聊呗逾期了怎么解决,白帽子 黑客

时间:2022-11-11 15:29:21来源:法律常识

“乌云社区”的创始人方小顿。5年来,这个他一手打造的社区吸引了国内几乎所有的顶尖黑客。(图片由“安在”提供)

本报记者 张小叶

大约在10年前,17岁的高中生杨蔚开始经营自己的第一门生意。两台电脑,一根网线,几个合伙的同学,杨蔚的工作室就开张了,业务范围是倒卖游戏装备和QQ刷钻。

这份工作需要的技术含量不算高,但竞争者甚多。对出生在湖南湘西小县城的少年杨蔚而言,这是他接触技术世界的缘起,还给他带来了一些收入:在工作室解散以前,杨蔚靠这些“业务”赚了好几千元。

10年前,整个中国网络安全的法律边界尚未确立,一个小县城的少年又如何知道,黑客是什么? 怎么做一个好的黑客?

几乎在同时,一个比杨蔚大不了多少的年轻人正在思考如何改变这一切。他叫方小顿,1987年出生,15岁考进大学,21岁进入百度安全部门工作。两年之后,他创建“乌云社区”,这个自由社区吸引 了国内几乎所有的顶尖黑客,并迅速成长为中国最大的互联网漏洞报告平台。它不仅推动了中国信息安全的进程,使几乎所有互联网使用者直接或间接地从中获益,而且改变了万千像杨蔚这样年轻黑客的命运。

方小顿:“乌云来了,要下雨了”

即使是最普通的、对信息安全一窍不通的用户,也或多或少听说过“乌云”这个名字。成立5年来,超过1万名漏洞挖掘者累计在乌云公开了3万余个漏洞,其中一部分足以在网络上掀起轩然大波。2014年,乌云先后曝出腾讯QQ群关系数据泄露、携程信用卡信息泄露、12306密码泄露和联通系统漏洞,这使乌云在名声大噪的同时饱受争议。在许多人看来,乌云就像是一个手持利剑的搅局者,剑指之处,山摇地动。

相比乌云,创始人方小顿的形象却出乎意料的简单。28岁的他,留着中长发、戴眼镜、蓄着胡子,一看就是“热爱摇滚的技术青年”。事实也是如此,方小顿崇尚技术、热爱音乐,并刻意通过不同寻常的打扮,将这种内心的喜好直接展示于人:“如果真的有人因为我的打扮觉得不舒服,那就直接不聊呗。我倾向于让事情变得更简单,拐弯抹角的就不好。”

2010年,方小顿曾跟随百度的CEO李彦宏去了“天天向上”,并在节目中高歌一曲 《一无所有》。这是他首次在公众面前亮相,也成为日后圈内人聊起他必提的轶事之一。但方小顿本人却从来没有回头看过这档节目:“了解我的人都说,台上的我和平时相差不大。当时也没有准备或者排练,说让我上去唱歌,我就上去了,心想就算唱砸了不是还有后期吗?”

大概只有心思剔透的人,才能创造出乌云。直到现在,乌云仍然以自由社区的形式存在于网上:页面干干净净,漏洞按照发布、确认和公开等不同阶段,以列表的形式排布于首页上,除此之外,这里看不到一个商业广告。“像是过时的、已经被淘汰的论坛。”方小顿如此形容。

这正是他多年前构想的乌托邦的模样。让他欣慰的是,5年过去了,初心仍未改变,正如社区对自己使命描述中所强调的:“我们尝试唤回大家对技术的尊重,乌云将跟踪漏洞的报告情况,所有跟技术有关的细节都会对外公开。”

几年前,这种对漏洞的公开行为被企业视为一种冒犯,但这两年,在乌云的不懈努力下,它已经渐渐变得可以被接受。行业的封闭正在被打破,信息安全也因此得到了前所未有的重视。

这一切来之不易。方小顿不会忘记自己刚刚工作时,一个安全工程师的处境是如何艰难:站在企业的角度,安全是成本、是限制,它不产生效益。企业的管理者自然希望每一年都风平浪静,可是当真的什么事情都没发生时,他们又会质疑安全部门是不是无所作为。而安全工程师的贡献更是无法衡量———“第三方的安全厂商永远说你的工作做得很糟,当然是这样,否则它的产品卖给谁? 和同类型的公司对比也是不现实的,因为任何一家企业都不可能对外公开自己的安全状况。”

行业无法进步,也是黑产横行、黑客肆意攻击的根源。在那个时候,任何人发现漏洞,上报给企业,不仅得不到奖励,反而会被企业威胁,因为企业将这种“未经授权的测试行为”视为“非法攻击”。因此,越来越多的漏洞流向地下黑市,通过它们,犯罪者可以窃取大量的用户信息,并以此牟利。

