揭秘烏云網：中國最大的黑客培訓基地？

一系列泄露事件讓人們人人自危，也讓公布這一系列泄密事件的烏云網聲名鵲起。人們在震驚相關企業不負責任同時，也對烏云網充滿了好奇：這是怎樣的一個平臺，背后又是一個怎樣的隱秘江湖？

“白帽子”聚集的黑客基地

“老K”說：自己是一名重塑黑客理想的白帽子

11月15日，某咖啡廳。

距與“老K”約定的時間已過去了半個小時，記者用手機QQ給他發去一條消息：“到了么？”

“堵車快到了，還有幾分鐘。”“老K”回復。

又過了半個小時，“老K”仍未出現。又過了十分鐘，記者收到了一條“老K”發來的消息：“抱歉，我剛才在咖啡廳外徘徊了很久，想了想，還是QQ上交流比較好吧。”

“在這個圈子，真實身份是個秘密。除非完全信任你，否則不會告訴你全部。”對“老K”所在圈子有很深了解的本報網絡工程師“董師傅”說。

對普通用戶而言，“老K”所在圈子是一個很隱秘的江湖——“老K”在一家網絡公司工作，表面上和普通人沒什么區別。但晚上，他就成了某高手云集的黑客團隊里重要一員，網名就是他的身份代表，通常只用QQ和外界交流。

2010年，“老K”第一次將某個網站改了主頁，插入圖片與音樂，“與利益無關，那感覺很興奮。”老K說他們與販賣數據的傳統黑客不同，“我們的理想是重塑黑客精神。”“老K”把自己稱為黑客中的“白帽子”，他現在的樂趣在于尋找、測試和捕捉各大企業的安全漏洞，然后提交給第三方漏洞平臺烏云網。

“我有自己正當的工作，不靠那個牟利。”“老K”在烏云網上的等級是普通白帽子，2012年至今，他已在該平臺上提交了20多條漏洞，大部分在廠商確認都已公開，涉及電信、傳統IT廠商、證券網站。“找到漏洞，就是要找尋所謂的后門，即作為“開門鑰匙”的用戶名和密碼。” 

在普通公眾心中，神秘和危險是黑客的代名詞。但在黑客界，所有黑客被歸為三種類型：白帽子、黑帽子、灰帽子。像老K這樣“重塑黑客理想、不惡意利用而且公不漏洞”的就是白帽子。灰帽子擅長攻擊技術，但不輕易造成破壞。而黑帽子則是以盜取信息牟利為生。

很難統計目前中國有多少活躍的黑客，但公布一系列泄密事件的烏云網，正是集結網絡白帽子的主要力量。據記者不完全統計，目前至少有4000多名白帽子活躍在烏云網上。“這些白帽子身份很復雜，有各大公司的網絡安全工程師，有黑帽子洗白的，有IT從業人員，也有白領、律師甚至廚師。”“老K”說。“可以說，烏云網聚集了全國最多的黑客，也是烏云網讓白帽子這個詞語火爆起來。”

“烏云網就是一個黑客聚集之地。”2011年底，在接受某媒體采訪時，化名的烏云網組織者“WooYun”也如此表示，這些黑客中的白帽子挖掘網站中的安全漏洞，在“黑帽子”利用它們之前，提交到平臺上，或者向廠商報告，使廠商及時進行修復。

“烏云之前，全是黑的”

烏云網聯合創始人孟德說：在烏云之前，(安全界)全是黑的

根據不完全統計數據，烏云網首頁“最新公開”的安全問題達1.5萬個，“最新確認”漏洞近1千個，11月25日至11月28日提交的漏洞也有30多個。從記者觀察來看，這些漏洞所涉領域中繁多，除了傳統的聯想、騰訊、中國移動等多家IT企業，還有中科院、各大銀行、國家航空、海關系統甚至政府各部門官方網站等核心網站。

“這些漏洞來源均來自民間安全研究人員，漏洞提交上來后平臺會進行一個簡單的驗證，確定后就轉交給各個企業在烏云的的安全接口人進行確認，廠商對其真實性負責。”孟德說。

烏云網(WooYun)成立于2010年5月，主要創始人為百度前安全專家方小頓——這位1987年出生的國內知名黑客“劍心”，因在2010年2月和李彥宏一道參加湖南衛視《天天向上》節目，因為女友高歌一首而為人所知。此后，方小頓聯合幾位安全界人士成立了烏云網，其目標是成為“自由平等的”的漏洞報告平臺，為計算機廠商和安全研究者提供技術上的各種參考以及漏洞bug的修復。

“烏云之前，你當他(安全界)全是黑的好了。因為沒有合理的漏洞提交渠道，一個所謂的善良黑客要提交漏洞可能會被廠商威脅。”10月21日，烏云網對外發言人孟德對記者說，烏云網的創立初衷之一是在廠商和白帽子之間建立一個溝通平臺。

孟德，和活躍在烏云上的白帽子一樣，他更愿意讓人們叫他的網名“瘋狗”。自稱為業余滲透師，web安全愛好者。擁有9年互聯網安全經歷，烏云網聯合創始人。

孟德如此描述烏云網對國內安全界的重大貢獻：“有了烏云之后呢，我們會告訴大家，漏洞你別亂發，我們幫你跟廠商溝通，培養漏洞先給廠商的習慣......把平臺上的白帽子們思想和習慣給規范化、合理化.....變成一支互聯網安全的中堅力量。”

