烏云疑云:創始人被捕背后的故事通信
有些人稱他們為安全俠客,也有些人稱他們為網絡惡徒。他們游走在灰色空間,他們刀鋒上起舞,亦黑亦白,一念牢獄之災,一念榮譽加身。
2011年12月29日,新年在即,烏云網臨時宣布關站。時隔四年半,烏云網再次停擺。多個信源證實,包括創始人方小頓在內的烏云網數名團隊成員7月19日被警方帶走。那么,這一次烏云是否會歸來,會如何歸來?
時隔四年半,烏云網再次停擺。
多個信源證實,包括創始人方小頓在內的烏云網數名團隊成員7月19日被警方帶走。
停擺原因依然是外界喜歡猜測的話題,但兩種截然相反的態度表明人們對這家公司的價值評判存在著本質差異。
烏云從來都不缺乏支持者和反對者。在支持者眼中,它就是“云時代罩在信息小偷和互聯網企業頭上的一道警示咒”。而在反對者眼里,它卻像一枚隨時可能會引爆的行業炸彈,懸得越久威力越大。
這個最早以獵捕大型互聯網公司漏洞聞名的非營利性社區,已經迅速發展成為中國最大的白帽子聚集地和漏洞披露平臺。創業家&i黑馬查詢資料獲悉,早在2014年底,烏云就已聚集白帽子7000余人,日均上報漏洞超過100個。
按照其官方話述,烏云只和對用戶知道安全問題持敵視態度的人產生矛盾。其中包括漠視用戶信息安全的大企業、黑色產業以及靠封閉信息牟利的機構。
大互聯網公司怕它,因為名為白帽子的“漏洞獵手們”對這些大公司的挖掘總是樂此不疲,并總能從它們看似堅實的信息安全高樓上撬下松動的磚瓦。小互聯網公司也怕它。對發展速度的渴求,往往讓它們的安全防護系統千瘡百孔,不堪一擊。
與美國西部片過去慣用的手法——好人戴白帽子,壞人戴黑帽子類似,延伸到網絡安全行業,白帽子意指正面黑客。與黑帽(惡意)黑客不同,白帽子也可識別安全漏洞,但不會惡意利用而是選擇公布。他們各個身懷絕技,也如惡意黑客一樣遭受質疑。
獵捕漏洞的行為被視為最不穩定的環節。白帽子的滲透手段是否就是破壞?他們是否會竊取信息?有無權利?是否違法?
這一群體隨烏云網一起被推上了輿論的風口浪尖,褒貶不一。他們既浪漫又神秘,但不得不受制于利益、商業和政治的非議。
烏云網繼續停擺。只是大多數同行抑或業內資深人士均保持著“不表態、不評價、不傳播”的姿勢,而且所有的借題發揮都被視為炒作或者落井下石。
共識是,烏云網的危機不是整個安全行業的危機,但是會推動敏感的白帽子群體甚至整個安全行業逐步走向合法和規范。這只是一個開端。
但在此之前,烏云網及其同仁們都將繼續游離于企業與白帽子的對立和互相猜忌之間,活在大眾的爭議聲下。
烏托邦
2015年3月22日,北京朝陽大悅城。方小頓穿著格子衫、牛仔褲站在人群前面。他留著中長發蓄著胡子,敞懷的格子衫下露出半拉白色打底背心。眾人注視下,他說,沒有一個人能夠從互聯網虛擬世界逃脫,不管怎么拒絕。
烏云網創始人方小頓(CFP供圖)
就連他也逃脫不了。盡管作為安全圈、黑客圈里響當當的人物,曾經百度公司年輕派并風云一時的安全技術團隊leader,方小頓依然把自己與普通民眾一同列入“網絡易受侵害者”名單。
網絡安全從業者大多如此。當他們極力想要告訴你真相,必先博取你充分的心理認同。在他們看來,網絡世界極不平衡,網絡劫匪和普通人分站在信息安全天秤的兩端,一方手持兵刃,藏匿于暗處;一方手無寸鐵,暴露在明處。弱勢一方任人宰割,勝負毫無懸念。
