專訪烏雲網:白帽子不是駭客
- 發佈時間:2014-12-23 09:12:32 來源:中國網財經 責任編輯:王磊
中國網財經12月23日訊(記者 甄鼎丞) 相繼曝出如家等酒店客戶開房資訊洩露、攜程用戶銀行卡資訊洩露、支付寶賬號可任意登陸等高危漏洞後,烏雲網聲名大噪。
同時,烏雲網也遭受了很多誤解與攻擊。據介紹,烏雲網多次受到企業威脅,甚至曾有被某知名公司派人潛入機房拔掉網線這樣“可笑可氣”的經歷。而有媒體更是將“中國最大的駭客培訓基地”冠以烏雲網。
面對各方壓力,雖然曾一度面臨“關站”危險,但烏雲網依然堅持“第三方非盈利性組織”身份,堅持“不刪漏洞”、不接受投資。
盛名之下,其路也難。近日,中國網財經記者專訪到烏雲網的多位創始人。
烏雲:網路安全的烏托邦
2013年10月,公佈因第三方系統漏洞導致如家、漢庭等酒店的客戶開房記錄洩露。
2013年11月,公佈騰訊7000多萬個QQ群數據庫漏洞,洩露用戶備註姓名、年齡、社交關係網等大量個人隱私。
2014年2月,公佈淘寶和支付寶認證存在安全缺陷,駭客可以簡單利用該漏洞登陸他人淘寶和支付寶賬號進行操作。
2014年3月,公佈攜程網漏洞導致大量用戶銀行卡資訊洩露,其中包含持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等敏感資訊。
烏雲網頻繁曝出震驚行業的重大漏洞,幾乎戰戰告捷。而同時,也將一個默默無聞的群體——白帽子推向公眾視野。
白帽子,可以理解為正義的“駭客”。雖然兩者都擅長網路技術、樂於尋找漏洞,但白帽子的做法是將漏洞公開、提交企業,而非駭客般竊取數據。
業內常把網路技術的攻與防比作是一場戰役,但在各位創始人眼中,烏雲網更有白帽子們的理想烏托邦的意味。
據介紹,2010年成立時,曾相識于知名安全論壇80Sec的創始人“劍心”方小頓和“瘋狗”孟卓,已在網路安全圈內已有一定名氣。彼時,方小頓在百度安全部門工作,孟卓則供職于新浪。當時他們還是用兼職時間的來運營烏雲網,而初衷就是能通過烏雲網促進網路安全資訊的共用,改善白帽子向企業提交漏洞時遇到的不公正待遇。
2012年,烏雲網獲得國家網際網路應急中心贊助,以更“接地氣”民間組織的身份,承擔部分“國家資訊安全漏洞庫”的工作。就此,“烏雲網成為有國家相關部門支援的民間的第三方非盈利性組織。”合夥人鄔迪給出定義。
5年過去,烏雲網已匯集白帽子6700余人,活躍白帽子1152人,日均上報漏洞百餘個。而烏雲網的月訪問量也達到170萬到200萬,日均訪問IP接近20萬。
澄清誤解:漏洞公開的福與禍
出於中立性考慮,烏雲網採取嚴格的漏洞公開機制。
白帽子發現漏洞後,由烏雲網進行初審,檢查描述、截圖等資訊證明真實性。資訊完善後漏洞立即報告給企業,由企業進行確認。
為保護企業資訊安全,漏洞將經過至少45天對外保密的流程。修復較快的雲端漏洞保密期限為45天,而瀏覽器、QQ等客戶端軟體保密期限為90天。保密期間,公眾只能看到漏洞標題和簡要描述,期滿後才對外公開。
正是由於中立而嚴格的公開機制,和任何情況下堅持不刪除漏洞資訊的做法,烏雲網博得了眾多白帽子的信任。同時,更多的白帽子願意在烏雲上公佈行業漏洞。
但作為民間的資訊安全平臺,公開機制也為烏雲帶來了不小的誤解和麻煩。
烏雲曾多次遭到企業的威脅甚至報復。據介紹,某運營商導要求刪除漏洞資訊未果後,直接斷掉了烏雲的辦公網路。另一次,“國內某著名網際網路公司派人偷偷潛入烏雲網機房,拔掉伺服器網線。”創始人孟卓又氣又笑地講述。
在孟卓看來,相比于烏雲網,企業自身更應該公開安全問題。但大部分中國企業在遇到問題時,首先想到不是妥善處理,而是先掩蓋,盡力不讓外界知道。
“中國和國外資訊安全上的差距,其實不是技術上的差距,很大一部分是理念和態度的差距。中國人責任二字觀念很強,出了事故先拋開責任。”孟卓如是説。
與企業的報復行為相比,來自媒體和公眾的誤解,更讓各位創始人“心寒”。
有媒體稱“白帽子也是駭客”,將“中國最大的駭客培訓基地”的帽子冠以烏雲網,甚至直言“大多數鬧心消息的發佈源頭就是烏雲網”。
面對種種誤解,孟卓則表現出更多的是無奈,“白帽子與駭客截然不同。駭客是黑色産業鏈的一員,目的是盜取數據。由於賺錢速度快,駭客的價值觀大多已經扭曲,斷然不會主動上報漏洞,自斷財路。”
“但如果沒有烏雲公佈漏洞,用戶永遠不知道個人資訊已經被洩露。”孟卓直言。
威懾黑産 促資訊共用
如今,網際網路已深入到生活的每個角落,同時網際網路也進入“雲”時代,越來越多用戶資訊都存儲在雲伺服器端。而雲技術在提升了用戶體驗、減低成本的同時,也顯現了其風險。“過去一個問題只影響一兩個用戶,雲技術之後可能影響上千萬的人。”創始人方小頓表示。
雲技術漏洞導致的資訊洩露,最大的收益者就是地下黑色産業(下文簡稱:黑産)。
而“由於利益巨大,黑産已經倡狂到失控的地步。”孟卓表示。
烏雲網正在聯合所有白帽子,與龐大的黑産進行竭力鬥爭。就在採訪時,烏雲網剛剛發佈兩個“令人震驚”的預警,130萬研究生考試報名資訊洩露和部分省市已亡人資訊洩露,黑産的騙子正在利用這些資訊瘋狂的進行詐騙。烏雲網也提醒可能涉及的用戶,提高警惕,以防被騙。
在孟卓看來,烏雲網就是對黑色産業最大的威懾。“過去黑産隱蔽于地下,行動非常自由。現在烏雲網會在盯著他們,隨時就把他們和同夥給曝出來。”
烏雲網另一個重要意義,就是給白帽子正確的引導。過去,安全技術只有兩條路,進入國家安全機構或進入黑色産業。而今,烏雲網提供了另一個平臺,既能合法的施展能力,還能獲得大家的認同。另外,烏雲網在向企業上報漏洞的同時,也可以幫助白帽子找到較好安全類工作,光明正大的做安全研究。
而對於行業,合夥人鄔迪總結稱“現今網際網路公司産品迭代過於快速,而忽視安全問題。烏雲網希望能夠一改各自為戰的狀況,將漏洞公開、共用企業間安全資訊,促進整個行業的發展。也希望企業能轉變對於安全的態度,積極解決問題而不是逃避責任。”