2024年11月24日 星期天

科技 > IT业界 > 正文

字号:  

专访乌云网:白帽子不是黑客

  • 发布时间:2014-12-23 09:12:32  来源:中国网财经  作者:甄鼎丞  责任编辑:王磊

  中国网财经12月23日讯(记者 甄鼎丞) 相继曝出如家等酒店客户开房信息泄露、携程用户银行卡信息泄露、支付宝账号可任意登陆等高危漏洞后,乌云网声名大噪。

  同时,乌云网也遭受了很多误解与攻击。据介绍,乌云网多次受到企业威胁,甚至曾有被某知名公司派人潜入机房拔掉网线这样“可笑可气”的经历。而有媒体更是将“中国最大的黑客培训基地”冠以乌云网。

  面对各方压力,虽然曾一度面临“关站”危险,但乌云网依然坚持“第三方非盈利性组织”身份,坚持“不删漏洞”、不接受投资。

  盛名之下,其路也难。近日,中国网财经记者专访到乌云网的多位创始人。

  乌云:网络安全的乌托邦

  2013年10月,公布因第三方系统漏洞导致如家、汉庭等酒店的客户开房记录泄露。

  2013年11月,公布腾讯7000多万个QQ群数据库漏洞,泄露用户备注姓名、年龄、社交关系网等大量个人隐私。

  2014年2月,公布淘宝和支付宝认证存在安全缺陷,黑客可以简单利用该漏洞登陆他人淘宝和支付宝账号进行操作。

  2014年3月,公布携程网漏洞导致大量用户银行卡信息泄露,其中包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等敏感信息。

  乌云网频繁曝出震惊行业的重大漏洞,几乎战战告捷。而同时,也将一个默默无闻的群体——白帽子推向公众视野。

  白帽子,可以理解为正义的“黑客”。虽然两者都擅长网络技术、乐于寻找漏洞,但白帽子的做法是将漏洞公开、提交企业,而非黑客般窃取数据。

  业内常把网络技术的攻与防比作是一场战役,但在各位创始人眼中,乌云网更有白帽子们的理想乌托邦的意味。

  据介绍,2010年成立时,曾相识于知名安全论坛80Sec的创始人“剑心”方小顿和“疯狗”孟卓,已在网络安全圈内已有一定名气。彼时,方小顿在百度安全部门工作,孟卓则供职于新浪。当时他们还是用兼职时间的来运营乌云网,而初衷就是能通过乌云网促进网络安全信息的共享,改善白帽子向企业提交漏洞时遇到的不公正待遇。

  2012年,乌云网获得国家互联网应急中心赞助,以更“接地气”民间组织的身份,承担部分“国家信息安全漏洞库”的工作。就此,“乌云网成为有国家相关部门支持的民间的第三方非盈利性组织。”合伙人邬迪给出定义。

  5年过去,乌云网已汇集白帽子6700余人,活跃白帽子1152人,日均上报漏洞百余个。而乌云网的月访问量也达到170万到200万,日均访问IP接近20万。

  澄清误解:漏洞公开的福与祸

  出于中立性考虑,乌云网采取严格的漏洞公开机制。

  白帽子发现漏洞后,由乌云网进行初审,检查描述、截图等信息证明真实性。信息完善后漏洞立即报告给企业,由企业进行确认。

  为保护企业信息安全,漏洞将经过至少45天对外保密的流程。修复较快的云端漏洞保密期限为45天,而浏览器、QQ等客户端软件保密期限为90天。保密期间,公众只能看到漏洞标题和简要描述,期满后才对外公开。

  正是由于中立而严格的公开机制,和任何情况下坚持不删除漏洞信息的做法,乌云网博得了众多白帽子的信任。同时,更多的白帽子愿意在乌云上公布行业漏洞。

  但作为民间的信息安全平台,公开机制也为乌云带来了不小的误解和麻烦。

  乌云曾多次遭到企业的威胁甚至报复。据介绍,某运营商导要求删除漏洞信息未果后,直接断掉了乌云的办公网络。另一次,“国内某著名互联网公司派人偷偷潜入乌云网机房,拔掉服务器网线。”创始人孟卓又气又笑地讲述。

  在孟卓看来,相比于乌云网,企业自身更应该公开安全问题。但大部分中国企业在遇到问题时,首先想到不是妥善处理,而是先掩盖,尽力不让外界知道。

  “中国和国外信息安全上的差距,其实不是技术上的差距,很大一部分是理念和态度的差距。中国人责任二字观念很强,出了事故先抛开责任。”孟卓如是说。

  与企业的报复行为相比,来自媒体和公众的误解,更让各位创始人“心寒”。

  有媒体称“白帽子也是黑客”,将“中国最大的黑客培训基地”的帽子冠以乌云网,甚至直言“大多数闹心消息的发布源头就是乌云网”。

  面对种种误解,孟卓则表现出更多的是无奈,“白帽子与黑客截然不同。黑客是黑色产业链的一员,目的是盗取数据。由于赚钱速度快,黑客的价值观大多已经扭曲,断然不会主动上报漏洞,自断财路。”

  “但如果没有乌云公布漏洞,用户永远不知道个人信息已经被泄露。”孟卓直言。

  威慑黑产 促信息共享

  如今,互联网已深入到生活的每个角落,同时互联网也进入“云”时代,越来越多用户信息都存储在云服务器端。而云技术在提升了用户体验、减低成本的同时,也显现了其风险。“过去一个问题只影响一两个用户,云技术之后可能影响上千万的人。”创始人方小顿表示。

  云技术漏洞导致的信息泄露,最大的收益者就是地下黑色产业(下文简称:黑产)。

  而“由于利益巨大,黑产已经猖狂到失控的地步。”孟卓表示。

  乌云网正在联合所有白帽子,与庞大的黑产进行竭力斗争。就在采访时,乌云网刚刚发布两个“令人震惊”的预警,130万研究生考试报名信息泄露和部分省市已亡人信息泄露,黑产的骗子正在利用这些信息疯狂的进行诈骗。乌云网也提醒可能涉及的用户,提高警惕,以防被骗。

  在孟卓看来,乌云网就是对黑色产业最大的威慑。“过去黑产隐蔽于地下,行动非常自由。现在乌云网会在盯着他们,随时就把他们和同伙给曝出来。”

  乌云网另一个重要意义,就是给白帽子正确的引导。过去,安全技术只有两条路,进入国家安全机构或进入黑色产业。而今,乌云网提供了另一个平台,既能合法的施展能力,还能获得大家的认同。另外,乌云网在向企业上报漏洞的同时,也可以帮助白帽子找到较好安全类工作,光明正大的做安全研究。

  而对于行业,合伙人邬迪总结称“现今互联网公司产品迭代过于快速,而忽视安全问题。乌云网希望能够一改各自为战的状况,将漏洞公开、共享企业间安全信息,促进整个行业的发展。也希望企业能转变对于安全的态度,积极解决问题而不是逃避责任。”

  • 股票名称 最新价 涨跌幅