運(yùn)營(yíng)推廣

Website development

揭秘烏云網(wǎng)：中國(guó)最大的黑客培訓(xùn)基地？

發(fā)布時(shí)間：2014-05-04 18:01:46

TAGS：

揭秘烏云網(wǎng)：中國(guó)大的黑客培訓(xùn)基地？

10月10日，如家等酒店開(kāi)房信息泄露；10月29日，來(lái)往被指存漏洞波及支付寶；11月5日，搜狗瀏覽器被曝存在重大安全漏洞；11月20日，騰訊7000萬(wàn)QQ群用戶數(shù)據(jù)被指泄露；11月26日，360出現(xiàn)任意用戶修改密碼漏洞；甚至連相關(guān)部門(mén)網(wǎng)站漏洞也被公布....。.

一系列泄露事件讓人們?nèi)巳俗晕?，也讓公布這一系列泄密事件的烏云網(wǎng)聲名鵲起。人們?cè)谡痼@相關(guān)企業(yè)不負(fù)責(zé)任同時(shí)，也對(duì)烏云網(wǎng)充滿了好奇：這是怎樣的一個(gè)平臺(tái)，背后又是一個(gè)怎樣的隱秘江湖？

“白帽子”聚集的黑客基地

“老K”說(shuō)：自己是一名重塑黑客理想的白帽子

11月15日，某咖啡廳。

距與“老K”約定的時(shí)間已過(guò)去了半個(gè)小時(shí)，記者用手機(jī)QQ給他發(fā)去一條消息：“到了么？”

“堵車快到了，還有幾分鐘。”“老K”回復(fù)。

又過(guò)了半個(gè)小時(shí)，“老K”仍未出現(xiàn)。又過(guò)了十分鐘，記者收到了一條“老K”發(fā)來(lái)的消息：“抱歉，我剛才在咖啡廳外徘徊了很久，想了想，還是QQ上交流比較好吧。”

“在這個(gè)圈子，真實(shí)身份是個(gè)秘密。除非完全信任你，否則不會(huì)告訴你全部。”對(duì)“老K”所在圈子有很深了解的本報(bào)網(wǎng)絡(luò)工程師“董師傅”對(duì)記者說(shuō)。

對(duì)普通用戶而言，“老K”所在圈子是一個(gè)很隱秘的江湖——“老K”在一家網(wǎng)絡(luò)公司工作，表面上和普通人沒(méi)什么區(qū)別。但晚上，他就成了某高手云集的黑客團(tuán)隊(duì)里重要一員，網(wǎng)名就是他的身份代表，通常只用QQ和外界交流。

2010年，“老K”第一次將某個(gè)網(wǎng)站改了主頁(yè)，插入圖片與音樂(lè)，“與利益無(wú)關(guān)，那感覺(jué)很興奮。”老K說(shuō)他們與販賣(mài)數(shù)據(jù)的傳統(tǒng)黑客不同，“我們的理想是重塑黑客精神。”“老K”把自己稱為黑客中的“白帽子”，他現(xiàn)在的樂(lè)趣在于尋找、測(cè)試和捕捉各大企業(yè)的安全漏洞，然后提交給第三方漏洞平臺(tái)烏云網(wǎng)。

“我有自己正當(dāng)?shù)墓ぷ?，不靠那個(gè)牟利。”“老K”在烏云網(wǎng)上的等級(jí)是普通白帽子，2012年至今，他已在該平臺(tái)上提交了20多條漏洞，大部分在廠商確認(rèn)都已公開(kāi)，涉及電信、傳統(tǒng)IT廠商、證券網(wǎng)站。“找到漏洞，就是要找尋所謂的后門(mén)，即作為“開(kāi)門(mén)鑰匙”的用戶名和密碼。”

在普通公眾心中，神秘和危險(xiǎn)是黑客的代名詞。但在黑客界，所有黑客被歸為三種類型：白帽子、黑帽子、灰帽子。像老K這樣“重塑黑客理想、不惡意利用而且公不漏洞”的就是白帽子?；颐弊由瞄L(zhǎng)攻擊技術(shù)，但不輕易造成破壞。而黑帽子則是以盜取信息牟利為生。

