“乌云社区”的创始人方小顿。5年来,这个他一手打造的社区吸引了国内几乎所有的顶尖黑客。(图片由“安在”提供)
本报记者 张小叶
大约在10年前,17岁的高中生杨蔚开始经营自己的第一门生意。两台电脑,一根网线,几个合伙的同学,杨蔚的工作室就开张了,业务范围是倒卖游戏装备和QQ刷钻。
这份工作需要的技术含量不算高,但竞争者甚多。对出生在湖南湘西小县城的少年杨蔚而言,这是他接触技术世界的缘起,还给他带来了一些收入:在工作室解散以前,杨蔚靠这些“业务”赚了好几千元。
10年前,整个中国网络安全的法律边界尚未确立,一个小县城的少年又如何知道,黑客是什么? 怎么做一个好的黑客?
几乎在同时,一个比杨蔚大不了多少的年轻人正在思考如何改变这一切。他叫方小顿,1987年出生,15岁考进大学,21岁进入百度安全部门工作。两年之后,他创建“乌云社区”,这个自由社区吸引 了国内几乎所有的顶尖黑客,并迅速成长为中国最大的互联网漏洞报告平台。它不仅推动了中国信息安全的进程,使几乎所有互联网使用者直接或间接地从中获益,而且改变了万千像杨蔚这样年轻黑客的命运。
方小顿:“乌云来了,要下雨了”
即使是最普通的、对信息安全一窍不通的用户,也或多或少听说过“乌云”这个名字。成立5年来,超过1万名漏洞挖掘者累计在乌云公开了3万余个漏洞,其中一部分足以在网络上掀起轩然大波。2014年,乌云先后曝出腾讯QQ群关系数据泄露、携程信用卡信息泄露、12306密码泄露和联通系统漏洞,这使乌云在名声大噪的同时饱受争议。在许多人看来,乌云就像是一个手持利剑的搅局者,剑指之处,山摇地动。
相比乌云,创始人方小顿的形象却出乎意料的简单。28岁的他,留着中长发、戴眼镜、蓄着胡子,一看就是“热爱摇滚的技术青年”。事实也是如此,方小顿崇尚技术、热爱音乐,并刻意通过不同寻常的打扮,将这种内心的喜好直接展示于人:“如果真的有人因为我的打扮觉得不舒服,那就直接不聊呗。我倾向于让事情变得更简单,拐弯抹角的就不好。”
2010年,方小顿曾跟随百度的CEO李彦宏去了“天天向上”,并在节目中高歌一曲 《一无所有》。这是他首次在公众面前亮相,也成为日后圈内人聊起他必提的轶事之一。但方小顿本人却从来没有回头看过这档节目:“了解我的人都说,台上的我和平时相差不大。当时也没有准备或者排练,说让我上去唱歌,我就上去了,心想就算唱砸了不是还有后期吗?”
大概只有心思剔透的人,才能创造出乌云。直到现在,乌云仍然以自由社区的形式存在于网上:页面干干净净,漏洞按照发布、确认和公开等不同阶段,以列表的形式排布于首页上,除此之外,这里看不到一个商业广告。“像是过时的、已经被淘汰的论坛。”方小顿如此形容。
这正是他多年前构想的乌托邦的模样。让他欣慰的是,5年过去了,初心仍未改变,正如社区对自己使命描述中所强调的:“我们尝试唤回大家对技术的尊重,乌云将跟踪漏洞的报告情况,所有跟技术有关的细节都会对外公开。”
几年前,这种对漏洞的公开行为被企业视为一种冒犯,但这两年,在乌云的不懈努力下,它已经渐渐变得可以被接受。行业的封闭正在被打破,信息安全也因此得到了前所未有的重视。
这一切来之不易。方小顿不会忘记自己刚刚工作时,一个安全工程师的处境是如何艰难:站在企业的角度,安全是成本、是限制,它不产生效益。企业的管理者自然希望每一年都风平浪静,可是当真的什么事情都没发生时,他们又会质疑安全部门是不是无所作为。而安全工程师的贡献更是无法衡量———“第三方的安全厂商永远说你的工作做得很糟,当然是这样,否则它的产品卖给谁? 和同类型的公司对比也是不现实的,因为任何一家企业都不可能对外公开自己的安全状况。”
