让安全领域变得公开透明,打破行业的信息不对称,又能得到官方支持——无论怎么看,这样的事都不大可能发生在眼下这片土地上。
可乌云做到了。
2012 年,CSDN 数据泄露事件让乌云名声大噪,此后优酷接口漏洞、微博控制漏洞、豌豆荚应用缺陷各类漏洞频繁曝出。今年的携程信用卡信息泄露事件掀起高潮,年底又曝出 12306 密码泄露、联通系统漏洞。乌云让越来越多的企业和用户意识到,这些与生活如此接近的服务存在这么多被忽视的安全问题。
仅仅五年时间,一个小小的网站就这样不问出处,在鱼龙混杂的安全市场中找到自己的位置,并迅速成长为中国最大的安全漏洞报告平台。
这五年间,乌云究竟发生了什么?一枚不一样的孢子生长成群落,又究竟需要多少运气?
诞生:一枚不一样的孢子孢子 (spore) 是脱离亲本后能直接或间接发育成新个体的生殖细胞。
世界的开始是一枚孢子。
如果你看过《浪客剑心》,一定会记得那个手执逆刃、脸上有十字刀疤、名叫绯村剑心的男人,「剑心」——也正是乌云创始人方小顿更为人所知的 ID。
《浪客剑心》中的绯村剑心行侠仗义、不问利益,不断追寻着自己所做事情的意义,大概所有真正身怀绝技的安全技术爱好者们多半都有的任侠之梦。
不过时间到八、九年前,在当时的中国互联网生态下比起如何在竞争中活下去,安全还并不是大多数企业必须严肃考虑的议题。
对于那些因为热爱而投身计算机、又热衷网络安全的技术高手,现实世界所能给予的出路似乎只有两条:要么前往「相对封闭的安全研究机构」,为国家信息安全服务但从此失去自己的声音;要么就是涉足「黑产」,攫取贩卖个人信息、盗取他人财产,为生计出卖自己的尊严。
网络安全狂热者们就像一颗颗散落各处的独孤孢子,游荡在在浩瀚的互联网世界。但彼此之间暗藏着聚成群落的向心力——这种难以言说的力量如此强烈,以至于产生了第三种可能。
而方小顿——这个来自湖北黄冈、学习化学的 15 岁大学生,在发现 Discuz! 漏洞后迈入安全世界的大门,并最终获得了进入百度安全部门的通行证,这也让他有机会结识到更多志同道合的人。
由于网络安全工程师们数量稀少,惺惺相惜的彼此形成了紧密的技术圈子。尽管公司之间拥有不可逾越的「高墙壁垒」,但热衷技术的人心之间并没有隔阂。BAT、新浪、搜狐等几家大公司的安全人常常在自建的群组中讨论安全问题:「这个问题大家遇到过么?」「这个漏洞如何修补?」
隐藏在 ID 之后这些并不具名的个人,在对技术的共同热爱下找到了久违的自由和切磋成长的环境。在这个圈子里,人们不必理会背后大公司的利益,技术与代码胜于雄辩。
在百度工作三年之后,大公司的生活开始让方小顿感到困惑——他意识到安全领域的封闭无力,又充满各方的误解。
在大公司的决策者眼中,安全是一件看上去「什么都没发生」的工作:主观上,决策者们希望安全事件什么也别发生;可若安全部门真的全年没有「动静」又会被质疑公司花出的成本都去了哪儿。安全是一件需要规范化成体系完成的精密工程,但多数公司意识不到,能够养得起成规模安全团队的公司在业界也是凤毛麟角。
另一方面,安全领域是信息非常不对称的:不规范的安全公司出于利益利用很小的漏洞敲诈企业,攻击者与防御者的信息不对称还会造成信息堡垒。同时,人们在不断将生活信息搬运到网络平台的这个时代,信息安全问题却被大多数企业和个人低估,用户对企业安全如何也并不清楚。
方小顿意识到只让这些知识和技术传递在小圈子之间是不行的,互联网是一个泛群体,一家公司能做到的事情是极其有限。相应的「自由」氛围应该扩大化——让更多人了解安全领域,并帮助感兴趣的人们学习到相关知识并深入其中快速成长,同时更多的人才能了解到这项工作的重要性。不仅仅是个人和企业,只有这种方式才能让安全这个尚显「稚嫩」的行业健康发展。
