揭秘烏云網(wǎng)：中國最大的黑客培訓基地？

10月10日，如家等酒店開房信息泄露；10月29日，來往被指存漏洞波及支付寶；11月5日，搜狗瀏覽器被曝存在重大安全漏洞；11月20日，騰訊7000萬QQ群用戶數(shù)據(jù)被指泄露；11月26日，360出現(xiàn)任意用戶修改密碼漏洞；甚至連相關部門網(wǎng)站漏洞也被公布....。.

一系列泄露事件讓人們?nèi)巳俗晕＃�也讓公布這一系列泄密事件的烏云網(wǎng)聲名鵲起。人們在震驚相關企業(yè)不負責任同時，也對烏云網(wǎng)充滿了好奇：這是怎樣的一個平臺，背后又是一個怎樣的隱秘江湖？

“白帽子”聚集的黑客基地

“老K”說：自己是一名重塑黑客理想的白帽子

11月15日，某咖啡廳。

距與“老K”約定的時間已過去了半個小時，記者用手機QQ給他發(fā)去一條消息：“到了么？”

“堵車快到了，還有幾分鐘。”“老K”回復。

又過了半個小時，“老K”仍未出現(xiàn)。又過了十分鐘，記者收到了一條“老K”發(fā)來的消息：“抱歉，我剛才在咖啡廳外徘徊了很久，想了想，還是QQ上交流比較好吧。”

“在這個圈子，真實身份是個秘密。除非完全信任你，否則不會告訴你全部。”對“老K”所在圈子有很深了解的本報網(wǎng)絡工程師“董師傅”對記者說。

對普通用戶而言，“老K”所在圈子是一個很隱秘的江湖——“老K”在一家網(wǎng)絡公司工作，表面上和普通人沒什么區(qū)別。但晚上，他就成了某高手云集的黑客團隊里重要一員，網(wǎng)名就是他的身份代表，通常只用QQ和外界交流。

2010年，“老K”第一次將某個網(wǎng)站改了主頁，插入圖片與音樂，“與利益無關，那感覺很興奮。”老K說他們與販賣數(shù)據(jù)的傳統(tǒng)黑客不同，“我們的理想是重塑黑客精神。”“老K”把自己稱為黑客中的“白帽子”，他現(xiàn)在的樂趣在于尋找、測試和捕捉各大企業(yè)的安全漏洞，然后提交給第三方漏洞平臺烏云網(wǎng)。

“我有自己正當?shù)墓ぷ�，不靠那個牟利。”“老K”在烏云網(wǎng)上的等級是普通白帽子，2012年至今，他已在該平臺上提交了20多條漏洞，大部分在廠商確認都已公開，涉及電信、傳統(tǒng)IT廠商、證券網(wǎng)站。“找到漏洞，就是要找尋所謂的后門，即作為“開門鑰匙”的用戶名和密碼。”

在普通公眾心中，神秘和危險是黑客的代名詞。但在黑客界，所有黑客被歸為三種類型：白帽子、黑帽子、灰帽子。像老K這樣“重塑黑客理想、不惡意利用而且公不漏洞”的就是白帽子�；颐弊由瞄L攻擊技術，但不輕易造成破壞。而黑帽子則是以盜取信息牟利為生。

很難統(tǒng)計目前中國有多少活躍的黑客，但公布一系列泄密事件的烏云網(wǎng)，正是集結網(wǎng)絡白帽子的主要力量。據(jù)記者不完全統(tǒng)計，目前至少有4000多名白帽子活躍在烏云網(wǎng)上。“這些白帽子身份很復雜，有各大公司的網(wǎng)絡安全工程師，有黑帽子洗白的，有IT從業(yè)人員，也有白領、律師甚至廚師。”“老K”說。“可以說，烏云網(wǎng)聚集了全國最多的黑客，也是烏云網(wǎng)讓白帽子這個詞語火爆起來。”

“烏云網(wǎng)就是一個黑客聚集之地。”2011年底，在接受某媒體采訪時，化名的烏云網(wǎng)組織者“WooYun”也如此表示，這些黑客中的白帽子挖掘網(wǎng)站中的安全漏洞，在“黑帽子”利用它們之前，提交到平臺上，或者向廠商報告，使廠商及時進行修復。

“烏云之前，全是黑的”

