Board logo

标题: 邬迪:乌云完成了使命 | 乌云回忆录(一) [打印本页]
作者: linda    时间: 2017-11-14 15:36     标题: 邬迪:乌云完成了使命 | 乌云回忆录(一)

乌云回忆录》,是科技自媒体浅黑科技出品的专题。
2016年漏洞平台乌云关停。时隔一年,我试图走访那些和乌云相关的人,了解他们对网络安全、白帽子黑客,以及这个世界的看法。愿这些记录可以引发更多人的思考。

每个人都有自己的立场和理由,他们的愤怒、恐惧和自私本就情有可原。我只祈祷自己有一双忠诚的眼睛,注脚这个世界的美好或荒凉。

本文是对前乌云合伙人邬迪的采访,是为《乌云回忆录》第一篇。



邬迪:乌云完成了使命




口述 | 邬迪   文 | 史中





乌云完成了它的使命。

邬迪说。


邬迪,前漏洞平台“乌云”合伙人,如今他加入了一家安全创业公司。


2016年7月20日,乌云页面突然显示“升级公告”,关闭至今。2017年11月12日,距离“乌云事件”480天,我坐在邬迪对面。这个故事的另一个主人公是方小顿,人称剑心,“乌云”创始人。和邬迪一样,方小顿也在等待乌云事件最终的结果。


在一家咖啡馆里,邬迪和我讲了一些被尘封的往事:

(一)




我认识方小顿,是在2012年。


那是我在老牌 IT 公司深信服工作的第7年。


有同事找到我说,有个叫做“乌云”的媒体曝光了我们产品的一个漏洞。作为品牌总监,我得想办法“平事儿”。


我设法找到了乌云联系人的电话,电话那头传来了方小顿沙哑的声音。


他说,乌云不是媒体,而是漏洞平台。漏洞是民间的“白帽子黑客”提交的,把漏洞公开就是为了让中国的企业都能够重视网络安全。我说,太感谢了,我们已经重视了,并且修复了漏洞,是否有可能把帖子删掉呢?他说,这个恐怕没可能。只要发到乌云网站上的漏洞,就没有办法删除。每个帖子,都是一盏警示灯,灯亮得足够多,企业才会足够重视自己的安全建设。


我有点奇怪,这个人的话语逻辑里不包含“钱”。于是我搜索了“方小顿”,知道他是一个资深的安全专家。曾经供职百度,还和李彦宏一起上过《天天向上》,唱了一首惨不忍睹的歌。除此之外,别无其他。


几个星期以后,我北上北京,专门约他喝咖啡。


希格玛大厦的硬盘咖啡,我见到了他。长发及肩,不修边幅,牛仔裤、旧短袖、夹板拖鞋,声调不高但逻辑清楚。挺黑客的。


我再一次提出删帖的要求,暗示可以出些钱,他拒绝了。做了这么多年市场,我能听出来一个人是否真的不想要钱。于是我死心了,反倒对“乌云”有了更多的兴趣。


方小顿说,离开百度时他的级别是 T7,如果继续待下去还能更高,这个级别意味着衣食无忧前程似锦。但他坚信自己另有使命。他说安全圈太封闭了,这么多互联网公司漏洞百出,个人信息不断被黑客窃取,电信诈骗、网络攻击已经到了令人发指的地步。然而公众却没有渠道得知真相,任由自己的隐私权利被贩卖和侵害。需要有人把真相说出来,他深信做这件事的人应该是自己。


他设想的模式是:


鼓励“白帽子黑客”——民间对网络安全技术感兴趣的技术人员——提交各个企业的漏洞,乌云审核之后无条件公开。白帽子在这个平台上获得认可、技术交流和荣誉感,企业在这里获得自己的漏洞详情和危机感,鞭策自己提高安全性。


这就是后来著名的“乌云模式”。这个模式让当时的我热血沸腾,当然后来也改写了我们所有人的命运。


两年以后,我选择加入乌云。另一位创始人“疯狗”跟我回忆,我认识方小顿的2012年乌云已经成立三年,那时只有两三个人,所有人住在民宅里,不仅不领工资,而且都是把自己的积蓄在往里填。他们相信自己在做一件伟大的事。

(二)




自从认识了方小顿,每次去北京,我都会约他聊聊。


特别是当我发现,我们的很多同行,甚至是安全能力很强的 BAT,都在乌云上被“白帽子”爆出过漏洞,公司从上到下也开始放下对乌云敌意,甚至我们的技术人员也会在乌云上查看同类产品被爆出什么漏洞,然后赶快检查自家的产品有没有问题。


