烏雲 (WooYun) 是怎樣的一個網站?
http://www.wooyun.org/
如果有一天你突然發現,整個城市的商店和銀行一到夜裡就門戶洞開,幾乎所有地方都可以自由出入,你會做什麼?有的人會選擇肆意偷竊和破壞,也有的人會選擇去提醒和修復這些問題。
黑客裡邊的白帽子就是這樣的一群人。他們有極強的安全敏感性,能夠很快的發現潛藏的漏洞,卻又能在利益的誘惑前,選擇做正確的事情。顧城為他們寫了一句詩(誤):黑夜給了我黑色的眼睛,而我卻用它尋找光明。
烏雲是什麼
如果理解不了白帽子,可能你很難理解方小頓創立的烏雲漏洞報告平台,很難理解為什麼在漏洞很容易賣出好價錢的情況下,不以盈利為目的烏雲已經堅持了6年,聚集了11000多位白帽子,發現和報告了近20多萬個漏洞,除了將白帽子提交的漏洞及時通知廠商進行修復,避免造成更大的影響外,烏雲有著更大的願景。
「安全的問題,在於其封閉性,黑客本身是個很神秘的圈子。(而公眾領域這邊)每個人都擔心出安全問題,但幾乎每個人又都不知道安全問題到底是什麼。」 信息的嚴重不對稱,導致這個行業很難得到改善,掌握信息的人會利用信息進行牟利,而如果最終的使用者都不關心安全問題,那麼應用廠商就不會在安全方面進行投入,如果企業本身都不在乎安全問題,那麼程序員寫起代碼來也就更隨意,同時大多數公司內部的系統管理員與安全人員,他們沒有來自行業與內部的競爭壓力,為企業做安全都是「常規模式」,外加生搬硬套國外的標準做安全管理,日久天長會變得工作效率低下、不負責任。這樣漏洞也就越來越多,最終的結果是用戶將會為這些安全問題付出代價。
烏雲嘗試以新的方式打破這個不對稱:首先將白帽子和廠商聯繫起來,讓廠商可以及時發現和修復問題,不再像以往被人黑了還不知道為什麼;然後平台上積累的數十萬個真實漏洞,可供技術人員在開發產品時參考,不犯別人犯過的錯誤;最後烏雲還會對一些新興和頻發的安全問題進行預警,幫助最終用戶增強安全意識,使其在向企業提供個人信息的時候能意識到自己將會承擔的風險。
而當用戶把安全性作為選擇企業產品的考量之一時,企業就會在信息安全上加大投入,開發人員就會有更多的資源和動力去處理安全問題,從而營造出越來越好的安全生態,促使這個生態形成,就是烏雲要做的事情。
WooYun ( http://wooyun.org ) 現在大家關注最多的還是它的漏洞報告平台。
白帽子可以提交自己找到的漏洞並報告給相應廠商。但是要想通過需要有漏洞的詳細說明以及證明過程才可能被審核人員通過,漏洞可能只被確認也可能公開。通過提交漏洞你還可以獲取豐厚的獎勵。
安全領域愛好者們可以在這裡交流討論,學習到很多案例和技術。
對於白帽子來說,這裡是個再好不過的成長環境。
對於廠商,在烏雲註冊之後可以第一時間獲得與自己有關的漏洞信息,以便及時響應修復,這個從很多事件的影響看來是非常非常重要的哈~~ 同時,廠商能以過去的漏洞案例為參考,避免犯別人犯過的錯誤!
