chanong 一系列的泄密事件让所有人都感到了危险,也让发布这一系列泄密事件的五云网名声大噪。 人们在震惊相关企业不负责任的同时,也对乌云网充满好奇:这是一个什么样的平台,背后又隐藏着怎样的秘密世界?
“白帽子”聚集的黑客基地
“老K”说:他是重塑黑客理想的白帽子
11月15日,某咖啡店。
距离“老K”约定的时间已经过去了半个小时。 记者用手机QQ给他发消息:“你在吗?”
“堵车已经快到了,还有几分钟。” “老K”回答道。
又过了半个小时,“老K”依然没有出现。 十分钟后,记者收到“老K”的消息:“抱歉,我刚刚在咖啡厅外面逛了很久,想了想,还是用QQ交流比较好。”
“在这个圈子里,真实身份是个秘密,除非我完全信任你,否则我不会告诉你一切。” 对“老K”所属圈子有深入了解的本报网络工程师“董师傅”告诉记者。
对于普通用户来说,“老K”所属的圈子是一个非常隐秘的世界——“老K”在一家互联网公司工作。 表面上他与普通人无异,但到了晚上,他就变成了某位高手聚集的黑客。 他是团队中的重要成员,他的网名就是他的身份。 他平时只用QQ与外界交流。
2010年,“老K”首次更换网站首页,插入图片和音乐。 “这与利润无关,而且感觉非常令人兴奋。” 老K表示,他们与传统的出售数据的黑客不同。 “我们的理想是重塑黑客精神。” “老K”自称是黑客中的“白帽子”。 他现在的乐趣在于发现、测试、捕捉各大企业的安全漏洞,然后提交到第三方漏洞平台五云网。
“我有自己的合法工作,我不靠它来赚钱。” “老K”在乌云网被归类为普通白帽。 自2012年以来,他已在平台上提交了20多个漏洞,其中大部分已得到厂商确认并已公开,涉及电信、传统IT厂商、证券网站等。 “为了发现漏洞,我们需要寻找所谓的后门,即充当‘开门钥匙’的用户名和密码。
在大众心目中,神秘、危险就是黑客的代名词,但在黑客界,所有黑客都被分为三种类型:白帽、黑帽、灰帽。 像老K这样“重塑黑客理想,不使用恶意手段,发布漏洞”的人就是白帽子。 灰帽子擅长攻击技术,但不容易造成伤害。 黑帽子以窃取信息为生。
中国到底有多少活跃黑客很难统计,但发布了一系列泄密事件的五云网却是聚集互联网白帽子的主力。 据记者不完全统计,目前至少有4000名白帽活跃在乌云网。
“这些白帽子的身份非常复杂,他们包括各大公司的网络安全工程师、黑帽子、白帽子、IT从业人员、白领、律师甚至厨师。” “老K”表示,“可以说,五云网聚集了全国最多的黑客,正是五云网让白帽子这个词流行起来。”
“乌云网是黑客聚集的地方。” 2011年底,“五云网”的化名组织者在接受媒体采访时也表示,这些黑客中的白帽子正在探索网站的安全漏洞。 “在使用前,将其提交至平台或向厂家报告,以便厂家及时修复。
“乌云面前,一切都是黑色的。”
五云网联合创始人孟德表示:在乌云出现之前,(安全世界)一切都是黑暗的。
据记者不完全统计,五云网首页“最新披露”安全问题达1.5万个,“最新确认”漏洞近千个,11月25日至11月28日提交的漏洞超过30个。从记者观察,这些漏洞涉及多个领域。 除了联想、腾讯、中国移动等传统IT企业外,还有中科院、各大银行、国家航空、海关系统、甚至各政府部门官网等核心核心企业。 网站。
“这些漏洞的来源均来自民间安全研究人员,漏洞提交后,平台会进行简单的验证,一旦确认,将转给五云各企业的安全接口人员进行确认。厂商是对它们的真实性负责。” 孟德解释道。
五云网()成立于2010年5月,主要创始人为前百度安全专家方小盾,1987年出生的国内知名黑客“剑心”。2010年2月,他与李彦宏共同参与在湖南卫视的《天天香香》节目中,他因女友演唱一首歌而出名。 此后,方晓盾与多名安全行业人士联手创办了五云网。 其目标是成为一个“自由平等”的漏洞报告平台,为计算机制造商和安全研究人员提供各种技术参考和错误修复。
