《乌云回忆录》,是科技自媒体浅黑科技出品的专题。
2016年漏洞平台乌云关停。时隔一年,我试图走访那些和乌云相关的人,了解他们对网络安全、白帽子黑客,以及这个世界的看法。愿这些记录可以引发更多人的思考。
每个人都有自己的立场和理由,他们的愤怒、恐惧和自私本就情有可原。我只祈祷自己有一双忠诚的眼睛,注脚这个世界的美好或荒凉。
本文是对前乌云合伙人邬迪的采访,是为《乌云回忆录》第一篇。
邬迪:乌云完成了使命
口述 | 邬迪 文 | 史中
乌云完成了它的使命。
邬迪说。
邬迪,前漏洞平台“乌云”合伙人,如今他加入了一家安全创业公司。
2016年7月20日,乌云页面突然显示“升级公告”,关闭至今。2017年11月12日,距离“乌云事件”480天,我坐在邬迪对面。这个故事的另一个主人公是方小顿,人称剑心,“乌云”创始人。和邬迪一样,方小顿也在等待乌云事件最终的结果。
在一家咖啡馆里,邬迪和我讲了一些被尘封的往事:
我认识方小顿,是在2012年。
那是我在老牌 IT 公司深信服工作的第7年。
有同事找到我说,有个叫做“乌云”的媒体曝光了我们产品的一个漏洞。作为品牌总监,我得想办法“平事儿”。
我设法找到了乌云联系人的电话,电话那头传来了方小顿沙哑的声音。
他说,乌云不是媒体,而是漏洞平台。漏洞是民间的“白帽子黑客”提交的,把漏洞公开就是为了让中国的企业都能够重视网络安全。我说,太感谢了,我们已经重视了,并且修复了漏洞,是否有可能把帖子删掉呢?他说,这个恐怕没可能。只要发到乌云网站上的漏洞,就没有办法删除。每个帖子,都是一盏警示灯,灯亮得足够多,企业才会足够重视自己的安全建设。
我有点奇怪,这个人的话语逻辑里不包含“钱”。于是我搜索了“方小顿”,知道他是一个资深的安全专家。曾经供职百度,还和李彦宏一起上过《天天向上》,唱了一首惨不忍睹的歌。除此之外,别无其他。
几个星期以后,我北上北京,专门约他喝咖啡。
希格玛大厦的硬盘咖啡,我见到了他。长发及肩,不修边幅,牛仔裤、旧短袖、夹板拖鞋,声调不高但逻辑清楚。挺黑客的。
我再一次提出删帖的要求,暗示可以出些钱,他拒绝了。做了这么多年市场,我能听出来一个人是否真的不想要钱。于是我死心了,反倒对“乌云”有了更多的兴趣。
方小顿说,离开百度时他的级别是 T7,如果继续待下去还能更高,这个级别意味着衣食无忧前程似锦。但他坚信自己另有使命。他说安全圈太封闭了,这么多互联网公司漏洞百出,个人信息不断被黑客窃取,电信诈骗、网络攻击已经到了令人发指的地步。然而公众却没有渠道得知真相,任由自己的隐私权利被贩卖和侵害。需要有人把真相说出来,他深信做这件事的人应该是自己。
他设想的模式是:
鼓励“白帽子黑客”——民间对网络安全技术感兴趣的技术人员——提交各个企业的漏洞,乌云审核之后无条件公开。白帽子在这个平台上获得认可、技术交流和荣誉感,企业在这里获得自己的漏洞详情和危机感,鞭策自己提高安全性。
这就是后来著名的“乌云模式”。这个模式让当时的我热血沸腾,当然后来也改写了我们所有人的命运。
两年以后,我选择加入乌云。另一位创始人“疯狗”跟我回忆,我认识方小顿的2012年乌云已经成立三年,那时只有两三个人,所有人住在民宅里,不仅不领工资,而且都是把自己的积蓄在往里填。他们相信自己在做一件伟大的事。
自从认识了方小顿,每次去北京,我都会约他聊聊。