很難統(tǒng)計(jì)目前中國(guó)有多少活躍的黑客，但公布一系列泄密事件的烏云網(wǎng)，正是集結(jié)網(wǎng)絡(luò)白帽子的主要力量。據(jù)記者不完全統(tǒng)計(jì)，目前至少有4000多名白帽子活躍在烏云網(wǎng)上。“這些白帽子身份很復(fù)雜，有各大公司的網(wǎng)絡(luò)安全工程師，有黑帽子洗白的，有IT從業(yè)人員，也有白領(lǐng)、律師甚至廚師。”“老K”說(shuō)。“可以說(shuō)，烏云網(wǎng)聚集了全國(guó)多的黑客，也是烏云網(wǎng)讓白帽子這個(gè)詞語(yǔ)火爆起來(lái)。”

“烏云網(wǎng)就是一個(gè)黑客聚集之地。”2011年底，在接受某媒體采訪時(shí)，化名的烏云網(wǎng)組織者“WooYun”也如此表示，這些黑客中的白帽子挖掘網(wǎng)站中的安全漏洞，在“黑帽子”利用它們之前，提交到平臺(tái)上，或者向廠商報(bào)告，使廠商及時(shí)進(jìn)行修復(fù)。

“烏云之前，全是黑的”

烏云網(wǎng)聯(lián)合創(chuàng)始人孟德說(shuō)：在烏云之前，(安全界)全是黑的

根據(jù)記者不完全統(tǒng)計(jì)數(shù)據(jù)，烏云網(wǎng)首頁(yè)“新公開(kāi)”的安全問(wèn)題達(dá)1.5萬(wàn)個(gè)，“新確認(rèn)”漏洞近1千個(gè)，11月25日至11月28日提交的漏洞也有30多個(gè)。從記者觀察來(lái)看，這些漏洞所涉領(lǐng)域中繁多，除了傳統(tǒng)的聯(lián)想、騰訊、中國(guó)移動(dòng)等多家IT企業(yè)，還有中科院、各大銀行、國(guó)家航空、海關(guān)系統(tǒng)甚至政府各部門(mén)官方網(wǎng)站等核心網(wǎng)站。

“這些漏洞來(lái)源均來(lái)自民間安全研究人員，漏洞提交上來(lái)后平臺(tái)會(huì)進(jìn)行一個(gè)簡(jiǎn)單的驗(yàn)證，確定后就轉(zhuǎn)交給各個(gè)企業(yè)在烏云的的安全接口人進(jìn)行確認(rèn)，廠商對(duì)其真實(shí)性負(fù)責(zé)。”孟德說(shuō)。

烏云網(wǎng)(WooYun)成立于2010年5月，主要?jiǎng)?chuàng)始人為百度前安全專家方小頓——這位1987年出生的國(guó)內(nèi)知名黑客“劍心”，因在2010年2月和李彥宏一道參加湖南衛(wèi)視《天天向上》節(jié)目，因?yàn)榕迅吒枰皇锥鵀槿怂４撕?，方小頓聯(lián)合幾位安全界人士成立了烏云網(wǎng)，其目標(biāo)是成為“自由平等的”的漏洞報(bào)告平臺(tái)，為計(jì)算機(jī)廠商和安全研究者提供技術(shù)上的各種參考以及漏洞bug的修復(fù)。

“烏云之前，你當(dāng)他(安全界)全是黑的好了。因?yàn)闆](méi)有合理的漏洞提交渠道，一個(gè)所謂的善良黑客要提交漏洞可能會(huì)被廠商威脅。”10月21日，烏云網(wǎng)對(duì)外發(fā)言人孟德對(duì)記者說(shuō)，烏云網(wǎng)的創(chuàng)立初衷之一是在廠商和白帽子之間建立一個(gè)溝通平臺(tái)。

孟德，和活躍在烏云上的白帽子一樣，他更愿意讓人們叫他的網(wǎng)名“瘋狗”。自稱為業(yè)余滲透師，web安全愛(ài)好者。擁有9年互聯(lián)網(wǎng)安全經(jīng)歷，烏云網(wǎng)聯(lián)合創(chuàng)始人。

孟德如此描述烏云網(wǎng)對(duì)國(guó)內(nèi)安全界的重大貢獻(xiàn)：“有了烏云之后呢，我們會(huì)告訴大家，漏洞你別亂發(fā)，我們幫你跟廠商溝通，培養(yǎng)漏洞先給廠商的習(xí)慣.....。.把平臺(tái)上的白帽子們思想和習(xí)慣給規(guī)范化、合理化......。.變成一支互聯(lián)網(wǎng)安全的中堅(jiān)力量。”