随着互联网爆发式的发展,越来越多的人将日常生活的信息搬到了网上,但信息安全的发展却被锁死了———就像一个日益丰富的宝藏,却没有安装相应级别的安保系统。

高墙重重,但仍有间隙,程序员的技术交流是唯一的突破。那时,各大企业的安全工程师彼此相识,并在QQ群里无私地共享、交流技术心得,方小顿就是其中的积极分子。后来,他和朋友在北京的酒仙桥一带开了一个黑客酒吧,作为线下交流的活动场所,同时也是表达黑客存在和价值的一种方式。但这些远远不够,他在寻求更行之有效的方式改变这一切。

2010年,乌云社区诞生。在云概念刚刚兴起的环境下,“乌云”这个名字显得意味深长———保存着海量用户数据的云,却得不到很好的保护,这样的云不是纯洁的。

真正的挑战者出现了:乌云来了,要下雨了。

杨蔚:“白帽子的伟大理想”

而对于杨蔚而言,2010年是比较特殊的一年。他的工作室因为利润越来越薄,终于解散,同时又遭遇了高考失利。心灰意冷的杨蔚决定离开老家去外面闯一闯,他在珠三角的几个大城市里辗转,四处投靠老乡,投递简历。到了这时,杨蔚才感觉人世艰险,只有高中学历的他在大城市里几乎难以谋生。碰壁多次,终于找到了一份和计算机沾点边的工作:去电脑城给别人装机,月薪2000元。

这份工作和想象中差距太大了,也养活不了自己,杨蔚没去。他最终去了比亚迪工厂,在车间里做流水线工人。

流水线上的劳动既漫长又枯燥、周而复始,杨蔚知道自己不属于这里,周围人也觉得他眼高手低、格格不入。那几个月,他在大城市的最底层游走,体验人间辛酸,每一天都更坚定要逃离的心。终于熬到夏末,父母托人给他找了个大学,杨蔚如释重负,回到了长沙,烫了个头,作为新生活开始的标志。

重回校园,本应好好珍惜,但杨蔚拿到课表后,顿时眼前一黑:“因为计算机专业的学费太贵,我就看名字选了机械工程,本以为和计算机沾点边。结果机械工程居然是制造业,毕业后还是去车间工作,和之前一模一样。”而此前,他已经下定决心绝不回到“传统的、固化的、一尘不变的”制造业中。

在学校里,杨蔚仍然是一个异类。他买了电脑,通过搜索引擎和安全论坛自学技术,关注信息安全产业的动态,此外,他最喜欢看行业内已经被“封神”的黑客自传和经历。

印象最深刻的是方兴的自传,杨蔚是在被窝里一口气看完的。方兴充满传奇的经历,是中国早期黑客的典型代表:他出身微末,从保险公司的出单员做起,几乎靠着完全自学的方式,考出高级程序员证书,掌握各种计算机语言,一路修炼成攻防高手。他历任启明星辰、EEYE和微软的安全专家,是第一个登上微软BLUEHAT安全大会演讲的中国人,后来又创立了国内第一家专注于对抗 APT(AdvancedPersistentThreat,即高级持续威胁) 攻击的安全公司瀚海源。

杨蔚从别人的故事中汲取信念和力量,同时也被他们的选择和善恶观所影响。方兴说自己不是黑客:“如果黑客说的是控制别人电脑、以漏洞来牟利的那种人,很显然,我不是。”在这样的故事中,杨蔚看到了真正的守护者和“黑客精神”是怎样的,也下决心要做这样的人。

这时,一个机会来了。有个同学对他说,杭州有家企业在招计算机技术人员,可以帮忙推荐。杨蔚想去搏一搏,他与父母长谈一次,坦诚了自己的志向,随后去办理了退学手续。就这样,重返校园不过一年,杨蔚又回到了社会上。

在他原本的构想中,自己可以从一个普通的程序员做起,一步步向安全领域发展。可现实比他想象得要残酷,介绍人没能帮上忙,他再一次飘无定所,租房、吃饭都成了问题。几经辗转,他在数码城的手机店找到一份活,卖手机,每天工作12个小时。杨蔚唯一的要求是:“生意不忙的时候,让我用店里的电脑上上网吧。”

在这个时候,他接触到了乌云。彼时,乌云正身陷创立以来最大的危机中,因为曝光了中国最大的-T技术论坛CSDN的漏洞,网站遭到疯狂攻击,关闭了将近一个月。再度恢复后,又因为曝光了某运营商的漏洞,被对方直接注销了网站备案。