特别是当我发现,我们的很多同行,甚至是安全能力很强的 BAT,都在乌云上被“白帽子”爆出过漏洞,公司从上到下也开始放下对乌云敌意,甚至我们的技术人员也会在乌云上查看同类产品被爆出什么漏洞,然后赶快检查自家的产品有没有问题。
2013年,深信服要推一个重磅产品:下一代防火墙。
在推出之前,本着对用户负责的态度,我们希望自己先对产品做一个深度的安全测试。于是我们找到了一家广东省内的安全公司,他们按照“Check List”逐项作了检查,结论是产品没有漏洞,很安全。
虽然有这个结果,但贸然发布产品我们觉得还是有些草率,于是我想起了方小顿。我问他乌云是否能做“安全测试”这种工作。
他想到一个方法,我们把防火墙映射在一个网络地址上,乌云组织天南海北的“白帽子”在网上对这个产品发起测试。发现漏洞,我们就付费给白帽子。
这就是后来乌云推出的第一款产品“乌云众测”。深信服是它的第一个客户。那次众测,白帽子找到了产品的十多个高中危漏洞,和之前的“0漏洞报告”一对比,我们挺震惊的。
2014年4月,方小顿突然给我发来了一些截图,是一份测试报告,来自“乌云众测”。虽然上面的公司名称打了码,但我能看到众测给这家公司找到了上百个安全漏洞。 在QQ上,他问我,现在乌云众测做得很好,团队还计划做新产品,愿不愿意来乌云?
当时,我挺心动的。我可能是一个理想主义者,一直迷恋一种体验:在早期加入一家伟大的公司,和大家一起改变行业,创造历史。
以当时我对“乌云模式”的判断,还有对“乌云众测”的了解,我觉得乌云未来是一定能够被写进中国网络安全历史的。
只不过,我当时已经在深圳成家,按照世俗的眼光看,该有的也都有了,原本没有任何换工作的想法。
我住的小区盖在一座山上,收到邀请的那一个月,每天7点吃完饭后,我就到山上去散步,有时自己,有时和妻子一起,思考自己的选择,每天直到快到10点才回家。
2014年的北京雾霾肆虐,我很抵触。不仅如此,如果加入乌云,股票归零,工资减半,奖金全无。我记得在最纠结的时候,我妻子突然转过身对我说:钱什么时候都可以赚,但一生之中寻找理想的机会并不常有。现在闭上眼,她当时的眼神就浮现在面前。
最后我决定,用手中的这一切,换乌云的未来。
但我不觉得父母可以理解我的选择。为了让父母不担心,我说深信服在北京投资了一家公司叫“乌云”,我被派驻到那里负责管理。
正式上班第一天,邬迪才第一次走进乌云的办公室。
那时候乌云刚刚搬到上地,嘉华大厦。这间办公室的上一任主人是“火币网”。除了剑心,疯狗,瞌睡龙,邬迪这几个合伙人老一点,是八零后,其他十来个人都是九零后。
邬迪回忆,有人十一点来,有人下午才来,有点散漫。不过每个人都是绝顶高手,张口闭口都是技术,午饭时都没人讨论其他话题。他们热爱安全,热爱乌云所作的事情,并且对所有试图遮盖或掩饰安全问题的行为表示不齿。他们是一群理想主义者。
“你有没有想过,正是理想主义才让乌云被关?”我问。
“是的。”他想了想,“但现实主义者不会做乌云。”
也正是在那个时候,他开始认真地了解“白帽子”这个群体。
黑客本身就是反叛精神的载体,白帽子也是这样一群特殊的技术群体。很多白帽子黑客都是高中毕业、大学肄业,诸如此类。他们当中相当一部分不满学校教育,自学计算机知识。邬迪觉得这些人中“鬼才”居多,但社会并没有给他们足够的空间。
以前,因为学历的问题,很多白帽子很难跨进大公司的门槛。
