Quantcast

内地为什么不会成为沿海

91大神,夯先生被抓了,勾引百名女性拍A片!

一个25岁的本科绿奴,把自己老婆跟亲妈奉献给住在隔壁的17岁主人

羅湖泰式水会「月光城」正骨平靚正首選(98元/4個鐘 充值港幣1:1)

报告:2008至2016年 中国GDP增速年均高估1.7个百分点

Facebook Twitter

分享到微信朋友圈

点击图标下载本文截图到手机
即可分享到朋友圈。如何使用?

查看原文

方小顿:黑客、乌云与白帽子

2015-10-08 方小顿 一席 一席


从各大互联网企业的安全漏洞,到Xcode恶意代码感染事件(XcodeGhost),互联网越方便也就越危险。有这样一群“白帽子”,他们在或公开,或隐蔽地维护着网络安全,网名“剑心”的方小顿就曾发现多个知名底层和脚本安全漏洞,并创建了非盈利组织乌云(WooYun.org),给互联网公司提供大量漏洞及风险报告,帮助他们防患于未然。
十二万个漏洞
方小顿
先跟大家讲一个故事,是发生在今年一月份的事情。一月份大家都在玩微信,快过年了,大家都在群里抢红包,大家特别喜欢这个。有个小伙子也抢红包,但是可能比大家会多想一点:我能不能抢别人的红包啊?如果我能抢别人的红包,那抢起来就省事很多了。

他开始看微信本身的一套机制,然后找到里面一个问题,尝试了八百多次,抢到了两百多个红包,价值大概200多块钱。尽管也不多,但是他接着算一笔账:我一分钟抢200多块钱,还是在白天,如果我在晚上,我在过年的时候,把程序往电脑上一挂,这比炒股肯定好多了。按照正常人的思维一定会这么做,接下来我们就租个系统,然后我去写个程序就刷,等着我日薪百万吧。

这个人后来干了什么事情呢?他把这个漏洞通过我们的网站“乌云”报告给腾讯,腾讯大概一天修复了这个问题。这个问题在一月份报告的,很高兴在过年之前它把问题修复了。过了两个多月,整个问题修复之后,我们在我们平台上有一个公开,公开之后,我们所有人对这个问题有一个讨论。


有几个人在这里边代表了几种声音,第一种就是说,有些程序员,我没想到说写一个红包这样的系统还能带来这么大的危害,那我下次我要注意。另外一种声音说,我从来不知道抢红包能把我的钱抢到别人那儿,我之前两个红包没抢到,是不是就是被别人抢了?还有一些人,可能另外一些做安全的,另外的一些黑客想,原来我可以在这样的地方,进行这样的尝试,那下次我可以在这些地方多思考一下,我能发现更多的问题。


这个就是整个一个红包的事情,这是一个真实的事情。从2010年到现在,2015年,这么长的时间,在我们这样的平台上,每天都在发生,到今天为止已经发生了12万次。我们十二万个问题就是通过这样的方式进行处理,也帮助很多人去避免这样的问题,帮助很多人的成长,然后参与的人真正来做这个事情,帮助这些企业解决问题的人有多少个?有一万个。

我们在做的就是这样一件事情。发现微信的一个漏洞,当然我可以一天给自己刷100万,我也可以选择把它报告给腾讯,然后修复。对于后面这一种人,也是在我们平台上玩的这种人,我们给他一个定义,叫“白帽子”。但这些人很特别,他的整个思维、看问题的角度,全部是黑客角度。


当然很多人不太理解白帽子,为什么叫白帽子这个概念?大家如果看过很多美国牛仔的西部片,里面就可以看到,那个好的人贴一个标签,然后戴一个白色的帽子,那不用看,主角,永远死不了,他肯定是好人。另外一个人往往是坏人,黑帽子,最后一定会挂。


但是他们的能力都很强。实际上我们就借鉴了这么一个概念,把这些拥有很强的黑客技术,但愿意用来给企业去做贡献,能做好事的这些黑客,我们叫他白帽子,其他人可能叫黑帽子。这只是做一个简单的区别,实际到现在今天为止,我们也通过这样的方式,号召了1万多个白帽子参与到我们这样的群体,给企业发现很多的问题。

然后很多人很好奇就会问,为什么会想到做这样的一个平台,做这样的一件事情?其实这跟我个人的经历也是有关系的。我大学学的是化学专业,这个专业很无聊,每天就是坐在实验室,瓶瓶罐罐的,而且搞得我很容易掉头发。我们特别不想学,一些人就选择去玩游戏,当时流行玩《传奇》,很多人都玩那个游戏。对于我们来说,我们只是换了一种方式去玩,而且我发现玩的更好玩,更有意思,就是黑客的技术。

黑客技术是特别迷人的,你可以想象,自己面对的是一个人造的系统,你们学校的教务处对你来说是个人造的系统,包括微信的红包的机制,对你来说是一个人造的系统。你想象自己在里面成为上帝的这种感觉,改成绩什么的,很多人会改,但是我没有,但是这种感觉是很迷人,它比你打《传奇》 爆boss那个感觉来得更爽。