烏云網(wǎng)聯(lián)合創(chuàng)始人孟德說：在烏云之前，(安全界)全是黑的

根據(jù)記者不完全統(tǒng)計數(shù)據(jù)，烏云網(wǎng)首頁“最新公開”的安全問題達1.5萬個，“最新確認”漏洞近1千個，11月25日至11月28日提交的漏洞也有30多個。從記者觀察來看，這些漏洞所涉領域中繁多，除了傳統(tǒng)的聯(lián)想、騰訊、中國移動等多家IT企業(yè)，還有中科院、各大銀行、國家航空、海關系統(tǒng)甚至政府各部門官方網(wǎng)站等核心網(wǎng)站。

“這些漏洞來源均來自民間安全研究人員，漏洞提交上來后平臺會進行一個簡單的驗證，確定后就轉(zhuǎn)交給各個企業(yè)在烏云的的安全接口人進行確認，廠商對其真實性負責。”孟德說。

烏云網(wǎng)(WooYun)成立于2010年5月，主要創(chuàng)始人為百度前安全專家方小頓——這位1987年出生的國內(nèi)知名黑客“劍心”，因在2010年2月和李彥宏一道參加湖南衛(wèi)視《天天向上》節(jié)目，因為女友高歌一首而為人所知。此后，方小頓聯(lián)合幾位安全界人士成立了烏云網(wǎng)，其目標是成為“自由平等的”的漏洞報告平臺，為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。

“烏云之前，你當他(安全界)全是黑的好了。因為沒有合理的漏洞提交渠道，一個所謂的善良黑客要提交漏洞可能會被廠商威脅 。”10月21日，烏云網(wǎng)對外發(fā)言人孟德對記者說，烏云網(wǎng)的創(chuàng)立初衷之一是在廠商和白帽子之間建立一個溝通平臺。

孟德，和活躍在烏云上的白帽子一樣，他更愿意讓人們叫他的網(wǎng)名“瘋狗”。自稱為業(yè)余滲透師，web安全愛好者。擁有9年互聯(lián)網(wǎng)安全經(jīng)歷，烏云網(wǎng)聯(lián)合創(chuàng)始人。

孟德如此描述烏云網(wǎng)對國內(nèi)安全界的重大貢獻：“有了烏云之后呢，我們會告訴大家，漏洞你別亂發(fā)，我們幫你跟廠商溝通，培養(yǎng)漏洞先給廠商的習慣.....。把平臺上的白帽子們思想和習慣給規(guī)范化、合理化......。變成一支互聯(lián)網(wǎng)安全的中堅力量。”

根據(jù)孟德的說法，現(xiàn)在烏云網(wǎng)員工都是“兼職”行為，由企業(yè)與合作伙伴的朋友共同支撐。“我們并不是一個組織，只是一個平臺聚集了一些愛好安全技術的人。很多白帽子都來這里分享漏洞，也只有得到核實并已經(jīng)采取防范措施解決問題后才會被公開。”孟德說，此前由于溝通渠道的缺乏，“白帽子”即使發(fā)現(xiàn)了漏洞也很難將信息傳遞給網(wǎng)站，而網(wǎng)站也根本無法顧及散落在互聯(lián)網(wǎng)各地的漏洞信息，最終導致一些漏洞被人遺忘，未得到修復而造成損失。

烏云網(wǎng)一炮打響是在2011年底——當年11月，烏云網(wǎng)根據(jù)白帽子提供的各種材料，連續(xù)披露京東商城、支付寶、網(wǎng)易等著名互聯(lián)網(wǎng)企業(yè)存在高危漏洞，12月29日更是指出支付寶1500萬至2500萬用戶資料泄露，以及廣東省公安廳出入境政務網(wǎng)444萬用戶信息泄露。

而此后，如家酒店等開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數(shù)據(jù)、騰訊7000萬QQ群用戶數(shù)據(jù)泄露等一系列引起關注的泄漏事件均由烏云網(wǎng)公布。

三方暗戰(zhàn)的江湖

對于烏云網(wǎng)、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰(zhàn)江湖。

根據(jù)《烏云網(wǎng)漏洞審核機制改進公告》，普通漏洞披露流程為5天廠商確認期，10天向核心白帽子公開其漏洞細節(jié)，20天向普通白帽子公開，30天向?qū)嵙暟酌弊庸�開，45天向公眾公開其細節(jié)。“超過周期廠商無回應，或者在期間內(nèi)否認漏洞的真實性，烏云網(wǎng)一般都會公開其細節(jié)。”“老K”說。

來自烏云網(wǎng)官方的數(shù)據(jù)顯示，目前有500多家廠商與烏云網(wǎng)有合作或被公布漏洞。對于烏云網(wǎng)、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰(zhàn)江湖。