但有了乌云以后,他们可以在上面提交漏洞,获得社区和公众的注意,同时证明自己的技术能力,通过这些在一家大公司获得一份体面的工作和不菲的收入。面对黑产的诱惑,他们可以更坚决地说不。也许乌云让这个群体从此远离了网络犯罪,给他们一种新的人生可能。
邬迪回忆。
但同时,在这些白帽子里分化出了另一个更为特殊的群体。他们在乌云体系里成为了“核心白帽子”。
这些核心白帽子往往能够“以一敌百”,发现其他白帽子无法发现的巨大漏洞,这些漏洞曝光出来,甚至可以在舆论中造成轩然大波,例如,2014年3月,乌云突然曝光携程网泄露公民信用卡信息;2015年,乌云曝光12306大量乘客信息泄露。这些曝光都直接推动了网络安全的历史进程。
根据邬迪的观察,核心白帽子和普通白帽子有很大的区别。他们往往是高知,有的是博士毕业,有一份工资很高的工作,但生活很简朴甚至无趣。挖漏洞更多出于爱好。比起钱来,他们更在乎自己“天下无贼”的梦想。
接连曝光了一些重要的漏洞之后,邬迪对这些核心白帽子从好奇转变成了敬佩。他依然能回忆起一些故事:
白帽子A,测试了特斯拉的网站,本来预定一台 Model S 电动汽车需要网上支付30万的定金,而他通过漏洞,只需要1块钱就可以达到预付30万的效果。
他把漏洞提交给特斯拉之后,特斯拉为了表彰他的贡献,告诉他这1块钱就认定为30万,只要他缴纳余款就能提走一辆车。他家境不错,买特斯拉不成问题,但他拒绝了。
他说自己这么做只是为了找到漏洞,不是为了这份奖励。
无论漏洞多么严重,乌云都会强制公开。态度和当年方小顿对待深信服的邬迪别无二致。
这些“乌云核心白帽子”搅动了整个中国互联网,恨和爱由此开始交织。有关“乌云模式”的讨论也甚嚣尘上。保守主义者认为“进步需要时间”,激进主义者认为“矫枉必须过正”。
身处白帽子群体,邬迪虽然不搞黑客技术,也能经常接到黑产发来的邮件。有的邮件里言辞闪躲,留下一个QQ号,出于好奇他会去搜索,一看签名里面全是“黑话”,就知道这是个搞黑产的。有人甚至直接打来电话,说你帮我搞一个网站,先给你打过去100万,事成之后再给你200万。
“那些白帽子同事接到的邮件和电话就更多了。他们经常把黑产和他们对话的截图发到公司的群里,每一单都值一辆车,而对他们的技术水平来说,赚这些钱只需要动动手指。但大家都当成笑话说,没人真去接单。虽然他们有的人想买房,当时确实很缺钱。”他说。
“你怎么确定他们没有心动去做了黑产?”我问。
“因为直到最后那些同事还在租房,还在找我们借钱。”他说。
除了要抵抗金钱的诱惑,白帽子们还要应对外界的各种质疑甚至威胁。
曾经有很知名的巨头企业给乌云内部的工作人员打电话,在电话里一字不差的说出了这名同事的姓名、身份证号和家庭住址,暗示如果乌云上再出现他们的漏洞就会采取“必要的行动”。如果说不害怕那是假话。但一夜过后,第二天上班他仍然该怎么做就怎么做。
邬迪说。
依靠这样一群散发着理想主义光芒的白帽子,那几年乌云毫不意外地进入了爆发期,因为不断曝光网络的黑暗阴影而屡上头条,被大众所知。方小顿成为某种黑客精神的旗手。白帽子们虽然散落在互联网各个地方,拥有不同的教育背景,从事着不同的主业,但都同时聚集在这面旗帜下。他们之中有些铁粉,纷纷选择加入了乌云,成为了几十名员工之一,为之后的产品“乌云众测”和“Tangscan”贡献力量。
我问邬迪,现在他究竟怎么看待白帽子这个群体。
