2023-10-08 分類: 網(wǎng)站建設(shè)
他們的名字叫烏云,你不一定聽過他們的名字,但你用的互聯(lián)網(wǎng)服務(wù)一定上過它們的漏洞名單
“我去百合網(wǎng)相親了。”
“咋樣?效果如何? 找到了沒有?”
“我找到了他們的 bug。”
9 月 6 日,相親網(wǎng)站百合網(wǎng)一個(gè)涉及幾百萬用戶數(shù)據(jù)安全的漏洞被一個(gè)黑客發(fā)現(xiàn)了。
和一般黑客電影里的情節(jié)不同,黑客 Croxy 并沒有拿起加密電話索要贖金,而是寫下開頭的段子,將安全問題提交給了名為烏云的漏洞平臺(tái)。
而百合網(wǎng)也沒有報(bào)警,而是在漏洞公布兩天后確認(rèn)問題存在,開始修復(fù)。不出意外的話,威脅幾萬用戶信息的安全問題將在幾天時(shí)間得到解決,而烏云也將在 10 月份公布具體的漏洞所在。
“其實(shí)大部分漏洞可能花一周就能解決,但我們給出的 45 天時(shí)間……一些客戶端的軟件比如瀏覽器、建站系統(tǒng)這樣的產(chǎn)品,我們會(huì)給 90 天讓廠商有充分的時(shí)間修復(fù)漏洞。”烏云平臺(tái)的創(chuàng)始人孟卓告訴《好奇心日?qǐng)?bào)》。而公布這些漏洞是為了將測(cè)試思路回饋社區(qū),讓其他互聯(lián)網(wǎng)安全從業(yè)者也來學(xué)習(xí)。
在烏云漏洞平臺(tái)上,類似的事情天天都會(huì)發(fā)生上百次。光是在 15 天,烏云上的新增漏洞已經(jīng)有 1940 條。而這些曝光的漏洞,很可能會(huì)影響你的生活:
今年 9 月,九陽智能豆?jié){機(jī)的漏洞被曝光。因?yàn)橐粋€(gè)設(shè)計(jì)和控制的缺陷,任何人都可以控制任意一臺(tái)九陽豆?jié){機(jī)。漏洞提交的當(dāng)天,九陽就已經(jīng)獲取情況并且確認(rèn)開始了修復(fù)工作。
2014 年 7 月,阿里巴巴嚴(yán)重漏洞也在烏云上曝光,人們只需要通過搜索引擎,甚至不用賬號(hào)、密碼,就能直接獲取支付寶用戶的賬戶余額、交易記錄、收貨地址、姓名手機(jī)號(hào)碼等敏感信息。阿里巴巴得知此事之后,還給找到漏洞的白帽子黑客 5 萬元人民幣的獎(jiǎng)勵(lì)。
“烏云”,還有“白帽子”是中文互聯(lián)網(wǎng)安全事件繞不開的名詞。
在 2010 年成立至今,烏云平臺(tái)的漏洞列表頁面上,漏洞數(shù)字已經(jīng)超過 7 萬個(gè)。當(dāng)中涉及的公司除了騰訊、阿里巴巴、百度、小米、聯(lián)想等科技企業(yè)之外,還有國內(nèi)多家銀行、金融機(jī)構(gòu),甚至地方政府網(wǎng)站的安全問題。
而作為這個(gè)漏洞社區(qū)的內(nèi)容生產(chǎn)者,在烏云上注冊(cè)的“白帽子黑客”也已經(jīng)有 1 萬人以上。所謂的白帽子,就是一些有技術(shù)能力,熱愛網(wǎng)絡(luò)安全行業(yè)的人們,有別于傳統(tǒng)的黑客,他們通常會(huì)把漏洞告訴企業(yè),提醒他們修復(fù),而非用來獲取個(gè)人利益。
“一開始我們完全沒想到會(huì)做成現(xiàn)在這樣。”烏云的創(chuàng)始人孟卓告訴我們。在 2010 年,還在百度做安全工作的劍心(網(wǎng)名)因?yàn)橄M嗟男畔踩袠I(yè)同人交流,一路提高技術(shù),所以昔時(shí)一些行業(yè)內(nèi)的同伙在業(yè)余時(shí)間建了“烏云漏洞平臺(tái)”。批用戶他們自己以及身邊的同伙,大家找到漏洞,就提交到烏云上。