我大学毕业之后,正好是做了一份跟网络安全相关的工作,后来再跳槽,再接着做。但做着做着发现,自己会问自己一个问题,按理说黑客这么高大上,改变世界,所有人都很重视安全问题,我们是网络里面的神。但实际上,你到一个企业里面去,你就是一个救火的工程师,天天这儿出安全问题了,你来堵一下,那边出安全问题了,堵一下,就给大家做这些事情。

然后我们就想怎么去解决。最开始其实是没有什么答案的,每天还是玩。但是玩到一定时候你会觉得,人就不能多想,他就应该每天干活,不能给他留太多时间一直想。我一想,太没意思了,还不如回去卖水果呢。因为我的身边的确有好多人做到一定时候回去卖水果了,听说很好。当时我们好几个朋友在一起玩,我们觉得,太没意思了,我们行业有问题,我们行业有病。

为什么这么说呢?因为当时我在的企业叫百度。全中国像百度这样的企业才重视安全。其他的企业根本没有安全这个职位,我们跳槽也跳不到哪儿去。,如果你跳槽也跳不到哪儿去,你的薪水就不可能涨太多。但是,与之相比的一个背景,差不多2010年左右,大家都在上网,中国的网民越来越增多,同时移动互联网也出来了。一个人在睡觉,你带个手环,你的数据还在不断地上传,所以一个人的生活越来越多的是被虚拟化所代替了。你每天早上起床,打开手机,微信找你,然后你去支付宝买个什么东西,你的数据全部在这些公司里面,哪怕你手机里面随便装个什么应用,它一定会问你要你的通讯录啊,你的位置信息啊,全拿过去,也就是说,将来,你不再是你了,你是被碎片化的,被存储在各个企业的云里面。

我们是做安全的,我会比大家更优先感知这一切。你存就存吧,但是回想到当时我们对整个互联网的看法,没人重视安全,也就是,我把我奉献给了你,但是你一点都不重视我。我们觉得这个太有问题了,我们最开始是想用技术,用自己的努力,去让这个互联网做的更好。我们研究很多的技术,我们给微软、谷歌报很多的漏洞,但后来发现,这有什么用?整个世界没有任何改变。然后我们就想,为什么会有这个问题,为什么我们做这么多事情,世界还是按照它现有的这种方式去运行?

后来我们找到答案了,因为安全这个东西,它最麻烦的地方,它本质是不可见的,大家不知道安不安全。对于企业来说,它的商业模式是希望大家不要注意到安全这个字眼的。比如大家炒股,谁都告诉你这里面风险很大,但希望你进去的时候,它一定会把这个风险给你抹掉。说吸烟有害健康,但是那个字一定印得很小,从来不会对你讲,这是一样的。它希望你每天用它的手机Apps,用它的云,它希望你把你的数据全部贡献给它,它恨不得开个银行,让你把钱全放在里面,它希望它能占据你的生活。它全是免费的,那它的商业模式一定是说,最后从这些数据里面去挣钱。

这个问题就变成,你对它是没有任何约束的,它却完全拥有你的这些数据。所以我们觉得,这个是最大的一个问题,企业不重视安全的根本原因在于用户不重视安全。

但更多地方的用户是没有办法去关注安全的,为什么呢?媒体天天给他推娱乐消息,推中美黑客大战,但是它从来不会告诉你,今天你的上网可能会有什么样的风险,有哪些地方已经利用了这些东西,可能造成什么样的危害,它从来不给你推这些东西,所以我们觉得这是个问题。

同时,因为用户不关注安全,所以企业不关注安全,只要企业不关注安全,那么现在那个社区里面,整个安全行业里面这些人都是生存很苦的,也就是说,黑客是弱势群体。一旦把黑客逼成弱势群体了,什么事儿都做的出来。这个行业病就在这儿,它是一个死循环,一个死结,一潭死水,没有人能解开。

后来我们就觉得,如果我们找到问题,我们多少应该尝试一下。我跟也是我现在一起做乌云的一个朋友讲了,我说大不了我们卖水果去。我们是抱着这种心态去做的。

然后我们就开始做乌云。但是我们要求的一点就是,我们号召整个的安全社区里面的人把问题报告给企业,让企业去修复,但是,我们要求一点,最后企业一定要把它所发生的这些问题对用户有一个公开,这样的话,用户的数据在企业那儿能得到一个什么样的保存,是不是保存好了,它就变成可见的了,任何人想去了解一个企业的安全做的好不好,都有个地方可以去追溯的,就是把一个封闭的信息变成一个公开透明的了,这是我们希望做的一件事情。但是前提是,我们还是希望能够帮助企业把安全问题都修复,都提高,所以有后面说的12万个漏洞是这么多年的一个积累。