“廠商是否應該給予烏云網(wǎng)上的白帽子獎勵？”10月26日，在京東安全沙龍上，一位參會者提出了一個引起熱議的問題。1個月后的11月20日，烏云網(wǎng)公布了一個“不太聽話”的廠商――稱騰訊7000多萬QQ群關系數(shù)據(jù)被泄露，在迅雷快傳很輕易就能找到數(shù)據(jù)下載鏈接。根據(jù)QQ號，可以查詢到備注姓名、年齡、社交關系網(wǎng)甚至從業(yè)經(jīng)歷等大量個人隱私。

一位業(yè)內(nèi)人士還對記者舉了一個例子：10月29日，烏云網(wǎng)公布了一個白帽子提交的漏洞，其標題為《“來往”致淘寶賬號被破解 波及余額寶支付寶》的漏洞消息，稱該漏洞處于等待廠商處理狀態(tài)，也就是說，用戶選擇通過淘寶帳戶登陸來往后，看到消息時仍可波及到支付寶余額寶的安全問題。“據(jù)我了解，這位白帽子先把漏洞提交給了阿里官方，但阿里官方?jīng)]有理睬，后來這位白帽子氣不過，又提交到了烏云網(wǎng)，烏云網(wǎng)則對其進行了公布。”

這個漏洞消息帶來的后果之一是——在聲討支付寶安全漏洞的熱議中，根據(jù)媒體報道，在三元里做服裝生意的楊先生，其銀行賬號通過支付寶莫名其妙轉(zhuǎn)走了5萬元。隨后一名“黑客”發(fā)來短信自稱在測試支付寶漏洞時所為。

去年2月14日，一位網(wǎng)名為“zazaz”的黑客在國內(nèi)安全問題反饋平臺烏云上提交漏洞，稱中國聯(lián)通客服系統(tǒng)存安全隱患，該漏洞在烏云平臺公布后，有部分用戶用于娛樂。而如家等酒店的開房信息泄露，更是在全國引起了瘋狂的下載、查詢開房信息風波。

這引發(fā)了人們的追問：烏云網(wǎng)是否應該將漏洞公布于眾？根據(jù)孟德的說法，在廠商未確認或駁回前，公眾不會看到漏洞的具體細節(jié)，黑客很難根據(jù)這些消息進行違法行為。但一位互聯(lián)網(wǎng)人士也對記者稱：“如果黑客對此有興趣，那么只要知道企業(yè)名字和大概漏洞消息源頭，侵入這個企業(yè)并不是難事。”該人士表示，從他的觀察來看，烏云網(wǎng)上的眾多待確認和剛提交的漏洞，甚至涉及到各個政府部門的安全問題，雖然沒有具體細節(jié)，但仍然讓外界用戶感到吃驚。

“廠商前方百計要把影響降到最低，要么否認、駁回其漏洞，要么乖乖和烏云網(wǎng)進行合作。而烏云網(wǎng)則千方百計想要炒作自己，虧大自己的影響。”“老K”說，而白帽子，也有自己的訴求，或為了名，或為了利，因此如果提交給廠商被駁回，一般都會提交到烏云網(wǎng)。

對此，一位不愿透露姓名的某互聯(lián)網(wǎng)企業(yè)高層人士對記者稱，對于烏云網(wǎng)，他們也是頗為無奈。一方面，企業(yè)有自己的安全數(shù)據(jù)中心，隨時在對企業(yè)網(wǎng)站進行測試；另一方面，烏云網(wǎng)亦不時公布些聳人聽聞的消息，炒作自己在業(yè)界的權威，不理睬也不行——但事實上，那些引起熱議的泄露事件，其漏洞早在幾個月前就已修復。

對于是否炒作的說法，孟德對此并不否認。“這其實是國內(nèi)互聯(lián)網(wǎng)輿論的一個怪圈 ，只要是曝光率比較高， 或因為什么比較熱門了 ，就可能會被認為是自我炒作 ，烏云現(xiàn)在也在經(jīng)歷這個怪圈而已。”

按照烏云聯(lián)合創(chuàng)始人，原百度安全架構師“劍心”在知乎的說法，烏云網(wǎng)得到“除了騰訊這樣的封閉企業(yè)的認可。”對此一位知情人士對記者稱，騰訊是唯一不對烏云網(wǎng)上的白帽子送禮物或獎勵的廠商，相對應的，烏云網(wǎng)上公布問題最多的企業(yè)也是騰訊——根據(jù)記者不完全統(tǒng)計，烏云網(wǎng)公不的騰訊各種安全問題多達數(shù)百個。