「封闭一定是不健康的」,「每个人都可以参与其中,行业才有机会。」方小顿如是解读乌云的初衷。
能承担这些责任的,绝不可能是任何一家大公司。
就这样,乌云诞生了。
起步:乌云是如何运转的在这个不做「云」都不好意思和人家打招呼的时代,与网络安全相关,无论是技术还是思路都会有点黑色的感觉,所以自然出现了乌云。
「乌云就是想告诉大家,云技术是有风险的,乌云就是一个预警。」
起初,乌云还只是由「剑心」方小顿、「疯狗」孟卓两人在业余时间维护、类似个人网站一样的存在,活跃用户也还只是当初群组里的那些「老人」。由于乌云社区里没有真名,只有 ID,使得乌云上的每个用户都是不需担心现实世界利益纠葛的「自由」个人,每个人都可以以个人身份提交任何自己发现的漏洞。
在乌云的网站上,漏洞上报经审核后会出现在「最新提交」一栏中,厂商领取确认后则会下移到「最新确认」,漏洞修补后则会进入「最新公开」,一般会经历 45 天的周期:
1. 5 天厂商确认周期(5 天内未确认视为忽略,直接公开);
2. 10 天后向核心及相关领域专家公开;
3. 20 天后向普通白帽子公开;
4. 30 天后向实习白帽子公开;
5. 45 天后向公众公开;
6. 期间厂商可自行提前公开,向普通白帽公开的时候可以使用乌云币购买提前查看漏洞细节。
在 5 天厂商确认周期中,乌云会积极联系厂商反应、并提醒修复漏洞。已注册过的厂商则会收到提醒,目前乌云的注册厂商已经有 630 条记录。
随着乌云上漏洞信息的积累,越来越多对该领域感兴趣的人们在其中学习交流、上报漏洞,滚雪球般的,乌云慢慢超越技术圈子,开始越来越多的出现在众人眼前。
在乌云的准则中有一条铁律,便是漏洞信息永不会被删除。这不仅是为保持平台的公正,更重要的是可以让更多从事安全工作的研究人员能够学习到这些内容,绕过别人曾掉过的「坑」。
博弈:乌云背后的拉锯战作为第三方乌云努力保证自己的公正,但不可避免的是「漏洞」这个词在大部分人看来是「不安全」的象征,并非利益同盟的厂商们会默认你是敌对方——特别是在互联网安全这个有些暧昧不清的领域。
敏感的厂商会愤怒「为何抓我们的漏洞?」甚至怀疑是收取他人钱财敲诈——「漏洞是我们自己的事情,乌云又有什么权利公开信息?」而乌云严谨的漏洞公开准则,也使得企业的「公关」失去了能力,这很难不让习惯「灭火」大公司怒火中烧。
2011 年,刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞。直到当年的 12 月 21 日,乌云曝出中国最大 IT 技术社区 CSDN 漏洞,超过 600 万用户资料被泄露时,事情走向了拐点,乌云关闭了。
这次关闭之后乌云选择了调整步伐。在 2012 年 1 月 17 日发布的公告中乌云新增了部分漏洞信息披露流程、细则,并对用户进行了分级。他们还写道:「最重要的是,我们没有放弃也没有改变,我们提倡的原则现在是这样,将来也是这样,平等自由透明尊重。」
此后,乌云更是指出支付宝 2500 万用户资料泄露、酒店开房信息泄露、腾讯 7000 万 QQ 群用户数据泄露、携程泄露用户信用卡信息等一系列安全问题,名声也越来越大。
但这一路的艰辛没有人比乌云自己更了解:2012 年,曝出某运营商漏洞的乌云因为不肯删除漏洞,惨遭暴力拔网线;2014 年乌云遭遇疯狂 DDos 攻击,宕机 18 小时;同年又被 SAE 云计算平台出于压力莫名屏蔽……甚至还有人以乌云的名义敲诈企业,或者针对乌云网站进行疯狂攻击。
坚持将漏洞信息公开、不曾妥协原则的乌云,遇到各类不曾料想过的问题,但方小顿始终相信「越到后面会越好」。
有趣的是,作为一个网站,乌云也没少被白帽子们测试,同白帽子打技术战的乌云,「在代码层面是已经是没有问题的,如果真的出现问题,那就应该出现在第三方或逻辑上。」