但是,这件事情是很难的。最开始做的时候,这些社区的人,我为什么要相信你啊,我为什么要去把问题通过你报告给企业,最后会在你这儿有一个公开,这是一个非常难的一件事情。但是当时因为我们很牛逼,因为我们之前一直在研究安全的技术,我们在这个社区里面算是有一个领导性的地位,我们觉得这是一个行业的准则,我们应该把它推出去。但是你千万不能做一件事情,你让人家按照这个规则推,但自己一点都不行动,这是不可能的。大家也记住,在做任何事情之前,如果你希望别人怎么做,首先你得坚持自己这么做,而且要坚持足够长的时间。

当时我们就这么去做,慢慢也创建了这样的一套机制。现在大部分的安全社区,白帽子所遵循的一个规则,就是先把漏洞报给企业,企业最后会修复,修复完之后,我们会对外有一个公开。我们一直在做这样的一件事情。

运行一段时间之后发现问题了:你这是在尝试改变之前的一套规则,来自企业的反弹是很大的。为什么这么讲呢?再给大家举个例子。


腾讯在2012年左右,地下的黑客攻击它,泄漏了一份数据。这个数据是QQ群的关系,就是你在哪个群里面待过,你跟多少人是好友。这是很重要的一份数据,它因为自己的安全问题给泄漏了。它是在2012年泄漏的,一直到2013年,我们社区发现有人在利用这份数据做坏事。因为这数据已经泄漏了,传得足够开了,然后我们就把这样的问题反馈给腾讯,让它尽快去处理。这个时候,腾讯说,这个东西我们早就知道了,早就处理了。


当时我们就很奇怪,因为作为一个这么大的企业,QQ群是代表用户关系的,这个东西一旦泄露,影响很深远的。按理说,腾讯应该告诉它所有的用户,我们有一份这个东西出问题了,我希望你在接下来的时间要小心,或者告诉用户,我应该怎么样去避免数据泄漏所带来的一些风险。实际上在国外都是这么做的,但是腾讯没有。

一直到2013年9月份,这个问题被披露出来的时候,腾讯才告诉我们,这个问题我是知道的,的确泄漏了,但是它中间这么长时间从来不会对外去讲一个字。根本性的原因就在于,企业是不希望用户去了解安全的,因为这个信息越封闭,对于它来说是越有利的,而一旦每个用户都了解了互联网的风险,他在使用互联网服务的时候考虑太多东西,那它的业务可能会受到损害,它的商业会受到损害。

所以,当我们强烈要求所有的安全问题修复之后一定要公开的时候,我们得到了很多的反弹性的东西。比如说,我们被联通拔过线,我们的IDC服务器,人家直接把线给拔了。然后我们也被喝过茶,当然因为我们这么做也得罪了很多黑帽子,包括我们的网站,基本上每天都在被攻击,我今天下午的时候还在那处理这样的事情,这就是每天的一个事情。

但是,到目前为止,越来越多的人也参与到我们整个的社区,我们跟很多的部门沟通之后,大家也能理解这样的事情,现在企业也慢慢接受了这种公开问题的方式。

然后有很多人就问我说,你这一万多白帽子都是谁啊,都长什么样啊。其实跟大家都一样是很普通的人,比如说有医生,有保安。有人跟我说是保安,我不信,他说我给你发个图,然后一看,的确是在一个那个运钞车里面坐着,边上拿个枪。还有十三岁的学生,就很多很多很奇怪的人。而最重要的一点就是,安全这个东西是学校教不出来的,必须有一个破坏性的思维,用破坏性的思维去建设一个东西,这是一个最本质的东西。而学校不可能去教你破坏的,所有的学校都教你建设,做好事,但实际上,你如果不了解这种破坏性的东西,你是没有办法把互联网建设得更好的。

因为有很多这样的人进来,比如说我们排名第一的白帽子,我们有一次跟他聊天,说,最近干嘛呢,他说在炒股呢。所以说他首先是互联网的用户,他首先是跟我们一样,但是他会比一般的人会更关心安全,但是他在把他的这种爱好,投射到他对平时在关注这些事情上面,然后通过乌云,把大家凝聚起来,能够去帮助更多的企业,这就是我们一直想做的一个事情。最近,台湾有了一个跟乌云很类似的一个平台,也是受我们影响去做的。所以我们这种方式,通过坚持的话,也是得到了很多人认可。

其实我们这么做就是觉得,互联网是一个很好的东西,但它是不可逆的,你今天把很多数据放上去,有一天你就不可能收回来了。我们通过做这样的事情也是想提醒大家,这个东西是有风险的,大家一定要去关注,只要你关注它,情况一定会得到改善的。

「十二万个漏洞」20150706·北京
方小顿是一席第306位讲者
微信:yixiclub
微博:@一席YiXi
官网:yixi.tv
淘宝:一个礼物by一席
合作:yixitv@vip.163.com

点击图片查看相关推荐


涂子沛:数据开放与公民精神



张旭:科学战


点击
阅读原文
获取更多内容

文章有问题?点此查看未经处理的缓存