[核心提示] 一個看起來不應該存在在這片土地的網站,就這樣度過了生命中的第五年,並愈發綻放出生機。這就是烏雲,一個不一樣的漏洞平臺。
讓安全領域變得公開透明,打破行業的信息不對稱,又能得到官方支持——無論怎麼看,這樣的事都不大可能發生在眼下這片土地上。
可烏雲做到了。
2012 年,CSDN 數據泄露事件讓烏雲名聲大噪,此後優酷接口漏洞、微博控制漏洞、豌豆莢應用缺陷各類漏洞頻繁曝出。今年的攜程信用卡信息泄露事件掀起高潮,年底又曝出 12306 密碼泄露、聯通系統漏洞。烏雲讓越來越多的企業和用戶意識到,這些與生活如此接近的服務存在這麼多被忽視的安全問題。
僅僅五年時間,一個小小的網站就這樣不問出處,在魚龍混雜的安全市場中找到自己的位置,並迅速成長爲中國最大的安全漏洞報告平臺。
這五年間,烏雲究竟發生了什麼?一枚不一樣的孢子生長成羣落,又究竟需要多少運氣?
誕生:一枚不一樣的孢子
孢子 (spore) 是脫離親本後能直接或間接發育成新個體的生殖細胞。
世界的開始是一枚孢子。
如果你看過《浪客劍心》,一定會記得那個手執逆刃、臉上有十字刀疤、名叫緋村劍心的男人,「劍心」——也正是烏雲創始人方小頓更爲人所知的 ID。
《浪客劍心》中的緋村劍心
行俠仗義、不問利益,不斷追尋着自己所做事情的意義,大概所有真正身懷絕技的安全技術愛好者們多半都有的任俠之夢。
不過時間到八、九年前,在當時的中國互聯網生態下比起如何在競爭中活下去,安全還並不是大多數企業必須嚴肅考慮的議題。
對於那些因爲熱愛而投身計算機、又熱衷網絡安全的技術高手,現實世界所能給予的出路似乎只有兩條:要麼前往「相對封閉的安全研究機構」,爲國家信息安全服務但從此失去自己的聲音;要麼就是涉足「黑產」,攫取販賣個人信息、盜取他人財產,爲生計出賣自己的尊嚴。
網絡安全狂熱者們就像一顆顆散落各處的獨孤孢子,遊蕩在在浩瀚的互聯網世界。但彼此之間暗藏着聚成羣落的向心力——這種難以言說的力量如此強烈,以至於產生了第三種可能。
而方小頓——這個來自湖北黃岡、學習化學的 15 歲大學生,在發現 Discuz! 漏洞後邁入安全世界的大門,並最終獲得了進入百度安全部門的通行證,這也讓他有機會結識到更多志同道合的人。
由於網絡安全工程師們數量稀少,惺惺相惜的彼此形成了緊密的技術圈子。儘管公司之間擁有不可逾越的「高牆壁壘」,但熱衷技術的人心之間並沒有隔閡。BAT、新浪、搜狐等幾家大公司的安全人常常在自建的羣組中討論安全問題:「這個問題大家遇到過麼?」「這個漏洞如何修補?」
隱藏在 ID 之後這些並不具名的個人,在對技術的共同熱愛下找到了久違的自由和切磋成長的環境。在這個圈子裏,人們不必理會背後大公司的利益,技術與代碼勝於雄辯。
在百度工作三年之後,大公司的生活開始讓方小頓感到困惑——他意識到安全領域的封閉無力,又充滿各方的誤解。
在大公司的決策者眼中,安全是一件看上去「什麼都沒發生」的工作:主觀上,決策者們希望安全事件什麼也別發生;可若安全部門真的全年沒有「動靜」又會被質疑公司花出的成本都去了哪兒。安全是一件需要規範化成體系完成的精密工程,但多數公司意識不到,能夠養得起成規模安全團隊的公司在業界也是鳳毛麟角。
另一方面,安全領域是信息非常不對稱的:不規範的安全公司出於利益利用很小的漏洞敲詐企業,***者與防禦者的信息不對稱還會造成信息堡壘。同時,人們在不斷將生活信息搬運到網絡平臺的這個時代,信息安全問題卻被大多數企業和個人低估,用戶對企業安全如何也並不清楚。
方小頓意識到只讓這些知識和技術傳遞在小圈子之間是不行的,互聯網是一個泛羣體,一家公司能做到的事情是極其有限。相應的「自由」氛圍應該擴大化——讓更多人瞭解安全領域,並幫助感興趣的人們學習到相關知識並深入其中快速成長,同時更多的人才能瞭解到這項工作的重要性。不僅僅是個人和企業,只有這種方式才能讓安全這個尚顯「稚嫩」的行業健康發展。
