争议无时不有,看似坚不可摧的高墙壁垒是如何打破的?方小顿认为,那是因为“打破高墙”这件事本身是有价值的:“我深信,在任何领域,信息总是趋向流动的,公开讨论是解决问题的最好方式。”
即使是最普通的、对信息安全一窍不通的用户,也或多或少听说过“乌云”这个名字。5年来,这个中国最大的互联网漏洞报告平台,几乎汇集了国内所有顶尖的“白帽子”,在乌云社区,超过1万名漏洞挖掘者累计公开了3万余个漏洞。
这3万多个漏洞中,有一部分足以在网络上掀起轩然大波。2014年,乌云先后曝出腾讯qq群关系数据泄漏、携程信用卡信息泄露、12306密码泄露和联通系统漏洞。这使乌云在声名大噪的同时饱受争议——在许多人眼里,乌云像一个手持利刃的搅局者,剑指之处,山摇地动。
相比乌云,创始人方小顿的形象却出乎意料的简单。28岁的他,留着中长发、戴眼镜、蓄着胡子,看起来就像一个摇滚青年。事实上,他确实热爱音乐和艺术,并刻意通过不同寻常的打扮,将这种内心的喜好直接展示于人:“如果真有人因为我的打扮觉得不舒服,那就不聊呗。我这么做是为了让事情变得简单,拐弯抹角的就不好。”
大概只有心思单纯的人,才能够创造出这么一个颠覆行业的社区。直到现在,乌云仍然以自由社区的形态存在于网上:页面干干净净,漏洞按照发布、确认和公开等不同阶段,以列表的形式排布于首页上,除此以外,这里看不到一个商业广告。“像是过时的、已经被淘汰的论坛。”方小顿如此形容,这正是他在多年前所构想的乌托邦的模样:5年过去了,乌云从未偏离初心。
现在,方小顿在不变初衷的前提下,想要带领乌云走得更远:在乌托邦之上,他和他的团队还要孕育出更多的可能。
让安全领域变得公开透明,打破行业的信息不对称,厂商的漏洞可以被公开讨论,发现它们的“白帽子”还能得到奖励——这听起来是一件不可思议的事情,然而乌云做到了。
争议无时不有,看似坚不可摧的高墙壁垒是如何打破的?方小顿认为,那是因为“打破高墙”这件事本身是有价值的:“我深信,在任何领域,信息总是趋向流动的,公开讨论是解决问题的最好方式。”
像安全领域的多数人那样,方小顿在网络上有一个代号——“剑心”。这个1987年出生,15岁就考上大学的少年,在早年的安全技术圈中,已经拥有了自己的一席之地。他是80sec的核心成员之一,工作之余,还在北京的酒仙桥一带开了一家“黑客酒吧”,作为黑客们的日常聚会场所。
那是2008年,在百度担任安全专家的方小顿,已经发现了在大公司做安全的尴尬之处。其中最重要的一点,在于自己的价值无法得到证明。从本质上来说,安全是成本、是限制,它不产生效益。企业的管理者自然希望每一年都风平浪静,可是当真的什么事情都没发生时,他们又会质疑安全部门是不是无所作为。而安全工程师的贡献更是无法衡量——“安全厂商永远说你的工作做得很糟,当然是这样,否则它的产品卖给谁?和同类型的公司对比也是不现实的,因为任何一家企业都不可能对外公开自己的安全状况。”
这种封闭的行业状况,不仅使身在其中的工程师深感痛苦,也在客观上促成了安全行业的“隐秘黑产”。在那个时候,任何人发现漏洞,上报给企业,不仅得不到奖励,反而会被厂商威胁,因为后者将测试行为视为“非法攻击”。因此,越来越多的漏洞流向地下黑市,一些0day漏洞更是价值不菲:通过它们,犯罪者可以窃取大量的用户信息,并以此牟利。