“在乌云密布之前,你应该认为他(安全行业)都是黑的。因为没有合理的漏洞提交渠道,所谓善良的黑客如果提交漏洞,可能会受到厂商的威胁。” 10月21日,乌云网向公众发声。 任孟德告诉记者,乌云网的初衷之一就是为厂商和白帽子之间建立一个交流平台。
孟德就像活跃在乌云上的白帽子一样,更喜欢被人称为“疯狗”。 他自称业余渗透工程师、Web安全爱好者,拥有9年互联网安全经验,是五云网联合创始人。
孟德这样描述五云网对国内安全界的重大贡献:“五云成立之后,我们会告诉大家,不要随意发布漏洞。 我们会帮助您与厂商沟通,培养先向厂商提供漏洞的习惯。 将漏洞放到平台上。 白帽子的思想和习惯已经规范化、合理化……他们已经成为互联网安全的中坚力量。”
据孟德介绍,五云网的员工现在都是“兼职”员工,得到了公司朋友和合作伙伴的支持。 “我们不是一个组织,而是一个聚集了热爱安全技术的人的平台。很多白帽子来这里分享漏洞,只有经过验证并采取预防措施解决问题后才会公开, ”孟德说道。 此前,由于缺乏沟通渠道,即使“白帽子”发现了漏洞,也很难将信息传递给网站,而网站根本无法顾及散布在互联网上的漏洞信息。 最终,一些漏洞被遗忘并且没有得到修复。 造成损失。
五云网最早出名是在2011年底——当年11月,五云网根据白帽子提供的各种材料,连续披露了京东、支付宝、网易等著名互联网公司的高危漏洞。 12月29日,更指出支付宝1500万、2500万用户信息泄露、广东省公安厅出入境政务网444万用户信息泄露。
此后,如家客房预订信息泄露、支付宝漏洞、搜狗浏览器用户数据泄露、腾讯7000万QQ群用户数据泄露等一系列备受关注的泄密事件均由五云公布。 com.
三方之间的秘密战争
对于五云网、厂商、白帽子来说,三者之间还存在着一场不为公众所知的秘密战争。
根据《乌云网漏洞审核机制完善公告》,普通漏洞披露流程为5天厂商确认期、10天向核心白帽披露漏洞详情、20天向普通白帽披露、30天向核心白帽披露漏洞详情。向实习生白帽子披露,45天内向公众公布其细节。 “如果厂商在一段时间后没有回应,或者在期限内否认漏洞的真实性,无云网一般都会披露其详细信息。” “老K”说道。
五云网官方数据显示,目前与五云网合作或被披露漏洞的厂商已超过500家。 对于五云网、厂商、白帽子来说,三者之间还存在着一场不为公众所知的秘密战争。
“厂商是否应该给五云网白帽子奖励?” 10月26日,京东安全沙龙上,一位与会者提出了一个备受争议的问题。 一个月后,即11月20日,乌云网宣布了一个“不太听话”的厂商——声称腾讯内超过7000万个QQ群的关系数据被泄露,在迅雷快传上可以轻松找到数据下载链接。 根据QQ号,可以查询姓名、年龄、社交网络甚至工作经历等大量个人隐私。
一位业内人士还给记者举了一个例子:10月29日,乌云网公布了一个白帽子提交的漏洞。 标题为“‘莱棠’导致淘宝账号被破解,影响余额宝、支付宝”。 该漏洞正在等待厂商处理。 也就是说,用户选择通过淘宝账户登录并看到消息后,仍然能够影响支付宝余额宝的安全问题。 “据我所知,白帽子首先将该漏洞提交给了阿里官方,但阿里官方没有理睬。后来白帽子生气了,提交给了乌云网,乌云网才对外公布。”
这一漏洞消息传出的后果之一是,在支付宝安全漏洞的热议中,据媒体报道,在三元里经营服装生意的杨先生的银行账户上莫名其妙地通过支付宝转出了5万元。 随后一名“黑客”发短信声称是在测试支付宝漏洞时所为。
去年2月14日,网名为“zazaz”的黑客在国内安全问题反馈平台五云提交漏洞,声称中国联通客服系统存在安全风险。 五云平台公布该漏洞后,部分用户利用该漏洞进行娱乐。 如家快捷酒店等酒店客房预订信息泄露,引发了全国范围内的客房预订信息下载和查询狂潮。
这不禁引发人们的疑问:五云网是否应该向公众披露该漏洞?