烏云對(duì)于漏洞處理機(jī)制是這樣的:白帽子黑客向?yàn)踉铺峤坏穆┒葱畔?,烏云就?huì)通知漏洞所在廠商認(rèn)領(lǐng),細(xì)節(jié)只對(duì)廠商透露,讓他們盡快修復(fù)。在這個(gè)漏洞曝光的 45 天(假如是瀏覽器,社交應(yīng)用等服務(wù)是 90 天)之后,烏云就會(huì)把漏洞的細(xì)節(jié)公之于眾,將漏洞的發(fā)現(xiàn)方法作為白帽子黑客社區(qū)的學(xué)習(xí)養(yǎng)料,而提供漏洞的白帽子,也會(huì)得到烏云的虛擬貨幣和等級(jí)的提拔。
在這個(gè)模式當(dāng)中,烏云漏洞平臺(tái)將自己定義為一個(gè)不盈利、自力于所有公司之外的第三方機(jī)構(gòu)。但這種模式自己并不好做。
“安全行業(yè)是一個(gè)特別很是封閉的行業(yè)南寧公司轉(zhuǎn)讓,”孟卓說,“別人發(fā)現(xiàn)了自己公司的漏洞,其實(shí)是很糟糕的事情,因?yàn)楹苡锌赡軙?huì)被黑色產(chǎn)業(yè)行使”。
因此,許多大型的科技公司如微軟、Facebook、雅虎、阿里巴巴,不但會(huì)有自己的安全團(tuán)隊(duì),還會(huì)設(shè)立自己的漏洞平臺(tái)或者漏洞尋找競(jìng)賽,這些平臺(tái)或競(jìng)賽,就是希望募集公司外的黑客們給自己找漏洞,然后給發(fā)現(xiàn)漏洞的人一定數(shù)額的獎(jiǎng)金。找到漏洞的具體信息網(wǎng),就只會(huì)歸公司所有,不會(huì)向公眾公布。
其實(shí)去年 Google 也嘗試做了一個(gè)和烏云相似的第三方漏洞平臺(tái) Project Zero,效果卻因?yàn)楣剂烁?jìng)爭(zhēng)對(duì)手微軟以及和蘋果公司的漏洞,而惹來不正當(dāng)競(jìng)爭(zhēng)的非議。這是因?yàn)?Google 自己是行業(yè)里的主要公司,競(jìng)爭(zhēng)對(duì)手會(huì)忌憚也是正常。
而烏云早期經(jīng)歷的麻煩到后期的成功,也都是因?yàn)樗麄儾⒎菍儆谌魏喂尽?/p>
網(wǎng)絡(luò)安全行業(yè)的封閉也是源于人們對(duì)于黑客的刻板印象:用高科技手段入侵網(wǎng)站、竊取信息,假如企業(yè)不合作,這些內(nèi)部的機(jī)密信息就會(huì)流轉(zhuǎn)到黑色產(chǎn)業(yè)當(dāng)中去。無論在國外照舊國內(nèi),這種涉及信息倒賣的行為都會(huì)被定義成犯罪。
盡管并非所有擅長(zhǎng)網(wǎng)絡(luò)技術(shù)的人都會(huì)與黑色產(chǎn)業(yè)相關(guān)。而烏云經(jīng)常提及的“白帽子黑客”,就是一些有技術(shù)能力,熱愛網(wǎng)絡(luò)安全行業(yè)的人們,他們通常會(huì)把漏洞提交給企業(yè),而非用來獲取個(gè)人利益。
但早期企業(yè)的邏輯是滑稽的。白帽子在烏云上公布漏洞存在,而不公布細(xì)節(jié),其實(shí)是對(duì)公司的預(yù)警,讓他們盡快修復(fù)漏洞。而真正的黑客攻擊者從來不留修復(fù)的機(jī)會(huì)。這種漏洞的提交其實(shí)對(duì)企業(yè)安全是好事,也是那么多公司鼓勵(lì)白帽子的原因。
但在當(dāng)時(shí),因?yàn)楣妼?duì)黑客的刻板印象,以及對(duì)信息安全的不理解,烏云在 2011 - 2012 年兩次被關(guān)站。
2011 年 12 月,互聯(lián)網(wǎng)上傳出開發(fā)者社區(qū) CSDN 遭黑客攻擊,有 600 萬用戶帳號(hào)及明文密碼泄露,用戶的資料被大量傳播。而當(dāng)時(shí),烏云上也有白帽子提交了相關(guān)的漏洞;在 CSDN 事件發(fā)生后不到三天,烏云上的白帽子提交了一個(gè)關(guān)于天邊社區(qū) 4000 萬用戶資料泄露的漏洞。
就是這兩個(gè)漏洞,讓烏云的名字一會(huì)兒出現(xiàn)在公眾的面前。
“當(dāng)時(shí)相關(guān)機(jī)構(gòu)、網(wǎng)民都沒有做好預(yù)備,這事情就曝光了。人們對(duì)于企業(yè)信息安全的信賴就一會(huì)兒被打破了,覺得這事情太恐怖了,自己的名字等信息可能會(huì)被陌生人知道了。”孟卓回憶道。