從這個角度看烏雲可以算一個眾包形式建立起來的公共的而非某個廠商或機構獨有的「安全部門」。
此外,烏雲不止有漏洞報告平台,他還有安全領域的知識庫、討論社區,還有眾測平台 ( http://ce.wooyun.org )、xx、xxx等多個產品以及其他很多可能~~~
所以我想它能成為國內網路安全領域一個開放、公正的第三方,也能成為一個專業系統的安全行業社區,以及,一個成熟的安全品牌。
WooYun 的存在不只是為修復漏洞,也可以說是為了修復人們長期缺失的安全意識和堪憂的安全生態。漸漸地,烏雲將會變成一個http://google.com一樣的網站,以後,或許有人會問「烏雲是個什麼網站?」默哀。。。
目前WooYun完全由80sec和80sec的一些朋友利用周末時間完成,所以問題也是很多的,這裡也感謝大家對各種Bug的包涵 -_-||
http://www.80sec.com/wooyun-%E4%B9%8C%E4%BA%91%E6%AD%A3%E5%BC%8F%E4%B8%8A%E7%BA%BF.html
黑客圈二線小黑刷聲望的平台。
如果有所留意,你就能發現烏雲上人氣topN的白帽子,在烏雲成立前,幾乎無一是已成名黑客,大多都是之前籍籍無名的、沒有團隊收留的、卻頗有些技術的二線屌絲黑們。但有了烏雲這樣的平台,他們得以揚名立萬,躋身准一線黑客行列,甚至其中一些成立了自己的團隊(pkav等)。
但考慮到現在烏雲的榮譽、人氣、rank榜現在以既成等級,可以想像烏雲對二線屌絲黑們的吸引力會逐漸下滑,而現有的topN的白帽子們大多也已不需要烏雲這樣的平台來刷取聲望,因此烏雲在未來3-5年如果找不到新的盈利模式,很可能將不復有現在的江湖地位,面臨被收購、重組、甚至倒閉都是不無可能的。
另外我一向的觀點是,安全是業務,只不過是偏技術的業務;如果你要找技術合伙人或者CTO,一定要找純開發出身的great developer,千萬千萬不要找安全界碩洞累累的great hacker,否則你的公司會在產品轉型的路上死的很慘很慘。
個人不看好烏雲的發展,這個公司和很多新興的安全公司一樣,人才結構上太畸形,轉型很困難。烏雲 各界的聲音有好也有壞,林林總總,我想說,烏雲至少可以保障你在向企業提交漏洞的時候被反咬一口查水表。
...........更新..........
抱歉。沒想到烏雲也會出現這種落井下石的廠商。
WooYun是一個位於廠商和安全研究者之間的安全問題反饋平台,具體的信息可以訪問這個:
http://www.wooyun.org/about
其實廠商非常反感烏雲,對廠商來說,需要被動的訪問烏雲,不關注烏雲就會被公開漏洞。
另外說一點黑幕,我親自經歷過的,某國企某網站出現安全漏洞,白帽子在烏雲發布信息。該網站的開發商不是這個國企而是外包商(幾乎所有的國企的it項目都如此),開發商去領這個漏洞,烏雲不讓領,說一定要這個國企領,國企沒人搭理烏雲,最後烏雲將漏洞公開給 國家互聯網應急中心,該中心又通報給國企的主管部門,最後到開發商。
這事還沒完,最後的結果是國企被主管部門批評,國企華南子公司被罰款,開發商被扣款數百萬。
有了第一次,就有第二次,第二次開發商都是直接派人去找烏雲相關人員,公關拿下! 因為烏雲依然不讓他領這個漏洞。至於如何公關,不得而知
簡單說,烏雲創造了安全圈的新秩序,打破了舊的,新秩序意味著利益重新分配
烏雲是一個可以收入天朝互聯網 最起來是互聯網安全歷史的 網站 :)換個時髦的話:烏雲是個好網站!
不過,目前看來烏雲爆出的漏洞還是在應用級;對於協議層、基礎產品這類創新性的發現還比較少。
還是覺得烏雲還是沒有把黑客和廠商之間的互動完全激發起來。
烏雲上面泄憤,炫耀的多過合作,而黑客真心付出並沒有很好的回報。而廠商很多時候也很被動。
唔....我剛還在烏雲看到這個:
智能設備小愛愛智能跳蛋可被遠程入侵控制
剛開始的時候還很單純,現在不敢完全說是什麼屬性了
牆倒眾人推,怪只怪烏雲沒後台,國內漏洞網站也不只他一家,比如大數字也搞了個補天 - 企業和白帽子共贏的漏洞響應平台,幫助企業建立SRC,庫帶計劃 - 國內首個現金獎勵漏洞平台
但人家就是沒事.
世界無常...