行业无法进步,也是黑产横行、黑客肆意攻击的根源。在那个时候,任何人发现漏洞,上报给企业,不仅得不到奖励,反而会被企业威胁,因为企业将这种“未经授权的测试行为”视为“非法攻击”。因此,越来越多的漏洞流向地下黑市,通过它们,犯罪者可以窃取大量的用户信息,并以此牟利。
随着互联网爆发式的发展,越来越多的人将日常生活的信息搬到了网上,但信息安全的发展却被锁死了———就像一个日益丰富的宝藏,却没有安装相应级别的安保系统。
高墙重重,但仍有间隙,程序员的技术交流是唯一的突破。那时,各大企业的安全工程师彼此相识,并在QQ群里无私地共享、交流技术心得,方小顿就是其中的积极分子。后来,他和朋友在北京的酒仙桥一带开了一个黑客酒吧,作为线下交流的活动场所,同时也是表达黑客存在和价值的一种方式。但这些远远不够,他在寻求更行之有效的方式改变这一切。
2010年,乌云社区诞生。在云概念刚刚兴起的环境下,“乌云”这个名字显得意味深长———保存着海量用户数据的云,却得不到很好的保护,这样的云不是纯洁的。
真正的挑战者出现了:乌云来了,要下雨了。
杨蔚:“白帽子的伟大理想”
而对于杨蔚而言,2010年是比较特殊的一年。他的工作室因为利润越来越薄,终于解散,同时又遭遇了高考失利。心灰意冷的杨蔚决定离开老家去外面闯一闯,他在珠三角的几个大城市里辗转,四处投靠老乡,投递简历。到了这时,杨蔚才感觉人世艰险,只有高中学历的他在大城市里几乎难以谋生。碰壁多次,终于找到了一份和计算机沾点边的工作:去电脑城给别人装机,月薪2000元。
这份工作和想象中差距太大了,也养活不了自己,杨蔚没去。他最终去了比亚迪工厂,在车间里做流水线工人。
流水线上的劳动既漫长又枯燥、周而复始,杨蔚知道自己不属于这里,周围人也觉得他眼高手低、格格不入。那几个月,他在大城市的最底层游走,体验人间辛酸,每一天都更坚定要逃离的心。终于熬到夏末,父母托人给他找了个大学,杨蔚如释重负,回到了长沙,烫了个头,作为新生活开始的标志。
重回校园,本应好好珍惜,但杨蔚拿到课表后,顿时眼前一黑:“因为计算机专业的学费太贵,我就看名字选了机械工程,本以为和计算机沾点边。结果机械工程居然是制造业,毕业后还是去车间工作,和之前一模一样。”而此前,他已经下定决心绝不回到“传统的、固化的、一尘不变的”制造业中。
在学校里,杨蔚仍然是一个异类。他买了电脑,通过搜索引擎和安全论坛自学技术,关注信息安全产业的动态,此外,他最喜欢看行业内已经被“封神”的黑客自传和经历。
印象最深刻的是方兴的自传,杨蔚是在被窝里一口气看完的。方兴充满传奇的经历,是中国早期黑客的典型代表:他出身微末,从保险公司的出单员做起,几乎靠着完全自学的方式,考出高级程序员证书,掌握各种计算机语言,一路修炼成攻防高手。他历任启明星辰、EEYE和微软的安全专家,是第一个登上微软BLUEHAT安全大会演讲的中国人,后来又创立了国内第一家专注于对抗 APT(AdvancedPersistentThreat,即高级持续威胁) 攻击的安全公司瀚海源。
杨蔚从别人的故事中汲取信念和力量,同时也被他们的选择和善恶观所影响。方兴说自己不是黑客:“如果黑客说的是控制别人电脑、以漏洞来牟利的那种人,很显然,我不是。”在这样的故事中,杨蔚看到了真正的守护者和“黑客精神”是怎样的,也下决心要做这样的人。
这时,一个机会来了。有个同学对他说,杭州有家企业在招计算机技术人员,可以帮忙推荐。杨蔚想去搏一搏,他与父母长谈一次,坦诚了自己的志向,随后去办理了退学手续。就这样,重返校园不过一年,杨蔚又回到了社会上。