群落:那些沉静可爱的年轻人称职白帽子就是通过网络安全专业技术去钻研/挖掘计算机、网络系统漏洞的人。但是他/她们不会去做任何的破坏,同时会告知管理员漏洞内容及修复方案。
——《白帽子讲 web 安全》
在北京西北角的一间大厦里,神秘的乌云团队就在这里办公。
至今 5 年的时间里,曾在乌云社区中学习成长的年轻人出于热爱也有不少也加入了这个群体。不断扩大的乌云团队也曾辗转搬家好几次,直到某互联网公司得到乌云的大力帮助,心怀感激的创始人将这个大开间友情转让给乌云,他们才真正有了一个像样的落脚处。
《攻壳机动队》某种程度上也是关于入侵人体的故事在乌云的办公室,你很难听到他们使用真名,乌云 ID 才是他们之间最常用的称呼。他们中的大部分人都有微信但没有开通朋友圈,即便开通也差不多是一个月更新一次的频率——在这个社交信息过剩的时代,你很难从他们朋友圈中看出些什么。甚至连快递——没有人知道包裹的真正主人是谁,就连收快递的名字他们也几乎一周更换一次。
在这个「乌托邦」中生活的年轻人大多羞涩而善良。第一次见面时他们大多选择沉默,熟悉后会向你绽放出热烈的笑容,甚至还会戴上暴走头套,并不介意扮一扮大肚子王尼玛。
「肉肉」是一个大方爱笑的高挑姑娘,大学学习信息安全很早听说乌云,从尚未毕业就在这里实习;创始人之一的「疯狗」,就是被大家喜爱、在现实生活中同样风趣幽默的乌云君;这里所有人都拥有技术背景,甚至行政妹子都是学 Java 出身的。
出人意料的是乌云尚且是个人数不多的小团队。对于乌云来说,最大的「宝藏」是活跃在平台上的白帽子——5 年之间乌云已汇集了白帽子 7000 余人,其中活跃用户超过 1000 人,日均上报漏洞超过 100 个。
在这之中,毋需十分关注安全领域你也一定知道一个叫猪猪侠的人——就是他曾曝出携程信用卡漏洞引发轩然大波。作为核心白帽子猪猪侠已经在乌云平台上提交了 206 个漏洞,百度、新浪、腾讯、阿里巴巴、携程、搜狐无所不包。「道哥」曾写过「神一般」的 V 哥被众人认为是猪猪侠的原型,但真实与否并不可考。
你一定以为猪猪侠是个三十多岁的中年胖子?但事实上的猪猪侠是一个 85 后清秀少年——这样的反差萌你一定不懂吧。
另一位核心白帽子 Jannock 因为曾经长期盘踞精华漏洞提交数第一名而被大家尊称为「一哥」,事实上一哥十分腼腆且不善言辞,曾经是一名来自普通软件公司的程序员,时常觉得看不清未来。偶遇乌云找到兴趣所在的一哥疯狂学习技术、迅速成长,直到他在乌云上的突出「业绩」被发现,最终得到一份既符合兴趣、薪酬待遇又相当不错的工作。
如果你在乌云的搜索框键入「华住」,会发现 2015 年 1 月 3 日有三个连续、由「路人甲」提交的华住酒店漏洞。事实上这是某位和妹子共度春宵的白帽子在新年夜入住后发现的。至于当天晚上究竟发生了什么,除了他们,大概没有人知道了。
白帽子并不神秘也并不可怕,他们和生活在我们周围的年轻人一样——有些理想化、单纯善良,并没什么不同。
规则:凝聚社区的基石白帽子是一个无论在地域还是在社群中都相对分散群体,但作为社会性动物人类天然有交流的欲望,因此拥有良好社区氛围、自由平等开放的乌云将这一群体聚集起来也并不是难以理解的事情。日均 20 万左右 IP 的乌云,PV 竟高达 200 万,用户的黏性高得可怕。
网络另一端的白帽子,真实的社会身份往往是千差万别的这一群体中的每个人在生活中都有不同的身份,有 BAT 的工程师,也有大学生、网管甚至快递员。「不深入一项业务,没有人会专门去挖漏洞。」大部分漏洞的「灵感」来自生活——入住酒店的白帽子出于对安全的敏感会测试到一些安全漏洞,使用订票网站也会测试看看,再或者用到 BAT 相关服务的功能白帽子也会相应测试——这也是此类型漏洞在乌云平台上占比较高的原因。
