正如白魔法和黑魔法一样,在黑客领域也要分“白帽子”和“黑帽子”。作为“信息警察”,方小顿在过去8年间都在扮演黑客领域中的“甘道夫”,专门和“伏地魔”对打。近期曝出的携程网“漏洞门”事件,让方小顿以及其创建的网络漏洞报告平台——乌云网再次走到台前。今年刚满27岁的方小顿称他如今已经集结了5000名分散在各个领域的白帽黑客,排查国内各大网站的安全漏洞。方小顿说,“乌云”就是云时代罩在信息小偷和互联网企业头上的一道警示咒,希望每一次拨云见雾都是网络安全的一次进步。
□人物故事
自学成才的黑客达人
2002年,15岁的湖北小伙子方小顿考上了哈尔滨理工大学化学专业。“小时候一直对计算机很感兴趣,大学课余时间多,我就自己研究互联网技术。”在方小顿眼中,技术其实没什么,靠自学就能成专家。“当时网上有很多互联网技术教程和讨论社区,只要肯学,每个人都能成为技术高手,安全技术绝不是学校里能教出来的。”
大学四年,方小顿几乎全都在研究黑客技术。要知道,网络安全从来都是攻防一体,黑客的段位都是通过实战练出来的。所以,方小顿黑过学校的网站,自己做网络技术类的社区网站,当时研究网络技术的小团体之间经常上演技术“火拼”,而方小顿都是主力。“那时候大家互相黑来黑去地比技术,2004年前后,整个互联网还不像现在这样深入每个人的生活,网络安全还只是纯技术性的存在。后来没的黑了,我们就找一些常用的软件漏洞,发现之后告诉开发人员就觉得很有成就感。”
起初因为好玩才做的事,却为方小顿提供了第一份工作,也让他误打误撞成为了真正意义上的网络安全工程师。2006年,即将毕业的方小顿发现了一家软件公司的产品漏洞,当时这家公司服务几十万客户,通过这些客户可以辐射到上亿用户。
“发现漏洞后我就通过互联网社区联系到公司的人,他们听了之后很好奇,邀请我到北京和他们老总聊聊。”方小顿说,“我们相谈甚欢,毕业之后我就进入这家公司,专门负责软件的安全防护工作。”
百度挖角变身安全专家
从某种意义上说,方小顿也是“黑客”,但并不是搅局者。2008年,方小顿在网络安全领域早已如鱼得水,不断有互联网公司前来挖角,而最让方小顿心动的,是百度。
互联网公司的“码农”和“技术猿”们有一个习惯,就是“混社区”。这些大大小小的网上技术社区是中国互联网高手和黑客的集散地,这种组织极其松散,大家都以网名相称,但就是这样的网络论坛却严格地论资排辈。
“在我们的安全社区里,只要你足够优秀,有很多人会推荐你,百度就是通过这个社区找到我的。”方小顿说,当时考虑的是,虽然在软件公司工作了两年,但还没有尝试过面对一个大公司的大平台。“因此我打算换个环境,看看自己在大平台中能不能做好安全技术。”
从2008年进入百度到2011年离开,方小顿在百度一步步做到了高级安全工程师,主要责任是抵御黑客入侵,而百度的安全团队也由最初的五六人发展成为30余人的“黑客防护墙”。
谈到离开百度的原因,方小顿说,主要还是因为理想,想利用自己的技术为更多的互联网公司解决安全问题。“一名白帽子黑客除了要在技术方面感兴趣之外,另一点就是必须拥有一个正能量的理想。”事实上,百度的主体业务是搜索引擎,因而在整个互联网领域具有局限性,对于当时的方小顿来说,百度留给他施展的空间已极为有限。“在百度永远只能做百度的事,整个互联网除了百度还有很大的空间,于是我就想,能不能在更大的空间里做点事。”
掌门乌云一时名声大噪
其实,早在2010年7月,方小顿就联合新浪、360的两个白帽子工程师,一起创立了乌云网,当时创立的目的是为了解决百度以及和百度类似企业的问题。谈到“乌云”名字的来历,方小顿表示,当时云技术发展势头强劲,很多企业都在谈云的便捷、低成本,但其实以前出一个问题只影响一两个用户,使用云技术之后可能影响上千万的人。“乌云就是想告诉大家,云技术是有风险的,乌云就是一个预警。”
鉴于自己做的是得罪人的事,乌云从成立的第一天起就定位为介于白帽子和企业之间的非营利组织。2011年,刚成立一年的乌云网连续披露京东(滚动资讯)、支付宝、网易等著名互联网企业存在高危漏洞。此后,乌云更是指出支付宝2500万用户资料泄露、如家酒店开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列安全问题,几乎战战告捷,一时间乌云名声大噪。