「封閉一定是不健康的」,「每個人都可以參與其中,行業纔有機會。」方小頓如是解讀烏雲的初衷。
能承擔這些責任的,絕不可能是任何一家大公司。
就這樣,烏雲誕生了。
起步:烏雲是如何運轉的
在這個不做「雲」都不好意思和人家打招呼的時代,與網絡安全相關,無論是技術還是思路都會有點黑色的感覺,所以自然出現了烏雲。
「烏雲就是想告訴大家,雲技術是有風險的,烏雲就是一個預警。」
起初,烏雲還只是由「劍心」方小頓、「瘋狗」孟卓兩人在業餘時間維護、類似個人網站一樣的存在,活躍用戶也還只是當初羣組裏的那些「老人」。由於烏雲社區裏沒有真名,只有 ID,使得烏雲上的每個用戶都是不需擔心現實世界利益糾葛的「自由」個人,每個人都可以以個人身份提交任何自己發現的漏洞。
在烏雲的網站上,漏洞上報經審覈後會出現在「最新提交」一欄中,廠商領取確認後則會下移到「最新確認」,漏洞修補後則會進入「最新公開」,一般會經歷 45 天的週期:
1. 5 天廠商確認週期(5 天內未確認視爲忽略,直接公開);
2. 10 天后向核心及相關領域專家公開;
3. 20 天后向普通白帽子公開;
4. 30 天后向實習白帽子公開;
5. 45 天后向公衆公開;
6. 期間廠商可自行提前公開,向普通白帽公開的時候可以使用烏雲幣購買提前查看漏洞細節。
在 5 天廠商確認週期中,烏雲會積極聯繫廠商反應、並提醒修復漏洞。已註冊過的廠商則會收到提醒,目前烏雲的註冊廠商已經有 630 條記錄。
隨着烏雲上漏洞信息的積累,越來越多對該領域感興趣的人們在其中學習交流、上報漏洞,滾雪球般的,烏雲慢慢超越技術圈子,開始越來越多的出現在衆人眼前。
在烏雲的準則中有一條鐵律,便是漏洞信息永不會被刪除。這不僅是爲保持平臺的公正,更重要的是可以讓更多從事安全工作的研究人員能夠學習到這些內容,繞過別人曾掉過的「坑」。
博弈:烏雲背後的拉鋸戰
作爲第三方烏雲努力保證自己的公正,但不可避免的是「漏洞」這個詞在大部分人看來是「不安全」的象徵,並非利益同盟的廠商們會默認你是敵對方——特別是在互聯網安全這個有些曖昧不清的領域。
敏感的廠商會憤怒「爲何抓我們的漏洞?」甚至懷疑是收取他人錢財敲詐——「漏洞是我們自己的事情,烏雲又有什麼權利公開信息?」而烏雲嚴謹的漏洞公開準則,也使得企業的「公關」失去了能力,這很難不讓習慣「滅火」大公司怒火中燒。
2011 年,剛成立一年的烏雲網連續披露京東、支付寶、網易等著名互聯網企業存在高危漏洞。直到當年的 12 月 21 日,烏雲曝出中國最大 IT 技術社區 CSDN 漏洞,超過 600 萬用戶資料被泄露時,事情走向了拐點,烏雲關閉了。
這次關閉之後烏雲選擇了調整步伐。在 2012 年 1 月 17 日發佈的公告中烏雲新增了部分漏洞信息披露流程、細則,並對用戶進行了分級。他們還寫道:「最重要的是,我們沒有放棄也沒有改變,我們提倡的原則現在是這樣,將來也是這樣,平等自由透明尊重。」
此後,烏雲更是指出支付寶 2500 萬用戶資料泄露、酒店開房信息泄露、騰訊 7000 萬 QQ 羣用戶數據泄露、攜程泄露用戶信用卡信息等一系列安全問題,名聲也越來越大。
但這一路的艱辛沒有人比烏雲自己更瞭解:2012 年,曝出某運營商漏洞的烏雲因爲不肯刪除漏洞,慘遭暴力拔網線;2014 年烏雲遭遇瘋狂 DDos ***,宕機 18 小時;同年又被 SAE 雲計算平臺出於壓力莫名屏蔽……甚至還有人以烏雲的名義敲詐企業,或者針對烏雲網站進行瘋狂***。
堅持將漏洞信息公開、不曾妥協原則的烏雲,遇到各類不曾料想過的問題,但方小頓始終相信「越到後面會越好」。