那个时候,企业觉得网站漏洞这种事情是“家丑不可外扬”,没有靠山的乌云随时面临关停的危险。就在这种风雨飘摇的环境中,杨蔚慢慢成长为乌云最核心的“白帽子”。他一度不被承认的才能,在这个社区里得到了展现和认可。他比以前更加忘我地投入了“挖漏洞”的事业中,在白帽子当中的积分和排名也直线上升,最高时冲到了第二:“冲榜单是一件很刺激的事情,你会发现自己在挖漏洞刷积分的时候,别人也在这么做。”

那个时候,白帽子杨蔚的伟大理想,是把厂商列表中的所有企业挖一遍漏洞,就像小孩子集齐一套闪卡那样。那时,中国的互联网企业才数百家,实现这个愿望并非不可能:“这也是每一个白帽子梦寐以求的成就。”

2012年,因为发现了腾讯的漏洞,他结识了腾讯安全部门的负责人,对方把他拉进了一个QQ群,群里全是“传说中的人物”。就在两年前,杨蔚是看着他们的故事熬过现实中的失意和挫败的,如今他终于跻身为其中的一员。这个江湖人人都有代号,他的代号是“301”———来源于他在某个安全群的编号,后来就沿用下来。

同一年,杨蔚得到了一家知名安全咨询企业的认可,企业的老板问他有没有兴趣来上班。于是,22岁的杨蔚终于实现了最初的梦想,真正意义上进入了安全行业。

乌云:“无所畏惧的理想主义”

方小顿和杨蔚,天各一方、经历迥异的两个年轻人,也因为乌云有了交集。方小顿的代号是“剑心”,杨蔚也习惯以此称呼他:“剑心喜欢和我们这些白帽子聊,在这种交流的过程中,乌云渐渐变成了现在的形态。”

在白帽子们的建议下,乌云设立了“集市”。提交漏洞攒下来的积分可以变成“乌云币”,并在集市中购买物品,1个“乌云币”相当于10元人民币。杨蔚还记得,乌云集市推出的第一个商品是一台iPhone5,当时遭到了白帽子的疯抢,价格水涨船高,最终被人以950乌币的价格拍走了。“就相当于用9500元买了一台iPhone5,但那个白帽子感觉特别光荣,拿去给自己媳妇儿用了。”杨蔚说。

事实上,白帽子的价值,远远不止一台iPhone5。尽管乌云对漏洞的强制曝光令厂商不快,但后者终于从中认识到安全的重要性,渐渐地,开始有小厂商找到他们:“我们没有安全部门,养不起专职的安全工程师,能不能把这块工作外包给白帽子,请他们定期来为我们做漏洞的扫描和监测?”

乌云的商业价值开始浮出水面。从2012年起,“乌云众测”正式向公众推出。3年来,超过200个众测项目在平台上进行,白帽子们总计获利超过500万元。如今,一个在乌云上水平较高的白帽子,通过合法的、有偿的漏洞测试,能够月入数万。

方小顿说:“你会发现,在媒体中曝光的黑客群体,大多是‘三线城市的、高中没毕业的天才少年,,他们算是有点技术,但业内的人一看,这种技术也算? 为什么是这样? 因为大城市里一流的技术人员能够找到很好的工作,如果你的技术被认可、收入又高,谁愿意去做坏事? 相反,如果他得不到周围人认可,日常开销也难以维持,又没人引导,他能去干什么呢?”

业内有一句话:“乌云之前,全是黑的。”乌云带来的暴雨,一点点地冲刷了行业的阴暗面。方小顿的初衷原是为了帮助像自己这样的安全从业者,却无心插柳柳成荫,大量黑客在这里“上岸”,安全工程师的身价水涨船高。如今,在乌云上提交过漏洞,甚至成为不少企业招聘安全工程师的前置条件。

“2012年,我从百度辞职,专职运营乌云。回头看这个选择,损失极大,仍然留在大公司的朋友现在都已身居高位,身价高出我几倍。”方小顿说,但倘若没有乌云,你很难说这个行业会怎样发展。腾讯玄武实验室的创始人,被业内尊为“黑客教父”的于旸说:“从这一点上,所有安全行业的从业者,都应该感谢乌云。”

即使是最普通的互联网使用者也受益于乌云。这几年利用互联网漏洞牟利的“黑色产业”之所以减少,原因无非是两个,都与乌云的出现紧密相关:一是企业的保护越做越好,攻击成本越来越高,黑产渐渐无利可图;二是随着白帽子的价值越来越受重视,没有人愿意回去做黑客了。