根據(jù)孟德的說(shuō)法，現(xiàn)在烏云網(wǎng)員工都是“兼職”行為，由企業(yè)與合作伙伴的朋友共同支撐。“我們并不是一個(gè)組織，只是一個(gè)平臺(tái)聚集了一些愛(ài)好安全技術(shù)的人。很多白帽子都來(lái)這里分享漏洞，也只有得到核實(shí)并已經(jīng)采取防范措施解決問(wèn)題后才會(huì)被公開(kāi)。”孟德說(shuō)，此前由于溝通渠道的缺乏，“白帽子”即使發(fā)現(xiàn)了漏洞也很難將信息傳遞給網(wǎng)站，而網(wǎng)站也根本無(wú)法顧及散落在互聯(lián)網(wǎng)各地的漏洞信息，終導(dǎo)致一些漏洞被人遺忘，未得到修復(fù)而造成損失。

烏云網(wǎng)一炮打響是在2011年底——當(dāng)年11月，烏云網(wǎng)根據(jù)白帽子提供的各種材料，連續(xù)披露京東商城、支付寶、網(wǎng)易等著名互聯(lián)網(wǎng)企業(yè)存在高危漏洞，12月29日更是指出支付寶1500萬(wàn)至2500萬(wàn)用戶資料泄露，以及廣東省公安廳出入境政務(wù)網(wǎng)444萬(wàn)用戶信息泄露。

而此后，如家酒店等開(kāi)房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數(shù)據(jù)、騰訊7000萬(wàn)QQ群用戶數(shù)據(jù)泄露等一系列引起關(guān)注的泄漏事件均由烏云網(wǎng)公布。

三方暗戰(zhàn)的江湖

對(duì)于烏云網(wǎng)、廠商、白帽子而言，三者間亦是一個(gè)不為公眾所知的暗戰(zhàn)江湖。

根據(jù)《烏云網(wǎng)漏洞審核機(jī)制改進(jìn)公告》，普通漏洞披露流程為5天廠商確認(rèn)期，10天向核心白帽子公開(kāi)其漏洞細(xì)節(jié)，20天向普通白帽子公開(kāi)，30天向?qū)嵙?xí)白帽子公開(kāi)，45天向公眾公開(kāi)其細(xì)節(jié)。“超過(guò)周期廠商無(wú)回應(yīng)，或者在期間內(nèi)否認(rèn)漏洞的真實(shí)性，烏云網(wǎng)一般都會(huì)公開(kāi)其細(xì)節(jié)。”“老K”說(shuō)。

來(lái)自烏云網(wǎng)官方的數(shù)據(jù)顯示，目前有500多家廠商與烏云網(wǎng)有合作或被公布漏洞。對(duì)于烏云網(wǎng)、廠商、白帽子而言，三者間亦是一個(gè)不為公眾所知的暗戰(zhàn)江湖。

“廠商是否應(yīng)該給予烏云網(wǎng)上的白帽子獎(jiǎng)勵(lì)？”10月26日，在京東安全沙龍上，一位參會(huì)者提出了一個(gè)引起熱議的問(wèn)題。1個(gè)月后的11月20日，烏云網(wǎng)公布了一個(gè)“不太聽(tīng)話”的廠商――稱騰訊7000多萬(wàn)QQ群關(guān)系數(shù)據(jù)被泄露，在迅雷快傳很輕易就能找到數(shù)據(jù)下載鏈接。根據(jù)QQ號(hào)，可以查詢到備注姓名、年齡、社交關(guān)系網(wǎng)甚至從業(yè)經(jīng)歷等大量個(gè)人隱私。

一位業(yè)內(nèi)人士還對(duì)記者舉了一個(gè)例子：10月29日，烏云網(wǎng)公布了一個(gè)白帽子提交的漏洞，其標(biāo)題為《“來(lái)往”致淘寶賬號(hào)被破解波及余額寶支付寶》的漏洞消息，稱該漏洞處于等待廠商處理狀態(tài)，也就是說(shuō)，用戶選擇通過(guò)淘寶帳戶登陸來(lái)往后，看到消息時(shí)仍可波及到支付寶余額寶的安全問(wèn)題。“據(jù)我了解，這位白帽子先把漏洞提交給了阿里官方，但阿里官方?jīng)]有理睬，后來(lái)這位白帽子氣不過(guò)，又提交到了烏云網(wǎng)，烏云網(wǎng)則對(duì)其進(jìn)行了公布。”

