Board logo

标题: 他们这个生意,是聚集上万黑客在互联网上找漏洞 [打印本页]

作者: Zeus    时间: 2015-10-6 21:13     标题: 他们这个生意,是聚集上万黑客在互联网上找漏洞

他们的名字叫乌云,你不一定听过他们的名字,但你用的互联网服务一定上过它们的漏洞名单
“我去百合网相亲了。”

“咋样?结果如何? 找到了没有?”

“我找到了他们的 bug。”

9 月 6 日,相亲网站百合网一个涉及几百万用户数据安全的漏洞被一个黑客发现了。

和一般黑客电影里的情节不同,黑客 Croxy 并没有拿起加密电话索要赎金,而是写下开头的段子,将安全问题提交给了名为乌云的漏洞平台。

而百合网也没有报警,而是在漏洞公布两天后确认问题存在,开始修复。不出意外的话,威胁几万用户信息的安全问题将在几天时间得到解决,而乌云也将在 10 月份公布具体的漏洞所在。

“其实大部分漏洞可能花一周就能解决,但我们给出的 45 天时间……一些客户端的软件比如浏览器、建站系统这样的产品,我们会给 90 天让厂商有充分的时间修复漏洞。”乌云平台的创始人孟卓告诉《好奇心日报》。而公布这些漏洞是为了将测试思路回馈社区,让其他互联网安全从业者也来学习。

在乌云漏洞平台上,类似的事情每天都会发生上百次。光是在最近 15 天,乌云上的新增漏洞已经有 1940 条。而这些曝光的漏洞,很可能会影响你的生活:

今年 9 月,九阳智能豆浆机的漏洞被曝光。因为一个设计和控制的缺陷,任何人都可以控制任意一台九阳豆浆机。漏洞提交的当天,九阳就已经获取情况并且确认开始了修复工作。
2014 年 7 月,阿里巴巴严重漏洞也在乌云上曝光,人们只需要通过搜索引擎,甚至不用账号、密码,就能直接获取支付宝用户的账户余额、交易记录、收货地址、姓名手机号码等敏感信息。阿里巴巴得知此事之后,还给找到漏洞的白帽子黑客 5 万元人民币的奖励。
“乌云”,还有“白帽子”是中文互联网安全事件绕不开的名词。



在 2010 年成立至今,乌云平台的漏洞列表页面上,漏洞数字已经超过 7 万个。当中涉及的公司除了腾讯、阿里巴巴、百度、小米、联想等科技企业之外,还有国内多家银行、金融机构,甚至地方政府网站的安全问题。

而作为这个漏洞社区的内容生产者,在乌云上注册的“白帽子黑客”也已经有 1 万人以上。所谓的白帽子,就是一些有技术能力,热爱网络安全行业的人们,有别于传统的黑客,他们通常会把漏洞告诉企业,提醒他们修复,而非用来获取个人利益。

“一开始我们完全没想到会做成现在这样。”乌云的创始人孟卓告诉我们。在 2010 年,还在百度做安全工作的剑心(网名)因为希望更多的信息安全行业同人交流,一起提高技术,所以当年一些行业内的朋友在业余时间建了“乌云漏洞平台”。第一批用户他们自己以及身边的朋友,大家找到漏洞,就提交到乌云上。

乌云对于漏洞处理机制是这样的:白帽子黑客向乌云提交的漏洞信息,乌云就会通知漏洞所在厂商认领,细节只对厂商透露,让他们尽快修复。在这个漏洞曝光的 45 天(如果是浏览器,社交应用等服务是 90 天)之后,乌云就会把漏洞的细节公之于众,将漏洞的发现方法作为白帽子黑客社区的学习养料,而提供漏洞的白帽子,也会得到乌云的虚拟货币和等级的提升。

在这个模式当中,乌云漏洞平台将自己定义为一个不盈利、独立于所有公司之外的第三方机构。但这种模式本身并不好做。

“安全行业是一个非常封闭的行业,”孟卓说,“别人发现了自己公司的漏洞,其实是很糟糕的事情,因为很有可能会被黑色产业利用”。

因此,很多大型的科技公司如微软、Facebook、雅虎、阿里巴巴,不但会有自己的安全团队,还会设立自己的漏洞平台或者漏洞寻找竞赛,这些平台或竞赛,就是希望募集公司外的黑客们给自己找漏洞,然后给发现漏洞的人一定数额的奖金。找到漏洞的详细信息,就只会归公司所有,不会向公众公布。