2013年,深信服要推一个重磅产品:下一代防火墙。


在推出之前,本着对用户负责的态度,我们希望自己先对产品做一个深度的安全测试。于是我们找到了一家广东省内的安全公司,他们按照“Check List”逐项作了检查,结论是产品没有漏洞,很安全。


虽然有这个结果,但贸然发布产品我们觉得还是有些草率,于是我想起了方小顿。我问他乌云是否能做“安全测试”这种工作。


他想到一个方法,我们把防火墙映射在一个网络地址上,乌云组织天南海北的“白帽子”在网上对这个产品发起测试。发现漏洞,我们就付费给白帽子。


这就是后来乌云推出的第一款产品“乌云众测”。深信服是它的第一个客户。那次众测,白帽子找到了产品的十多个高中危漏洞,和之前的“0漏洞报告”一对比,我们挺震惊的。


2014年4月,方小顿突然给我发来了一些截图,是一份测试报告,来自“乌云众测”。虽然上面的公司名称打了码,但我能看到众测给这家公司找到了上百个安全漏洞。
在QQ上,他问我,现在乌云众测做得很好,团队还计划做新产品,愿不愿意来乌云?


当时,我挺心动的。我可能是一个理想主义者,一直迷恋一种体验:在早期加入一家伟大的公司,和大家一起改变行业,创造历史。


以当时我对“乌云模式”的判断,还有对“乌云众测”的了解,我觉得乌云未来是一定能够被写进中国网络安全历史的。


只不过,我当时已经在深圳成家,按照世俗的眼光看,该有的也都有了,原本没有任何换工作的想法。


我住的小区盖在一座山上,收到邀请的那一个月,每天7点吃完饭后,我就到山上去散步,有时自己,有时和妻子一起,思考自己的选择,每天直到快到10点才回家。


2014年的北京雾霾肆虐,我很抵触。不仅如此,如果加入乌云,股票归零,工资减半,奖金全无。我记得在最纠结的时候,我妻子突然转过身对我说:钱什么时候都可以赚,但一生之中寻找理想的机会并不常有。现在闭上眼,她当时的眼神就浮现在面前。


最后我决定,用手中的这一切,换乌云的未来。


但我不觉得父母可以理解我的选择。为了让父母不担心,我说深信服在北京投资了一家公司叫“乌云”,我被派驻到那里负责管理。


(三)




正式上班第一天,邬迪才第一次走进乌云的办公室。


那时候乌云刚刚搬到上地,嘉华大厦。这间办公室的上一任主人是“火币网”。除了剑心,疯狗,瞌睡龙,邬迪这几个合伙人老一点,是八零后,其他十来个人都是九零后。


邬迪回忆,有人十一点来,有人下午才来,有点散漫。不过每个人都是绝顶高手,张口闭口都是技术,午饭时都没人讨论其他话题。他们热爱安全,热爱乌云所作的事情,并且对所有试图遮盖或掩饰安全问题的行为表示不齿。他们是一群理想主义者。


“你有没有想过,正是理想主义才让乌云被关?”我问。


“是的。”他想了想,“但现实主义者不会做乌云。”


也正是在那个时候,他开始认真地了解“白帽子”这个群体。


黑客本身就是反叛精神的载体,白帽子也是这样一群特殊的技术群体。很多白帽子黑客都是高中毕业、大学肄业,诸如此类。他们当中相当一部分不满学校教育,自学计算机知识。邬迪觉得这些人中“鬼才”居多,但社会并没有给他们足够的空间。

以前,因为学历的问题,很多白帽子很难跨进大公司的门槛。


但有了乌云以后,他们可以在上面提交漏洞,获得社区和公众的注意,同时证明自己的技术能力,通过这些在一家大公司获得一份体面的工作和不菲的收入。面对黑产的诱惑,他们可以更坚决地说不。也许乌云让这个群体从此远离了网络犯罪,给他们一种新的人生可能。


邬迪回忆。


但同时,在这些白帽子里分化出了另一个更为特殊的群体。他们在乌云体系里成为了“核心白帽子”。


这些核心白帽子往往能够“以一敌百”,发现其他白帽子无法发现的巨大漏洞,这些漏洞曝光出来,甚至可以在舆论中造成轩然大波,例如,2014年3月,乌云突然曝光携程网泄露公民信用卡信息;2015年,乌云曝光12306大量乘客信息泄露。这些曝光都直接推动了网络安全的历史进程。


根据邬迪的观察,核心白帽子和普通白帽子有很大的区别。他们往往是高知,有的是博士毕业,有一份工资很高的工作,但生活很简朴甚至无趣。挖漏洞更多出于爱好。比起钱来,他们更在乎自己“天下无贼”的梦想。