他想了想,把中国黑客历史分为三个阶段:
黑客时代:从上世纪90年代到10年之前,没有纯粹的白帽子和黑帽子之分。黑客可能会给企业提交漏洞,但是没有可预期的回报,他们可能也会做黑产,利用自己的技术犯罪。同一个人也许有黑白两个身份,没有清晰的边界。
前白帽时代:从2010年乌云建立开始,黑客渐渐分化成了两个群体:白帽子和黑帽子。代表理想主义情怀的白帽子在发现企业漏洞之后,提交到乌云或其他平台,获得声望;而代表现实主义的黑帽子发现漏洞之后,卖给地下黑产,和这个世界玩捉迷藏。
后白帽时代:2016年“世纪佳缘案”和“乌云事件”之后,白帽子群体分化,有些白帽子选择了“授权测试”的平台,完全守法,不再公开漏洞。有些白帽子转而从事其他职业,有一部分边缘白帽子转入黑产,进入地下。目前来看,他们从公众的视野里消失了。
2016年6月,就在“乌云事件”的一个月前,方小顿在QQ上给我发来信息:“我想把乌云主站关掉。”
我感到错愕。
我猜他一定知道了什么,或者至少感觉到了什么,但到最后他都没有和我说。
我记得很清楚,我抬起头,看着屋子外面坐着的一群年轻人。他们是因为我们,因为乌云,或者说因为某种理想才坐在这里。“关掉乌云可以,但他们怎么办?”我觉得我们对于这些单纯又有理想的九零后负有不可推卸的责任。
但一个月后发生的事情证明我们不仅不是救世主,也许还正好相反。
我总在想,如果我们能够不那么自以为是,不那么悲天悯人,早点关闭乌云,事情可能会有所不同。但,没有人是神。
后来有人问我,你恨不恨方小顿。我说不恨,他已经尽力了,如果我是他,也许做得不如他好。当然如果有机会,我们应该和相关部门有更多的沟通。
2016年7月初,乌云大会召开,我们专门攒了一个论坛,拉来了白帽子、网络取证专家、公安机关领导,探讨“漏洞机制”这件事。我记得方小顿在台上,不遗余力地为“乌云模式”站台。但当时他内心究竟在涌动着怎样的情绪,可能谁都无法了解。
10天后,发生了安全圈甚至大半个互联网圈都知道的事情。
时隔很久,我才第一次打开手机。
那是一台 iPhone,性能不错。但手机就像死机了一样,震了几十分钟。熟悉的人,不熟悉的人,媒体、客户、很久不联系的朋友,他们发来的微信还没来得及闪现,就被其他人的消息顶到了后面。他们关心地询问我的近况,同时小心地避开我的伤口。未接电话的提醒短信一个接一个,仿佛没有休止的一刻。
我告诉父母,我从未想过要去做一件坏事,但结果也许不尽如人意。
他们说,你不用说了,我们了解自己的儿子。你回来就好。
那几个月,我发誓要加入一个大公司。这样也许今后的人生就不会有这么多风险,就像当年方小顿如果不离开百度,他的生命将会平稳安定,将会衣食无忧,后面发生的一切都不过是一场虚幻的梦。
随后也确实有挺多大公司向我伸出了橄榄枝,我准备挑选其中一家。
然而,有一天半夜,我突然醒来。我好像看到方小顿走到我面前。我好像看到了乌云的兄弟姐妹,看到了那些为了理想不怕威胁不计回报的白帽子。他们轻声问我,是不是还像当年一样渴望亲自参与一次伟大的创业,是不是还像当年一样梦想做一个可以被铭记的人。我坐起身来看向窗外,夜色如海,上帝在沉默。
几秒种后,我想通了,像个婴儿一样沉沉睡去。那天晚上,我做了此生最美的梦。
我拒绝了大公司的邀请,最终又加入了一家网络安全创业公司。我猜,对于理想主义者来说,有些事情是注定的,坚硬的,赴汤蹈火的,无法更改的。