有趣的是,作爲一個網站,烏雲也沒少被白帽子們測試,同白帽子打技術戰的烏雲,「在代碼層面是已經是沒有問題的,如果真的出現問題,那就應該出現在第三方或邏輯上。」
羣落:那些沉靜可愛的年輕人
稱職白帽子就是通過網絡安全專業技術去鑽研/挖掘計算機、網絡系統漏洞的人。但是他/她們不會去做任何的破壞,同時會告知管理員漏洞內容及修復方案。
——《白帽子講 web 安全》
在北京西北角的一間大廈裏,神祕的烏雲團隊就在這裏辦公。
至今 5 年的時間裏,曾在烏雲社區中學習成長的年輕人出於熱愛也有不少也加入了這個羣體。不斷擴大的烏雲團隊也曾輾轉搬家好幾次,直到某互聯網公司得到烏雲的大力幫助,心懷感激的創始人將這個大開間友情轉讓給烏雲,他們才真正有了一個像樣的落腳處。
《攻殼機動隊》某種程度上也是關於***人體的故事
在烏雲的辦公室,你很難聽到他們使用真名,烏雲 ID 纔是他們之間最常用的稱呼。他們中的大部分人都有微信但沒有開通朋友圈,即便開通也差不多是一個月更新一次的頻率——在這個社交信息過剩的時代,你很難從他們朋友圈中看出些什麼。甚至連快遞——沒有人知道包裹的真正主人是誰,就連收快遞的名字他們也幾乎一週更換一次。
在這個「烏托邦」中生活的年輕人大多羞澀而善良。第一次見面時他們大多選擇沉默,熟悉後會向你綻放出熱烈的笑容,甚至還會戴上暴走頭套,並不介意扮一扮大肚子王尼瑪。
「肉肉」是一個大方愛笑的高挑姑娘,大學學習信息安全很早聽說烏雲,從尚未畢業就在這裏實習;創始人之一的「瘋狗」,就是被大家喜愛、在現實生活中同樣風趣幽默的烏雲君;這裏所有人都擁有技術背景,甚至行政妹子都是學 Java 出身的。
出人意料的是烏雲尚且是個人數不多的小團隊。對於烏雲來說,最大的「寶藏」是活躍在平臺上的白帽子——5 年之間烏雲已彙集了白帽子 7000 餘人,其中活躍用戶超過 1000 人,日均上報漏洞超過 100 個。
在這之中,毋需十分關注安全領域你也一定知道一個叫豬豬俠的人——就是他曾曝出攜程信用卡漏洞引發軒然大波。作爲核心白帽子豬豬俠已經在烏雲平臺上提交了 206 個漏洞,百度、新浪、騰訊、阿里巴巴、攜程、搜狐無所不包。「道哥」曾寫過「神一般」的 V 哥被衆人認爲是豬豬俠的原型,但真實與否並不可考。
你一定以爲豬豬俠是個三十多歲的中年胖子?但事實上的豬豬俠是一個 85 後清秀少年——這樣的反差萌你一定不懂吧。
另一位核心白帽子 Jannock 因爲曾經長期盤踞精華漏洞提交數第一名而被大家尊稱爲「一哥」,事實上一哥十分靦腆且不善言辭,曾經是一名來自普通軟件公司的程序員,時常覺得看不清未來。偶遇烏雲找到興趣所在的一哥瘋狂學習技術、迅速成長,直到他在烏雲上的突出「業績」被發現,最終得到一份既符合興趣、薪酬待遇又相當不錯的工作。
如果你在烏雲的搜索框鍵入「華住」,會發現 2015 年 1 月 3 日有三個連續、由「路人甲」提交的華住酒店漏洞。事實上這是某位和妹子共度春宵的白帽子在新年夜入住後發現的。至於當天晚上究竟發生了什麼,除了他們,大概沒有人知道了。
白帽子並不神祕也並不可怕,他們和生活在我們周圍的年輕人一樣——有些理想化、單純善良,並沒什麼不同。
規則:凝聚社區的基石
白帽子是一個無論在地域還是在社羣中都相對分散羣體,但作爲社會性動物人類天然有交流的慾望,因此擁有良好社區氛圍、自由平等開放的烏雲將這一羣體聚集起來也並不是難以理解的事情。日均 20 萬左右 IP 的烏雲,PV 竟高達 200 萬,用戶的黏性高得可怕。
網絡另一端的白帽子,真實的社會身份往往是千差萬別的
這一羣體中的每個人在生活中都有不同的身份,有 BAT 的工程師,也有大學生、網管甚至快遞員。「不深入一項業務,沒有人會專門去挖漏洞。」大部分漏洞的「靈感」來自生活——入住酒店的白帽子出於對安全的敏感會測試到一些安全漏洞,使用訂票網站也會測試看看,再或者用到 BAT 相關服務的功能白帽子也會相應測試——這也是此類型漏洞在烏雲平臺上佔比較高的原因。