因?yàn)楣姷牟话?,政府?duì)于黑客產(chǎn)業(yè)和烏云平臺(tái)目的的嫌疑,烏云只要在事件發(fā)生后一周便公布暫時(shí)關(guān)站。
第二次關(guān)站,是 2012 年烏云曝光了某個(gè)運(yùn)營商地級(jí)市的嚴(yán)重漏洞,對(duì)方要求將漏洞信息刪除,但是烏云方面拒絕了這個(gè)要求。然后就是被“拔網(wǎng)線”,然后連網(wǎng)站的備案記錄都消逝了。
孟卓說,他們有幾個(gè)建站以來就定下來規(guī)則,除了 45 天公開漏洞之外,就是“不刪除漏洞”。“我們也有我們情懷,經(jīng)過我們審核的漏洞,就不會(huì)因?yàn)閴毫蛘呤裁丛騽h除。我們得給提交漏洞的白帽子一個(gè)交代,他們提交過的東西,不會(huì)莫名其妙地消逝,不會(huì)努力白費(fèi)或者被威脅什么的。”
但是在被關(guān)站之后,孟卓也覺得很無助,對(duì)于烏云這樣一個(gè)新生的安全漏洞平臺(tái)來說,一切都走得太艱難。
“也是那時(shí)候開始覺得,我們自己的力量太弱小了。”孟卓說,2012 年,他們開始找互聯(lián)網(wǎng)應(yīng)急中間合作,成為了一個(gè)第三方的非營利性的民間組織。
當(dāng)時(shí),互聯(lián)網(wǎng)應(yīng)急中間其實(shí)自己也有一個(gè)公開的漏洞平臺(tái) CNVD,其實(shí)他們也想做收集漏洞的工作,但因?yàn)槭钦畽C(jī)構(gòu)的緣故,并沒有吸引太多的白帽子黑客參與他們的項(xiàng)目。而烏云的出現(xiàn),則剛好是幫 CNVD 承擔(dān)一些“國家信息安全漏洞庫”的工作。
“有些漏洞,假如讓我們?nèi)ネㄖ髽I(yè),那么可能對(duì)方不一定會(huì)有行動(dòng),但和 CNVD 合作的話,他們能夠自上而下地去推進(jìn)這些事情。”
有了認(rèn)證以及國家應(yīng)急中間的合作,烏云團(tuán)隊(duì)在這之后更加專心地做他們的白帽子黑客社區(qū)。他們希望給國內(nèi)黑客一個(gè)正向的刺激機(jī)制:鼓勵(lì)提交漏洞,促進(jìn)廠商修補(bǔ),從而得到了社區(qū)的虛擬貨幣,等級(jí)的提拔,還因?yàn)榻o社區(qū)反饋了養(yǎng)分,而增添了和安全技術(shù)牛人交流和學(xué)習(xí)的機(jī)會(huì)。
“假如不是烏云的話百度關(guān)鍵詞排名,我可能不會(huì)往這個(gè)方向走。盡管它說改變了人生是一個(gè)很夸張的說法,但確實(shí)是這樣。”今年 18 歲的白帽子黑客“小 K”在 3 年前開始琢磨計(jì)算機(jī)的基礎(chǔ)知識(shí),以及如何入侵一個(gè)網(wǎng)站。
“一個(gè)人在做技術(shù),你對(duì)于這個(gè)技術(shù)自己的認(rèn)知很有限,在知道烏云之后,知識(shí)就從點(diǎn)到面的擴(kuò)張開來,這種孤獨(dú)感就慢慢消失了。”去年,小 K 已經(jīng)加入了烏云,正在幫助烏云知識(shí)庫做一些國際化的工作。
小 K 并不是特例。今年才上初三的 ZPH 今年還在天河一號(hào)的超級(jí)計(jì)算機(jī)中間發(fā)現(xiàn)了一個(gè)可以輕松進(jìn)入內(nèi)網(wǎng)的漏洞,讓他一會(huì)兒受到許多的外來關(guān)注。從 2014 年到現(xiàn)在,ZPH 已經(jīng)在烏云上提交了 40 多個(gè)漏洞,而他的媽媽對(duì)此還感到很放心:“我覺得烏云(對(duì)白帽子黑客)的指導(dǎo)很好,今年我已經(jīng)讓他自己去參加烏云的年度大會(huì)了。”ZPH 的媽媽告訴我們。
2015 烏云大會(huì)的宣傳圖片
到目前為止,烏云上已經(jīng)注冊(cè)了超過 1 萬名白帽子黑客。在白帽子黑客聚集起來后,也有廠商開始自動(dòng)擁抱烏云平臺(tái)。
