乌云网:网络漏洞查找的黑客技术暗战江湖

阅读  ·  发布日期 2020-08-02 20:23  ·  admin

揭秘乌云网:中国最大的黑客培训基地?

十月10日,如家等酒店开房数据泄露;十月29日,来往被指存漏洞波及支付宝钱包;十一月5日,搜狗电脑浏览器被曝存在重大网络安全问题;十一月21日,腾讯7000万QQ群用户量据被指泄露;十一月26日,360出现任意用户更改密码漏洞;甚至连有关部门网站漏洞也被公布....。.

一系列泄露事件让人们人心惶惶,也让公布这一系列泄密的乌云网声名鹊起。人们在震惊相关企业逃避责任同时,也对乌云网充满了好奇:这是怎样的一个平台,背后又是一个怎样的隐秘江湖?

白帽 聚集的黑客基地

老K 说:自己是一名重塑黑客理想的白帽

十一月十五日,某咖啡馆。

距与 老K 约定的时间已过去半小时,记者用手机QQ给他发去一条消息: 到了么?

堵车快到了,还有十多分钟。 老K 回复。

又过了半小时, 老K 仍未出现。又过了十分钟,记者收到了一条 老K 发来的消息: 抱歉,我刚才在咖啡馆外徘徊了很久,想了想,还是QQ上交流比较好吧。

在这个圈子,真实身份是个秘密。除非完全信任你,否则不会对你说全部。 对 老K 所在圈子有很深了解的本报网络技术工程师 董师傅 对记者说。

对用户而言, 老K 所在圈子是一个很隐秘的江湖 老K 在一家网络科技公司工作,表面上和平常人没有什么区别。但晚上,他就成了某高手云集的黑客团队里重要一员,网名就是他的身份代表,通常只用QQ和外界交流。

二零一零年, 老K 第一次将某个网站改了,添加图片与音乐, 与利益无关,那感觉很兴奋。 老K说他们与贩卖数据的传统黑客不同, 我们的理想是重塑黑客精神。 老K 把自己称为黑客中的 白帽 ,他现在的乐趣在于寻找、测试和捕捉各大型企业的网络安全问题,然后提交给第三方漏洞平台乌云网。

我有自己正当的工作,不靠那个牟利。 老K 在乌云网上的等级是普通白帽,2013年至今,他已在该平台上提交了20多条漏洞,绝大多数在厂商确认都已公开,涉及电信、传统IT厂商、证券网站。 找到漏洞,就是要找寻所谓的后门,即作为 开门钥匙 的登录名和密码。

在普通公众心中,神秘和危险是黑客的代称。但在黑客界,所有黑客被归为三种类型:白帽、黑帽子、灰帽子。像老K这样 重塑黑客理想、不恶意利用而且公不漏洞 的就是白帽。灰帽子擅长攻击技术,但不轻易造成破坏。而黑帽子则是以盗取信息牟利为生。

很难统计目前我国多少活跃的黑客,但公布一系列泄密的乌云网,正是集结网络白帽的主要力量。据记者不完全统计,目前至少有4000多名白帽活跃在乌云网上。 这些白帽身份很复杂,有各大企业的网络信息安全技术工程师,有黑帽子洗白的,有IT从业者,也有白领、律师甚至厨师。 老K 说。 可以说,乌云网聚集了全国最多的黑客,也是乌云网让白帽这个词语火爆起来。

乌云网就是一个黑客聚集之地。 二零一一年底,在接受某媒体采访时,化名的乌云网组织者 WooYun 也如此表示,这些黑客中的白帽挖掘网站中的网络安全问题,在 黑帽子 利用它们之前,提交到平台上,或者向厂商报告,使厂商及时进行修复。

乌云之前,全是黑的

乌云网创始人孟德说:在乌云之前,(安全界)全是黑的

根据记者不完全数据统计,乌云网首页 最新公开 的安全隐患达1.5万个, 最新确认 漏洞近1千个,十一月25日至十一月28日提交的漏洞也有30多个。从记者观察来看,这些漏洞所涉领域中繁多,除了传统的联想、腾讯、中国移动通信等多家IT企业,还有中国科学院、各大银行、国家航空、海关系统甚至政府各部门官方网站站等核心网站。

这些漏洞来源均来自民间安全研究人员,漏洞提交上来后平台会进行一个简单的验证,确定后就转交给各个企业在乌云的的安全接口人进行确认,厂商对其真实有效负责。 孟德说。

乌云网(WooYun)成立于二零一零年5月,主要创办人为百度前安全专家方小顿 这位80年代出生的国内知名黑客 剑心 ,因在二零一零年2月和百度李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为 自由平等的 的漏洞报告平台,为电子计算机厂商和安全学者提供技术上的各种参考以及漏洞bug的修复。

乌云之前,你当他(安全界)全是黑的好了。因为没有合理的漏洞提交渠道,一个所谓的善良黑客要提交漏洞可能会被厂商威胁 。 十月21日,乌云网对外新闻发言人孟德对记者说,乌云网的创立初衷之一是在厂商和白帽之间建立一个沟通平台。

孟德,和活跃在乌云上的白帽一样,他更愿意让人们叫他的网名 疯狗 。自称业余渗透师,web安全发烧友。拥有9年互联网技术安全经历,乌云网创始人。

孟德如此描述乌云网对国内安全界的重大贡献: 有了乌云之后呢,我们会告诉大家,漏洞你别乱发,我们帮你跟厂商沟通,培养漏洞先给厂商的习惯.....。.把平台上的白帽们思想和习惯给规范性、合理化......。.变成一支互联网技术安全的中坚力量。