在他原本的构想中,自己可以从一个普通的程序员做起,一步步向安全领域发展。可现实比他想象得要残酷,介绍人没能帮上忙,他再一次飘无定所,租房、吃饭都成了问题。几经辗转,他在数码城的手机店找到一份活,卖手机,每天工作12个小时。杨蔚唯一的要求是:“生意不忙的时候,让我用店里的电脑上上网吧。”
在这个时候,他接触到了乌云。彼时,乌云正身陷创立以来最大的危机中,因为曝光了中国最大的-T技术论坛CSDN的漏洞,网站遭到疯狂攻击,关闭了将近一个月。再度恢复后,又因为曝光了某运营商的漏洞,被对方直接注销了网站备案。
那个时候,企业觉得网站漏洞这种事情是“家丑不可外扬”,没有靠山的乌云随时面临关停的危险。就在这种风雨飘摇的环境中,杨蔚慢慢成长为乌云最核心的“白帽子”。他一度不被承认的才能,在这个社区里得到了展现和认可。他比以前更加忘我地投入了“挖漏洞”的事业中,在白帽子当中的积分和排名也直线上升,最高时冲到了第二:“冲榜单是一件很刺激的事情,你会发现自己在挖漏洞刷积分的时候,别人也在这么做。”
那个时候,白帽子杨蔚的伟大理想,是把厂商列表中的所有企业挖一遍漏洞,就像小孩子集齐一套闪卡那样。那时,中国的互联网企业才数百家,实现这个愿望并非不可能:“这也是每一个白帽子梦寐以求的成就。”
2012年,因为发现了腾讯的漏洞,他结识了腾讯安全部门的负责人,对方把他拉进了一个QQ群,群里全是“传说中的人物”。就在两年前,杨蔚是看着他们的故事熬过现实中的失意和挫败的,如今他终于跻身为其中的一员。这个江湖人人都有代号,他的代号是“301”———来源于他在某个安全群的编号,后来就沿用下来。
同一年,杨蔚得到了一家知名安全咨询企业的认可,企业的老板问他有没有兴趣来上班。于是,22岁的杨蔚终于实现了最初的梦想,真正意义上进入了安全行业。
乌云:“无所畏惧的理想主义”
方小顿和杨蔚,天各一方、经历迥异的两个年轻人,也因为乌云有了交集。方小顿的代号是“剑心”,杨蔚也习惯以此称呼他:“剑心喜欢和我们这些白帽子聊,在这种交流的过程中,乌云渐渐变成了现在的形态。”
在白帽子们的建议下,乌云设立了“集市”。提交漏洞攒下来的积分可以变成“乌云币”,并在集市中购买物品,1个“乌云币”相当于10元人民币。杨蔚还记得,乌云集市推出的第一个商品是一台iPhone5,当时遭到了白帽子的疯抢,价格水涨船高,最终被人以950乌币的价格拍走了。“就相当于用9500元买了一台iPhone5,但那个白帽子感觉特别光荣,拿去给自己媳妇儿用了。”杨蔚说。
事实上,白帽子的价值,远远不止一台iPhone5。尽管乌云对漏洞的强制曝光令厂商不快,但后者终于从中认识到安全的重要性,渐渐地,开始有小厂商找到他们:“我们没有安全部门,养不起专职的安全工程师,能不能把这块工作外包给白帽子,请他们定期来为我们做漏洞的扫描和监测?”
乌云的商业价值开始浮出水面。从2012年起,“乌云众测”正式向公众推出。3年来,超过200个众测项目在平台上进行,白帽子们总计获利超过500万元。如今,一个在乌云上水平较高的白帽子,通过合法的、有偿的漏洞测试,能够月入数万。
方小顿说:“你会发现,在媒体中曝光的黑客群体,大多是‘三线城市的、高中没毕业的天才少年,,他们算是有点技术,但业内的人一看,这种技术也算? 为什么是这样? 因为大城市里一流的技术人员能够找到很好的工作,如果你的技术被认可、收入又高,谁愿意去做坏事? 相反,如果他得不到周围人认可,日常开销也难以维持,又没人引导,他能去干什么呢?”
