乌云网掌门人方小顿:黑客领域的“甘道夫”
作者:暂无
来源:《赢未来》 2014年第5期
辑 / 贰贰
过去8年间,方小顿一直在扮演黑客领域中的“甘道夫”,专门和邪恶力量对抗。通过乌云网,他集结了5000名分散在各个领域的白帽黑客,排查国内各大网站的安全漏洞。方小顿说,“乌云网”就是云时代罩在信息小偷和互联网企业头上的一道警示咒,希望它的每一次拨云见日都是网络安全的一次进步。
长发、T恤、人字拖,今年27岁的方小顿看起来更像是文艺小青年,而不是黑客技术男。在百度输入方小顿,输入框里智能添加的不是“乌云网”,不是“白帽黑客”,而是“天天向上”——2010年和李彦宏一起录制湖南卫视《天天向上》节目时,他给前女友演唱了一首有点走音的《一无所有》。直到2014年3月22日,携程网“漏洞门”事件曝出,方小顿才以白帽黑客的身份,和他所创建的网络漏洞报告平台“乌云网”,一起从黑客圈走进大众视野。
现在,方小顿不再是那个在《天天向上》上唱苦情歌的小屌丝,作为安全问题反馈及发布平台乌云网的
掌门人,他集结了5000名分散在各个领域的白帽黑客,专门排查国内各大网站的安全漏洞。方小顿说,“乌云网”就是云时代罩在信息小偷和互联网企业头上的一道警示咒,希望它的每一次拨云见日都是网络安全的一次进步。
bug出了工作
2002年,15岁的方小顿考上了哈尔滨理工大学化学专业,但同学们常请教他的,却是互联网技术问题。“小时候一直对计算机很感兴趣,大学课余时间多,我就自己研究互联网技术。”在方小顿眼中,这其实没什么,靠自学就能成专家,他补充道,“当时网上有很多互联网技术教程和讨论社区,只要肯学,每个人都能成为技术高手,安全技术绝不是学校里能教出来的。”
大学四年,方小顿几乎全花在研究黑客技术上。要知道,网络安全从来都是攻防一体,黑客的段位都是通过实战练出来的。所以,方小顿黑过学校的网站,做过网络技术类的社区网站。当时研究网络技术的小团体之间经常上演技术“火拼”,方小顿都是主力。“2004年前后,整个互联网还不像现在这样深入每个人的生活,网络安全还只是纯技术性的存在,大家经常‘互黑’比技术。后来没得黑了,我们就一些常用软件的bug,然后告诉开发人员。”
对于那时候的方小顿来说,bug纯粹是因为好玩,没想到后来却出了工作。2006年,即将毕业的方小顿发现了一家软件公司的产品漏洞,当时这家公司服务几十万客户,通过这些客户可以辐射到上亿
用户。“发现漏洞后,我通过互联网社区联系到公司的人,他们听了之后很感兴趣,邀请我到北京和他们老总聊聊。”方小顿说,“当时聊得很愉快,老总让我毕业后就进入公司,负责软件安全防护工作。”
从某种意义上说,方小顿也是“黑客”,但并不是搅局者。到了2008年,丰富的实战经验让他在网络安全领域早已如鱼得水,不断有互联网公司前来挖角。最让他心动的,是百度。
“程序猿”们有一个习惯,就是“混社区”。这些大大小小的网上技术社区是中国互联网高手和黑客的集散地,当时百度就是通过方小顿常混的那个安全社区到他的。
入职百度后,方小顿的主要工作是抵御黑客入侵。他在三年的时间里,一步步做到了高级安全工程师,百度的安全团队也由最初的五六人发展成为三十余人的“黑客防护墙”。
彼时的百度虽然还没有像近两年这样大肆并购、布局,但从平台和待遇来说,已是不少“程序猿”的梦想单位,只是在方小顿看来,百度还是承载不了他的理想。
“一名白帽黑客除了要在技术方面感兴趣之外,另一点就是必须拥有一个正能量的理想。我的理想是利用自己的技术为更多的互联网公司解决安全问题。”方小顿解释离开百度的原因时说,“在百度永远只能做百度的事,但如果跳出来,服务的就是整个互联网。”
“乌云网是作为预警而存在的”
其实,早在2010年7月,方小顿就联合新浪、奇虎360的两个白帽子工程师,一起创立了乌云网,当时的目的是解决百度以及和百度类似企业的问题。谈到“乌云”这个名字的来历,方小顿表示,当时云技术发展势头强劲,很多企业都在谈云技术的便捷、低成本,但其实以前出一个问题只影响一两个用户,使用云技术之后可能影响上千万的人。“取名‘乌云’就是想告诉大家,云技术是有风险的,乌云网就是一个预警。”