送禮物或獎勵，是廠商給予提交漏洞的白帽子一種報酬。這種模式在美國很常見，去年，微軟還設立了一項20萬美元的獎項，懸賞能夠解決Windows操作系統(tǒng)中存在的內(nèi)存漏洞的人；Google、Mozilla、Facebook等則向發(fā)現(xiàn)本公司產(chǎn)品安全漏洞的研究人員，提供最低500美元的獎金。

但在國內(nèi)，由于廠商對提交漏洞者的輕視或偏見，向第三方漏洞平臺給予豐厚獎勵的比較少(360、騰訊、新浪等企業(yè)對自己漏洞收集平臺則有獎勵規(guī)定)，大多是T恤衫、筆、水杯等等紀念禮物。烏云網(wǎng)一名“白帽子”、在紐約證券交易所一家美國上市公司就職的一位企業(yè)架構師由于在烏云網(wǎng)發(fā)布了一條小米網(wǎng)的安全漏洞，小米公司贈送了他一部小米手機以示謝意就讓他深感滿意。孟德認為，實際上，在相對“白帽子”花費不少精力找到的漏洞來說，這點激勵也算不上什么。

但是廠商也有自己的委屈。“一是擔心漏洞信息給自己帶來負面影響，二是各家企業(yè)漏洞都不少，開了獎勵先河后，成千上萬名黑客都盯著自己的漏洞。”上述互聯(lián)網(wǎng)高層人士對記者稱。

一次提交，就是一次侵入

白帽子的反思：黑亦白，白亦黑。烏云上的白帽子，真的是白帽子？

“客觀來說，烏云網(wǎng)解決了許多問題，如黑客與廠商之間的信任問題，減少了溝通上的時間成本，降低了終端客戶可能面臨的安全風險。”一位互聯(lián)網(wǎng)安全觀察人士對記者稱，但一個重要問題是，數(shù)千名白帽子是如何發(fā)現(xiàn)各個行業(yè)、各大企業(yè)網(wǎng)站漏洞的？即便漏洞真實存在，獲得漏洞的過程是否合法？

11月18日，某科技公司人士“yuange1975”的一條微博引起熱議：這些人膽子比較大哈，這種事情不要拿自己的命來成就別人。雖然我不贊成廠商因此抓這些人，但是如果真要抓人分分鐘鐘的事情。

這條引起眾多業(yè)內(nèi)人士關注的消息是——11月17日，名為“NILIU"的白帽子在烏云網(wǎng)上提交了一個名為“某銀行某分行管理系統(tǒng)命令執(zhí)行導致服務器淪陷”的漏洞，盡管該漏洞并未公布詳細細節(jié)，但還是引起業(yè)內(nèi)的關注與擔心。

“誰給你授權測試該網(wǎng)站漏洞了？你是通過什么方式得到的該漏洞？如果要根據(jù)該漏洞抓你，那也是有根有據(jù)。”網(wǎng)友“網(wǎng)路游俠”如此評論，悄悄的黑站，吆喝的不要。發(fā)現(xiàn)漏洞的過程，很多時候也是違法的過程。

“黑亦白，白亦黑。烏云的白帽子，真的是白帽子？很多白帽子的測試滲透過程，完全就是一系列的入侵、破壞和信息盜取行為。”在騰訊微博，認證為“烏云平臺白帽子成員”的于小葵發(fā)微博進行反思。

“自己所提交到烏云網(wǎng)的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻擊進行的，根本不可能提前通知相關部門和廠商。”“老K”對此承認，這其實也是一種違法行為。“所謂的白帽子，本質(zhì)就是黑客，只是黑客不好聽，誰都不愿意承認。”

“老K”不愿詳細透露自己采用了哪些手段滲透進企業(yè)內(nèi)網(wǎng)，獲得了企業(yè)的漏洞，但他表示很多入侵思路都來自烏云網(wǎng)——實際上，烏云網(wǎng)除了是第三方漏洞提交平臺，還是一個獲取漏洞學習交流研究平臺。這些攻略一部分只有白帽子可見，另一部分則對公眾公開。比如在2013年11月22日，烏云網(wǎng)就公布了一份《我是這樣搞定全省萬象網(wǎng)吧的(網(wǎng)吧滲透測試實例，超詳細)》，萬象網(wǎng)吧原為盛大旗下子公司，后被盛大出售給杭州順網(wǎng)科技，盡管該漏洞測試時間是今年2月，但其中攻擊步驟、方式、操作手段都無比詳細，從中可以看出該漏洞的獲得本身就是一次違法入侵行為。