业内有一句话:“乌云之前,全是黑的。”乌云带来的暴雨,一点点地冲刷了行业的阴暗面。方小顿的初衷原是为了帮助像自己这样的安全从业者,却无心插柳柳成荫,大量黑客在这里“上岸”,安全工程师的身价水涨船高。如今,在乌云上提交过漏洞,甚至成为不少企业招聘安全工程师的前置条件。
“2012年,我从百度辞职,专职运营乌云。回头看这个选择,损失极大,仍然留在大公司的朋友现在都已身居高位,身价高出我几倍。”方小顿说,但倘若没有乌云,你很难说这个行业会怎样发展。腾讯玄武实验室的创始人,被业内尊为“黑客教父”的于旸说:“从这一点上,所有安全行业的从业者,都应该感谢乌云。”
即使是最普通的互联网使用者也受益于乌云。这几年利用互联网漏洞牟利的“黑色产业”之所以减少,原因无非是两个,都与乌云的出现紧密相关:一是企业的保护越做越好,攻击成本越来越高,黑产渐渐无利可图;二是随着白帽子的价值越来越受重视,没有人愿意回去做黑客了。
争议仍然存在。比如,白帽子未经授权的测试是否合法,仍然没有定论。对此,方小顿常说的一句话是:“这个时代,很多企业把用户的信息保存在云上,却保护得很差,那是不是应该先来探讨这个行为是否合法?”如他所说,封闭永远无法解决问题,只有把争议的部分拿出来公开讨论,才能取得共识和进步。
进入安全行业后,杨蔚一有机会就向怀有成见的企业解释乌云的价值。2013年底,方小顿找到他,邀请他以合伙人的身份加入乌云,负责“乌云众测”项目。杨蔚欣然接受,在这个改变了自己命运的平台上,他要改变更多人的命运。
随着乌云的名气越来越响,有些前来众测的企业也怀着其它心思:“我出钱请你们做众测服务,你们要删除我们网站的漏洞。”按照社区的规则,一个漏洞的公布周期一般为45天:前5天,向厂商公布,10天后向核心及相关领域专家公开;20天后向普通白帽子公开;30天后向“实习白帽子”公开;45天后向公众公开。5年来,“不删除任何漏洞”是乌云严守的底线———哪怕在企业接受众测的过程中,被众测团队以外的白帽子发现并提交了漏洞,对此,杨蔚和他的团队免不了要去向企业一一解释。
令所有白帽子欣慰的是,乌托邦因商业兴盛,却没有受到利益的污染,直到如今,这条“铁律”仍在坚守。
“他是一个精神至上的人,因此他才不会被柴米油盐所左右,并把这种理想主义的东西坚持下来。”方小顿的朋友、信息安全媒体“安在”的主编张耀疆这样评论方小顿。
现在,方小顿在不变初衷的前提下,想要带领乌云走得更远。从商业化角度来说,乌云众测并不算是一个成功的产品:首先是需求有限,每个众测项目的规模都不大,成交额约在2-3万元,需求在可预期的范围内不会出现爆发式的增长;乌云只抽取很小的一部分作为分成,所得利润只能够维持社区团队的日常运转。方小顿和他的团队将这个项目看作是乌托邦的延续:“只要是有利于白帽子的事情,我们一定会去做。”
相比起来,去年12月推出的“唐朝安全巡航”,才被赋予了真正商业化的期待。这个安全巡航系统像是一个体检中心,由白帽子添加检测规则和策略,企业可以通过它进行安全漏洞的监控、检测和扫描。作为一个自动化的漏洞扫描系统,“唐朝安全巡航”可以低成本地完成许多日常的漏洞检测工作,同时,它会在众多白帽子的维护下变得越来越强大。
自乌云创立第一天起,方小顿就严肃地考虑过它的命运,无非两种:存在,或是死亡。“如果是后者,那就说明这个理想是行不通的,这个方法是不被允许的。”那怎么办?“找别的方法呗,可以做的事情那么多,我不会在意一次失败。”
正如张耀疆评价的,方小顿拥有真正的、良善的“黑客精神”———“这种精神无关于物质、无关于现实,是一种简单纯粹的理想主义。正因为他把一切都想明白了,知道什么是对的,也知道自己要做什么,因此才能够无所畏惧。”
名词解释
“白帽子”:正面的黑客,他们拥有识别计算机系统或网络系统中安全漏洞的能力,但并不会恶意利用,而是选择通知企业修复漏洞、修复后最终公开细节。
“乌云”:乌云网 (WooYun)目前是中国最大的互联网漏洞报告平台,这个平台上汇聚了国内几乎所有“白帽子”。在乌云出现前,厂商与“白帽子”缺乏平等的交流:“白帽子”发现网站的漏洞后无法联系厂商,厂商也无暇寻找散落在互联网各处的漏洞信息,导致一些漏洞无法得到及时修复,最终造成损失。乌云鼓励“白帽子”采用合法的方式、手段和工具研究并提交厂商的漏洞,经平台审核后,关于漏洞的一切细节将对公众公开。
漏洞报告平台机制的确立,极大地推进了互联网厂商对信息安全的重视,也促使万千黑客“上岸”,成为收入不菲、受人尊敬的“白帽子”。这个在争议中不断前行的网站,最终打破了信息安全的封闭状态,并在某种程度上改变了中国互联网的环境。