這個(gè)漏洞消息帶來(lái)的后果之一是——在聲討支付寶安全漏洞的熱議中，根據(jù)媒體報(bào)道，在三元里做服裝生意的楊先生，其銀行賬號(hào)通過(guò)支付寶莫名其妙轉(zhuǎn)走了5萬(wàn)元。隨后一名“黑客”發(fā)來(lái)短信自稱在測(cè)試支付寶漏洞時(shí)所為。

去年2月14日，一位網(wǎng)名為“zazaz”的黑客在國(guó)內(nèi)安全問(wèn)題反饋平臺(tái)烏云上提交漏洞，稱中國(guó)聯(lián)通客服系統(tǒng)存安全隱患，該漏洞在烏云平臺(tái)公布后，有部分用戶用于娛樂(lè)。而如家等酒店的開(kāi)房信息泄露，更是在全國(guó)引起了瘋狂的下載、查詢開(kāi)房信息風(fēng)波。

這引發(fā)了人們的追問(wèn)：烏云網(wǎng)是否應(yīng)該將漏洞公布于眾？根據(jù)孟德的說(shuō)法，在廠商未確認(rèn)或駁回前，公眾不會(huì)看到漏洞的具體細(xì)節(jié)，黑客很難根據(jù)這些消息進(jìn)行違法行為。但一位互聯(lián)網(wǎng)人士也對(duì)記者稱：“如果黑客對(duì)此有興趣，那么只要知道企業(yè)名字和大概漏洞消息源頭，侵入這個(gè)企業(yè)并不是難事。”該人士表示，從他的觀察來(lái)看，烏云網(wǎng)上的眾多待確認(rèn)和剛提交的漏洞，甚至涉及到各個(gè)政府部門(mén)的安全問(wèn)題，雖然沒(méi)有具體細(xì)節(jié)，但仍然讓外界用戶感到吃驚。

“廠商前方百計(jì)要把影響降到低，要么否認(rèn)、駁回其漏洞，要么乖乖和烏云網(wǎng)進(jìn)行合作。而烏云網(wǎng)則千方百計(jì)想要炒作自己，虧大自己的影響。”“老K”說(shuō)，而白帽子，也有自己的訴求，或?yàn)榱嗣?，或?yàn)榱死虼巳绻峤唤o廠商被駁回，一般都會(huì)提交到烏云網(wǎng)。

對(duì)此，一位不愿透露姓名的某互聯(lián)網(wǎng)企業(yè)高層人士對(duì)記者稱，對(duì)于烏云網(wǎng)，他們也是頗為無(wú)奈。一方面，企業(yè)有自己的安全數(shù)據(jù)中心，隨時(shí)在對(duì)企業(yè)網(wǎng)站進(jìn)行測(cè)試；另一方面，烏云網(wǎng)亦不時(shí)公布些聳人聽(tīng)聞的消息，炒作自己在業(yè)界的權(quán)威，不理睬也不行——但事實(shí)上，那些引起熱議的泄露事件，其漏洞早在幾個(gè)月前就已修復(fù)。

對(duì)于是否炒作的說(shuō)法，孟德對(duì)此并不否認(rèn)。“這其實(shí)是國(guó)內(nèi)互聯(lián)網(wǎng)輿論的一個(gè)怪圈，只要是曝光率比較高，或因?yàn)槭裁幢容^熱門(mén)了，就可能會(huì)被認(rèn)為是自我炒作，烏云現(xiàn)在也在經(jīng)歷這個(gè)怪圈而已。”

按照烏云聯(lián)合創(chuàng)始人，原百度安全架構(gòu)師“劍心”在知乎的說(shuō)法，烏云網(wǎng)得到“除了騰訊這樣的封閉企業(yè)的認(rèn)可。”對(duì)此一位知情人士對(duì)記者稱，騰訊是唯一不對(duì)烏云網(wǎng)上的白帽子送禮物或獎(jiǎng)勵(lì)的廠商，相對(duì)應(yīng)的，烏云網(wǎng)上公布問(wèn)題多的企業(yè)也是騰訊——根據(jù)記者不完全統(tǒng)計(jì)，烏云網(wǎng)公不的騰訊各種安全問(wèn)題多達(dá)數(shù)百個(gè)。

1 2 下一頁(yè)

原創(chuàng)不易，未經(jīng)授權(quán)，嚴(yán)禁轉(zhuǎn)載

原文地址：http://www.mpian.cn/web/extension/2014-05-04/3641.html

上一篇：一個(gè)網(wǎng)絡(luò)貸款平臺(tái)的非正常死亡

下一篇：國(guó)美在線涉足藝術(shù)品領(lǐng)域：國(guó)之美正式運(yùn)營(yíng)