“我相信沒有太多人愿意做壞的事情。”方小頓解釋說,一個黑客他喜歡在網絡世界里面自由穿梭,就像打游戲一樣上癮。
技術本身就讓人著迷。
2002年,16歲的方小頓考上哈爾濱理工大學化學專業,但這個來自湖北的小伙兒不愛化學偏愛互聯網,大量的課余時間用于互聯網技術自學與鉆研。如果沒有當時的“不務正業”,也就不會有后面關于烏云和白帽子們的傳說。
他很快在黑客江湖嶄露頭角。在發現Discuz!漏洞后成功進入安全行業,22歲便加入百度負責安全技術工作。2012年,26歲的方小頓決定離開百度時,已經做到了T7級別,他曾笑言,如果不離開,現在薪水不菲。
早在2010年百度任職期間,他就和幾個志同道合的朋友一起借助業余時間打造了烏云網,并于2012年下半年決定全職投入,這是他離開百度的直接原因。
烏云網起步于五道口的一間破舊的民宅,后來發展成為國內頗具影響力的漏洞平臺。有人曾如此評價,2010~2011年的烏云是一個打破行業信息不對稱的新興社區,像一道閃電在尷尬的網絡安全行業撕開了一個口子,也把幕后的技術人員推到了臺前。
楊蔚是白帽子中的頂尖高手,江湖人稱301,最早在烏云平臺嶄露頭角。江湖傳言,他曾在云集了一萬名白帽子的烏云眾測(烏云于2014年推出的安全眾包平臺)排行榜中名列第二。
2013年底,方小頓找到楊蔚。本以為只是一次技術探討,卻讓楊蔚面臨一次重要選擇。一頓烤肉的工夫,兩人就達成共識,楊蔚決定以合伙人的身份加入烏云,負責烏云眾測。
在烏云這個小生態圈子里,涌現了許多知名白帽子。豬豬俠也是其中之一。他曾因曝出攜程信用卡漏洞引發軒然大波。在他的刀下,百度、騰訊、阿里巴巴、新浪、搜狐等眾多知名互聯網企業無一幸免。
Jannock十分靦腆且不善言辭,他因遇到烏云而迷上技術,自我研習并瘋狂成長,后曾因長期盤踞精華漏洞提交數第一位而被尊稱為“一哥”。
有人聞名來烏云,也有人因烏云成名。2011年,剛成立一年的烏云網連續披露京東、支付寶、網易等著名互聯網企業存在高危漏洞,此后又接連指出支付寶2500萬用戶資料泄露、如家酒店開房信息泄露、騰訊7000萬QQ群用戶數據泄露等一系列安全問題。烏云也因此聲名大噪。
2011年底,工信部下屬“國家信息安全漏洞共享平臺”主動上門來尋求合作,希望烏云能夠共享數據信息,幫助推動政府、央企改進系統。2012年,烏云獲得國家互聯網應急中心贊助,承擔部分“國家信息安全漏洞庫”的工作,正式成為有國家相關部門支持的第三方非營利性民間組織。
方小頓曾透露,烏云有兩大贊助平臺:國家信息安全漏洞共享平臺和廣東省信息安全測評中心。每年的資金贊助,基本已經可以覆蓋平臺成本。而借助上述兩大平臺,烏云也成為涵蓋互聯網公司、金融、大中型企業、政府機構網站的全行業漏洞入口。
烏云網聚集了全國最多的黑客,但白帽子的身份卻尤為復雜。按照著名黑客老K的說法,有各大公司的網絡安全工程師、IT從業人員、白領、律師甚至廚師,也有洗白的黑帽子。
白帽子一詞因烏云網而火爆起來。
孟卓,網名“瘋狗”,烏云網聯合創始人。在創辦烏云之前,他曾任職于騰訊。烏云之前沒有合理的漏洞提交渠道,他說,一個“善良的黑客”要提交漏洞可能會被廠商威脅。因此,他認為烏云在做一件前所未有且很有情懷的事。
