网易白帽子教程百度云(如何成为白帽子)

   百度SEO    

7月19日深夜,“互联网的那点事”发布的一条微博引爆了科技圈。

截至冰点君发稿,乌云社区宕机时间至少已近20个小时。

几乎同时,企业级互联网测试平台漏洞盒子宣布,暂停接受互联网漏洞与威胁情报。

至此,乌云网和漏洞盒子,这两个被称为黑客界的两顶“白帽子”都暂停了相关服务!

知情人士分析称:乌云和漏洞盒子的整治行动,可能与国内“白帽子”黑客圈子里关注度最高的“袁炜事件”有关联。

袁炜是乌云网上的一名白帽子。2015年12月,他在乌云提交了其发现的婚恋交友网站世纪佳缘的系统漏洞。在世纪佳缘确认、修复了漏洞并按乌云平台惯例向漏洞提交者致谢后,事情突然发生转折。世纪佳缘在一个多月后以“网站数据被非法窃取”为由报警,4月份,袁炜被司法机关逮捕。在不久前的第四届网络安全大会上,袁炜的父亲发出公开信为儿子鸣冤,让袁炜的遭遇成为网络安全圈的热门事件,同时也引发了IT业内关于“白帽子”黑客行为边界的大讨论。

如家等酒店开房信息泄露;

腾讯7000万QQ群用户数据被指泄露;

360出现任意用户修改密码漏洞;

支付宝/余额宝任意登录漏洞……

一系列泄密事件让乌云网声名鹊起。

公众在为数据安全性担心的同时,也对乌云网产生了疑问:这究竟是怎样的一个平台,为何能连环曝出各大公司的漏洞?究竟还有多少秘密?

正如白魔法和黑魔法一样,在黑客领域也分“白帽子”和“黑帽子”。乌云网号称是黑客界的“白帽子”,创始人方小顿被称扮演了黑客领域中的“甘道夫”,专门和“伏地魔”对打。

创办乌云网之前,方小顿曾在两家互联网公司工作过。其中第一份工作还是发现某公司软件的漏洞后,受邀进入该公司工作的。

公开报道对此过程的描述如下:

2006年,即将毕业的方小顿发现了一家软件公司的产品漏洞,当时这家公司服务几十万客户,通过这些客户可以辐射到上亿用户。

“发现漏洞后我就通过互联网社区联系到公司的人,他们听了之后很好奇,邀请我到北京和他们老总聊聊。”方小顿说,“我们相谈甚欢,毕业之后我就进入这家公司,专门负责软件的安全防护工作。”

处于对峙状态的人,心态是极其微妙的。很难说清这家公司的老总是赞赏方小顿的才华,还是遭到了公开漏洞的威胁,以开出工薪工作的方式使方封口。

2008年,方小顿在网络安全领域开始小有名气,不断有互联网公司前来挖角,而最让方小顿心动的,是百度。

从2008年进入百度到2011年离开,方小顿在百度一步步做到了高级安全工程师,主要责任是抵御黑客入侵,而百度的安全团队也由最初的五六人发展成为30余人的“黑客防护墙”。

谈到离开百度的原因,方小顿说,主要还是因为理想,想利用自己的技术为更多的互联网公司解决安全问题。 方小顿联合新浪、360的两个工程师创立了乌云网。

乌云从成立的第一天起就号称是介于白帽子和企业之间的非营利组织。

2011年,刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞。此后,乌云更是指出支付宝2500万用户资料泄露、如家酒店开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列安全问题,几乎战战告捷,一时间乌云名声大噪。

虽然号称“非营利机构”,但乌云网接收了国家信息安全漏洞共享平台和广东省信息安全测评中心的资金支持。同时借助这两大平台,乌云网成为涵盖互联网公司、金融、大中型企业、政府机构网站的全行业漏洞入口。

有业内人士指:乌云网并非一个公立第三方机构,而是纯粹的民营公司,其收入来源于其漏洞披露规则。

对于一般漏洞而言,乌云网规则如下:

1、 白帽子提交漏洞并通过审核后,乌云网会公布漏洞概要,内容包括漏洞标题、涉及厂商、漏洞类型与简要描述;

2、厂商有5天的确认周期(5天内未确认视为忽略,但不公开,直接进入3);

3、确认3天后对安全合作伙伴公开;

4、10天后向核心及相关领域专家公开;

5、20天后向普通白帽子公开;

6、40天后向实习白帽子公开;

7、90天后向公众公开。

据了解,当某些安全服务公司向乌云网支付一定费用之后,就可以提前看到其服务客户的所有漏洞,在未经客户允许的情况下,将漏洞信息泄露给服务公司是否合法?

值得一提的是,乌云网所公布的漏洞标题完全来源于白帽子提交,并没有任何审核与修改,“可导致千余服务器沦陷”“近千万的用户数据存在泄露风险”等夸张标题比比皆是,随意一个漏洞经媒体传播皆可以引起大众恐慌。

一位在安全行业从事多年的朋友了解到乌云一些故事:

1、从最初乌云的存在意义是为了引起各类甲方对安全的重视,这一点毋庸置疑;

2、在发展过程中乌云有了一定的分歧,这种分歧可能源自于内部人的价值取向不一致;或有图名、或有图利、或有图名利双收;

3、这种分歧使得其漏洞披露成了一种变相的挟持手段(筹码),甚至成为了互相PK的斗兽场;

4、从2到3的过程中,相应的行业主管(监管)部门或多或少默许(支持)了乌云的存在。

一位号称乌云网内部的知情人士展示了乌云网的一个非公开论坛,该论坛只有获得审核的白帽子才能进入。在这个隐秘论坛中,黑色产业、网赚、网络战争等话题都有专门的讨论版块。

在2013年12月新浪科技发布的《揭秘乌云网》一文中,乌云网被质疑为“中国最大的黑客培训基地”,如下图:

类似的话题在该论坛中比比皆是,众多白帽子摇身一变,在这个温室中讨论着漏洞利用技术,如何利用这些漏洞去做黑产,游走在法律的灰色地带。

2014年2月17日爆出支付宝/余额宝任意登录漏洞后,阿里公关迅速出击,拿出现金500万奖励白帽子盖过舆论。

在此之后,关于微信支付与支付宝的互相职责安全性差的公关稿连绵不绝。以安全为名,背后实为互联网商业之战的封杀与反封杀、黑公关与反黑事件,正愈演愈烈,而乌云网在其中扮演了推波助澜的作用。

乌云网创始人方小顿在受访时也曾坦承:很多企业对发现漏洞的人会提供奖励或奖金,他们的奖金一部分肯定是解决问题,但更多的目的是不希望公众知道有安全问题。

我国法律规定,未授权的黑盒安全测试是违法的,圈内流行这样一种做法:黑客们入侵网站盗取信息,最后只要在乌云网向厂商提交漏洞,就可以洗白。

所以有人说:乌云网是黑客们的乌托邦!

据不完全统计,目前中国网络黑色产业链的“从业者”已经超过了40万人,依托其进行网络诈骗产业的从业人数至少有160万人,“年产值”超过1100亿元。

2015年年初,腾讯曾针对网络黑色产业链进行了一次全面调研,并发布了首份《网络黑色产业链年度报告》。报告显示,在移动支付安全领域,目前已逐渐形成一条分工明确、作案手法专业的黑色产业链。从业者主要是分布在二三线城市、年龄介于15至25岁之间的无业年轻人。

乌云

 标签:

评论留言

我要留言

欢迎参与讨论,请在这里发表您的看法、交流您的观点。