一系列泄露事件讓人們人人自危，也讓公布這一系列泄密事件的烏云網聲名鵲起。人們在震驚相關企業(yè)不負責任同時，也對烏云網充滿了好奇：這是怎樣的一個平臺，背后又是一個怎樣的隱秘江湖？

“白帽子”聚集的黑客基地

“老K”說：自己是一名重塑黑客理想的白帽子

11月15日，某咖啡廳。

距與“老K”約定的時間已過去了半個小時，記者用手機QQ給他發(fā)去一條消息：“到了么？”

“堵車快到了，還有幾分鐘?！薄袄螷”回復。

又過了半個小時，“老K”仍未出現(xiàn)。又過了十分鐘，記者收到了一條“老K”發(fā)來的消息：“抱歉，我剛才在咖啡廳外徘徊了很久，想了想，還是QQ上交流比較好吧?！?

“在這個圈子，真實身份是個秘密。除非完全信任你，否則不會告訴你全部?！睂Α袄螷”所在圈子有很深了解的本報網絡工程師“董師傅”說。

對普通用戶而言，“老K”所在圈子是一個很隱秘的江湖——“老K”在一家網絡公司工作，表面上和普通人沒什么區(qū)別。但晚上，他就成了某高手云集的黑客團隊里重要一員，網名就是他的身份代表，通常只用QQ和外界交流。

2010年，“老K”第一次將某個網站改了主頁，插入圖片與音樂，“與利益無關，那感覺很興奮?！崩螷說他們與販賣數據的傳統(tǒng)黑客不同，“我們的理想是重塑黑客精神?！薄袄螷”把自己稱為黑客中的“白帽子”，他現(xiàn)在的樂趣在于尋找、測試和捕捉各大企業(yè)的安全漏洞，然后提交給第三方漏洞平臺烏云網。

“我有自己正當的工作，不靠那個牟利。”“老K”在烏云網上的等級是普通白帽子，2012年至今，他已在該平臺上提交了20多條漏洞，大部分在廠商確認都已公開，涉及電信、傳統(tǒng)IT廠商、證券網站?！罢业铰┒?，就是要找尋所謂的后門，即作為“開門鑰匙”的用戶名和密碼?！?span> 

在普通公眾心中，神秘和危險是黑客的代名詞。但在黑客界，所有黑客被歸為三種類型：白帽子、黑帽子、灰帽子。像老K這樣“重塑黑客理想、不惡意利用而且公不漏洞”的就是白帽子?；颐弊由瞄L攻擊技術，但不輕易造成破壞。而黑帽子則是以盜取信息牟利為生。

很難統(tǒng)計目前中國有多少活躍的黑客，但公布一系列泄密事件的烏云網，正是集結網絡白帽子的主要力量。據記者不完全統(tǒng)計，目前至少有4000多名白帽子活躍在烏云網上?！斑@些白帽子身份很復雜，有各大公司的網絡安全工程師，有黑帽子洗白的，有IT從業(yè)人員，也有白領、律師甚至廚師?！薄袄螷”說?！翱梢哉f，烏云網聚集了全國最多的黑客，也是烏云網讓白帽子這個詞語火爆起來?！?

“烏云網就是一個黑客聚集之地。”2011年底，在接受某媒體采訪時，化名的烏云網組織者“WooYun”也如此表示，這些黑客中的白帽子挖掘網站中的安全漏洞，在“黑帽子”利用它們之前，提交到平臺上，或者向廠商報告，使廠商及時進行修復。

“烏云之前，全是黑的”

烏云網聯(lián)合創(chuàng)始人孟德說：在烏云之前，(安全界)全是黑的

根據不完全統(tǒng)計數據，烏云網首頁“最新公開”的安全問題達1.5萬個，“最新確認”漏洞近1千個，11月25日至11月28日提交的漏洞也有30多個。從記者觀察來看，這些漏洞所涉領域中繁多，除了傳統(tǒng)的聯(lián)想、騰訊、中國移動等多家IT企業(yè)，還有中科院、各大銀行、國家航空、海關系統(tǒng)甚至政府各部門官方網站等核心網站。