接连曝光了一些重要的漏洞之后,邬迪对这些核心白帽子从好奇转变成了敬佩。他依然能回忆起一些故事:

白帽子A,测试了特斯拉的网站,本来预定一台 Model S 电动汽车需要网上支付30万的定金,而他通过漏洞,只需要1块钱就可以达到预付30万的效果。


他把漏洞提交给特斯拉之后,特斯拉为了表彰他的贡献,告诉他这1块钱就认定为30万,只要他缴纳余款就能提走一辆车。他家境不错,买特斯拉不成问题,但他拒绝了。


他说自己这么做只是为了找到漏洞,不是为了这份奖励。

无论漏洞多么严重,乌云都会强制公开。态度和当年方小顿对待深信服的邬迪别无二致。


这些“乌云核心白帽子”搅动了整个中国互联网,恨和爱由此开始交织。有关“乌云模式”的讨论也甚嚣尘上。保守主义者认为“进步需要时间”,激进主义者认为“矫枉必须过正”。


身处白帽子群体,邬迪虽然不搞黑客技术,也能经常接到黑产发来的邮件。有的邮件里言辞闪躲,留下一个QQ号,出于好奇他会去搜索,一看签名里面全是“黑话”,就知道这是个搞黑产的。有人甚至直接打来电话,说你帮我搞一个网站,先给你打过去100万,事成之后再给你200万。


“那些白帽子同事接到的邮件和电话就更多了。他们经常把黑产和他们对话的截图发到公司的群里,每一单都值一辆车,而对他们的技术水平来说,赚这些钱只需要动动手指。但大家都当成笑话说,没人真去接单。虽然他们有的人想买房,当时确实很缺钱。”他说。


“你怎么确定他们没有心动去做了黑产?”我问。


“因为直到最后那些同事还在租房,还在找我们借钱。”他说。


除了要抵抗金钱的诱惑,白帽子们还要应对外界的各种质疑甚至威胁。


曾经有很知名的巨头企业给乌云内部的工作人员打电话,在电话里一字不差的说出了这名同事的姓名、身份证号和家庭住址,暗示如果乌云上再出现他们的漏洞就会采取“必要的行动”。如果说不害怕那是假话。但一夜过后,第二天上班他仍然该怎么做就怎么做。


邬迪说。


依靠这样一群散发着理想主义光芒的白帽子,那几年乌云毫不意外地进入了爆发期,因为不断曝光网络的黑暗阴影而屡上头条,被大众所知。方小顿成为某种黑客精神的旗手。白帽子们虽然散落在互联网各个地方,拥有不同的教育背景,从事着不同的主业,但都同时聚集在这面旗帜下。他们之中有些铁粉,纷纷选择加入了乌云,成为了几十名员工之一,为之后的产品“乌云众测”和“Tangscan”贡献力量。


我问邬迪,现在他究竟怎么看待白帽子这个群体。


他想了想,把中国黑客历史分为三个阶段:

黑客时代:从上世纪90年代到10年之前,没有纯粹的白帽子和黑帽子之分。黑客可能会给企业提交漏洞,但是没有可预期的回报,他们可能也会做黑产,利用自己的技术犯罪。同一个人也许有黑白两个身份,没有清晰的边界。


前白帽时代:从2010年乌云建立开始,黑客渐渐分化成了两个群体:白帽子和黑帽子。代表理想主义情怀的白帽子在发现企业漏洞之后,提交到乌云或其他平台,获得声望;而代表现实主义的黑帽子发现漏洞之后,卖给地下黑产,和这个世界玩捉迷藏。


后白帽时代:2016年“世纪佳缘案”和“乌云事件”之后,白帽子群体分化,有些白帽子选择了“授权测试”的平台,完全守法,不再公开漏洞。有些白帽子转而从事其他职业,有一部分边缘白帽子转入黑产,进入地下。目前来看,他们从公众的视野里消失了。

(四)




2016年6月,就在“乌云事件”的一个月前,方小顿在QQ上给我发来信息:“我想把乌云主站关掉。”


我感到错愕。


我猜他一定知道了什么,或者至少感觉到了什么,但到最后他都没有和我说。


我记得很清楚,我抬起头,看着屋子外面坐着的一群年轻人。他们是因为我们,因为乌云,或者说因为某种理想才坐在这里。“关掉乌云可以,但他们怎么办?”我觉得我们对于这些单纯又有理想的九零后负有不可推卸的责任。