其实去年 Google 也尝试做了一个和乌云相似的第三方漏洞平台 Project Zero,结果却因为公布了竞争对手微软以及和苹果公司的漏洞,而惹来不正当竞争的非议。这是因为 Google 本身是行业里的重要公司,竞争对手会忌惮也是正常。

而乌云早期经历的麻烦到后期的成功,也都是因为他们并非属于任何公司。

网络安全行业的封闭也是源于人们对于黑客的刻板印象:用高科技手段入侵网站、窃取信息,如果企业不合作,这些内部的机密信息就会流转到黑色产业当中去。无论在国外还是国内,这种涉及信息倒卖的行为都会被定义成犯罪。

尽管并非所有擅长网络技术的人都会与黑色产业相关。而乌云经常提及的“白帽子黑客”,就是一些有技术能力,热爱网络安全行业的人们,他们通常会把漏洞提交给企业,而非用来获取个人利益。

但早期企业的逻辑是滑稽的。白帽子在乌云上公布漏洞存在,而不公布细节,其实是对公司的预警,让他们尽快修复漏洞。而真正的黑客攻击者从来不留修复的机会。这种漏洞的提交其实对企业安全是好事,也是那么多公司鼓励白帽子的原因。

但在当时,因为公众对黑客的刻板印象,以及对信息安全的不理解,乌云在 2011 - 2012 年两次被关站。

2011 年 12 月,互联网上传出开发者社区 CSDN 遭黑客攻击,有 600 万用户帐号及明文密码泄露,用户的资料被大量传播。而当时,乌云上也有白帽子提交了相关的漏洞;在 CSDN 事件发生后不到三天,乌云上的白帽子提交了一个关于天涯社区 4000 万用户资料泄露的漏洞。

就是这两个漏洞,让乌云的名字一下子出现在公众的面前。

“当时相关机构、网民都没有做好准备,这事情就曝光了。人们对于企业信息安全的信任就一下子被打破了,觉得这事情太恐怖了,自己的名字等信息可能会被陌生人知道了。”孟卓回忆道。

因为公众的不安,政府对于黑客产业和乌云平台目的的怀疑,乌云只要在事件发生后一周便宣布暂时关站。

第二次关站,是 2012 年乌云曝光了某个运营商地级市的严重漏洞,对方要求将漏洞信息删除,但是乌云方面拒绝了这个要求。然后就是被“拔网线”,然后连网站的备案记录都消失了。

孟卓说,他们有几个建站以来就定下来规则,除了 45 天公开漏洞之外,就是“不删除漏洞”。“我们也有我们情怀,经过我们审核的漏洞,就不会因为压力或者什么原因删除。我们得给提交漏洞的白帽子一个交代,他们提交过的东西,不会莫名其妙地消失,不会努力白费或者被威胁什么的。”

但是在被关站之后,孟卓也觉得很无助,对于乌云这样一个新生的安全漏洞平台来说,一切都走得太艰难。

“也是那时候开始觉得,我们自己的力量太弱小了。”孟卓说,2012 年,他们开始找互联网应急中心合作,成为了一个第三方的非营利性的民间组织。

当时,互联网应急中心其实自己也有一个公开的漏洞平台 CNVD,其实他们也想做收集漏洞的工作,但因为是政府机构的缘故,并没有吸引太多的白帽子黑客参与他们的项目。而乌云的出现,则刚好是帮 CNVD 承担一些“国家信息安全漏洞库”的工作。

“有些漏洞,如果让我们去通知企业,那么可能对方不一定会有行动,但和 CNVD 合作的话,他们能够自上而下地去推进这些事情。”

有了认证以及国家应急中心的合作,乌云团队在这之后更加专心地做他们的白帽子黑客社区。他们希望给国内黑客一个正向的刺激机制:鼓励提交漏洞,促进厂商修补,从而得到了社区的虚拟货币,等级的提升,还因为给社区反馈了养分,而增加了和安全技术牛人交流和学习的机会。