“烏云是一座橋。”方小頓如此比喻。他們在廠商和白帽子之間建立一個溝通平臺的目的不是為了將其變成一個營利性的安全技術中介。它以前不為營利,未來仍將延續在線的公益模式。“我自己仍是一個技術員,不是商人。”他說。
這就又回到了方小頓的理想:讓網絡安全問題更透明,企業更重視,漏洞研究者和廠商之間更平等。“烏云為平等而努力。”
為此,方小頓不止一次提到:我們要建立一個烏托邦。
公開
烏云顯得有些執拗。經它披露的所有企業安全漏洞它執意要公開。這是得罪人的事兒,方小頓心知肚明。
孟卓直言,大部分中國企業在遇到問題時,首先想到的不是妥善處理而是掩蓋,盡力不讓外界知道。
但烏云反其道而行,某種程度上觸犯了這部分企業的“容忍”底線。
烏云網創始人方小頓(CFP供圖)
而這些企業則提出了正當的疑問——白帽子的測試滲透本身就代表著攻擊和破壞,那白帽子的行為誰來監管?企業的利益又如何保障?并占據了輿論制高點。
方小頓并沒有打算讓步。
“我們不是免責的平臺。如果有人竊取了人家的數據,又把漏洞報在烏云上,這是兩件事。攻擊是一件事,報告漏洞又是一件事情,后者我絕對鼓勵。”方小頓在接受安全行業新媒體“安在”采訪時,如此反駁。他說,烏云鼓勵測試并不縱容攻擊,企業有權力追究任何使它受到損失的行為,但測試和攻擊不能混為一談。
事實上,他苦于解釋。烏云創立之初,他花費大量時間去跟企業、監管部門解釋烏云的作用僅僅相當于安全預警,并非真正的黑客行為。他認為一名白帽子黑客除了要在技術方面感興趣之外,另一點就是必須擁有一個正能量的理想。而且,他相信。
烏云給出了自己的“期限”。他們允許企業在與其有關的漏洞信息提交審核后(平臺方會通知企業)的5天之內來確認,逾期將默認并分批向核心白帽子及相關領域專家、普通白帽子、實習白帽子公開漏洞細節,一般以10天、20天、30天為節點。45天后則向全民公開。
某種程度上來講,烏云將此視為一種敦促企業重視安全和改進的手段。有的企業顯然不這么想。它們感受到的更多是威脅。
烏云的敵人不斷增加。對于網站每天都會遭受的DDoS攻擊、黑產(黑色產業鏈)的挑釁、企業的指責,還有乙方公司的抱怨,方小頓早習以為常。“推動一個事情向前,注定要損害很多既得利益者。而有人反對,也必然會有人支持。”
破壞和建設一樣。方小頓說。
烏云堅持對外公開所有的漏洞報告情況,以及技術相關的細節。哪怕是企業認領、確認的,依舊如此,只是待企業修復完成再做公開處理。
方小頓認為,互聯網企業猶如信息大樓的建造者,用戶是戶主。現狀是,建造者只注重大樓的銷量而不在意質量。“他只管賣出去收錢,而用戶真正住進去怎么樣并不負責。”
很多問題,都需要建立一個開放的渠道去解決。方小頓也想。也許,他第一步只是想“逼”企業表個態。
去年9月,方小頓接受安全行業資深媒體人張耀疆的訪談。張問:你做的事情法律沒有明確規定或反對,所以被認為是在打擦邊球,你怎么看?
方小頓答:先考慮價值,大家認可,就應該去做。法律既然講不清楚,公開、透明是最好的方式。
他反復強調公開透明。但在外界看來,問題的關鍵在于,僅靠白帽子的自律和情懷,能否撐得起一個公開透明的良性機制。換句話講,這群人的情懷靠不靠得住?