“我们是从一个小的技术圈子里发展起来的,所以最开始只关注大的互联网公司,后来很多白帽子会提交政府部门、大型央企网站的漏洞报告,但作为第三方机构,我们很难和这些机构协调,让他们提供改进信息。”正在方小顿苦于如何解决这一问题的当口,2011年底,工信部下属“国家信息安全漏洞共享平台”的负责人主动找上门来寻求合作,希望乌云能够共享数据信息,由该平台出面推动政府、央企改进系统。
“目前乌云的赞助方有两个:国家信息安全漏洞共享平台和广东省信息安全测评中心,他们会每年定期提供资金,基本能够覆盖我们的成本。”方小顿说,“而借助这两大平台,乌云就成为涵盖互联网公司、金融、大中型企业、政府机构网站的全行业漏洞入口。”
自称工程师不愿做商人
尽管拉来了赞助方,但2011年仍旧是乌云最困难的时期。2011年12月,乌云披露了国内知名技术社区CSDN的600余万用户资料被泄露的消息。数据公开后,很多人利用这一数据攻击其他企业,一时间乌云被广泛质疑。12月29日,乌云网宣布暂时关闭,称今后将选择性披露漏洞以降低影响。半个月之后,重新调整披露规则的乌云网恢复访问。
方小顿说,乌云在创立之初要花很多时间和企业、监管部门解释乌云的作用仅仅相当于安全预警,并不是黑客行为。截至目前,乌云共披露了近5万个网络安全漏洞,包括携程、腾讯、淘宝等知名企业在内的524家厂商在乌云注册。而乌云的技术团队——白帽子也已达到5000名,这些白帽黑客有各大公司的网络安全工程师,有IT从业人员,也有白领、律师甚至厨师。随着知名度的提高,越来越多的人开始接纳乌云。
不过,质疑乌云的声音也不少。黑客圈内有这样一种说法:黑客入侵网站盗取信息后,只要在乌云网向厂商提交漏洞,就可以洗白。在只有获得审核的白帽子才能进入的乌云网非公开论坛上,黑色产业、网赚、网络战争等话题都有专门的讨论板块,乌云一度被指为“中国最大的黑客培训基地”。
面对质疑,方小顿很淡然。“做网络安全的有一个最大的问题就是我们不知道对手在干什么,设立这些讨论区是为了研究黑帽子的技术手段,更好地阻击黑客。”方小顿说,“真正的黑客是不想洗白的,最好不要让任何人知道他做了什么,怎么还会主动通知企业。”
其实,从百度出来创办乌云,方小顿的收入降低不少。虽然暂时不考虑赚钱多少,但方小顿和他的团队还是对未来做了些许商业构想。“现在乌云在发现问题,提供免费的预警信息。未来围绕乌云平台,我们还可以往前走一步,把白帽子和企业联系起来,提供改代码、修复漏洞等解决方案,这部分服务是收费的。”
方小顿坦言,乌云本身绝不会变成一个营利性的安全技术中介,仍会延续在线的公益模式。“我觉得自己仍旧是一个技术员,不是商人。”
■名词解释·白帽黑客
白帽黑客指那些用自己的黑客技术来做“好事”的黑客们,这点和网络安全工程师的性质有点相同。通常,白帽黑客攻击他们自己的系统,或被聘请来攻击客户的系统以便进行安全审查。
□人物素描 现实边缘的理想主义者
初见方小顿是在IT企业聚集的中关村,长发、T恤、人字拖,看起来更像是文艺小青年,而不是黑客技术男。在百度搜索方小顿,传播最广的不是乌云,不是白帽黑客,而是他和李彦宏一起上湖南卫视《天天向上》节目时,给离开他的女朋友唱的那首有点走音的《一无所有》。
方小顿说,曾经自己对技术太过狂热,除了吃饭、睡觉都在网上钻研技术。现在执掌乌云,事务性的工作多了,技术放下不少,唯有仅剩的一点理想从没放下。方小顿的理想是,让网络安全问题更透明,企业能更重视安全,白帽子的工资能提高点儿。
不过,方小顿常说,现在的互联网行业环境不够好,想要实现这样的理想其实挺难。要知道,白帽子和黑帽子的收入差距就是每月收入一万和每天收入一万的差距。“当初做白帽黑客、去百度、做乌云自己都没想到,现在乌云和其他平台要怎么做也并没有完全想好。路是一步步沉淀出来的,不是想出来的,乌云现在就只管做好自己的事。”此时的方小顿又变成了务实的理工男。
>>谈困境
阻力主要来自BAT三巨头
京华时报:乌云这种漏洞披露模式企业认可吗?