「用戶足夠多,烏雲上就會有漏洞,因爲有漏洞是一件很正常的事情。」來自烏雲的 Wudi 如是對極客公園表述漏洞的常態。
烏雲的生長離不開自身的良好規則,除卻尊重、進步、意義這三項烏雲最基礎的使命與靈魂,烏雲最重要的一條原則是堅持公開——漏洞一旦被公開就不能刪除。
在方小頓看來,堅持漏洞公開就是給用戶知情權,因爲在此之前是否有人利用過該漏洞***並沒有人清楚;對企業而言,同行業者的漏洞是可以學習、不需再犯的,也是避免問題的方式;對於社區來說,通過信息開放,學習知識的人們會在這一平臺上成長起來。
「信息安全得到保護,最核心的就是人。」
即便頂着巨大壓力,在此規則下運轉的烏雲如受了加速力般被越來越多的廠商認可,廠商們的態度也有最初的不解開始逐漸有了變化。
蘇州同程旅遊網回覆詳情
在「蘇州同程旅遊某系統越權訪問導致重要訂單信息泄露」這個頁面上,2014 年 12 月 22 日提交的漏洞在當天就得到了廠商確認,3 天后便修復成功、公開細節。
在廠商回覆中這家網站寫道:主動公開不只是一種態度,也是爲了讓其他廠商早點舉一反三排查自家的後臺等系統是否存在相同的問題。這家網站還在最新狀態中描述了自己修復漏洞的過程。
在「七牛雲存儲邏輯缺陷漏洞大禮包」這個頁面下,七牛非常認真清晰的描述了 Bug 過程以及現有機制;「德邦物流某站 shell 可入內網」這條漏洞提交後 2 小時便被廠商確認,德邦物流在回覆中寫道:「出這樣的問題我們感到很慚愧,非常感謝您的幫助,已着手處理本次事件。」
對於獎勵烏雲並不提倡也不反對,但烏雲堅決反對漏洞購買。「我們一直認爲漏洞是無法用價格來衡量的,我們認爲漏洞是互聯網的風險應該被第一時間消滅而不應該是作爲一種商品利用安全缺陷進行牟利。」出於對白帽子的感謝大部分廠商會贈送類似京東購物卡之類的小禮物。但對於白帽子來說,除了成就感,最重要的還是烏雲幣。
一枚烏雲幣大概相當於 10 元人民幣,白帽子們通過上報漏洞等方式賺取烏雲幣,又可以在漏洞公佈週期內提前查看漏洞細節。或者參與烏雲集市,換取自己需要的設備或者獎品。再或者,捐贈烏雲幣參與烏雲暖冬獻愛心活動,共同參與公益事業。
同時烏雲還帶來了一些其他效應,比如招聘。
在以往的安全人員招聘中,招聘方很難驗證安全人員的水平高低。烏雲賬號則爲企業提供了便捷驗證方式,查看賬戶提交的漏洞就能瞭解面試人員的技術情況。甚至不需要技術測試,只需要素質面試即可。
而在這些規則之下運轉的烏雲所擁有的真正意義,或許知乎上匿名用戶的答案似乎更能回答這個問題:
「也許一個並非互聯網安全愛好者的人無法體會烏雲對於我們的意義,其實烏雲對於我們來說,可以算是給了廣大白帽子一個證明自己的平臺,我們努力挖洞、拿站,並非圖利,否則我們早已投身黑產,互聯網安全可以說算是一個極爲小衆的愛好,很多時候也不爲身邊之人所理解,烏雲能讓我們,堂堂正正的在公衆面前,證明我們在這個領域的實力,能讓更多的人理解我們,能讓我們結交一批一批志同道合之人,甚至能推動整個行業在國內的發展,這樣的力量,對於我們來說,真的意義非凡。」
衆測:用衆包解決安全風險的新嘗試
如果說擁有龐大白帽子團隊的烏雲終於有了些「商業化」的跡象,那就是推出了兩年時間的「烏雲衆測」。
誠然大公司可以建立自己豪華的安全團隊,但是對中小型的公司而言安全人員簡直是「奢飾品」——哪有資金支付安全人員的上萬月薪呢?烏雲衆測則提供了新選擇:既完成自身對安全保障的需求,又有能力最符合的白帽子進行測試——還是一大羣可能是中國最頂尖白帽子——性價比高得不可思議。