“如果不是乌云的话,我可能不会往这个方向走。尽管它说改变了人生是一个很夸张的说法,但确实是这样。”今年 18 岁的白帽子黑客“小 K”在 3 年前开始琢磨计算机的基础知识,以及如何入侵一个网站。

“一个人在做技术,你对于这个技术本身的认知很有限,在知道乌云之后,知识就从点到面的扩张开来,这种孤独感就慢慢消散了。”去年,小 K 已经加入了乌云,正在帮助乌云知识库做一些国际化的工作。

小 K 并不是特例。今年才上初三的 ZPH 今年还在天河一号的超级计算机中心发现了一个可以轻松进入内网的漏洞,让他一下子受到很多的外来关注。从 2014 年到现在,ZPH 已经在乌云上提交了 40 多个漏洞,而他的妈妈对此还感到很放心:“我觉得乌云(对白帽子黑客)的引导很好,今年我已经让他自己去参加乌云的年度大会了。”ZPH 的妈妈告诉我们。



2015 乌云大会的宣传图片

到目前为止,乌云上已经注册了超过 1 万名白帽子黑客。在白帽子黑客聚集起来后,也有厂商开始主动拥抱乌云平台。

“我们新做的产品,都是在厂商推着做起来的。”孟卓说。最近年,乌云的团队除了依然在运营乌云漏洞平台的发展之外,还在做额外的产品。“如果光是漏洞验证、漏洞平台的维护,4、5 个人每天盯一下就可以了。”孟卓说。但在乌云的办公室里,还有 20 多个年轻人,他们各自在忙着乌云在漏洞平台之外的不同产品。

这些项目里面包括了例如“众测”,一个乌云团队在 2012 年开始尝试更直接地让白帽子赚到钱的项目。

孟卓说,这个需求也是他们平台上的厂商提出。因为目前还只有比较大的互联网公司有资金去聘请安全团队,对于中小型创业公司来说,网络安全这事情有点难。乌云于是就开了这么一些项目,让有需求的公司到众测上发布测试任务,然后乌云通过匹配找到合适的白帽子黑客参加众测,然后企业根据找到的每个漏洞高危程度,给白帽子黑客支付一定的酬劳。

“你可以当做是一次让白帽子黑客给你做的专家会诊。”乌云平台的合伙人 Wudi 向我们介绍到,在乌云的官方介绍中,我们看到众测的客户已经有知乎、联想、百度等多家企业。

除了众测之外,“当时他们问的最多的就是能不能帮忙招人。”孟卓说。考虑到厂商和白帽子黑客有同样需求,乌云从 2014 年起就开始做他们漏洞平台之外的第一个产品“乌云招聘”,形式十分简单,就是企业发布招聘信息,有意的白帽子黑客们就参加应聘。“即使我们不做这个,很多厂商在招聘网络安全人员的时候也会直接问这些白帽子黑客的 ID、等级和有多少乌云币。用这个方式来衡量他们的能力。”

乌云在今年夏天还推出了“唐朝安全巡航”服务,模式看起来则成熟许多。Wudi 透露,他们希望通过此服务接触到一些有长期安全服务需求的公司,为他们提供更加标准化服务——经常有安全体检,还会检索企业现有的互联网“资产”,包括以前曾经在网上曾购买过服务器。

而且,他们还会召集白帽子黑客们把自己发现漏洞的思路总结称经验供厂商参考,而如果这个思路被采纳,那么白帽子就会得到一笔分成。

但无论是这上面的哪一款商业产品,在乌云漏洞平台主站上都没有设置入口。对这些带有商业性质的新产品,乌云团队并不希望会打扰原来的用户。“我们是希望那些知道我们有这个服务的人,才去搜索这个新产品。”孟卓告诉我们。

比起盈利和赚钱,孟卓说,“白帽子们才是最重要的。”




欢迎光临 中神通公司技术论坛 (http://trustcomputing.com.cn/bbs/) Powered by Discuz! 6.0.0