“這些漏洞來源均來自民間安全研究人員，漏洞提交上來后平臺會進行一個簡單的驗證，確定后就轉交給各個企業(yè)在烏云的的安全接口人進行確認，廠商對其真實性負責。”孟德說。

烏云網(WooYun)成立于2010年5月，主要創(chuàng)始人為百度前安全專家方小頓——這位1987年出生的國內知名黑客“劍心”，因在2010年2月和李彥宏一道參加湖南衛(wèi)視《天天向上》節(jié)目，因為女友高歌一首而為人所知。此后，方小頓聯(lián)合幾位安全界人士成立了烏云網，其目標是成為“自由平等的”的漏洞報告平臺，為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。

“烏云之前，你當他(安全界)全是黑的好了。因為沒有合理的漏洞提交渠道，一個所謂的善良黑客要提交漏洞可能會被廠商威脅?！?0月21日，烏云網對外發(fā)言人孟德對記者說，烏云網的創(chuàng)立初衷之一是在廠商和白帽子之間建立一個溝通平臺。

孟德，和活躍在烏云上的白帽子一樣，他更愿意讓人們叫他的網名“瘋狗”。自稱為業(yè)余滲透師，web安全愛好者。擁有9年互聯(lián)網安全經歷，烏云網聯(lián)合創(chuàng)始人。

孟德如此描述烏云網對國內安全界的重大貢獻：“有了烏云之后呢，我們會告訴大家，漏洞你別亂發(fā)，我們幫你跟廠商溝通，培養(yǎng)漏洞先給廠商的習慣......把平臺上的白帽子們思想和習慣給規(guī)范化、合理化.....變成一支互聯(lián)網安全的中堅力量。”

根據孟德的說法，現(xiàn)在烏云網員工都是“兼職”行為，由企業(yè)與合作伙伴的朋友共同支撐?！拔覀儾⒉皇且粋€組織，只是一個平臺聚集了一些愛好安全技術的人。很多白帽子都來這里分享漏洞，也只有得到核實并已經采取防范措施解決問題后才會被公開?！泵系抡f，此前由于溝通渠道的缺乏，“白帽子”即使發(fā)現(xiàn)了漏洞也很難將信息傳遞給網站，而網站也根本無法顧及散落在互聯(lián)網各地的漏洞信息，最終導致一些漏洞被人遺忘，未得到修復而造成損失。

烏云網一炮打響是在2011年底——當年11月，烏云網根據白帽子提供的各種材料，連續(xù)披露京東商城、支付寶、網易等著名互聯(lián)網企業(yè)存在高危漏洞，12月29日更是指出支付寶1500萬至2500萬用戶資料泄露，以及廣東省公安廳出入境政務網444萬用戶信息泄露。

而此后，如家酒店等開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數據、騰訊7000萬QQ群用戶數據泄露等一系列引起關注的泄漏事件均由烏云網公布。

三方暗戰(zhàn)的江湖

對于烏云網、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰(zhàn)江湖。

根據《烏云網漏洞審核機制改進公告》，普通漏洞披露流程為5天廠商確認期，10天向核心白帽子公開其漏洞細節(jié)，20天向普通白帽子公開，30天向實習白帽子公開，45天向公眾公開其細節(jié)?！俺^周期廠商無回應，或者在期間內否認漏洞的真實性，烏云網一般都會公開其細節(jié)。”“老K”說。

來自烏云網官方的數據顯示，目前有500多家廠商與烏云網有合作或被公布漏洞。對于烏云網、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰(zhàn)江湖。

“廠商是否應該給予烏云網上的白帽子獎勵？”10月26日，在京東安全沙龍上，一位參會者提出了一個引起熱議的問題。1個月后的11月20日，烏云網公布了一個“不太聽話”的廠商――稱騰訊7000多萬QQ群關系數據被泄露，在迅雷快傳很輕易就能找到數據下載鏈接。根據QQ號，可以查詢到備注姓名、年齡、社交關系網甚至從業(yè)經歷等大量個人隱私。