「用户足够多,乌云上就会有漏洞,因为有漏洞是一件很正常的事情。」来自乌云的 Wudi 如是对极客公园表述漏洞的常态。
乌云的生长离不开自身的良好规则,除却尊重、进步、意义这三项乌云最基础的使命与灵魂,乌云最重要的一条原则是坚持公开——漏洞一旦被公开就不能删除。
在方小顿看来,坚持漏洞公开就是给用户知情权,因为在此之前是否有人利用过该漏洞攻击并没有人清楚;对企业而言,同行业者的漏洞是可以学习、不需再犯的,也是避免问题的方式;对于社区来说,通过信息开放,学习知识的人们会在这一平台上成长起来。
「信息安全得到保护,最核心的就是人。」
即便顶着巨大压力,在此规则下运转的乌云如受了加速力般被越来越多的厂商认可,厂商们的态度也有最初的不解开始逐渐有了变化。
苏州同程旅游网回复详情在「苏州同程旅游某系统越权访问导致重要订单信息泄露」这个页面上,2014 年 12 月 22 日提交的漏洞在当天就得到了厂商确认,3 天后便修复成功、公开细节。
在厂商回复中这家网站写道:主动公开不只是一种态度,也是为了让其他厂商早点举一反三排查自家的后台等系统是否存在相同的问题。这家网站还在最新状态中描述了自己修复漏洞的过程。
在「七牛云存储逻辑缺陷漏洞大礼包」这个页面下,七牛非常认真清晰的描述了 Bug 过程以及现有机制;「德邦物流某站 shell 可入内网」这条漏洞提交后 2 小时便被厂商确认,德邦物流在回复中写道:「出这样的问题我们感到很惭愧,非常感谢您的帮助,已着手处理本次事件。」
对于奖励乌云并不提倡也不反对,但乌云坚决反对漏洞购买。「我们一直认为漏洞是无法用价格来衡量的,我们认为漏洞是互联网的风险应该被第一时间消灭而不应该是作为一种商品利用安全缺陷进行牟利。」出于对白帽子的感谢大部分厂商会赠送类似京东购物卡之类的小礼物。但对于白帽子来说,除了成就感,最重要的还是乌云币。
一枚乌云币大概相当于 10 元人民币,白帽子们通过上报漏洞等方式赚取乌云币,又可以在漏洞公布周期内提前查看漏洞细节。或者参与乌云集市,换取自己需要的设备或者奖品。再或者,捐赠乌云币参与乌云暖冬献爱心活动,共同参与公益事业。
同时乌云还带来了一些其他效应,比如招聘。
在以往的安全人员招聘中,招聘方很难验证安全人员的水平高低。乌云账号则为企业提供了便捷验证方式,查看账户提交的漏洞就能了解面试人员的技术情况。甚至不需要技术测试,只需要素质面试即可。
而在这些规则之下运转的乌云所拥有的真正意义,或许知乎上匿名用户的答案似乎更能回答这个问题:
「也许一个并非互联网安全爱好者的人无法体会乌云对于我们的意义,其实乌云对于我们来说,可以算是给了广大白帽子一个证明自己的平台,我们努力挖洞、拿站,并非图利,否则我们早已投身黑产,互联网安全可以说算是一个极为小众的爱好,很多时候也不为身边之人所理解,乌云能让我们,堂堂正正的在公众面前,证明我们在这个领域的实力,能让更多的人理解我们,能让我们结交一批一批志同道合之人,甚至能推动整个行业在国内的发展,这样的力量,对于我们来说,真的意义非凡。」
众测:用众包解决安全风险的新尝试如果说拥有庞大白帽子团队的乌云终于有了些「商业化」的迹象,那就是推出了两年时间的「乌云众测」。
诚然大公司可以建立自己豪华的安全团队,但是对中小型的公司而言安全人员简直是「奢饰品」——哪有资金支付安全人员的上万月薪呢?乌云众测则提供了新选择:既完成自身对安全保障的需求,又有能力最符合的白帽子进行测试——还是一大群可能是中国最顶尖白帽子——性价比高得不可思议。