鉴于自己做的是得罪人的事,乌云网从成立的第一天起就定位为介于白帽子和企业之间的非营利组织。2011年,刚成立一年的乌云网连续披露京东(滚动资讯)、支付宝、网易等著名互联网企业存在高危漏洞。此后,乌云网更是指出支付宝2500万用户资料泄露、如家酒店泄露、腾讯7000万QQ用户数据泄露等一系列安全问题,几乎逢战必胜,一时间乌云网名声大噪。
截至2014年4月,乌云网共披露了近5万个网络安全漏洞,包括携程、腾讯、淘宝等知名企业在内的524家厂商在乌云网注册。而乌云网的技术团队也已达到5000名,他们中有大公司的网络安全工程师,也有白领、律师甚至厨师。随着知名度的提高,越来越多的人开始接纳乌云网。
当然,抵触的也有,方小顿总结有三类人对他们最不满意:一是希望用户不要重视安全的大企业;二是黑产业,因为乌云网直接阻断了很多黑产业链;三是希望通过信息封闭来谋利的企业,例如一些安全公司以前会通过漏洞来恐吓用户,乌云网公开全部信息,对他们不利。其中最大的阻力“来自BAT(百度、阿里巴巴、腾讯)”。
“我们是从一个小规模技术圈发展起来的,所以最开始只关注互联网巨头。随着团队发展,关于政府部门、大型央企网站的漏洞报告也越来越多,但作为第三方机构,我们很难和这些单位协调,让他们提供改进信息。”正在方小顿苦于如何解决这一问题的当口,2011年底,工信部下属“国家信息安全漏洞共享平台”的负责人主动上门来寻求合作,希望乌云网能够共享数据信息,由该平台出面推动政府、央企改进系统。
“目前乌云网的赞助方有两个:国家信息安全漏洞共享平台和广东省信息安全测评中心,他们每年定期提供资金,基本能够覆盖我们的成本。”方小顿介绍道,“借助这两大平台,乌云网就成为涵盖互联网公司、金融、大中型企业、政府机构网站的全行业漏洞入口。”
“我觉得自己是技术员,而不是商人”
尽管拉来了有政府背景的赞助方,乌云网还是和大部分初创公司一样,经历了一段困难时期。2011年12月,乌云网披露了国内知名技术社区CSDN的600余万用户资料被泄露的消息。数据公开后,很多人利用这一数据攻击其他企业,一时间乌云网被广泛质疑。同年12月29日,乌云网宣布暂时关闭,称今后将选择性披露漏洞以降低影响。半个月之后,重新调整披露规则的乌云网恢复访问。
在那半个月里,方小顿要频繁地向企业、监管部门解释,乌云网的作用仅仅相当于安全预警,并不是黑客行为。
如果说公开后的数据被用来攻击其他企业是躺着中,那么接下来的指责,则是正面狙击。黑客圈里流传着这样一种说法:“黑客入侵网站盗取信息后,只要在乌云网向厂商提交漏洞,就可以洗白。”在只有获得审核的白帽子才能进入的乌云网非公开论坛上,黑产业、网赚、网络战争等话题都有专门的讨论版块,乌云网因此一度被指为“中国最大的黑客培训基地”。
扫黑风暴最大反派是谁 面对后者,方小顿倒是表现得很轻松。“做网络安全的最大问题就是‘我在明,敌在暗’,设立那些讨论区是为了研究黑帽子的技术手段,更好地阻击黑客。”方小顿说,“黑帽子是不想洗白的,最好不要让任何人知道他做了什么,怎么还会主动通知企业?”
为了获利?不可能。方小顿解释道,白帽子和黑帽子是月入一万和日收一万的差距,如果是为了钱,黑客更加不愿意洗白。他举例说自己从百度出来创办乌云网后,收入降低了不少。
为了团队,方小顿做了些许商业构想,目前,乌云网发现问题后会提供免费的预警信息;未来则会为企业提供改代码、修复漏洞等有偿服务。“不过,乌云网绝不会变成一个营利目的太强的安全技术中介,”方小顿在短暂的思考后,给自己定性,“我觉得自己仍旧是一个技术员,而不是商人。技术员的理想很简单:让网络安全问题更透明,企业能更重视安全,白帽子的工资能提高点儿,这就够了。”
本文摘编自《京华时报》
TIPS
白帽黑客,也叫白帽子,指那些用黑客技术来做“好事”的黑客,即通过测试网络和系统的性能来判定它们能够承受入侵的强弱程度。
黑帽子,他们研究攻击技术唯一的目的就是惹事生非。
发布评论