随着互联网爆发式的发展,越来越多的人将日常生活的信息搬到了网上,但安全行业的发展却被锁死了——就像一个日益丰富的宝藏,却没有安装相应级别的安保系统。
然而,这种看似锁死的状态,却仍然留出了一个松动的口子。方小顿回忆说,当时,包括BAT、新浪、搜狐在内的各大网站的安全人员,并没有因为“各事其主”而产生隔阂,技术人员对彼此惺惺相惜,常在自建的群组中切磋知识、讨论技术。这一批人也成为了早年乌云的核心用户,正是靠着他们无私的分享,对漏洞的公开讨论才成为如今安全行业的共识。
“当时我在想,光在技术人员当中公开是没用的,必须建立一个机制,打破厂商和技术人员的不平等,让技术得到应有的尊重。”方小顿说。
平等、尊重,这是乌云创始的初心,也是存在的根本。这个简单的理想从未改变,但方小顿没有预料到,它实现起来却是这样快。
2010年,在创立乌云的同一年,方小顿跟随百度CEO李彦宏,参加了“天天向上”,并在舞台上高歌一曲《一无所有》。这个行为,成为后来圈内人谈起他时必提的逸事之一。但方小顿本人却从未回头看过这一期节目:“了解我的人都说,台上的我和平时相差不大。当时也没有准备或者排练,说让我上去唱歌,我就上去了,心想就算唱砸了不是还有后期吗?”
对于自己第一次走到公众面前的形象,方小顿毫不在意,他把这当作是“一个项目”:“那一年百度的一个供应商遭到境外黑客的攻击,瘫痪了几个小时。老板可能想借机展示一下公司在安全方面的技术力量吧,对招聘什么的有好处。”
怀着这样剔透心思的人,怎么可能做出乌云来?但事实上,做乌云,非简单的人不能成事:“你到我们公司来看一下,会发现大家都特别简单。不简单的人来这儿,我们还会觉得奇怪。”
但乌云的境遇却不简单。这个社区,几乎刚起步就把行业搅得天翻地覆:2011 年,刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞。当年的 12 月21 日,乌云又曝出中国最大 IT 技术社区 CSDN 漏洞,超过 600 万用户资料被泄露。那以后,乌云关闭了将近一个月。
所有人都以为这个社区已经搞不下去的时候,它却回来了。“那是一次攻击造成的,当时碰到过年,运营的人都不在,所以直到年后才恢复。”方小顿说起来轻描淡写,“这5年来,这种事情多了去,曾经曝过某运营商的漏洞,结果对方直接把我们的网站备案注销了。一直到现在,乌云每个月都在遭受DDOS攻击,以至于宕机。”
对此,乌云的员工早就习惯了,他们甚至开玩笑说“每个月都会有这么几天”。
乌云的存在,一直仍然饱受外界猜测,其中包括“靠山论”、“黑客培训基地论”。人们难以理解,在一个崇尚“大事化小、小事化了”的国度里,一个强制公开“坏事”的社区,为什么能够一直存在。
事实上,乌云确实惹毛过许多大企业。由于白帽子们测试漏洞的手段,绝大多数是在没有获得授权的情况下进行,这样的行为,在法律上被认为是定义模糊的“擦边球”。但方小顿认为,互联网的发展速度如此之快,早已超过了法律所适用的范围:“若是在过去,微软公司的服务器遭受攻击,那是非法的,因为服务器里保存的是公司的软件,是有知识产权保护的。但现在,很多企业的云上保存的,是用户的信息,企业有那么多信息却保护得很差,那是不是应该先来探讨这个行为是否违法?”