一位業(yè)內人士還舉了一個例子：10月29日，烏云網公布了一個白帽子提交的漏洞，其標題為《“來往”致淘寶賬號被破解 波及余額寶支付寶》的漏洞消息，稱該漏洞處于等待廠商處理狀態(tài)，也就是說，用戶選擇通過淘寶帳戶登陸來往后，看到消息時仍可波及到支付寶余額寶的安全問題?！皳伊私?，這位白帽子先把漏洞提交給了阿里官方，但阿里官方沒有理睬，后來這位白帽子氣不過，又提交到了烏云網，烏云網則對其進行了公布?！?span> 

這個漏洞消息帶來的后果之一是——在聲討支付寶安全漏洞的熱議中，根據媒體報道，在三元里做服裝生意的楊先生，其銀行賬號通過支付寶莫名其妙轉走了5萬元。隨后一名“黑客”發(fā)來短信自稱在測試支付寶漏洞時所為。

去年2月14日，一位網名為“zazaz”的黑客在國內安全問題反饋平臺烏云上提交漏洞，稱中國聯(lián)通客服系統(tǒng)存安全隱患，該漏洞在烏云平臺公布后，有部分用戶用于娛樂。而如家等酒店的開房信息泄露，更是在全國引起了瘋狂的下載、查詢開房信息風波。

這引發(fā)了人們的追問：烏云網是否應該將漏洞公布于眾？根據孟德的說法，在廠商未確認或駁回前，公眾不會看到漏洞的具體細節(jié)，黑客很難根據這些消息進行違法行為。但一位互聯(lián)網人士也對記者稱：“如果黑客對此有興趣，那么只要知道企業(yè)名字和大概漏洞消息源頭，侵入這個企業(yè)并不是難事。”該人士表示，從他的觀察來看，烏云網上的眾多待確認和剛提交的漏洞，甚至涉及到各個政府部門的安全問題，雖然沒有具體細節(jié)，但仍然讓外界用戶感到吃驚。

“廠商前方百計要把影響降到最低，要么否認、駁回其漏洞，要么乖乖和烏云網進行合作。而烏云網則千方百計想要炒作自己，虧大自己的影響。”“老K”說，而白帽子，也有自己的訴求，或為了名，或為了利，因此如果提交給廠商被駁回，一般都會提交到烏云網。

對此，一位不愿透露姓名的某互聯(lián)網企業(yè)高層人士對記者稱，對于烏云網，他們也是頗為無奈。一方面，企業(yè)有自己的安全數據中心，隨時在對企業(yè)網站進行測試；另一方面，烏云網亦不時公布些聳人聽聞的消息，炒作自己在業(yè)界的權威，不理睬也不行——但事實上，那些引起熱議的泄露事件，其漏洞早在幾個月前就已修復。

對于是否炒作的說法，孟德對此并不否認?！斑@其實是國內互聯(lián)網輿論的一個怪圈 ，只要是曝光率比較高， 或因為什么比較熱門了 ，就可能會被認為是自我炒作 ，烏云現(xiàn)在也在經歷這個怪圈而已。”

按照烏云聯(lián)合創(chuàng)始人，原百度安全架構師“劍心”在知乎的說法，烏云網得到“除了騰訊這樣的封閉企業(yè)的認可?！睂Υ艘晃恢槿耸繉τ浾叻Q，騰訊是唯一不對烏云網上的白帽子送禮物或獎勵的廠商，相對應的，烏云網上公布問題最多的企業(yè)也是騰訊——根據記者不完全統(tǒng)計，烏云網公不的騰訊各種安全問題多達數百個。

送禮物或獎勵，是廠商給予提交漏洞的白帽子一種報酬。這種模式在美國很常見，去年，微軟還設立了一項20萬美元的獎項，懸賞能夠解決Windows操作系統(tǒng)中存在的內存漏洞的人；Google、Mozilla、Facebook等則向發(fā)現(xiàn)本公司產品安全漏洞的研究人員，提供最低500美元的獎金。