2012 年 11 月 20 日推出的乌云众测「通过邀请顶尖白帽子模拟黑客对网站、系统或产品进行测试,企业可迅速排查各种安全隐患。」2014 年下半年,「成熟」的乌云众测已经完成了上百个项目,发现漏洞数量 6000 多个,累计参与其中的白帽子超过 3000 人。
乌云众测可以提供 WEB 安全、渗透测试、代码审计、安全攻防等多种服务。首先乌云众测会根据提出需求的企业预算以及技术条件,对该企业的系统安全指数进行一个初步评估。再根据评估结果,推荐平台中专长符合的白帽子进行漏洞测试。
白帽子选择自己擅长的测试项目报名后,乌云会进行人工审核。参与资格并非以 rank 和白帽子级别为准,基本按照乌云漏洞平台漏洞提交活跃者、乌云知识库投稿活跃者、乌云社区精华率及活跃分享者、对乌云平台做出贡献者、能够证明个人具备评估能力者予以审核划分。
乌云众测保证所有的漏洞测试都是在高效的虚拟私密测试环境中进行。「一旦发现漏洞,白帽子会递交一份报告,详细阐述他们发现的漏洞,描绘该漏洞的利用步骤以及给出解决的方法。乌云众测会根据这份报告的内容结合市场行情,支付给白帽子对应的测试费用,如果在测试过程中没有发现漏洞,白帽子将不会索取任何报酬。」
不论业余安全研究人员、职业安全从业者,高等机构安全研究员还是在校大学生,对于拥有能力的人来说,乌云众测从来没有门槛。
一般参与乌云众测项目的人数在 25-30 左右,完成周期再 2-3 周。目前乌云众测已经完成了小米路由、唯品会电商平台、腾讯手机 QQ、Smartisan OS、去哪儿网、知乎社区等安全测试。
这样的乌云众测依然拥有最有促进力的规则:通过「彼此独立」的漏洞提交方式和「先报先得」的奖金分配机制,促使白帽子能够在第一时间提交所能发现的漏洞,让漏洞检测效果最大化。同时依然坚持着乌云最初的原则,自由尊重,并不会强迫任何人参与。
在乌云看来,这样的互联网和众包能够打破时间和地域的束缚,充分发挥白帽子的潜能。同时随着更多白帽子和企业的加入,安全服务的成本也将不断降低。通过这种方式即便是初创团队的产品,也将能得到高质量、高效率的安全服务。
WooYun:永远的白帽理想乡作为一个互联网漏洞报告平台,乌云最重要的使命就是尊重。
在五年时间内取得了快速的成长的乌云,有些东西始终没有变化。
乌云网站右下角「关于」的页面上,写着乌云是什么、信息安全相关保护和声明、乌云的使命与灵魂以及合作伙伴和关注乌云的朋友们。这个页面上的内容,已经五年没有修改过了。
「表面上我们是一个网站,实际上我们是一个平台,对不同的人产生不同的价值。」方小顿如是解读着自己一手创立的乌云。
某种程度上乌云和落网是相同的。针对独立音乐的落网和面向漏洞的乌云都是垂直而小众的平台,既拥有理想化的气质,又不会对商业化社会充满怨怼——在这个被物欲冲昏头脑的世界上,依然寻找着事物的「真谛」。
「如何看待不少大公司出于品牌考虑会羞于直面自己的漏洞?」当极客公园把这个问题抛给乌云时,他们回答:这些我们并不想过问,只想他们尽快修补好漏洞。
生于 87 年的剑心,为何能如何如此通达的看待这些事?我询问了剑心的工作伙伴 Wudi,他说在朋友的叙述中曾经的剑心也是一个网络上常见、会吵架的年轻人,但现在的剑心「专心做自己的事情,对外界的干扰不太在意,把事情想清楚了。」
在搜索引擎中键入「方小顿」三个字,你会看到他曾经和李彦宏一同登上《天天向上》的视频,他告诉极客公园这是他近几年为数不多剪短发的一次。大部分时间的方小顿都是半长头发,像是个为追逐梦想而落魄的摇滚青年。
哦对了,听说他很喜欢李志的歌。
这个来自南京的民谣歌手曾经唱过一首《他们》:「有人在奋斗,有人在幻想。」
1 月 18 日, 乌云网创始人方小顿将站在 GIF2015 极客公园创新大会的舞台上,讲述一个饱受攻击的网站是怎么活下来的。