乌云出事后很多人问我,辞掉深信服来乌云,是不是挺后悔的?你可能不信,我并不后悔。
我在电话里告诉身在老家的父亲,说我还是决定加入一家创业公司。父亲说,我支持你,因为我早就知道,我的儿子无论经历过什么,都能有勇气重头再来。
他说,我为你感到骄傲。
邬迪叠好回忆,望向窗外。
外面天色湛蓝,像是舒展了半生的愁眉。
“乌云完成了它的使命,是时候说再见了。”他说。
我顺着他的目光极目远眺,万里无云。
“为什么?”我问。
之前很长时间,我都以为是乌云创造了历史。但现在我知道,是历史选择了乌云。
那个时代互联网爆炸式发展,而网络安全没人重视。网络犯罪行为越来越多,但没人告诉大众,他们究竟是如何被侵害的。面对那个坠落的世界,需要有人站出来——这个喊出皇帝新衣的小孩,恰好是我们。
人们总在争论乌云的模式是否极端、披露漏洞是否要授权,但在那个时代里,我们别无选择。
你明白吗,别无选择。
他盯着我,说。
“那个时代还在吗?”
“不在了。乌云随着这个时代开始,也随着这个时代结束了。”
“那个时代,还有遗憾吗?”
“我们让网络安全问题从封闭的小群体走向了大众的视野,让整个社会开始重视安全。乌云没有遗憾。”
“原来那些乌云的白帽子,现在在哪里?”
“有一部分移民海外了,从此没了音信。还有些人暂时放弃了安全,成为一名普通的程序员。4月份时我见到了一位核心白帽子B,他曾依靠一己之力改变了中国网络安全的进程。如今他在一家大企业做程序员,白天坐在西二旗的格子里写代码,晚上回到回龙观的格子里写代码。”
“不挖漏洞了吗?”
“不挖了。”
“你和他说什么了吗?”
“我说我感到悲凉。”
“白帽子们都离开了吗?”
“我更愿意相信,他们在等待。”
“等待什么?”
“当时代需要时,他们勇敢地站了出来。当潮水退去时,他们等待新的使命。他们等待被抛弃或被怀念,等待这个世界告诉他们善恶和对错。”
转载自原文链接
本博主说:
我接触乌云的时候是TSRC一位大牛介绍我认识这个漏洞平台,那个时候我什么都不会,几乎每天的时间都投入到乌云里学习,
那时乌云想注册账号是需要提交一枚漏洞且通过审核才能成为白帽子,我为了成为白帽子我就去挖了一个弱口令漏洞然后过了…
接下来的日子就是疯狂的看每一篇漏洞找然后复现(当然不会破坏), 那个时候啊D注入工具、明小子就是我的神器了当然还有很强大的burpsuite、sqlmap、nmap等
在乌云的日子每天都必须至少挖一个漏洞,期间收到不少厂商送来的礼物,激情就慢慢上升了,一发不可收拾。
兑换最后一次奖品的第二天主站突然挂上了升级服务…, 我还以为第二天就恢复了,结果1个星期,2个星期,1个月…直到现在还是在升级。
乌云关闭后我再也没有去挖过漏洞了,因为没有激情了, 这个时候我没有了收入,我想打算学习一门编程语言,我接触了Java2个多月,因为那个时候Java很火,可是我对Java这门语言没有兴趣, 之后又听说H5很火能干很多事情,他是做网页的,我对这个很好奇因为以前常常听到别人说520源码免费送,他可以写出很漂亮的页面,而且只要有浏览器就能看见。
我现在已经工作了,是一名前端工程师。WEB安全依然是我的爱好,我是不会放弃的,因为我对这个非常感兴趣。
我一直把我自己当做一名小白,业余时间几乎是学习阶段,热爱前端开发、Node.js、Web安全。 欢迎路过的同学可以互相学习交流哈。
最后我想说的是真的希望有一天乌云能回来。