但在國內，由于廠商對提交漏洞者的輕視或偏見，向第三方漏洞平臺給予豐厚獎勵的比較少(360、騰訊、新浪等企業(yè)對自己漏洞收集平臺則有獎勵規(guī)定)，大多是T恤衫、筆、水杯等等紀念禮物。烏云網一名“白帽子”、在紐約證券交易所一家美國上市公司就職的一位企業(yè)架構師由于在烏云網發(fā)布了一條小米網的安全漏洞，小米公司贈送了他一部小米手機以示謝意就讓他深感滿意。孟德認為，實際上，在相對“白帽子”花費不少精力找到的漏洞來說，這點激勵也算不上什么。

但是廠商也有自己的委屈?！耙皇菗穆┒葱畔⒔o自己帶來負面影響，二是各家企業(yè)漏洞都不少，開了獎勵先河后，成千上萬名黑客都盯著自己的漏洞。”上述互聯(lián)網高層人士對記者稱。

一次提交，就是一次侵入

白帽子的反思：黑亦白，白亦黑。烏云上的白帽子，真的是白帽子？

“客觀來說，烏云網解決了許多問題，如黑客與廠商之間的信任問題，減少了溝通上的時間成本，降低了終端客戶可能面臨的安全風險。”一位互聯(lián)網安全觀察人士對記者稱，但一個重要問題是，數千名白帽子是如何發(fā)現(xiàn)各個行業(yè)、各大企業(yè)網站漏洞的？即便漏洞真實存在，獲得漏洞的過程是否合法？

11月18日，某科技公司人士“yuange1975”的一條微博引起熱議：這些人膽子比較大哈，這種事情不要拿自己的命來成就別人。雖然我不贊成廠商因此抓這些人，但是如果真要抓人分分鐘鐘的事情。

這條引起眾多業(yè)內人士關注的消息是——11月17日，名為“NILIU"的白帽子在烏云網上提交了一個名為“某銀行某分行管理系統(tǒng)命令執(zhí)行導致服務器淪陷”的漏洞，盡管該漏洞并未公布詳細細節(jié)，但還是引起業(yè)內的關注與擔心。

“誰給你授權測試該網站漏洞了？你是通過什么方式得到的該漏洞？如果要根據該漏洞抓你，那也是有根有據。”網友“網路游俠”如此評論，悄悄的黑站，吆喝的不要。發(fā)現(xiàn)漏洞的過程，很多時候也是違法的過程。

“黑亦白，白亦黑。烏云的白帽子，真的是白帽子？很多白帽子的測試滲透過程，完全就是一系列的入侵、破壞和信息盜取行為?！痹隍v訊微博，認證為“烏云平臺白帽子成員”的于小葵發(fā)微博進行反思。

“自己所提交到烏云網的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻擊進行的，根本不可能提前通知相關部門和廠商?！薄袄螷”對此承認，這其實也是一種違法行為?！八^的白帽子，本質就是黑客，只是黑客不好聽，誰都不愿意承認。”

“老K”不愿詳細透露自己采用了哪些手段滲透進企業(yè)內網，獲得了企業(yè)的漏洞，但他表示很多入侵思路都來自烏云網——實際上，烏云網除了是第三方漏洞提交平臺，還是一個獲取漏洞學習交流研究平臺。這些攻略一部分只有白帽子可見，另一部分則對公眾公開。比如在2013年11月22日，烏云網就公布了一份《我是這樣搞定全省萬象網吧的》，萬象網吧原為盛大旗下子公司，后被盛大出售給杭州順網科技，盡管該漏洞測試時間是今年2月，但其中攻擊步驟、方式、操作手段都無比詳細，從中可以看出該漏洞的獲得本身就是一次違法入侵行為。

一些高調的白帽子則現(xiàn)身說事。去年10月19日，一位叫“only_guest”的知名白帽子在烏云網發(fā)《微信任意用戶密碼修改漏洞》的技術帖，稱通過利用微信賬號安全的設置漏洞，成功地破解了多位名人的微信賬號和手機號，并公布為證。