2012 年 11 月 20 日推出的烏雲衆測「通過邀請頂尖白帽子模擬***對網站、系統或產品進行測試,企業可迅速排查各種安全隱患。」2014 年下半年,「成熟」的烏雲衆測已經完成了上百個項目,發現漏洞數量 6000 多個,累計參與其中的白帽子超過 3000 人。
烏雲衆測可以提供 WEB 安全、***測試、代碼審計、安全***等多種服務。首先烏雲衆測會根據提出需求的企業預算以及技術條件,對該企業的系統安全指數進行一個初步評估。再根據評估結果,推薦平臺中專長符合的白帽子進行漏洞測試。
白帽子選擇自己擅長的測試項目報名後,烏雲會進行人工審覈。參與資格並非以 rank 和白帽子級別爲準,基本按照烏雲漏洞平臺漏洞提交活躍者、烏雲知識庫投稿活躍者、烏雲社區精華率及活躍分享者、對烏雲平臺做出貢獻者、能夠證明個人具備評估能力者予以審覈劃分。
烏雲衆測保證所有的漏洞測試都是在高效的虛擬私密測試環境中進行。「一旦發現漏洞,白帽子會遞交一份報告,詳細闡述他們發現的漏洞,描繪該漏洞的利用步驟以及給出解決的方法。烏雲衆測會根據這份報告的內容結合市場行情,支付給白帽子對應的測試費用,如果在測試過程中沒有發現漏洞,白帽子將不會索取任何報酬。」
不論業餘安全研究人員、職業安全從業者,高等機構安全研究員還是在校大學生,對於擁有能力的人來說,烏雲衆測從來沒有門檻。
一般參與烏雲衆測項目的人數在 25-30 左右,完成周期再 2-3 周。目前烏雲衆測已經完成了小米路由、唯品會電商平臺、騰訊手機 QQ、Smartisan OS、去哪兒網、知乎社區等安全測試。
這樣的烏雲衆測依然擁有最有促進力的規則:通過「彼此獨立」的漏洞提交方式和「先報先得」的獎金分配機制,促使白帽子能夠在第一時間提交所能發現的漏洞,讓漏洞檢測效果最大化。同時依然堅持着烏雲最初的原則,自由尊重,並不會強迫任何人蔘與。
在烏雲看來,這樣的互聯網和衆包能夠打破時間和地域的束縛,充分發揮白帽子的潛能。同時隨着更多白帽子和企業的加入,安全服務的成本也將不斷降低。通過這種方式即便是初創團隊的產品,也將能得到高質量、高效率的安全服務。
WooYun:永遠的白帽理想鄉
作爲一個互聯網漏洞報告平臺,烏雲最重要的使命就是尊重。
在五年時間內取得了快速的成長的烏雲,有些東西始終沒有變化。
烏雲網站右下角「關於」的頁面上,寫着烏雲是什麼、信息安全相關保護和聲明、烏雲的使命與靈魂以及合作伙伴和關注烏雲的朋友們。這個頁面上的內容,已經五年沒有修改過了。
「表面上我們是一個網站,實際上我們是一個平臺,對不同的人產生不同的價值。」方小頓如是解讀着自己一手創立的烏雲。
某種程度上烏雲和落網是相同的。針對獨立音樂的落網和麪向漏洞的烏雲都是垂直而小衆的平臺,既擁有理想化的氣質,又不會對商業化社會充滿怨懟——在這個被物慾衝昏頭腦的世界上,依然尋找着事物的「真諦」。
「如何看待不少大公司出於品牌考慮會羞於直面自己的漏洞?」當極客公園把這個問題拋給烏雲時,他們回答:這些我們並不想過問,只想他們儘快修補好漏洞。
生於 87 年的劍心,爲何能如何如此通達的看待這些事?我詢問了劍心的工作夥伴 Wudi,他說在朋友的敘述中曾經的劍心也是一個網絡上常見、會吵架的年輕人,但現在的劍心「專心做自己的事情,對外界的干擾不太在意,把事情想清楚了。」
在搜索引擎中鍵入「方小頓」三個字,你會看到他曾經和李彥宏一同登上《天天向上》的視頻,他告訴極客公園這是他近幾年爲數不多剪短髮的一次。大部分時間的方小頓都是半長頭髮,像是個爲追逐夢想而落魄的搖滾青年。
哦對了,聽說他很喜歡李志的歌。
這個來自南京的民謠歌手曾經唱過一首《他們》:「有人在奮鬥,有人在幻想。」
_____
1 月 18 日, 烏雲網創始人方小頓將站在 GIF2015 極客公園創新大會的舞臺上,講述一個飽受***的網站是怎麼活下來的