一些高調(diào)的白帽子則現(xiàn)身說事。去年10月19日，一位叫“only_guest”的知名白帽子在烏云網(wǎng)發(fā)《微信任意用戶密碼修改漏洞》的技術帖，稱通過利用微信賬號安全的設置漏洞，成功地破解了多位名人的微信賬號和手機號，并公布為證。

截圖顯示該名白帽子在成功破解柳巖、馬化騰的微信賬號前，選擇修改了兩個人微信賬號密碼，一個是明星柳巖的經(jīng)紀人，一個是騰訊的某位高管，并通過這兩位的微信賬號獲取了柳巖和馬化騰的微信號或QQ號，甚至用該名騰訊高管的號碼給馬化騰發(fā)了消息。

因此，獲取漏洞本身就是一次黑客的入侵過程。“我們經(jīng)�？梢钥吹�，烏云網(wǎng)上一些白帽子為了提交漏洞，而經(jīng)常滲透進企業(yè)內(nèi)網(wǎng)的過程。挖個漏洞需要上傳真實的shell，進入內(nèi)網(wǎng)轉(zhuǎn)一圈嗎？你看到別人家房門沒有關，然后你就跑進去給熟睡的女主人拍了幾張裸照，然后發(fā)到她的郵箱里面說，你家門沒有關，你看這個照片就是證明，然后你還評論了一下，女主人的屁股還挺白。你讓人家情以何堪？”XMD5解密網(wǎng)站長汪利輝在《白帽子看過來，漏洞平臺那點事》中表示，白帽子測試的目標網(wǎng)站誰給你授權了？真出了問題，沒有人給擔著的。如果烏云如不能正確引導這些白帽子，估計會有某些白帽子哭的一天。

“不處理好授權問題，提交到烏云的漏洞報告就可能成為入侵證據(jù)。”武漢大學計算機學院副教授、信息安全博士彭國軍說。

“對此烏云網(wǎng)也心知肚明，因此在聲明上做了風險規(guī)避，提交漏洞的事情和烏云沒有任何關系。”“老K”說。根據(jù)烏云網(wǎng)的信息安全和保護聲明，白帽子注冊必須通過郵件驗證，對于提交虛假漏洞信息的用戶在證實后，烏云網(wǎng)將根據(jù)情況扣除用戶的Rank甚至直接刪除用戶。同時，烏云網(wǎng)也強調(diào)，對于白帽子研究漏洞的方法、方式、工具及手段的合法性，烏云網(wǎng)對此不承擔任何法律責任。

11月19日，或許是基于業(yè)界的議論，或許是基于其他擔心，提交該漏洞的白帽子“NILIU”在烏云網(wǎng)該漏洞下發(fā)布聲明表示：“此次測試未對系統(tǒng)做任何破壞，未竊取任何數(shù)據(jù)，只是截圖證明。”

但在律師看來，烏云網(wǎng)的聲明并不能免責。“假如烏云網(wǎng)是一名‘善意的黑客’，其目的僅是為幫助企業(yè)修補漏洞，那么烏云網(wǎng)應該私下就找出的漏洞與企業(yè)溝通，而不是公之于眾。要知道酒店登記入住涉及個人隱私和資料，一旦信息被泄露不僅涉嫌對企業(yè)侵權，也涉嫌對個人侵權，假如客人因此狀告酒店而酒店再以侵權狀告烏云網(wǎng)，那么烏云網(wǎng)就會很麻煩。”上海袁圓律師事務所陳軍律師分析。

或許，更為嚴重的是，由于烏云網(wǎng)對“白帽子”真實身份難以確定，像“老K”這樣的“白帽子”，神秘身份背后到底是什么？是否競爭對手的惡意攻擊行為？是否會發(fā)布虛假漏洞消息？對于心懷叵測的黑客來說，是否偽裝成白帽子潛伏其中，伺機而動？

這并非杞人憂天。2011年12月29日，烏云網(wǎng)宣布暫停服務，對系統(tǒng)做短暫的升級，原因是“頻繁披露的安全事件及帶來的影響——根據(jù)國家互聯(lián)網(wǎng)信息辦披露，CSDN、天涯網(wǎng)站被入侵事件也同樣是因為網(wǎng)友的個人行為，調(diào)查發(fā)現(xiàn)，網(wǎng)名 “臭小子”的許某某出于個人炫耀的目的，于去年12月4日在烏云網(wǎng)上發(fā)帖稱CSDN等網(wǎng)站數(shù)據(jù)密碼被泄露，并公布泄露的數(shù)據(jù)包截圖。此外，一些白帽子甚至以信息泄露相要挾索要利益，烏云網(wǎng)白帽子“我心飛翔”就因涉嫌敲詐勒索京東商城被刑事拘留。