孟德表示,在厂商确认或拒绝之前,公众不会看到该漏洞的具体细节,黑客也很难根据这些信息进行非法活动。 不过,一位互联网人士也向记者表示:“如果黑客对此有任何想法,如果你有兴趣的话,那么只要知道该公司的名称以及漏洞信息的大概来源,入侵这个并不难。”公司。”
该人士表示,据他观察,乌云网许多未经证实和新提交的漏洞甚至涉及政府各部门的安全问题。 虽然没有具体细节,但仍然让外部用户感到惊讶。
“厂家正在想尽一切办法将影响降到最低,要么否认、排除漏洞,要么与五云网合作。五云网正在千方百计地炒作自己,扩大影响力。” “老K”表示,白帽子他们也有自己的诉求,要么是为了名气,要么是为了利益,所以如果提交给厂家被拒绝,一般都会提交给五云网。
对此,一位不愿透露姓名的互联网公司高层人士告诉记者,他们对乌云网颇为无奈。 一方面,企业拥有自己的安全数据中心,随时测试企业网站; 另一方面,五云网也不时发布一些耸人听闻的新闻,炒作其在行业中的权威。 忽视它是不行的——但事实上,引起最多关注的泄漏事件中存在几个月前就已经修复的漏洞。
至于是否炒作,孟德没有否认。 “这其实是国内网络舆论的一个怪圈,只要曝光率比较高,或者因为某件事而走红,都可能被认为是自我炒作。吴云现在也正在经历这个怪圈。” ”。
据五云联合创始人、前百度安全架构师“简新”在知乎上的说法,五云网已经“得到了除腾讯之外的已关闭公司的认可”。
一位内部人士告诉记者,腾讯是乌云网唯一一家不给白帽子赠送礼物或奖励的厂家。 相应地,腾讯也是五云网发布问题最多的公司。 据记者不完全统计,五云网已发布数百条腾讯安全问题。
送礼物或打赏是厂商对提交漏洞的白帽子给予的一种奖励形式。 这种模式在美国很常见。 去年,微软还设立了20万美元的奖项,奖励能够解决操作系统内存漏洞的人;
但在国内,由于厂商对漏洞提交者的蔑视或偏见,向第三方漏洞平台提供丰厚奖励的相对较少(360、腾讯、新浪等公司对自有漏洞收集平台都有奖励规定)。 大部分是T恤、钢笔、杯子等纪念礼物。 五云网一位“白帽子”,就职于纽交所一家美国上市公司的企业架构师,在五云网发布了小米网的安全漏洞,小米给了他一部小米手机作为代币的感激之情。 这让他深深的满足了。
孟德认为,事实上,与“白帽子”花费大量精力寻找的漏洞相比,这种激励根本不算什么。
但厂家也有自己的不满。 “首先,他们担心漏洞信息会对自己产生负面影响。其次,每个公司都有很多漏洞,奖励出台后,成千上万的黑客都盯着自己的漏洞。” 上述互联网资深人士告诉记者。
提交就是一种侵入
对白帽子的思考:黑也是白,白也是黑。 乌云上的白帽子,真的是白帽子吗?
“客观来说,五云网解决了很多问题,比如黑客与厂商之间的信任问题,降低了沟通的时间成本,降低了终端客户可能面临的安全风险。” 一位互联网安全观察人士告诉记者,但一个重要的问题是,成千上万的白帽子是如何发现各行业、各大企业网站的漏洞的? 即使该漏洞存在,获取该漏洞的过程是否合法?
11月18日,某科技公司人士的一条微博“”引起热议:这些人胆子还挺大的。 不要冒着生命危险去为他人取得成功。 虽然我不同意厂家为此抓这些人,但是如果他们真的要抓人,那只需要几分钟的事情。
这条引起众多业内人士关注的消息是,11月17日,名为“NILIU”的白帽子在五云网提交了一个漏洞,标题为“某分支机构管理系统中执行命令”。银行导致服务器崩溃。” 虽然该漏洞的详细细节并未公布,但仍然引起了业界的关注和关注。
“谁授权你测试这个网站的漏洞?你是如何获得这个漏洞的?如果根据这个漏洞来逮捕你,那是有根据的。” 网友“网络游侠”评论,悄悄黑网站,别喊。 发现漏洞的过程往往是非法的过程。
“黑就是白,白就是黑,乌云中的白帽子真的是白帽子吗?很多白帽子的测试渗透过程完全就是一系列的入侵、破坏和信息窃取。” 腾讯微博上,认证者为“五云平台白帽成员”于小葵,在微博上发文反映。