但一个月后发生的事情证明我们不仅不是救世主,也许还正好相反。


我总在想,如果我们能够不那么自以为是,不那么悲天悯人,早点关闭乌云,事情可能会有所不同。但,没有人是神。


后来有人问我,你恨不恨方小顿。我说不恨,他已经尽力了,如果我是他,也许做得不如他好。当然如果有机会,我们应该和相关部门有更多的沟通。


2016年7月初,乌云大会召开,我们专门攒了一个论坛,拉来了白帽子、网络取证专家、公安机关领导,探讨“漏洞机制”这件事。我记得方小顿在台上,不遗余力地为“乌云模式”站台。但当时他内心究竟在涌动着怎样的情绪,可能谁都无法了解。


10天后,发生了安全圈甚至大半个互联网圈都知道的事情。


(六)




时隔很久,我才第一次打开手机。


那是一台 iPhone,性能不错。但手机就像死机了一样,震了几十分钟。熟悉的人,不熟悉的人,媒体、客户、很久不联系的朋友,他们发来的微信还没来得及闪现,就被其他人的消息顶到了后面。他们关心地询问我的近况,同时小心地避开我的伤口。未接电话的提醒短信一个接一个,仿佛没有休止的一刻。


我告诉父母,我从未想过要去做一件坏事,但结果也许不尽如人意。


他们说,你不用说了,我们了解自己的儿子。你回来就好。


那几个月,我发誓要加入一个大公司。这样也许今后的人生就不会有这么多风险,就像当年方小顿如果不离开百度,他的生命将会平稳安定,将会衣食无忧,后面发生的一切都不过是一场虚幻的梦。


随后也确实有挺多大公司向我伸出了橄榄枝,我准备挑选其中一家。


然而,有一天半夜,我突然醒来。我好像看到方小顿走到我面前。我好像看到了乌云的兄弟姐妹,看到了那些为了理想不怕威胁不计回报的白帽子。他们轻声问我,是不是还像当年一样渴望亲自参与一次伟大的创业,是不是还像当年一样梦想做一个可以被铭记的人。我坐起身来看向窗外,夜色如海,上帝在沉默。


几秒种后,我想通了,像个婴儿一样沉沉睡去。那天晚上,我做了此生最美的梦。


我拒绝了大公司的邀请,最终又加入了一家网络安全创业公司。我猜,对于理想主义者来说,有些事情是注定的,坚硬的,赴汤蹈火的,无法更改的。


乌云出事后很多人问我,辞掉深信服来乌云,是不是挺后悔的?你可能不信,我并不后悔。


我在电话里告诉身在老家的父亲,说我还是决定加入一家创业公司。父亲说,我支持你,因为我早就知道,我的儿子无论经历过什么,都能有勇气重头再来。


他说,我为你感到骄傲。


(七)




邬迪叠好回忆,望向窗外。


外面天色湛蓝,像是舒展了半生的愁眉。


“乌云完成了它的使命,是时候说再见了。”他说。


我顺着他的目光极目远眺,万里无云。


“为什么?”我问。


之前很长时间,我都以为是乌云创造了历史。但现在我知道,是历史选择了乌云。


那个时代互联网爆炸式发展,而网络安全没人重视。网络犯罪行为越来越多,但没人告诉大众,他们究竟是如何被侵害的。面对那个坠落的世界,需要有人站出来——这个喊出皇帝新衣的小孩,恰好是我们。


人们总在争论乌云的模式是否极端、披露漏洞是否要授权,但在那个时代里,我们别无选择。



你明白吗,别无选择。

他盯着我,说。


“那个时代还在吗?”


“不在了。乌云随着这个时代开始,也随着这个时代结束了。”


“那个时代,还有遗憾吗?”


“我们让网络安全问题从封闭的小群体走向了大众的视野,让整个社会开始重视安全。乌云没有遗憾。”


“原来那些乌云的白帽子,现在在哪里?”


“有一部分移民海外了,从此没了音信。还有些人暂时放弃了安全,成为一名普通的程序员。4月份时我见到了一位核心白帽子B,他曾依靠一己之力改变了中国网络安全的进程。如今他在一家大企业做程序员,白天坐在西二旗的格子里写代码,晚上回到回龙观的格子里写代码。”


“不挖漏洞了吗?”


“不挖了。”


“你和他说什么了吗?”


“我说我感到悲凉。”


“白帽子们都离开了吗?”


“我更愿意相信,他们在等待。”


“等待什么?”


“当时代需要时,他们勇敢地站了出来。当潮水退去时,他们等待新的使命。他们等待被抛弃或被怀念,等待这个世界告诉他们善恶和对错。”
原文:https://yq.aliyun.com/articles/23660



欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0