拿著漏洞當投名狀才能入會的黑客機構
2線黑客刷聲望的地方 :)
前幾天剛好在網易看到的,以下轉自網易
:(原文有兩張圖片,知乎不知道怎麼插入)
原地址:網易新聞客戶端
「曝出攜程泄密的烏雲有何來頭?」
2014年3月23日晚6點,烏雲漏洞平台(烏雲網)曝出攜程安全支付伺服器介面存在調試功能,可將用戶的支付記錄保存下來,包括持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息。由於涉及個人財務信息泄露,引發了社會各界的強烈關注,等媒體爭相報道,眾說紛紜。
攜程日誌中存儲用戶敏感信息無疑是錯誤和愚蠢的,在輿論將攜程推向風頭浪尖之時,筆者對烏雲網產生了強烈的好奇。翻看烏雲網的漏洞爆料歷史記錄,讓人震驚:
2013年10月10日,如家等酒店開房信息泄露;11月20日,騰訊7000萬QQ群用戶數據被指泄露;11月26日,360出現任意用戶修改密碼漏洞;2014年2月17日支付寶/餘額寶任意登錄漏洞,網民賬號面臨風險;2014年2月26日,微信敏感信息泄露漏洞,造成海量用戶視頻泄露,影響堪比XX門……
一系列泄密事件讓烏雲網,讓這個原本默默無聞的網站聲名鵲起。人們在質疑相關企業不負責任表現的同時,也對烏雲網充滿疑問:這究竟是怎樣的一個平台,為何能連環曝出各大公司的漏洞?烏雲網背後,究竟有多少秘密?
烏雲背後
烏雲網(WooYun)成立於2010年5月,主要創始人為百度前安全專家方小頓——這位1987年出生的國內知名黑客「劍心」,2010年2月和李彥宏一道參加湖南衛視《天天向上》節目,因為女友高歌一首而為人所知。此後,方小頓聯合幾位安全界人士成立了烏雲網,其目標是成為「自由平等的」的漏洞報告平台。
在百度百科中,烏雲是這樣描述自己的:一個位於廠商和安全研究者之間的安全問題反饋平台,在對安全問題進行反饋處理跟進的同時,為互聯網安全研究者提供一個公益、學習、交流和研究的平台。
儘管烏雲將自己的形象打造為公益的第三方組織,以獲取白帽子與社會的信任。但經過查證,烏雲網並非一個公立第三方機構,而是純粹的民營公司,其收入來源於其漏洞披露規則。
對於一般漏洞而言,烏雲網規則如下:
1.白帽子提交漏洞並通過審核後,烏雲網會公布漏洞概要,內容包括漏洞標題、涉及廠商、漏洞類型與簡要描述
2,廠商有5天的確認周期(5天內未確認視為忽略,但不公開,直接進入2);
3,確認3天後對安全合作夥伴公開;
4,10天後向核心及相關領域專家公開;
5,20天後向普通白帽子公開;
6,40天後向實習白帽子公開;
7,90天後向公眾公開;
據了解,當某些安全服務公司向烏雲網支付一定費用之後,就可以提前看到其服務客戶的所有漏洞,在未經客戶允許的情況下,將漏洞信息泄露給服務公司是否合法?值得一提的是,烏雲網所公布的漏洞標題完全來源於白帽子提交,並沒有任何審核與修改,「可導致千餘伺服器淪陷」「近千萬的用戶數據存在泄露風險」等帶有恐嚇色彩的標題比比皆是,隨意一個漏洞經媒體傳播皆可以引起大眾恐慌。
筆者向一位在安全行業從事多年的朋友了解到烏雲一些故事:
1、從最初烏雲的存在意義是為了引起各類甲方對安全的重視,這一點毋庸置疑;
2、在發展過程中烏雲有了一定的分歧,這種分歧可能源自於內部人的價值取向不一致;或有圖名、或有圖利、或有圖名利雙收;
3、這種分歧使得其漏洞披露成了一種變相的挾持手段(籌碼),甚至成為了互相PK的斗獸場;
4、從2到3的過程中,相應的行業主管(監管)部門或多或少默許(支持)了烏雲的存在。
漏洞披露,更是一場狂歡