“我們新做的產(chǎn)品,都是在廠商推著做起來的。”孟卓說。年,烏云的團(tuán)隊(duì)除了依然在運(yùn)營烏云漏洞平臺(tái)的發(fā)展之外,還在做額外的產(chǎn)品。“假如光是漏洞驗(yàn)證、漏洞平臺(tái)的維護(hù)施工圍擋制作,4、5 個(gè)人天天盯一下就可以了。”孟卓說。但在烏云的辦公室里,還有 20 多個(gè)年輕人,他們各自在忙著烏云在漏洞平臺(tái)之外的不同產(chǎn)品。
這些項(xiàng)目里面包括了例如“眾測(cè)”,一個(gè)烏云團(tuán)隊(duì)在 2012 年開始嘗試更直接地讓白帽子賺到錢的項(xiàng)目。
孟卓說,這個(gè)需求也是他們平臺(tái)上的廠商提出。因?yàn)槟壳斑€只有比較大的互聯(lián)網(wǎng)公司有資金去聘請(qǐng)安全團(tuán)隊(duì),對(duì)于中小型創(chuàng)業(yè)公司來說,網(wǎng)絡(luò)安全這事情有點(diǎn)難。烏云于是就開了這么一些項(xiàng)目,讓有需求的公司到眾測(cè)上發(fā)布測(cè)試義務(wù),然后烏云通過匹配找到合適的白帽子黑客參加眾測(cè),然后企業(yè)根據(jù)找到的每個(gè)漏洞高危程度,給白帽子黑客支付一定的酬勞。
“你可以當(dāng)做是一次讓白帽子黑客給你做的專家會(huì)診。”烏云平臺(tái)的合伙人 Wudi 向我們介紹到,在烏云的官方介紹中,我們看到眾測(cè)的客戶已經(jīng)有知乎、聯(lián)想、百度等多家企業(yè)。
除了眾測(cè)之外,“當(dāng)時(shí)他們問的的就是能不能協(xié)助招人。”孟卓說。考慮到廠商和白帽子黑客有同樣需求,烏云從 2014 年起就開始做他們漏洞平臺(tái)之外的個(gè)產(chǎn)品“烏云招聘”,形式十分簡(jiǎn)單,就是企業(yè)發(fā)布招聘信息,有意的白帽子黑客們就參加應(yīng)聘。“即使我們不做這個(gè),許多廠商在招聘網(wǎng)絡(luò)安全人員的時(shí)候也會(huì)直接問這些白帽子黑客的 ID、等級(jí)和有多少烏云幣。用這個(gè)體例來衡量他們的能力。”
烏云在今年炎天還推出了“唐朝安全巡航”服務(wù),模式看起來則成熟許多。Wudi 透露,他們希望通過此服務(wù)接觸到一些有長(zhǎng)期安全服務(wù)需求的公司,為他們提供更加標(biāo)準(zhǔn)化服務(wù)——經(jīng)常有安全體檢,還會(huì)檢索企業(yè)現(xiàn)有的互聯(lián)網(wǎng)“資產(chǎn)”,包括以前曾經(jīng)在網(wǎng)上曾購買過服務(wù)器。
而且,他們還會(huì)召集白帽子黑客們把自己發(fā)現(xiàn)漏洞的思路總結(jié)稱經(jīng)驗(yàn)供廠商參考,而假如這個(gè)思路被采納,那么白帽子就會(huì)得到一筆分成。
但無論是這上面的哪一款商業(yè)產(chǎn)品,在烏云漏洞平臺(tái)主站上都沒有設(shè)置入口。對(duì)這些帶有商業(yè)性質(zhì)的新產(chǎn)品,烏云團(tuán)隊(duì)并不希望會(huì)打攪原來的用戶。“我們是希望那些知道我們有這個(gè)服務(wù)的人,才去搜索這個(gè)新產(chǎn)品。”孟卓告訴我們。
比起盈利和賺錢,孟卓說,“白帽子們才是主要的。”
本文題目:烏云他們這個(gè)生意,是聚集上萬黑客在互聯(lián)網(wǎng)
鏈接分享:http://www.rwnh.cn/news14/284664.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站改版、App設(shè)計(jì)、做網(wǎng)站、網(wǎng)站建設(shè)、網(wǎng)站策劃
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容