截圖顯示該名白帽子在成功破解柳巖、馬化騰的微信賬號前，選擇修改了兩個人微信賬號密碼，一個是明星柳巖的經紀人，一個是騰訊的某位高管，并通過這兩位的微信賬號獲取了柳巖和馬化騰的微信號或QQ號，甚至用該名騰訊高管的號碼給馬化騰發(fā)了消息。

因此，獲取漏洞本身就是一次黑客的入侵過程?！拔覀兘洺？梢钥吹剑瑸踉凭W上一些白帽子為了提交漏洞，而經常滲透進企業(yè)內網的過程。挖個漏洞需要上傳真實的shell，進入內網轉一圈嗎？你看到別人家房門沒有關，然后你就跑進去給熟睡的女主人拍了幾張裸照，然后發(fā)到她的郵箱里面說，你家門沒有關，你看這個照片就是證明，然后你還評論了一下，女主人的屁股還挺白。你讓人家情以何堪？”XMD5解密網站長汪利輝在《白帽子看過來，漏洞平臺那點事》中表示，白帽子測試的目標網站誰給你授權了？真出了問題，沒有人給擔著的。如果烏云如不能正確引導這些白帽子，估計會有某些白帽子哭的一天。

“不處理好授權問題，提交到烏云的漏洞報告就可能成為入侵證據?！蔽錆h大學計算機學院副教授、信息安全博士彭國軍說。

“對此烏云網也心知肚明，因此在聲明上做了風險規(guī)避，提交漏洞的事情和烏云沒有任何關系。”“老K”說。根據烏云網的信息安全和保護聲明，白帽子注冊必須通過郵件驗證，對于提交虛假漏洞信息的用戶在證實后，烏云網將根據情況扣除用戶的Rank甚至直接刪除用戶。同時，烏云網也強調，對于白帽子研究漏洞的方法、方式、工具及手段的合法性，烏云網對此不承擔任何法律責任。

11月19日，或許是基于業(yè)界的議論，或許是基于其他擔心，提交該漏洞的白帽子“NILIU”在烏云網該漏洞下發(fā)布聲明表示：“此次測試未對系統(tǒng)做任何破壞，未竊取任何數據，只是截圖證明。”

但在律師看來，烏云網的聲明并不能免責?！凹偃鐬踉凭W是一名‘善意的黑客’，其目的僅是為幫助企業(yè)修補漏洞，那么烏云網應該私下就找出的漏洞與企業(yè)溝通，而不是公之于眾。要知道酒店登記入住涉及個人隱私和資料，一旦信息被泄露不僅涉嫌對企業(yè)侵權，也涉嫌對個人侵權，假如客人因此狀告酒店而酒店再以侵權狀告烏云網，那么烏云網就會很麻煩?！鄙虾Ｔ瑘A律師事務所陳軍律師分析。

或許，更為嚴重的是，由于烏云網對“白帽子”真實身份難以確定，像“老K”這樣的“白帽子”，神秘身份背后到底是什么？是否競爭對手的惡意攻擊行為？是否會發(fā)布虛假漏洞消息？對于心懷叵測的黑客來說，是否偽裝成白帽子潛伏其中，伺機而動？

這并非杞人憂天。2011年12月29日，烏云網宣布暫停服務，對系統(tǒng)做短暫的升級，原因是“頻繁披露的安全事件及帶來的影響——根據國家互聯(lián)網信息辦披露，CSDN、天涯網站被入侵事件也同樣是因為網友的個人行為，調查發(fā)現(xiàn)，網名“臭小子”的許某某出于個人炫耀的目的，于去年12月4日在烏云網上發(fā)帖稱CSDN等網站數據密碼被泄露，并公布泄露的數據包截圖。此外，一些白帽子甚至以信息泄露相要挾索要利益，烏云網白帽子“我心飛翔”就因涉嫌敲詐勒索京東商城被刑事拘留。

河南億恩科技股份有限公司(1tcdy.com)始創(chuàng)于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900