方小顿:应该说大部分企业还是很认可的。但也有企业希望大家不要在意安全,放心的用他们的软件,放心的把钱放在他们的账户上,而我们做的事情是希望大家重视安全,因此这种不认可是有的。
京华时报:这种不认可多吗?
方小顿:这种阻力主要来源于BAT(百度、阿里巴巴(滚动资讯)、腾讯)。现在很多企业对发现漏洞的人会提供奖励或奖金,他们的奖金一部分肯定是解决问题,但更多的目的是不希望公众知道有安全问题。我们曝出来的问题他们都没有奖励过,只奖励把问题交给他们、私底下解决的人。
京华时报:既然这样,BAT的人有私下找你们吗?
方小顿:最开始找过,我们没有同意,因为我们定的规则就是不管基于什么原因一定要对用户公开。后来他们改变了策略,就是重金奖励把漏洞问题报给他们的工程师,这个漏洞就对用户封闭了。这里面很好玩。
京华时报:这样是否会给乌云带来一些冲击?
方小顿:会有,但是整个行业现在越来越重视安全了,我们也在想怎么通过更好的方式和BAT对抗。因为只有公众了解漏洞和安全问题,整个行业的动力才会存在,企业才会愿意将资金更多地投入在安全领域,白帽子的生存状态、公众的信息安全都能得到更好保障。以前大家对安全不重视,企业不投入,白帽子的待遇不好,为了生活就会有更多人做黑色产业,我们希望改变这种循环,让企业在面对安全问题的时候信息更透明。
>>谈炒作
有三类人对我们最不满意
京华时报:有人质疑乌云的漏洞披露是为抓眼球的“标题党”,乌云是如何进行内部监管的?
方小顿:我们是特别注意标题的,现在我们有3个人专门负责白帽子们提交上来的漏洞报告的审核和客观化处理。但是有一个矛盾是处理不了的,最近有一个案例,阿里巴巴认为某一个漏洞危险级别很低,但白帽子看了以后觉得不是这么回事,他就把这个问题拿去演示了一下,发现这个问题的危险等级是高。对企业来说肯定是影响越小越好,但对于白帽子来说是越真实越好,这样我们就容易被别人说成是“标题党”。但是45天之后,我们会把漏洞细节全部公开出来,到时候事实摆在这儿,客观与否大家来评判。
京华时报:还有一种质疑认为,乌云很会炒作自己,您怎么看待这种声音?
方小顿:这些声音都来的很蹊跷,企业一定会这么说。阿里、腾讯的公关很强大,这种声音没办法阻止。做什么事都会有人不满意,我们只能做好自己的事。我想说的是,有三类人对我们最不满意:一是希望用户不要重视安全的大企业;第二就是黑色产业,我们直接阻断了很多黑色产业链;第三就是希望通过信息封闭来谋利的企业,例如一些安全公司以前会通过漏洞来恐吓用户,我们公开全部信息,对他们不利。
>>谈奖励
企业给白帽子奖励有监管
京华时报:白帽子告知企业系统漏洞后,很多企业会给奖励对吗?
方小顿:我们是非盈利组织,还是希望做个桥,现在很多企业对白帽子是非常友好的。最近摩登天空音乐节,我们曝出了他们的一个漏洞,主办方愿意出30张门票奖励白帽子。我们只会和对用户知道安全问题持敌视态度的人产生矛盾。
京华时报:这些人就是BAT?怎么平衡?
方小顿:网络社区的方式和商业的方式还是不一样,如果我们是盈利机构那是没办法平衡的。所以乌云和BAT并不是对立的,我们现在也在尝试和他们的高层沟通,但我想还需要很长的时间。
京华时报:企业给的奖励是否有管理机制?
方小顿:通常我们会让企业和白帽子直接联系,给他们寄小礼品。工信部的赞助会定期给一些小奖品,定期可能会出一些书,这些我们都有监管。
>>谈安全
目前国内网络安全才及格
京华时报:您认为国内的网络安全处在什么水平?
方小顿:坦白讲,国内的互联网安全在2011年之前都很差,现在好很多,但跟美国比还有很大差距,只能打个及格分。现在我国的互联网安全还不够公开透明。
京华时报:携程漏洞事件之后,您认为网络安全和使用方便两者之间是否矛盾?
方小顿:不存在本质上的矛盾,可能在具体的方案上有矛盾,但这种矛盾是可以通过其他方案来弥补的。安全和方便之间应该遵循什么样的度呢?我认为如果是涉及钱的,以及个人的核心信息,一定是安全为先。