在普通公眾心中,神秘和危險是黑客的代名詞。但在黑客界,所有黑客主要被歸為兩種類型:白帽子與黑帽子,願意向企業公布漏洞、不惡意利用漏洞的就是白帽子,而黑帽子則是以盜取信息牟利為生。
「雖說烏雲對漏洞的披露有保密期,但事實上我並不需要看什麼漏洞詳情。任何有經驗的黑客,只要看下漏洞標題和簡述,就能針對性的去測試,因此在大多情況下漏洞一旦公布,第一時間拿到漏洞細節並非難事。」,黑客圈人士、曾在烏雲提交過數十個漏洞的Z告訴筆者,「其實你們看到的,都是我們玩剩下的。」
此次攜程漏洞的發現者「豬豬俠」是烏雲排名最高的白帽子,發布漏洞高達125個。3月22日晚,豬豬俠連續發布了兩枚關於攜程的嚴重安全漏洞,而在豬豬俠之前的戰績中,曾發布騰訊、阿里、網易、優酷、聯想在內的多家知名企業漏洞,是一位名副其實的黑客高手。關於「豬豬俠」是何許人也,Z並不願多說,只向筆者透露豬豬俠其實是烏雲網內部人士。
黃花崗
下
黑客們的烏托邦
「因為未授權的黑盒安全測試是違法的,所以圈內流行這樣一種做法:黑客們入侵網站盜取信息,最後只要在烏雲網向廠商提交漏洞,就可以洗白。」
Z還向筆者展示了烏雲網的一個非公開論壇,該論壇只有獲得審核的白帽子才能進入。筆者在這個隱秘論壇中發現,黑色產業、網賺、網路戰爭等話題都有專門的討論版塊。在2013年12月新浪科技發布的《揭秘烏雲網》一文中,烏雲網被質疑為「中國最大的黑客培訓基地」,如下圖:
類似的話題在該論壇中比比皆是,眾多白帽子搖身一變,在這個溫室中討論著漏洞利用技術,如何利用這些漏洞去做黑產,遊走在法律的灰色地帶。
安全漏洞會成為互聯網時代最強大的公關武器?
伴隨著互聯網的飛速發展,國內地下黑色產業鏈也在日益龐大,安全漏洞真在威脅到每個人的實際利益。
2014年2月17日爆出支付寶/餘額寶任意登錄漏洞後,阿里公關迅速出擊,拿出現金500萬獎勵白帽子蓋過輿論。在此之後,關於微信支付與支付寶的互相職責安全性差的公關稿連綿不絕。以安全為名,背後實為互聯網商業之戰的封殺與反封殺、黑公關與反黑事件,正愈演愈烈,而烏雲網在其中扮演了推波助瀾的作用。
鑒於烏雲網連續披露的安全事件引發了前所未有的社會關注,於是最近有專家開始質疑烏雲網的漏洞披露規則是否合法:媒體根據烏雲所公布的漏洞標題和簡述瘋狂報道。那麼如果有人蓄意發布虛假漏洞,勢必企業造成非常惡劣的影響,這個責任誰來承擔?一家民營公司,掌握如此多的安全漏洞,並以漏洞披露作為商業模式,其本身又是否踩在法律的灰色地帶?
互聯網工作組在RFC2026《負責任的漏洞披露過程》草案中提到,「報告者應確保漏洞是真實的。」但當漏洞在烏雲網發布之後、企業確認之前,漏洞的真實性與準確性無從知曉。負責任的安全漏洞披露應該是嚴謹的,任何發現漏洞的技術工作者,應說清楚漏洞的影響範圍,以免引起不必要的大眾恐慌,比如這次攜程信用卡門,即便烏雲網因自身需求,急待媒體曝光和炒作,但也理應說明泄露的信息是否經加密,影響的範圍是怎樣,而不是成為所謂的「標題黨」,以安全為名挾持企業。
安全漏洞的公開是必要的,這不僅是對用戶的負責,更是對企業安全的監督,但如何真正做到負責任的漏洞披露,這個問題值得我們深思。
原地址:網易新聞客戶端
我個人很喜歡這個網站,為啥?大家搞運維的,不應該不喜歡。
你想想看,如果世界上沒有安全問題,公司要運維部(銀行喜歡叫運行保障部)幹啥?會花2萬工資招聘linux專家,安全專家,DBA?不如乾脆讓研發的兄弟兼職算了啊,哈哈
如今烏雲出事了我才知道有這個白帽子黑客網站,希望事情會變好
推薦閱讀: