白帽黑客的世界中有著怎樣的故事?烏雲網為什麼能吸引這麼多白帽
12306泄露資料問題中最先報道的烏雲網的故事
摘自:烏雲漏洞平台:一枚孢子如何生長成群落
讓安全領域變得公開透明,打破行業的信息不對稱,又能得到官方支持——無論怎麼看,這樣的事都不大可能發生在眼下這片土地上。
可烏雲做到了。
2012 年,CSDN 數據泄露事件讓烏雲名聲大噪,此後優酷介面漏洞、微博控制漏洞、豌豆莢應用缺陷各類漏洞頻繁曝出。今年的攜程信用卡信息泄露事件掀起高潮,年底又曝出 12306 密碼泄露、聯通系統漏洞。烏雲讓越來越多的企業和用戶意識到,這些與生活如此接近的服務存在這麼多被忽視的安全問題。
僅僅五年時間,一個小小的網站就這樣不問出處,在魚龍混雜的安全市場中找到自己的位置,並迅速成長為中國最大的安全漏洞報告平台。
這五年間,烏雲究竟發生了什麼?一枚不一樣的孢子生長成群落,又究竟需要多少運氣?
誕生:一枚不一樣的孢子如果你看過《浪客劍心》,一定會記得那個手執逆刃、臉上有十字刀疤、名叫緋村劍心的男人,「劍心」——也正是烏雲創始人方小頓更為人所知的 ID。
《浪客劍心》中的緋村劍心
行俠仗義、不問利益,不斷追尋著自己所做事情的意義,大概所有真正身懷絕技的安全技術愛好者們多半都有的任俠之夢。
不過時間到八、九年前,在當時的中國互聯網生態下比起如何在競爭中活下去,安全還並不是大多數企業必須嚴肅考慮的議題。
對於那些因為熱愛而投身計算機、又熱衷網路安全的技術高手,現實世界所能給予的出路似乎只有兩條:要麼前往「相對封閉的安全研究機構」,為國家信息安全服務但從此失去自己的聲音;要麼就是涉足「黑產」,攫取販賣個人信息、盜取他人財產,為生計出賣自己的尊嚴。
網路安全狂熱者們就像一顆顆散落各處的獨孤孢子,遊盪在在浩瀚的互聯網世界。但彼此之間暗藏著聚成群落的向心力——這種難以言說的力量如此強烈,以至於產生了第三種可能。
而方小頓——這個來自湖北黃岡、學習化學的 15 歲大學生,在發現 Discuz! 漏洞後邁入安全世界的大門,並最終獲得了進入百度安全部門的通行證,這也讓他有機會結識到更多志同道合的人。
由於網路安全工程師們數量稀少,惺惺相惜的彼此形成了緊密的技術圈子。儘管公司之間擁有不可逾越的「高牆壁壘」,但熱衷技術的人心之間並沒有隔閡。BAT、新浪、搜狐等幾家大公司的安全人常常在自建的群組中討論安全問題:「這個問題大家遇到過么?」「這個漏洞如何修補?」
隱藏在 ID 之後這些並不具名的個人,在對技術的共同熱愛下找到了久違的自由和切磋成長的環境。在這個圈子裡,人們不必理會背後大公司的利益,技術與代碼勝於雄辯。
在百度工作三年之後,大公司的生活開始讓方小頓感到困惑——他意識到安全領域的封閉無力,又充滿各方的誤解。
在大公司的決策者眼中,安全是一件看上去「什麼都沒發生」的工作:主觀上,決策者們希望安全事件什麼也別發生;可若安全部門真的全年沒有「動靜」又會被質疑公司花出的成本都去了哪兒。安全是一件需要規範化成體系完成的精密工程,但多數公司意識不到,能夠養得起成規模安全團隊的公司在業界也是鳳毛麟角。
另一方面,安全領域是信息非常不對稱的:不規範的安全公司出於利益利用很小的漏洞敲詐企業,攻擊者與防禦者的信息不對稱還會造成信息堡壘。同時,人們在不斷將生活信息搬運到網路平台的這個時代,信息安全問題卻被大多數企業和個人低估,用戶對企業安全如何也並不清楚。
方小頓意識到只讓這些知識和技術傳遞在小圈子之間是不行的,互聯網是一個泛群體,一家公司能做到的事情是極其有限。相應的「自由」氛圍應該擴大化——讓更多人了解安全領域,並幫助感興趣的人們學習到相關知識並深入其中快速成長,同時更多的人才能了解到這項工作的重要性。不僅僅是個人和企業,只有這種方式才能讓安全這個尚顯「稚嫩」的行業健康發展。
「封閉一定是不健康的」,「每個人都可以參與其中,行業才有機會。」方小頓如是解讀烏雲的初衷。
能承擔這些責任的,絕不可能是任何一家大公司。
就這樣,烏雲誕生了。
起步:烏雲是如何運轉的
在這個不做「雲」都不好意思和人家打招呼的時代,與網路安全相關,無論是技術還是思路都會有點黑色的感覺,所以自然出現了烏雲。
「烏雲就是想告訴大家,雲技術是有風險的,烏雲就是一個預警。」
起初,烏雲還只是由「劍心」方小頓、「瘋狗」孟卓兩人在業餘時間維護、類似個人網站一樣的存在,活躍用戶也還只是當初群組裡的那些「老人」。由於烏雲社區里沒有真名,只有 ID,使得烏雲上的每個用戶都是不需擔心現實世界利益糾葛的「自由」個人,每個人都可以以個人身份提交任何自己發現的漏洞。
在烏雲的網站上,漏洞上報經審核後會出現在「最新提交」一欄中,廠商領取確認後則會下移到「最新確認」,漏洞修補後則會進入「最新公開」,一般會經歷 45 天的周期:
1. 5 天廠商確認周期(5 天內未確認視為忽略,直接公開);
2. 10 天后向核心及相關領域專家公開;
3. 20 天后向普通白帽子公開;
4. 30 天后向實習白帽子公開;
5. 45 天后向公眾公開;
6. 期間廠商可自行提前公開,向普通白帽公開的時候可以使用烏雲幣購買提前查看漏洞細節。
在 5 天廠商確認周期中,烏雲會積極聯繫廠商反應、並提醒修復漏洞。已註冊過的廠商則會收到提醒,目前烏雲的註冊廠商已經有 630 條記錄。
隨著烏雲上漏洞信息的積累,越來越多對該領域感興趣的人們在其中學習交流、上報漏洞,滾雪球般的,烏雲慢慢超越技術圈子,開始越來越多的出現在眾人眼前。
在烏雲的準則中有一條鐵律,便是漏洞信息永不會被刪除。這不僅是為保持平台的公正,更重要的是可以讓更多從事安全工作的研究人員能夠學習到這些內容,繞過別人曾掉過的「坑」。
博弈:烏雲背後的拉鋸戰作為第三方烏雲努力保證自己的公正,但不可避免的是「漏洞」這個詞在大部分人看來是「不安全」的象徵,並非利益同盟的廠商們會默認你是敵對方——特別是在互聯網安全這個有些曖昧不清的領域。
敏感的廠商會憤怒「為何抓我們的漏洞?」甚至懷疑是收取他人錢財敲詐——「漏洞是我們自己的事情,烏雲又有什麼權利公開信息?」而烏雲嚴謹的漏洞公開準則,也使得企業的「公關」失去了能力,這很難不讓習慣「滅火」大公司怒火中燒。
2011 年,剛成立一年的烏雲網連續披露京東、支付寶、網易等著名互聯網企業存在高危漏洞。直到當年的 12 月 21 日,烏雲曝出中國最大 IT 技術社區 CSDN 漏洞,超過 600 萬用戶資料被泄露時,事情走向了拐點,烏雲關閉了。
這次關閉之後烏雲選擇了調整步伐。在 2012 年 1 月 17 日發布的公告中烏雲新增了部分漏洞信息披露流程、細則,並對用戶進行了分級。他們還寫道:「最重要的是,我們沒有放棄也沒有改變,我們提倡的原則現在是這樣,將來也是這樣,平等自由透明尊重。」
此後,烏雲更是指出支付寶 2500 萬用戶資料泄露、酒店開房信息泄露、騰訊 7000 萬 QQ 群用戶數據泄露、攜程泄露用戶信用卡信息等一系列安全問題,名聲也越來越大。
但這一路的艱辛沒有人比烏雲自己更了解:2012 年,曝出某運營商漏洞的烏雲因為不肯刪除漏洞,慘遭暴力拔網線;2014 年烏雲遭遇瘋狂 DDos 攻擊,宕機 18 小時;同年又被 SAE 雲計算平台出於壓力莫名屏蔽……甚至還有人以烏雲的名義敲詐企業,或者針對烏雲網站進行瘋狂攻擊。
堅持將漏洞信息公開、不曾妥協原則的烏雲,遇到各類不曾料想過的問題,但方小頓始終相信「越到後面會越好」。
有趣的是,作為一個網站,烏雲也沒少被白帽子們測試,同白帽子打技術戰的烏雲,「在代碼層面是已經是沒有問題的,如果真的出現問題,那就應該出現在第三方或邏輯上。」
群落:那些沉靜可愛的年輕人稱職白帽子就是通過網路安全專業技術去鑽研/挖掘計算機、網路系統漏洞的人。但是他/她們不會去做任何的破壞,同時會告知管理員漏洞內容及修復方案。
——《白帽子講 web 安全》
在北京西北角的一間大廈里,神秘的烏雲團隊就在這裡辦公。
至今 5 年的時間裡,曾在烏雲社區中學習成長的年輕人出於熱愛也有不少也加入了這個群體。不斷擴大的烏雲團隊也曾輾轉搬家好幾次,直到某互聯網公司得到烏雲的大力幫助,心懷感激的創始人將這個大開間友情轉讓給烏雲,他們才真正有了一個像樣的落腳處。
《攻殼機動隊》某種程度上也是關於入侵人體的故事
在烏雲的辦公室,你很難聽到他們使用真名,烏雲 ID 才是他們之間最常用的稱呼。他們中的大部分人都有微信但沒有開通朋友圈,即便開通也差不多是一個月更新一次的頻率——在這個社交信息過剩的時代,你很難從他們朋友圈中看出些什麼。甚至連快遞——沒有人知道包裹的真正主人是誰,就連收快遞的名字他們也幾乎一周更換一次。
在這個「烏托邦」中生活的年輕人大多羞澀而善良。第一次見面時他們大多選擇沉默,熟悉後會向你綻放出熱烈的笑容,甚至還會戴上暴走頭套,並不介意扮一扮大肚子王尼瑪。
「肉肉」是一個大方愛笑的高挑姑娘,大學學習信息安全很早聽說烏雲,從尚未畢業就在這裡實習;創始人之一的「瘋狗」,就是被大家喜愛、在現實生活中同樣風趣幽默的烏雲君;這裡所有人都擁有技術背景,甚至行政妹子都是學 Java 出身的。
出人意料的是烏雲尚且是個人數不多的小團隊。對於烏雲來說,最大的「寶藏」是活躍在平台上的白帽子——5 年之間烏雲已彙集了白帽子 7000 餘人,其中活躍用戶超過 1000 人,日均上報漏洞超過 100 個。
在這之中,毋需十分關注安全領域你也一定知道一個叫豬豬俠的人——就是他曾曝出攜程信用卡漏洞引發軒然大波。作為核心白帽子豬豬俠已經在烏雲平台上提交了 206 個漏洞,百度、新浪、騰訊、阿里巴巴、攜程、搜狐無所不包。「道哥」曾寫過「神一般」的 V 哥被眾人認為是豬豬俠的原型,但真實與否並不可考。
你一定以為豬豬俠是個三十多歲的中年胖子?但事實上的豬豬俠是一個 85 後清秀少年——這樣的反差萌你一定不懂吧。
另一位核心白帽子 Jannock 因為曾經長期盤踞精華漏洞提交數第一名而被大家尊稱為「一哥」,事實上一哥十分靦腆且不善言辭,曾經是一名來自普通軟體公司的程序員,時常覺得看不清未來。偶遇烏雲找到興趣所在的一哥瘋狂學習技術、迅速成長,直到他在烏雲上的突出「業績」被發現,最終得到一份既符合興趣、薪酬待遇又相當不錯的工作。
如果你在烏雲的搜索框鍵入「華住」,會發現 2015 年 1 月 3 日有三個連續、由「路人甲」提交的華住酒店漏洞。事實上這是某位和妹子共度春宵的白帽子在新年夜入住後發現的。至於當天晚上究竟發生了什麼,除了他們,大概沒有人知道了。
白帽子並不神秘也並不可怕,他們和生活在我們周圍的年輕人一樣——有些理想化、單純善良,並沒什麼不同。
規則:凝聚社區的基石白帽子是一個無論在地域還是在社群中都相對分散群體,但作為社會性動物人類天然有交流的慾望,因此擁有良好社區氛圍、自由平等開放的烏雲將這一群體聚集起來也並不是難以理解的事情。日均 20 萬左右 IP 的烏雲,PV 竟高達 200 萬,用戶的黏性高得可怕。
網路另一端的白帽子,真實的社會身份往往是千差萬別的
這一群體中的每個人在生活中都有不同的身份,有 BAT 的工程師,也有大學生、網管甚至快遞員。「不深入一項業務,沒有人會專門去挖漏洞。」大部分漏洞的「靈感」來自生活——入住酒店的白帽子出於對安全的敏感會測試到一些安全漏洞,使用訂票網站也會測試看看,再或者用到 BAT 相關服務的功能白帽子也會相應測試——這也是此類型漏洞在烏雲平台上佔比較高的原因。
「用戶足夠多,烏雲上就會有漏洞,因為有漏洞是一件很正常的事情。」來自烏雲的 Wudi 如是對極客公園表述漏洞的常態。
烏雲的生長離不開自身的良好規則,除卻尊重、進步、意義這三項烏雲最基礎的使命與靈魂,烏雲最重要的一條原則是堅持公開——漏洞一旦被公開就不能刪除。
在方小頓看來,堅持漏洞公開就是給用戶知情權,因為在此之前是否有人利用過該漏洞攻擊並沒有人清楚;對企業而言,同行業者的漏洞是可以學習、不需再犯的,也是避免問題的方式;對於社區來說,通過信息開放,學習知識的人們會在這一平台上成長起來。
「信息安全得到保護,最核心的就是人。」
即便頂著巨大壓力,在此規則下運轉的烏雲如受了加速力般被越來越多的廠商認可,廠商們的態度也有最初的不解開始逐漸有了變化。
蘇州同程旅遊網回復詳情
在「蘇州同程旅遊某系統越權訪問導致重要訂單信息泄露」這個頁面上,2014 年 12 月 22 日提交的漏洞在當天就得到了廠商確認,3 天后便修復成功、公開細節。
在廠商回復中這家網站寫道:主動公開不只是一種態度,也是為了讓其他廠商早點舉一反三排查自家的後台等系統是否存在相同的問題。這家網站還在最新狀態中描述了自己修復漏洞的過程。
在「七牛雲存儲邏輯缺陷漏洞大禮包」這個頁面下,七牛非常認真清晰的描述了 Bug 過程以及現有機制;「德邦物流某站 shell 可入內網」這條漏洞提交後 2 小時便被廠商確認,德邦物流在回復中寫道:「出這樣的問題我們感到很慚愧,非常感謝您的幫助,已著手處理本次事件。」
對於獎勵烏雲並不提倡也不反對,但烏雲堅決反對漏洞購買。「我們一直認為漏洞是無法用價格來衡量的,我們認為漏洞是互聯網的風險應該被第一時間消滅而不應該是作為一種商品利用安全缺陷進行牟利。」出於對白帽子的感謝大部分廠商會贈送類似京東購物卡之類的小禮物。但對於白帽子來說,除了成就感,最重要的還是烏雲幣。
一枚烏雲幣大概相當於 10 元人民幣,白帽子們通過上報漏洞等方式賺取烏雲幣,又可以在漏洞公布周期內提前查看漏洞細節。或者參與烏雲集市,換取自己需要的設備或者獎品。再或者,捐贈烏雲幣參與烏雲暖冬獻愛心活動,共同參與公益事業。
同時烏雲還帶來了一些其他效應,比如招聘。
在以往的安全人員招聘中,招聘方很難驗證安全人員的水平高低。烏雲賬號則為企業提供了便捷驗證方式,查看賬戶提交的漏洞就能了解面試人員的技術情況。甚至不需要技術測試,只需要素質面試即可。
而在這些規則之下運轉的烏雲所擁有的真正意義,或許知乎上匿名用戶的答案似乎更能回答這個問題:
「也許一個並非互聯網安全愛好者的人無法體會烏雲對於我們的意義,其實烏雲對於我們來說,可以算是給了廣大白帽子一個證明自己的平台,我們努力挖洞、拿站,並非圖利,否則我們早已投身黑產,互聯網安全可以說算是一個極為小眾的愛好,很多時候也不為身邊之人所理解,烏雲能讓我們,堂堂正正的在公眾面前,證明我們在這個領域的實力,能讓更多的人理解我們,能讓我們結交一批一批志同道合之人,甚至能推動整個行業在國內的發展,這樣的力量,對於我們來說,真的意義非凡。」
眾測:用眾包解決安全風險的新嘗試如果說擁有龐大白帽子團隊的烏雲終於有了些「商業化」的跡象,那就是推出了兩年時間的「烏雲眾測」。
誠然大公司可以建立自己豪華的安全團隊,但是對中小型的公司而言安全人員簡直是「奢飾品」——哪有資金支付安全人員的上萬月薪呢?烏雲眾測則提供了新選擇:既完成自身對安全保障的需求,又有能力最符合的白帽子進行測試——還是一大群可能是中國最頂尖白帽子——性價比高得不可思議。
2012 年 11 月 20 日推出的烏雲眾測「通過邀請頂尖白帽子模擬黑客對網站、系統或產品進行測試,企業可迅速排查各種安全隱患。」2014 年下半年,「成熟」的烏雲眾測已經完成了上百個項目,發現漏洞數量 6000 多個,累計參與其中的白帽子超過 3000 人。
烏雲眾測可以提供 WEB 安全、滲透測試、代碼審計、安全攻防等多種服務。首先烏雲眾測會根據提出需求的企業預算以及技術條件,對該企業的系統安全指數進行一個初步評估。再根據評估結果,推薦平台中專長符合的白帽子進行漏洞測試。
白帽子選擇自己擅長的測試項目報名後,烏雲會進行人工審核。參與資格並非以 rank 和白帽子級別為準,基本按照烏雲漏洞平台漏洞提交活躍者、烏雲知識庫投稿活躍者、烏雲社區精華率及活躍分享者、對烏雲平台做出貢獻者、能夠證明個人具備評估能力者予以審核劃分。
烏雲眾測保證所有的漏洞測試都是在高效的虛擬私密測試環境中進行。「一旦發現漏洞,白帽子會遞交一份報告,詳細闡述他們發現的漏洞,描繪該漏洞的利用步驟以及給出解決的方法。烏雲眾測會根據這份報告的內容結合市場行情,支付給白帽子對應的測試費用,如果在測試過程中沒有發現漏洞,白帽子將不會索取任何報酬。」
不論業餘安全研究人員、職業安全從業者,高等機構安全研究員還是在校大學生,對於擁有能力的人來說,烏雲眾測從來沒有門檻。
一般參與烏雲眾測項目的人數在 25-30 左右,完成周期再 2-3 周。目前烏雲眾測已經完成了小米路由、唯品會電商平台、騰訊手機 QQ、Smartisan OS、去哪兒網、知乎社區等安全測試。
這樣的烏雲眾測依然擁有最有促進力的規則:通過「彼此獨立」的漏洞提交方式和「先報先得」的獎金分配機制,促使白帽子能夠在第一時間提交所能發現的漏洞,讓漏洞檢測效果最大化。同時依然堅持著烏雲最初的原則,自由尊重,並不會強迫任何人參與。
在烏雲看來,這樣的互聯網和眾包能夠打破時間和地域的束縛,充分發揮白帽子的潛能。同時隨著更多白帽子和企業的加入,安全服務的成本也將不斷降低。通過這種方式即便是初創團隊的產品,也將能得到高質量、高效率的安全服務。
WooYun:永遠的白帽理想鄉作為一個互聯網漏洞報告平台,烏雲最重要的使命就是尊重。
在五年時間內取得了快速的成長的烏雲,有些東西始終沒有變化。
烏雲網站右下角「關於」的頁面上,寫著烏雲是什麼、信息安全相關保護和聲明、烏雲的使命與靈魂以及合作夥伴和關注烏雲的朋友們。這個頁面上的內容,已經五年沒有修改過了。
「表面上我們是一個網站,實際上我們是一個平台,對不同的人產生不同的價值。」方小頓如是解讀著自己一手創立的烏雲。
某種程度上烏雲和落網是相同的。針對獨立音樂的落網和面向漏洞的烏雲都是垂直而小眾的平台,既擁有理想化的氣質,又不會對商業化社會充滿怨懟——在這個被物慾沖昏頭腦的世界上,依然尋找著事物的「真諦」。
「如何看待不少大公司出於品牌考慮會羞於直面自己的漏洞?」當極客公園把這個問題拋給烏雲時,他們回答:這些我們並不想過問,只想他們儘快修補好漏洞。
生於 87 年的劍心,為何能如何如此通達的看待這些事?我詢問了劍心的工作夥伴 Wudi,他說在朋友的敘述中曾經的劍心也是一個網路上常見、會吵架的年輕人,但現在的劍心「專心做自己的事情,對外界的干擾不太在意,把事情想清楚了。」
在搜索引擎中鍵入「方小頓」三個字,你會看到他曾經和李彥宏一同登上《天天向上》的視頻,他告訴極客公園這是他近幾年為數不多剪短髮的一次。大部分時間的方小頓都是半長頭髮,像是個為追逐夢想而落魄的搖滾青年。
哦對了,聽說他很喜歡李志的歌。
這個來自南京的民謠歌手曾經唱過一首《他們》:「有人在奮鬥,有人在幻想。」
安全圈外的妹子來從外行的角度講一個真實白帽子的故事,有興趣的可以看看。
看到這個問題,我腦子裡想起一個白帽子,P爺。熟悉我的人一定知道他是誰了。
這個高高的程序員,第一次我們加Q認識的時候,我說你好,他說你好xxx(我真名),你該改一下QQ密碼了,這麼簡單,都被盜多少次了。 我一邊說無所謂一邊惶恐地改密碼,心想卧槽你怎麼知道的。
後來我們熟悉了,我問他平時做開發嗎?他說不是,平時挖洞。我說這麼巧,我男朋友做挖掘,你做挖洞。挖洞幹嘛,你們挖一挖比特幣多好。 他說:不是,我挖的是漏洞,有的漏洞很嚴重,可以被利用攻擊。
我想了想:你是黑客? 他說:我是垃圾。 我說:不要裝逼。 他說:算個烏雲的小白帽吧。我個外行懂個屁烏雲是啥啊。管他的,應該就是個做安全的程序員吧。 雖然看起來很厲害的樣子。不過平時,他只是在家人的創業公司里寫寫網站,拿著三千塊錢,看看書學習而已,十分低調內向,他說他要先充電。他曾經在某大公司工作過,回到小公司拿著低薪,居然也坐得住。
----------------------
後來有一天情人節,他跟我說,他喜歡一個妹子,要跟她表白,還跟我描述了那個妹子的基本情況。讓我幫他挑禮物。我聽了基本情況就明白了,這妹子拿他當備胎。我震驚,很多漏洞逃不過p爺的法眼,他卻對這妹子滿身的bug渾然不知…我提醒他不要當接盤俠,他說不會的,然後在apple給妹子定了禮物。後來p爺被拒了…
P爺就把禮物退了… 妹子又特么答應了… P爺歡欣鼓舞, 相處了一段時間,妹子又以各種理由結束了。p爺是個老實人,屬於那種去妹子租的房子幫妹子做飯,吃完就自己回家了。
妹子說他不是公務員,家裡人一定不同意。p爺就努力挖洞堆碼看書,希望能用能力證明自己。可是他不明白,不是公務員根本不是他們感情不和的真正漏洞,後來,妹子和前任和好了。分手以後,家裡親戚的創業公司出現了問題,p爺不得不離開了。這一次,失戀+失業同時發生。
p爺是個很理智的人。認識他到目前為止,除了上個月大盤掉到3600點的時候他說了一句操以外,不管我打擊他還是鼓舞他,從來沒見他表露什麼情緒。在雙重打擊下,p爺宅家裡一心挖洞看書長肉。偶爾也會給我看看他的小成就們。比如tx邀請他參加一個安全大會、他獲得了一個紀念勳章、他獲得了阿里安全專家稱號、他獲得了各種獎品、他給某公司報了一個可能導致500萬損失的漏洞,某公司給他發了一頂帽子……
沒有收入的p爺經常跟我哭窮,卻絕不參與黑產。我記得tx給他的一個紀念品上面有一個「俠」字,這簡直是我對他的印象。在沒有硝煙的網路安全戰爭里,p爺真的是一個冷靜(裝逼)的俠客,而他的劍,就是手裡的一把鍵盤。
其實他和我認識的很多白帽子性格很像,低調,內向,悶騷。只有在討論技術的時候慷慨激昂。p爺從來沒有給那個妹子看過他的小小成就們,他覺得沒有用,因為他畢竟沒房沒車。
在那段時間,國內安全行業其實發生了很多很多事情。我作為圈外人根本看不懂,只知道有一天半夜,有個程序員手機在震,看了一眼突然翻身起床打開電腦,然後用語音微信回復「嗯,我知道了,我正在開電腦,大概30秒。」 那一夜他一直在啪啪地敲著鍵盤,不停地在微信說話,非常緊張,凌晨四點的時候才躺下。x銀行突然遭受猛烈攻擊,緊急求助了幾家安全公司,他們立即出手,調動伺服器,忙碌一晚,守護了數據安全。
而x銀行並不是他們的客戶。他們出於俠義的幫助也不會帶來什麼商業利益,因為銀行不會宣傳自己被攻擊的事情,自然也不會提到他們。
我知道還有一個程序員,出差去做安全封閉開發,兩個月回家颳了鬍子和女朋友結了個婚,馬上又去另一個城市封閉開發。他老婆後來跟我訴苦 ,說連看他都不行,公司不允許。。有一次她在玻璃門口站了很久,還是回去了……還是蠻心酸的。
------------------------------------- 後來有一天,知乎上有個妹子說想和程序員交往,我把p爺介紹給了她。原以為低落的p爺多一個女性網友也許會不那麼寂寞,沒想到,他們迅速在一起了。妹子很自信大方,加q就自我介紹,聊一段就把自己日常照片發給他了。這種直截了當的性格非常適合p爺這種內向悶騷的程序員。
突然有一天,p爺跟我說:綠,我不來成都了。你幫我跟楊大爺說一聲,謝了,我不去他公司了。
我說為啥啊。 p爺說:我要去上海,找她。------------------------P爺真的去了上海…我勸他來成都勸了半年都沒動靜,一直在觀望和拖延。可是妹子跟他聊了沒兩個星期,他就飛去上海了。 他到了上海,開始找工作。很快,好幾家公司都聯繫他了。他最後選擇進了國家某大型機構,成為了安全工程師。他租了一套房子,定下來了。
他見到了妹子,雖然我給妹子打了預防針,但他的衣著打扮還是驚到了妹子。我曾語重心長地告訴妹子「他的衣著品味就交給你來拯救了」…妹子說沒問題。很久以後再見到P爺,已經清爽帥氣多了。有女朋友收拾了真的不一樣啊!
妹子幫他收拾房間,幫他買了一大堆東西,牙刷杯子什麼的。還幫他細心地布置床,桌子。幫他打掃出租房的痕迹,讓他終於感覺有了一個小家。
他突然決定減肥,所以妹子拉著他跑步。晚上他們下班了以後,就一起在夜風中奔跑,後來妹子還拉著他買情侶跑鞋。他依然內向悶騷,挖著洞,炒著股,偶爾接妹子下班,燒點菜。
兩個人一起在一個城市奮鬥,其實是蠻好的事情。每周妹子都會過來,兩個人一起吃吃喝喝。後來他帶妹子去重慶吃,去成都吃。情人節前,他說他要給妹子買禮物。這一次,我舉雙手贊成。
他問:送什麼好啊?
我說,不管買什麼這次不要在Apple商城買電子產品好嗎?請親自去店裡買吧。 他:我還打算京東………比較便宜快速我說:我請你去專賣店認認真真選一個禮物,讓店員包起來好嗎!他:逛街買東西效率好低啊…你推薦個店吧。我:預算多少?他:只有2000啊…我:………………………於是p爺用了一種非常程序員的方式,快速走進首飾店,買了新款的愛心項鏈付款就走。ˊ_&>ˋ
後來他預定了餐廳,把禮物給了妹子。妹子一定沒想到,P爺是用如此快的速度買下的,效率至上好像是他的處事習慣。雖然P爺不善言辭,甜言蜜語的能力基本為0,但妹子很感動也很開心。
今年七夕,他給妹子買了運動手環,然而妹子也給他買了同樣的。兩個人就像麥琪的禮物一樣,已經有一種溫暖的默契。
前幾天P爺跟我說因為跑步,他已經瘦了10斤了。至此,這位低調的白帽子用不到一年時間從低谷走了出來。擁有了可愛善良的妹子,令人羨慕的工作,減肥了10斤。
他依舊挖了更多的洞上報烏雲,絕不輕易連Wi-Fi,經常提醒我們改密碼。他QQ列表上有國內很多安全大大,包括安全公司的副總。也許你不知道,在你登陸輸入各種密碼的時候,在你去酒店開房、在網站訂購商品的時候,你的種種隱私數據可能已經被別人捏在手裡了。然而有這麼一群人,他們擁有黑客的能力,有的可以隨意攻破資料庫的防線,玩弄數據於股掌之中。卻不以此獲取利益,選擇了將漏洞通過烏雲報告給廠商,保護了安全。
P爺和很多白帽子一樣,很普通,也不普通。很平凡,也很偉大。很不起眼,也酷到不行。先說說故事:普通人覺得12306、騰訊、微博有多麼牛,網銀是多麼安全,其實不然。就算我是一個混了n年的老鳥,我也會被白帽子們的神奇思路所折服。我是如何登錄任意新浪微博用戶的(王思聰微博演示)按照技術來講,這些真的沒什麼難得。這種感覺就像你一個三線城市的人,憧憬的來到上海。想看看《小時代》里宮銘生活的世界是什麼樣子。其實上海也就那樣。生活在上海的人,看到電視上報道上海的各自新聞,也就是微微激動5分鐘而已。真正的故事是黑帽子們私下吹的牛逼。比如把http://mail.163.com的庫給拖了,又或者控制了某國家重要部門的內網。這些才是真的讓人興奮的故事。關於吸引白帽的問題:因為之前想做白帽子的黑客都沒有什麼門路。特別是學生一類的。既不能去安全公司工作,發現漏洞也不願平白無故的報給廠商。(萬一被廠商說成黑客,倒打一耙,被判刑是妥妥的。)現在有了wooyun這個平台,就相當於找到了靠山。偶爾還能獲得一些禮物。因為大家關係融洽,廠商知道你的技術能力,畢業後直接去廠商那工作也有可能。=====================追加一個小故事===========================本人來自中國北方的某個小縣城。在我還是上高一的時候,我們電腦課老師在給我們吹牛。當時也就聽故事一樣的,因為夾雜了很多技術術語,也就沒太在意。故事是這樣的:某日,我們的老師去攻擊美國某海軍的ip段。使用溢出搞定了一台主機。通過嗅探輕而易舉的拿下對方密碼。進去之後去翻資料,而且是呆了n個星期。最後還種了灰鴿子。因為不小心被老美給T出來了。當時應該是05年,十年前。國內對這方面有研究的人很少。特別是嗅探,這種手法風靡開來應該是07年的樣子,而我們老師在那時候已經開始實戰了。後來想想這事,真的佩服的五體投地啊。終於知道什麼叫高手在民間。
烏雲氣氛比起其他的各個目前的論壇要好一些烏雲社區裡面發的帖子不像其他論壇,水貼那麼多。可能是像我這種水的人級別不夠,發不了。,知識庫裡面的文章也不錯。還有一些實例,已公開裡面。
之所以吸引那麼多白帽子,是因為烏雲是全國最大的同性交友技術社區。
既能交流技術,又能同性交友,還能有共同話題,挺好的!故事很多。
為什麼吸引其實很簡單:1、學習技術最好的方式便是通過bbs(wooyun就是一個bbs)2、知識面廣泛(各類知識幾乎應有盡有)3、學習氣氛濃(每天都能在已公開的漏洞中學到知識)何樂而不為?一直很關注烏雲,也和大家有所接觸,包括混烏雲一月一次的交流大爬梯(可以算作爬梯吧?因為大家都很可愛氣氛融洽233)、和劍心聊過一次天(直覺有點水瓶座)、也和別的朋友有過多多少少的接觸。烏雲是個充滿理想化氣質的平台,踐行自由、尊重、意義三大原則,以及不刪除漏洞的底線。是永遠的第三方。甚至你可以說有點少年中二氣質。白帽子世界不一樣又和大多數人有很多相似。他們中的大部分是沉默、善良、正義、內秀的。不乏性格看上去偏頗的人,但大家都知道性格缺陷不會在技術上難以讓人走得太遠,特別是夾在「灰色」地帶中的白帽子。不願意涉足黑產為生計出賣尊嚴,也不願意在大公司忍氣吞聲換取生存。希望腦中的智慧幫助自己能永葆自由,忠於技術,如果有漫畫來畫這個群體簡直再合適不過。他們中的大部分人是唾棄「購買」這件事的,出現問題選擇隱瞞,希望用金錢讓白帽子沉默,這似乎是最差不過的手段。所以烏雲——一個完全第三方的平台,不受利益方控制,也擁有眾多白帽子在此工作,願意保護白帽子們的隱私並和他們成為朋友,還有濃厚的 BBS 學習氛圍,在這個選擇本來就不多的世界上,為什麼不呢?這就是我和這些可愛的年輕人們接觸過的感受,他們,真的很可愛w附:不才剛剛寫過關於烏雲的故事,希望還原了這些可愛的人們的十分之一,也希望大家對這個群體,對烏雲平台有更真實的了解,一樣愛上這群為自由執著的年輕人w烏雲漏洞平台:一枚孢子如何生長成群落
群落:那些沉靜可愛的年輕人
在北京西北角的一間大廈里,神秘的烏雲團隊就在這裡辦公。
至今 5 年的時間裡,曾在烏雲社區中學習成長的年輕人出於熱愛也有不少也加入了這個群體。不斷擴大的烏雲團隊也曾輾轉搬家好幾次,直到某互聯網公司得到烏雲的大力幫助,心懷感激的創始人將這個大開間友情轉讓給烏雲,他們才真正有了一個像樣的落腳處。
在烏雲的辦公室,你很難聽到他們使用真名,烏雲 ID 才是他們之間最常用的稱呼。他們中的大部分人都有微信但沒有開通朋友圈,即便開通也差不多是一個月更新一次的頻率——在這個社交信息過剩的時代,你很難從他們朋友圈中看出些什麼。甚至連快遞——沒有人知道包裹的真正主人是誰,就連收快遞的名字他們也幾乎一周更換一次。
在這個「烏托邦」中生活的年輕人大多羞澀而善良。第一次見面時他們大多選擇沉默,熟悉後會向你綻放出熱烈的笑容,甚至還會戴上暴走頭套,並不介意扮一扮大肚子王尼瑪。
「肉肉」是一個大方愛笑的高挑姑娘,大學學習信息安全很早聽說烏雲,從尚未畢業就在這裡實習;創始人之一的「瘋狗」,就是被大家喜愛、在現實生活中同樣風趣幽默的烏雲君;這裡所有人都擁有技術背景,甚至行政妹子都是學 Java 出身的。