争议仍然存在。比如,白帽子未经授权的测试是否合法,仍然没有定论。对此,方小顿常说的一句话是:“这个时代,很多企业把用户的信息保存在云上,却保护得很差,那是不是应该先来探讨这个行为是否合法?”如他所说,封闭永远无法解决问题,只有把争议的部分拿出来公开讨论,才能取得共识和进步。

进入安全行业后,杨蔚一有机会就向怀有成见的企业解释乌云的价值。2013年底,方小顿找到他,邀请他以合伙人的身份加入乌云,负责“乌云众测”项目。杨蔚欣然接受,在这个改变了自己命运的平台上,他要改变更多人的命运。

随着乌云的名气越来越响,有些前来众测的企业也怀着其它心思:“我出钱请你们做众测服务,你们要删除我们网站的漏洞。”按照社区的规则,一个漏洞的公布周期一般为45天:前5天,向厂商公布,10天后向核心及相关领域专家公开;20天后向普通白帽子公开;30天后向“实习白帽子”公开;45天后向公众公开。5年来,“不删除任何漏洞”是乌云严守的底线———哪怕在企业接受众测的过程中,被众测团队以外的白帽子发现并提交了漏洞,对此,杨蔚和他的团队免不了要去向企业一一解释。

令所有白帽子欣慰的是,乌托邦因商业兴盛,却没有受到利益的污染,直到如今,这条“铁律”仍在坚守。

“他是一个精神至上的人,因此他才不会被柴米油盐所左右,并把这种理想主义的东西坚持下来。”方小顿的朋友、信息安全媒体“安在”的主编张耀疆这样评论方小顿。

现在,方小顿在不变初衷的前提下,想要带领乌云走得更远。从商业化角度来说,乌云众测并不算是一个成功的产品:首先是需求有限,每个众测项目的规模都不大,成交额约在2-3万元,需求在可预期的范围内不会出现爆发式的增长;乌云只抽取很小的一部分作为分成,所得利润只能够维持社区团队的日常运转。方小顿和他的团队将这个项目看作是乌托邦的延续:“只要是有利于白帽子的事情,我们一定会去做。”

相比起来,去年12月推出的“唐朝安全巡航”,才被赋予了真正商业化的期待。这个安全巡航系统像是一个体检中心,由白帽子添加检测规则和策略,企业可以通过它进行安全漏洞的监控、检测和扫描。作为一个自动化的漏洞扫描系统,“唐朝安全巡航”可以低成本地完成许多日常的漏洞检测工作,同时,它会在众多白帽子的维护下变得越来越强大。

自乌云创立第一天起,方小顿就严肃地考虑过它的命运,无非两种:存在,或是死亡。“如果是后者,那就说明这个理想是行不通的,这个方法是不被允许的。”那怎么办?“找别的方法呗,可以做的事情那么多,我不会在意一次失败。”

正如张耀疆评价的,方小顿拥有真正的、良善的“黑客精神”———“这种精神无关于物质、无关于现实,是一种简单纯粹的理想主义。正因为他把一切都想明白了,知道什么是对的,也知道自己要做什么,因此才能够无所畏惧。”

名词解释

“白帽子”:正面的黑客,他们拥有识别计算机系统或网络系统中安全漏洞的能力,但并不会恶意利用,而是选择通知企业修复漏洞、修复后最终公开细节。

“乌云”:乌云网 (WooYun)目前是中国最大的互联网漏洞报告平台,这个平台上汇聚了国内几乎所有“白帽子”。在乌云出现前,厂商与“白帽子”缺乏平等的交流:“白帽子”发现网站的漏洞后无法联系厂商,厂商也无暇寻找散落在互联网各处的漏洞信息,导致一些漏洞无法得到及时修复,最终造成损失。乌云鼓励“白帽子”采用合法的方式、手段和工具研究并提交厂商的漏洞,经平台审核后,关于漏洞的一切细节将对公众公开。

漏洞报告平台机制的确立,极大地推进了互联网厂商对信息安全的重视,也促使万千黑客“上岸”,成为收入不菲、受人尊敬的“白帽子”。这个在争议中不断前行的网站,最终打破了信息安全的封闭状态,并在某种程度上改变了中国互联网的环境。

随便看看
本类推荐
本类排行
热门标签

劳动者 交通事故 用人单位 劳动合同 债务人 协议 自诉 房屋 土地 补偿费 案件 债务 离婚协议书 公司 债权人 合同 甲方 最低工资标准 交通 车祸 债权 伤残 条件 鉴定 工资 程序 补助费 拆迁人 刑事案件 兵法 期限 标准 交通肇事 解除劳动合同 财产 补偿金 客户 当事人 企业 法院