乌云：他们这个生意,是聚集上万黑客在互联网上找漏洞.pdf

——————————————————————云客网 您网站的流量加油站 乌云：他们这个生意，是聚集上万黑客在互联网上找漏洞 他们的名字叫乌云，你不一定听过他们的名字，但你用的互联网服务一定上 过它们的漏洞名单 “我去百合网相亲了。” “咋样?结果如何? 找到了没有?” “我找到了他们的 bug。” 9 月 6 日，相亲网站百合网一个涉及几百万用户数据安全的漏洞被一个黑 客发现了。 和一般黑客电影里的情节不同，黑客 Croxy 并没有拿起加密电话索要赎金， 而是写下开头的段子，将安全问题提交给了名为乌云的漏洞平台。 而百合网也没有报警，而是在漏洞公布两天后确认问题存在，开始修复。不 出意外的话，威胁几万用户信息的安全问题将在几天时间得到解决，而乌云也将 在 10 月份公布具体的漏洞所在。 “其实大部分漏洞可能花一周就能解决，但我们给出的 45 天时间……一些 客户端的软件比如浏览器、建站系统这样的产品，我们会给 90 天让厂商有充分 的时间修复漏洞。”乌云平台的创始人孟卓告诉 《好奇心日报》。而公布这些漏 洞是为了将测试思路回馈社区，让其他互联网安全从业者也来学习。 在乌云漏洞平台上，类似的事情每天都会发生上百次。光是在最近 15 天， 乌云上的新增漏洞已经有 1940 条。而这些曝光的漏洞，很可能会影响你的生活： 今年 9 月，九阳智能豆浆机的漏洞被曝光。因为一个设计和控制的缺陷， 任何人都可以控制任意一台九阳豆浆机。漏洞提交的当天，九阳就已经获取情况 并且确认开始了修复工作。 2014 年 7 月，阿里巴巴严重漏洞也在乌云上曝光，人们只需要通过搜索引 擎，甚至不用账号、密码，就能直接获取支付宝用户的账户余额、交易记录、收 货地址、姓名手机号码等敏感信息。阿里巴巴得知此事之后，还给找到漏洞的白 帽子黑客 5 万元人民币的奖励。 “乌云”，还有“白帽子”是中文互联网安全事件绕不开的名词。 SEO排名 / ——————————————————————云客网 您网站的流量加油站 在 2010 年成立至今，乌云平台的漏洞列表页面上，漏洞数字已经超过 7 万 个。当中涉及的公司除了腾讯、阿里巴巴、百度、小米、联想等科技企业之外， 还有国内多家银行、金融机构，甚至地方政府网站的安全问题。 而作为这个漏洞社区的内容生产者，在乌云上注册的“白帽子黑客”也已经有 1 万人以上。所谓的白帽子，就是一些有技术能力，热爱网络安全行业的人们， 有别于传统的黑客，他们通常会把漏洞告诉企业，提醒他们修复，而非用来获取 个人利益。 “一开始我们完全没想到会做成现在这样。”乌云的创始人孟卓告诉我们。在 2010 年，还在百度做安全工作的剑心(网名)因为希望更多的信息安全行业同人 交流，一起提高技术，所以当年一些行业内的朋友在业余时间建了“乌云漏洞平 台”。第一批用户他们自己以及身边的朋友，大家找到漏洞，就提交到乌云上。 乌云对于漏洞处理机制是这样的：白帽子黑客向乌云提交的漏洞信息，乌云 就会通知漏洞所在厂商认领，细节只对厂商透露，让他们尽快修复。在这个漏洞 曝光的 45 天(如果是浏览器，社交应用等服务是 90 天)之后，乌云就会把漏洞 的细节公之于众，将漏洞的发现方法作为白帽子黑客社区的学习养料，而提供漏 洞的白帽子，也会得到乌云的虚拟货币和等级的提升。 在这个模式当中，乌云漏洞平台将自己定义为一个不盈利、独立于所有公司 之外的第三方机构。但这种模式本身并不好做。 “安全行业是一个非常封闭的行业，”孟卓说，“别人发现了自己公司的漏洞， 其实是很糟糕的事情，因为很有可能会被黑色产业利用”。 因此，很多大型的科技公司如微软、Facebook、雅虎、阿里巴巴，不但会有 自己的安全团队，还会设立自己的漏洞平台或者漏洞寻找竞赛，这些平台或竞赛， 就是希望募集公司外的黑客们给自己找漏洞，然后给发现漏洞的人一定数额的奖 金。找到漏洞的详细信息，就只会归公司所有，不会向公众公布。 SEO排名 / ——————————————————————云客网 您网站的流量加油站 其实去年 Google 也尝试做了一个和乌云相似的第三方漏洞平台 Project Zero，结果却因为公布了竞争对手微软以