开始出来之后,就是很开放、很自由的,所有东西大家可以下载,但是时间慢慢推移之后,这个网络变得商业化,很多人希望在上面盈利,所以互联网变得封闭化了,所以有的时候一种想法,我想突破这种封闭。

  邬迪:我们觉得能成为一个技术比较好的人,更多人还是兴趣,有一些人,我一个月给你几万块钱,让你去做黑客,最后他可能自己坚持不下去,你不给他钱,但有些人你可能不给他钱,他就是有兴趣,他会没命在这个兴趣上去研究,反倒是这些人成长更快,走的很远。

  乌云曾多次遭遇企业威胁 还被大公司拔过网线

  主持人:为什么要成立乌云网?

  孟卓:因为当时我们几个在企业做安全工作的小伙伴,就感觉现在的互联网有很多弊端,有什么弊端呢,民间的安全运作非常多,他们的技术也非常强,然后就有一个问题,那个时代已经有人在善意向企业报告问题,但是会发现很大的矛盾,民间的安全意识包括报道的写发现漏洞没有渠道,然后后来他们就会觉得可能走一个错误的方法,发在自己的博客上,这样在未修复的情况下,很多人看到,可以进行攻击。第二,有些人善意给企业报告这个安全问题,但是企业这边,会有一个误解,他会认为你找我的漏洞,你来找我是不是要挟我。

  主持人:以前我听说过,有些厂家有些企业,对这些报告发布者、爆料者进行过威胁。

  孟卓:因为企业不理解这个行为,而且他会感觉认为你在找他的麻烦,在给它曝光一个大的问题,对它名称甚至有损害,所以说这个时候对白帽子态度就会非常的很不友善,然后这个情况导致白帽子在某种情况下作出一些某种错误的行为,所以后来我们就感觉这个问题非常非常的大,因为我们当时有一些项工作,就是主动发现自己的漏洞怎么发现的,就是看各种各样黑客的博客。会不会发现漏洞。

  白帽子提交漏洞 乌云45天之后向公众发布

  乌云网2010年5月正式上线的,平台上有将近5000个白帽子注册了。很多人的访问时间很长,一上去几个小时,然后一页一页去发,仔细去看,停滞的时间特别长。每天白帽子会发现一些漏洞,上传到乌云。

  邬迪:乌云做的是相当于初审,他们报漏洞,我们检查一下这个信息的完整性,一些基本的内容,当时我们初步觉得这个没有太大问题的话,最终这个确认是由企业来确认的。我们有一个5天的确认期,企业可以来确认这个漏洞是否存在,你是忽略还是确认,5天过去,大概还有40多天给企业的修复期,修复期过去之后,我们才会给它公开的。

  主持人:现在企业能够接受你们这种模式或者认可这种形式吗?

  孟卓:随着时间的推移慢慢有企业理解了,因为现在其实我们不知道这种攻击对企业造成的攻击非常多。然后白帽子出现其实有时候恰好真正解除企业的问题,一些安全漏洞,一些隐患等等,甚至企业很多年都没有发现的问题,白帽子能指出,能解决掉,所以企业也发现,白帽子为自己的安全创造了价值。

  主持人:现在有没有企业主动来寻求和你们一起来合作。

  邬迪:不过刚才的合题我还得插一句,现在还有企业不理解这个事情,很多企业就说他们没有这个问题,或者它修完以后,它说没有,也会质疑我们你们怎么这么做,包括发一些漏洞的时候,现在还是会有很多企业,我给你们多少钱,你们把这个删了吧。但是这个我们基本上不会去,让他们按照我们的正常的流程去走。

  2011年短暂关闭后 乌云再度出发

  乌云网运作过程当中,有一个年份不得不提,2011年,那一年我们看到很多人说你们的白帽子一炮打响,一炮而红,是因为你们指出了很多比较大的这种像支付宝、京东、搜狗输入这些的问题,同时在那一天年底12月31号,乌云网暂时关闭了网站,那一年到底经历了什么?

  孟卓:现在互联网有一种非常盛行的攻击,也是非常难以解决的攻击,叫“撞库”,撞库就是说很多的网站企业他们的很关键的会员的数据库泄露了,这个会员数据库包括什么,我们的姓名、身分证号、手机号、邮箱等等信息,然后乌云为什么在这一年,出了这么大事,就因为乌云把这个事情曝光。因为这个攻击在安全圈子里面知道,可能已经流传很多年了,但是那一年太大了,已经开始有把控不住的效果,有白帽子发现这个问题就上报了。为什么对我们影响非常大,因为也是那一年企业和用户不了解乌云,当时这个问题一报告,引起非常大的轰动与反响,企业用户会认为以为是乌云做的攻击,把这个数据泄露来,但是其实大家对乌云的流程那个时候不了解。

  主持人:所以你们在流程上做了一些改变吗?

  孟卓:没有改变,而且说再次向社会说出我们到底是什么样的一些流程,比如说像那一次的攻击,在互联网流传了很久了,很多人在网随随便便就能下载到了,只不过有人觉得这个问题影响非常大,然后报告给我们,我们向社会进行预警,有这样一种攻击,大家的数据可能都已经泄露了,然后这种泄露可能会对我们造成诈骗攻击等等,甚至说到我们的信用卡、银行或者各种各样的互联网账号。

  乌云坚持非盈利初衷 主要依靠国家补助

  主持人:如何盈利?

  邬迪:目前乌云就是一个第三方的平台。比如我收了一家企业的钱,我们是不是不去报这个企业的漏洞,会比较矛盾。我们希望白帽子自身能够去报漏洞赚一些钱,使自己的生活变的更好,我们给企业提供一些安全服务,我们叫乌云公测。

  主持人:现在有些企业,比较认可白帽子,补缺它的漏洞会给一些奖励,但是好像中国对于白帽子奖励都是非常小的奖励,其实在美国这样的奖励是很正常的,其中微软拿出20万美元的现金,然后来奖励给这样的白帽子。白帽子们在乎这个吗?

  孟卓:其实有一些小奖励,白帽子还是很在乎,是企业承认它作了正确的事情,有些人还拍照片,把家里的各种各样公司奖励的公仔摆了一床,其实那些东西加起来不过一、两百块钱。

  主持人:在这样情况之下,乌云网这些白帽子更多只能是兼职行为吧?

  孟卓:对,目前是。

  主持人:但是你们两个是专职的,现在有一个矛盾在里面,你们又是一个非盈利的组织,给白帽子就是一个公仔,你们还有一个办公室,养了20多个人,日常开销怎么办?

  邬迪:因为我们跟国家相关方面有合作,因为他们也要去收集中国互联网一些漏洞,我们把这个提供给他们,这样我们靠政府资金维持平台日常运转。

  孟卓:因为像白帽子报的漏洞,除了像互联网企业的,可能还有政府、金融、教育、保险一些航空等等行业的安全漏洞。像这种安全漏洞,我们会走国家互联网中心这个渠道,进行下发通报。

  主持人:现在这种模式你们将会坚持下去吗?一直会走这种非盈利模式吗?

  孟卓:是的,一旦说我们以乌云来盈利的话,最终这个公平中立性会被打破。

  张奥:现在有没有企业来找你们,说你们能不能组织手下的这些,比较很厉害的黑客、白帽子,帮我专门去测我竞争对手的漏洞,帮我去做这种平台?

  邬迪:我们肯定不会去做这样的事情,如果他自身想去解决,解决自身的安全问题,没有问题,可以组织一批人帮他做。

  企业从回避漏洞到主动曝光

  孟卓:现在乌云平台上可见一些主流的互联网企业已经是600多家,但是还有很多地方级的这种,加起来近2000家企业了。

  邬迪:现在有一个比较好玩的趋势,过去企业是不希望在乌云上被报漏洞的,但是现在有一个变化,有一些企业,它以前在乌云上没有报漏洞,但是它自己过来注册,说你们能不能帮我们去找找漏洞,现在越来越多,上个月我们看到好几个企业。希望白帽子帮助他们发现安全问题,因为企业它的安全观念也在变化,过去有问题,赶紧把它盖住,不要让任何人知道,把它藏起来,但是现在他们觉得,你帮我发现一些问题,然后用户会觉得我这个平台更安全、更放心,更多用户敢去用。

  主持人:或者说以前企业自己要有一些网络安全原因,是不是可以不用聘请了,跟你们合作就行了?

  邬迪:我们觉得很多在将来会成为一个趋势,很多中小企业的话,安全人员现在身价越来越高了,一个好的安全人员,工作起来之后,40、50万年薪是没有问题的,特别是创业的企业,他不可能在业务没有做成熟的时候,花这么多钱雇一个安全人员。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:安卓恶意软件感染400多万智能手机用户