出人意料的是烏雲尚且是個人數不多的小團隊。對於烏雲來說,最大的「寶藏」是活躍在平台上的白帽子——5 年之間烏雲已彙集了白帽子 7000 餘人,其中活躍用戶超過 1000 人,日均上報漏洞超過 100 個。
在這之中,毋需十分關注安全領域你也一定知道一個叫豬豬俠的人——就是他曾曝出攜程信用卡漏洞引發軒然大波。作為核心白帽子豬豬俠已經在烏雲平台上提交了 206 個漏洞,百度、新浪、騰訊、阿里巴巴、攜程、搜狐無所不包。「道哥」曾寫過「神一般」的 V 哥被眾人認為是豬豬俠的原型,但真實與否並不可考。
你一定以為豬豬俠是個三十多歲的中年胖子?但事實上的豬豬俠是一個 85 後清秀少年——這樣的反差萌你一定不懂吧。
另一位核心白帽子 Jannock 因為曾經長期盤踞精華漏洞提交數第一名而被大家尊稱為「一哥」,事實上一哥十分靦腆且不善言辭,曾經是一名來自普通軟體公司的程序員,時常覺得看不清未來。偶遇烏雲找到興趣所在的一哥瘋狂學習技術、迅速成長,直到他在烏雲上的突出「業績」被發現,最終得到一份既符合興趣、薪酬待遇又相當不錯的工作。
如果你在烏雲的搜索框鍵入「華住」,會發現 2015 年 1 月 3 日有三個連續、由「路人甲」提交的華住酒店漏洞。事實上這是某位和妹子共度春宵的白帽子在新年夜入住後發現的。至於當天晚上究竟發生了什麼,除了他們,大概沒有人知道了。
白帽子並不神秘也並不可怕,他們和生活在我們周圍的年輕人一樣——有些理想化、單純善良,並沒什麼不同。
黑夜也是生活,和白天也一樣過。
路過灌水一下。
本答案由兩個部分構成,一個小故事和一個看法。
一)關於白帽黑客的小故事
我上小學的時候,曾經為了一個國產戰略戰棋遊戲的秘籍纏著某紅客聯盟(or前紅盟?)成員。當時我在他床上用他的筆記本上QQ,他在書櫃那邊找遊戲光碟。結果我剛登上去開聊,那傢伙就過來退出了我的QQ,然後當著我的面,輸入了我的密碼重新登錄了...接著告訴我記得回去後把自己密碼改一下
他說自己憑鍵盤敲擊聲判斷出了我的密碼(簡直是胡扯),後來又改口說筆記本上裝了軟體自動記錄帳戶密碼(真實多了)。
雖然後來見過國外許多高人級別的黑客,但那傢伙就是我對白帽黑客的第一概念:有能力順手黑掉你可是不那麼做而且還提醒你的人。
順帶一提我當時的密碼是網名縮寫加圓周率16到24位
順帶二提其實那個QQ一開始也是別人盜了送我的真是不好意思二)為什麼烏雲
當時不知道從哪聽說這個網站的,上去一看竟然還需要邀請成為會員才能瀏覽很多東西。所以順手報了個漏洞,迅速收到了邀請註冊郵件(這點要表揚,當初我等知乎郵件等了多久啊怨念)。然後逛了一下。
它的其他優點好像其他答案都提過了,就說一個社區造成的同濟壓力(peer pressure)。由於你可以瀏覽其他人提交的漏洞,所以具有更高技巧性和技術含量的漏洞(反面例子就是粗暴破解額)會被更多人收藏和討論,這基本上會讓人強迫性地去往深處發展。題目里的「為什麼能吸引這麼多白帽」其實有點問題,因為「這麼多」白帽在那之前並沒有很多地方可以去。
更不用提極客們和廠商有了可以對話的平台,某種意義上,烏雲讓很多人實現了在白天里散步的夢想(對白夜行亂入了)。
最後順便問個問題:北京那家叫wooyun的酒吧和網站有關係嗎?
p.s. 答者無利益相關,非安全界人士p.s.2 非安全界人士,答案肯定不全,各位隨意看看就好部分洗白,不解釋
我qq好友列表的各位烏雲大牛都是為了刷幣! 匿了!
找工作的時候有一定加分
白帽子的世界實在乏味,相比而言黑帽子的世界要精彩得多,神馬兄弟鬩牆,黑幫火拚,搶人妻女,買兇殺人,物理滲透,廁所偷拍,滿滿的大片節奏啊,強烈期待有人投資拍中國黑/紅客史,黑幫片+警匪片+諜戰片+愛情片+科幻片+商戰片+A片+社會倫理片題材。
.我記得最早的安全焦點是其中之一吧。。為何還是那樣的低調。
文化氛圍好一點,專業針對性強。有大牛在
大牛多,後台硬,有權威
誰當婊子都可以 但是想繼續立牌坊就不太對了
推薦閱讀:
※是否開源軟體比閉源軟體更安全?
※網路上有哪些真實發生卻又讓你覺得匪夷所思的事?
※有了安全衛士等防護軟體,別人知道你IP地址,還能攻擊你嗎?
TAG:網路安全 | 黑客Hacker | 烏雲WooYun | 白帽黑客WhiteHat | 烏雲眾測 |