根據早前的報道,2011年,“臭小子”(網名)曾出于個人炫耀的目的在烏云網上發帖稱CSDN等網站密碼泄漏,并公布泄漏數據包截圖。此外,烏云白帽子“我心飛翔”因涉嫌敲詐勒索京東商城被刑拘。
今年4月12日,“白帽子”袁煒因涉嫌非法獲取計算機信息系統數據犯罪被批捕,引發業界轟動。業內認為,白帽子與企業、與漏洞平臺間的關系,“必須從曖昧走向清澈”。這一過程,起碼要從健全白帽子行為邊界、企業授權制度、平臺監管制度開始。
“凱文·米特尼克!”方小頓在北京朝陽大悅城的那次分享會中提道,這是一個傳奇黑客,闖入北美空中防護指揮系統、侵入了美國五角大樓電腦……其傳奇經歷足以讓世界震驚,他的一句話讓方小頓印象深刻。
“我能從全世界的每一個ATM機里取出錢,但是我沒有。”方小頓復述給大家聽,他覺得這特牛。
疑云
事發于7月20日。
當天凌晨,烏云網突然無法訪問,一時傳言四起。官方隨后貼出系統升級公告,意在辟謠。
然而,一個多星期后,多個信源證實烏云網已被查處,包括創始人方小頓在內“多名高管被抓”。
事實難辨。
該報道引發了輿論一邊倒——“烏云攤上了大事!”但也招致部分業內人士的不滿。
“破壞遠比建設要簡單。”前烏云合伙人楊蔚在一文中感悟道,安全是特殊的行業,想要贏得別人的贊美很難,得到否定卻很容易。
7月20日事發當天,楊蔚最早站出來辟謠。“謠言止于智者。”他在微博中敲下這幾個字,并配上一個笑臉。“沒事就好。”底下有人評論。
創業家&i黑馬就此事試圖聯系多位安全行業人士或黑客,但均遭委婉拒絕。“烏云為中國網絡安全事業做了很多貢獻,這個時候評論它的功過是非,都不恰當。”一名安全行業從業者向創業家&i黑馬如此表示。
5年多以來,烏云想用行動證明它的價值。“對于倚靠技術而非忽悠的安全廠商,烏云為他們提供了一種證明自身貢獻的方式。而白帽子也通過烏云獲得了體面、有尊嚴的回報。”方小頓曾對外表示。他眼中的烏云使命,除了要推進企業重視信息安全、喚回社會對技術的尊重,同時也為白帽子群體的生存待遇和社會尊嚴而努力。
十年前,兩個年輕人曾破解了六間房創始人劉巖的郵箱,并掌握了他的工作動態。倆人“堵”在劉巖的辦公室門口,見了他說:“你們有安全漏洞,您請我們當顧問吧。”劉巖形容他們:中專畢業,留著長發,頂多20歲。
“這幫孩子太嚇人了。”劉巖對創業家&i黑馬說,他的大量信息被他們掌握,他嚇得“汗毛都豎起來了”。劉巖養了他們兩年,讓他們專門負責給自己的網站找漏洞。劉巖講,他覺得這倆年輕人胸懷利器必有殺心,要是在外邊混非得干出壞事不可。
身懷“絕技”,難免有人走入歧途。這也是社會對這一群體最大的擔心。十年前如此,如今這一群體依舊未走出這一尷尬的處境。
相對于外界關于黑客的人性探討,方小頓認為機制更重要。他認為過去大家對安全不重視,企業不投入,因此白帽子的待遇不好,“為了生活就會有人去做黑色產業”。他覺得這些人不去引導,那不作好一定作惡。如果企業允許他們去做漏洞測試,并且認可他們的貢獻,他們的技術就有了一個出口,就能做正事。
方小頓希望改變舊有的惡性循環。首先讓公眾了解漏洞和安全問題,然后反向推動企業增加安全領域投入,以此改善白帽子的生存狀態,從而更好保障公眾信息安全。
“沒有天生的好人或壞人,只有好的機制和壞的機制。”方小頓多次這么說。至今,烏云的“好的機制”建設雖有所進展,但仍任重道遠。
截至目前,烏云的“升級”仍在持續。其稱:“我們將在最短的時間內,以最好的姿態回歸。”
這一幕似曾相識。
2011年12月29日,新年在即,烏云網臨時宣布關站。彼時,官方給出的理由同樣是系統升級,同樣是稱要“以一個更好的方式重新開始”。至于本次“危機”,烏云能否回歸,又能以怎樣的姿態回歸,都是未知數。
方小頓曾無數次考慮過烏云的命運。他認為無非兩種:存在,或者死亡。如果是后者,他想,說明烏托邦理想暫時行不通。
“我不會那么在意。”方小頓在與張耀疆的那場對話中顯得很是淡然。因為他覺得烏云之外,自己可以做的事情還有很多。
但愿,他還能做很多事情。
本文轉自創業家(微信號:chuangyejia),作者麻策,王根旺編輯。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