根据孟德的说法,现在乌云网员工都是 兼职 行为,由企业与合作方的朋友共同支撑。 我们并非一个组织,只是一个平台聚集了一些爱好安全生产技术的人。很多白帽都来这里分享漏洞,也只有得到核实并已经采取预防措施解决困难后才会被公开。 孟德说,此前由于沟通渠道的缺乏, 白帽 即使发现了漏洞也很难将信息的传递给网站,而网站也没办法顾及散落在互联网技术各地的漏洞信息,最终导致一些漏洞被人遗忘,未得到修复而造成损失。

乌云网一炮打响是在二零一一年底 当年十一月,乌云网根据白帽提供的各种材料,连续披露京东商城、支付宝钱包、网易等著名互联网技术企业存在高危漏洞,11月29日更是指出支付宝钱包1五百万至2五百万用户资料泄露,以及广东公安厅出入境签证政务网444万客户信息泄露。

而此后,如家酒店等开房数据泄露、支付宝钱包漏洞、搜狗电脑浏览器泄露用户量据、腾讯7000万QQ群用户量据泄露等一系列引起关注的泄漏事件均由乌云网公布。

三方暗战的江湖

对于乌云网、厂商、白帽而言,三者间亦是一个不为公众所知的暗战江湖。

根据《乌云网漏洞审核机制改进公告》,普通漏洞披露流程为5天厂商确认期,10天向核心白帽公开其漏洞细节,20天向普通白帽公开,30天向实习白帽公开,45天向公众公开其细节。 超过周期厂商无回应,或者在期间内否认漏洞的真实有效,乌云网一般都会公开其细节。 老K 说。

来自乌云网官方的数据显示,目前有500多家厂商与乌云网有合作或被公布漏洞。对于乌云网、厂商、白帽而言,三者间亦是一个不为公众所知的暗战江湖。

厂商是否应该给予乌云网上的白帽奖励? 十月26日,在京东安全沙龙上,一位参会者提出了一个引起热议的问题。1个月后的十一月21日,乌云网公布了一个 不太听话 的厂商――称腾讯7000多万QQ群关系数据被泄露,在迅雷快传很轻易就能找到数据下载链接。根据QQ号,可以查询到备注姓名、年龄、社交人脉关系甚至从业经历等大量私人信息。

一位专业人士还对记者举了一个例子:十月29日,乌云网公布了一个白帽提交的漏洞,其标题为《 来往 致淘宝账号被破解 波及余额宝支付宝钱包》的漏洞消息,称该漏洞处于等待厂商处理状态,换句话说,用户选择通过淘宝帐户登陆来往后,看到消息时仍可波及到支付宝钱包余额宝的安全隐患。 据我了解,这位白帽先把漏洞提交给了阿里官方,但阿里官方没有理睬,后来这位白帽气不过,又提交到了乌云网,乌云网则对其进行了公布。

这个漏洞消息带来的后果之一是 在声讨支付宝钱包网络安全问题的热议中,根据新闻媒体,在三元里做服装生意的杨先生,其银行账户通过支付宝钱包无缘无故转走了5万元。随后一名 黑客 发来短信自称在测试支付宝钱包漏洞时所为。

去年2月18日,一位网名为 zazaz 的黑客在国内安全隐患反馈平台乌云上提交漏洞,称联通公司在线客服系统存安全风险,该漏洞在乌云服务平台公布后,有部分用户用于娱乐。而如家等酒店的开房数据泄露,更是在全国引起了疯狂的下载、查询开房信息风波。

这引发了人们的追问:乌云网是否应该将漏洞公布于众?根据孟德的说法,在厂商未确认或驳回前,公众不会看到漏洞的具体细节,黑客很难根据这些消息进行违纪行为。但一位互联网技术人士也对记者称: 如果黑客对此有兴趣,那么只要知道企业名称和大概漏洞消息源头,侵入这个企业并非难事。 该人士表示,从他的观察来看,乌云网上的众多待确认和刚提交的漏洞,甚至牵涉到各个政府机构的安全隐患,虽然没有具体细节,但仍然让外界用户感到吃惊。

厂商前方百计要把影响降到最低,要么否认、驳回其漏洞,要么乖乖和乌云网进行合作。而乌云网则想方设法想要炒作自己,亏大自己的影响。 老K 说,而白帽,也有自己的诉求,或为了名,或为了利,因此如果提交给厂商被驳回,一般都会提交到乌云网。

对此,一位不愿透露姓名的某互联网技术企业高层人士对记者称,对于乌云网,他们也是颇为无奈。一方面,企业有自己的安全大数据中心,随时在对企业官网进行测试;另一方面,乌云网亦不时公布些骇人听闻的消息,炒作自己在业界的权威,不理睬也不行 但实际上,那些引起热议的泄露事件,其漏洞早在几个月前就已修复。

对于是否炒作的说法,孟德对此并不否认。 这实际上是国内互联网技术舆论的一个怪圈 ,只要是曝光度比较高, 或因为何比较热门了 ,就可能会被认为是自我炒作 ,乌云现在也在经历这个怪圈而已。

按照乌云创始人,原百度安全系统架构师 剑心 在知乎的说法,乌云网得到 除了腾讯这样的封闭企业的认可。 对此一位知情者士对记者称,腾讯是唯一不对乌云网上的白帽送礼物或奖励的厂商,相对应的,乌云网上公布问题最多的企业也是腾讯 根据记者不完全统计,乌云网公不的腾讯各种安全隐患多达数以百计。