这个温和的年轻人会在此时显现出对既定规则的不满:“甚至可以说,法律上有很多东西也是说不清的,所以这就需要信息公开,大家坐下来讨论,最后达成共识。”
在乌云的推动下,这种讨论的气氛已经形成了——时至如今,没有一家大企业敢于忽视或者低估安全,他们甚至会对发掘漏洞的白帽子给予奖励。在论坛上,一个漏洞的公布周期一般为45天:前5天,向厂商公布,10 天后向核心及相关领域专家公开;20 天后向普通白帽子公开;30 天后向实习白帽子公开;45 天后向公众公开。5年来,“不删除漏洞”是乌云严守的底线,即使在逐渐转向商业化的今天,这依然是一条不能突破的“铁律”。
此外,这个公开信息的机制还有更大的意义——它直接促使了诸多黑客“上岸”。“没有天生的好人和坏人,只有好的机制和坏的机制。”方小顿说。如今,一个在乌云上水平较高的白帽子,通过合法的、有偿的漏洞测试,能够月入数万。而在过去,这个群体身怀绝技,却得不到尊重与引导,难免有人走入歧途。
“当然,也不能一刀切地把人绝对地分成好人和坏人。”方小顿说,“我们把提交漏洞的行为,叫做白帽子行为,并把这类人叫作这个平台上的白帽子。但我们并不能为这个人的一切行为负责。”
将白帽子的每个行为区分开来,“让法律的归法律的”,这是方小顿对争议的回答——信息公开本身是没有错的。事实上,多年来,乌云从未因公开漏洞这件事遭到过起诉。
从创立乌云的第一天起,方小顿就严肃地考虑过它的命运,无非两种:存在,或者死亡。“如果是后者,那就说明在中国,这个理想是行不通的,这个方法是不被允许的。可以做的事情太多了,我不会那么在意。”
可是乌云扛到了现在,这就说明它的存在是有价值的。这个搅局者刺穿了江湖的遮羞布,使一部分人感到不快,也使原本与泥沙同流的技术熠熠闪光:“白帽子通过我们获得了体面的、有尊严的回报;而倚靠技术而非忽悠的安全厂商也感谢我们,因为乌云为他们提供了一种证明自身贡献的方式。”
乌云的商业化之路是从2012年开始显现苗头的。当时,一些养不起安全部门的小企业找到乌云,希望后者为他们提供漏洞的扫描和检测:“这个事情让乌云的团队来做是不现实的,因为需求量如此庞大,我们人手少,自己的工作还忙不过来。可是,这些企业的诉求又是合理的,怎么办呢?于是我们就把企业的需求放到平台上,与庞大的白帽子群体对接。”
这便是“乌云众测”,3年中,超过200个众测项目在乌云平台上进行,并返利白帽子超过500万元。有人说,活跃在乌云上的白帽子加起来,可以组成好几家专注安全的互联网公司,而核心成员的技术实力,更是令任何一家专业厂商无法小觑。在乌云上提交过漏洞,甚至成为不少企业招聘的前置条件。
在乌云简洁的首页上,其中一栏便是“乌云招聘”。如今的安全行业,已经出现了“供不应求”的局面。“白帽子能挑企业,企业却找不到人。”方小顿说,这和他离开百度安全部门的那一年相比,已经是翻天覆地的变化了。
“从某种意义上来说,所有安全行业的从业者,都应该感谢乌云。”腾讯玄武实验室创始人于旸说,他在业内有一个更为人所知的昵称:TK。
从商业化的角度上来说,众测并不算是一个成功的产品:首先是需求有限,每个众测项目的规模都不大,约在2-3万,需求在可预期的范围内不会出现爆发式的增长;其中,乌云又只抽取很小的一部分作为分成,所得利润只能够维持社区团队的日常运转。事实上,方小顿和他的团队将这个项目看作是乌托邦的延续:“只要是有利于白帽子的事情,我们一定会去做。”
相比起来,2015年7月上线的“唐朝安全巡航”,被方小顿赋予了真正商业化的期待。它像是一个体检中心,由白帽子添加检测规则和策略,企业可以通过它进行安全漏洞的监控、检测和扫描。作为一个自动化的漏洞扫描系统,“唐朝安全巡航”可以低成本地完成许多日常的漏洞检测工作,并且在众多白帽子的维护下,变得越来越强大。
从乌云到众测,再到“唐朝安全巡航”,方小顿的初心从未改变:“因为这件事有意义,所以我去做它。我负责把它做好,此后的一切交给市场。”
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/57387.html