“我向五云网提交的漏洞与黑帽捕获漏洞的方式类似,都是私下进行、悄无声息的攻击,不可能提前通知相关部门和厂商。” “老K”承认,这其实是一种违法行为。 “所谓的白帽子本质上就是黑客,但黑客听起来不好,没人愿意承认。”
“老K”不愿详细透露他是通过什么手段渗透到企业内网并获取企业漏洞的,但他表示,很多入侵想法都来自于五云网——事实上,五云网不仅是第三者-方漏洞提交平台,也是漏洞学习、交流和研究的平台。 其中一些策略仅对白帽子可见,而另一些则向公众开放。
例如,2013年11月22日,五云网发布了一篇题为《我就是这样征服全省万向网吧(网吧渗透测试实例,超详细)》的文档。 万向网吧原本是盛大的子公司,后被盛大出售。 杭州顺网科技。 该漏洞虽然在今年2月就已测试,但攻击步骤、方式、操作方法都极其详细。 可见,获取漏洞本身就是一种非法入侵。
一些高调的白帽人士现身发声。 去年10月19日,知名白帽子“”在五云网发布题为“微信用户密码修改漏洞”的技术帖子,声称通过利用微信账号安全设置漏洞,成功破解了多家微信账号。名人。 账号和手机号码,并公布为证据。
截图显示,白帽子选择更改两人微信账号密码,才成功破解了柳岩和马化腾的微信账号。 一个是明星柳岩的经纪人,另一个是腾讯的高管。 通过这两人的微信账号,该账号获得了柳岩和马化腾的微信ID或QQ号,甚至利用腾讯高管的号码向马化腾发送消息。
因此,获取漏洞本身就是黑客的入侵过程。 “我们经常能看到五云网的一些白帽子为了提交漏洞而渗透到企业内网的过程。挖漏洞需要上传真实的shell并进入内网吗?你见过别人家的门吗?”房子没关,然后你跑进去拍了几张熟睡的女主人的裸照,然后发到她的邮箱里说你的门没关,你看这些照片就可以证明。还评论道,女主你的屁股好白啊,怎么让人觉得这么尴尬呢? XMD5解密网站负责人王立辉在《白帽过目,漏洞平台怎么样》中表示,白帽测试的目标网站是谁授权的?如果出了问题,没人会管。乌云无法正确引导这些白帽子,估计有一天有些白帽子会哭。
“如果授权问题处理不当,提交给五云的漏洞报告可能会成为入侵的证据。” 武汉大学计算机学院副教授、博士生彭国军说道。 在信息安全方面。
“乌云网也深知这一点,所以在声明中进行了风险规避,提交漏洞的事情与乌云无关。” “老K”说道。 根据乌云网的信息安全与保护声明,白帽注册必须通过电子邮件验证。 对于提交虚假漏洞信息的用户,经核实后,五云网将根据情况扣除该用户的Rank,甚至直接删除该用户。 同时,五云网也强调,五云网对于白帽子研究漏洞所使用的方法、方法、工具、手段的合法性不承担任何法律责任。
11月19日,或许是基于行业讨论或其他担忧,提交该漏洞的白帽“NILIU”在乌云网该漏洞下发表声明称:“本次测试并未对系统造成任何损害,也没有对系统造成任何损害。”窃取任何数据,只需截图即可证明。”
但在律师看来,乌云网的说法不能免除责任。 “如果无云网是一个‘善意黑客’,其目的只是帮助企业修补漏洞,那么无云网应该就发现的漏洞与企业私下进行沟通,而不是公开。你要知道,酒店入住涉及个人隐私,信息一旦泄露,不仅对企业有侵权嫌疑,对个人也有侵权嫌疑,如果客人起诉酒店,酒店起诉无云网侵权,那么无云网就涉嫌侵权。会有麻烦的。”上海元元律师事务所的陈先生说。 军事律师的分析。
或许,更严重的是乌云网很难确定“白帽子”的真实身份。 “老K”这样的“白帽子”到底有何神秘身份? 是否是竞争对手的恶意攻击? 是否会发布虚假漏洞信息? 对于别有用心的黑客来说,他们是否伪装成白帽子,潜伏在那里,伺机而动?
这并非没有根据。 2011年12月29日,由于“频繁披露的安全事件及其影响”,乌云宣布暂停服务并进行短暂的系统升级。
据国家互联网信息办公室消息,CSDN、天涯网站也因网民个人行为遭到黑客攻击。 调查发现,网名“臭小子”的徐某某去年12月4日在五云网发帖,以个人吹嘘CSDN等网站数据密码泄露为目的,并公布了泄露的截图数据包。
此外,一些白帽子甚至威胁泄露信息以谋取利益。 五云网白帽子“我心飞扬”因涉嫌敲诈勒索京东被刑事拘留。
微信扫一扫打赏
支付宝扫一扫打赏