根據孟德的說法，現在烏云網員工都是“兼職”行為，由企業與合作伙伴的朋友共同支撐。“我們并不是一個組織，只是一個平臺聚集了一些愛好安全技術的人。很多白帽子都來這里分享漏洞，也只有得到核實并已經采取防范措施解決問題后才會被公開。”孟德說，此前由于溝通渠道的缺乏，“白帽子”即使發現了漏洞也很難將信息傳遞給網站，而網站也根本無法顧及散落在互聯網各地的漏洞信息，最終導致一些漏洞被人遺忘，未得到修復而造成損失。

烏云網一炮打響是在2011年底——當年11月，烏云網根據白帽子提供的各種材料，連續披露京東商城、支付寶、網易等著名互聯網企業存在高危漏洞，12月29日更是指出支付寶1500萬至2500萬用戶資料泄露，以及廣東省公安廳出入境政務網444萬用戶信息泄露。

而此后，如家酒店等開房信息泄露、支付寶漏洞、搜狗瀏覽器泄露用戶數據、騰訊7000萬QQ群用戶數據泄露等一系列引起關注的泄漏事件均由烏云網公布。

三方暗戰的江湖

對于烏云網、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰江湖。

根據《烏云網漏洞審核機制改進公告》，普通漏洞披露流程為5天廠商確認期，10天向核心白帽子公開其漏洞細節，20天向普通白帽子公開，30天向實習白帽子公開，45天向公眾公開其細節。“超過周期廠商無回應，或者在期間內否認漏洞的真實性，烏云網一般都會公開其細節。”“老K”說。

來自烏云網官方的數據顯示，目前有500多家廠商與烏云網有合作或被公布漏洞。對于烏云網、廠商、白帽子而言，三者間亦是一個不為公眾所知的暗戰江湖。

“廠商是否應該給予烏云網上的白帽子獎勵？”10月26日，在京東安全沙龍上，一位參會者提出了一個引起熱議的問題。1個月后的11月20日，烏云網公布了一個“不太聽話”的廠商――稱騰訊7000多萬QQ群關系數據被泄露，在迅雷快傳很輕易就能找到數據下載鏈接。根據QQ號，可以查詢到備注姓名、年齡、社交關系網甚至從業經歷等大量個人隱私。

一位業內人士還舉了一個例子：10月29日，烏云網公布了一個白帽子提交的漏洞，其標題為《“來往”致淘寶賬號被破解 波及余額寶支付寶》的漏洞消息，稱該漏洞處于等待廠商處理狀態，也就是說，用戶選擇通過淘寶帳戶登陸來往后，看到消息時仍可波及到支付寶余額寶的安全問題。“據我了解，這位白帽子先把漏洞提交給了阿里官方，但阿里官方沒有理睬，后來這位白帽子氣不過，又提交到了烏云網，烏云網則對其進行了公布。” 

這個漏洞消息帶來的后果之一是——在聲討支付寶安全漏洞的熱議中，根據媒體報道，在三元里做服裝生意的楊先生，其銀行賬號通過支付寶莫名其妙轉走了5萬元。隨后一名“黑客”發來短信自稱在測試支付寶漏洞時所為。

去年2月14日，一位網名為“zazaz”的黑客在國內安全問題反饋平臺烏云上提交漏洞，稱中國聯通客服系統存安全隱患，該漏洞在烏云平臺公布后，有部分用戶用于娛樂。而如家等酒店的開房信息泄露，更是在全國引起了瘋狂的下載、查詢開房信息風波。

這引發了人們的追問：烏云網是否應該將漏洞公布于眾？根據孟德的說法，在廠商未確認或駁回前，公眾不會看到漏洞的具體細節，黑客很難根據這些消息進行違法行為。但一位互聯網人士也對記者稱：“如果黑客對此有興趣，那么只要知道企業名字和大概漏洞消息源頭，侵入這個企業并不是難事。”該人士表示，從他的觀察來看，烏云網上的眾多待確認和剛提交的漏洞，甚至涉及到各個政府部門的安全問題，雖然沒有具體細節，但仍然讓外界用戶感到吃驚。

“廠商前方百計要把影響降到最低，要么否認、駁回其漏洞，要么乖乖和烏云網進行合作。而烏云網則千方百計想要炒作自己，虧大自己的影響。”“老K”說，而白帽子，也有自己的訴求，或為了名，或為了利，因此如果提交給廠商被駁回，一般都會提交到烏云網。

對此，一位不愿透露姓名的某互聯網企業高層人士對記者稱，對于烏云網，他們也是頗為無奈。一方面，企業有自己的安全數據中心，隨時在對企業網站進行測試；另一方面，烏云網亦不時公布些聳人聽聞的消息，炒作自己在業界的權威，不理睬也不行——但事實上，那些引起熱議的泄露事件，其漏洞早在幾個月前就已修復。

對于是否炒作的說法，孟德對此并不否認。“這其實是國內互聯網輿論的一個怪圈 ，只要是曝光率比較高， 或因為什么比較熱門了 ，就可能會被認為是自我炒作 ，烏云現在也在經歷這個怪圈而已。”

按照烏云聯合創始人，原百度安全架構師“劍心”在知乎的說法，烏云網得到“除了騰訊這樣的封閉企業的認可。”對此一位知情人士對記者稱，騰訊是唯一不對烏云網上的白帽子送禮物或獎勵的廠商，相對應的，烏云網上公布問題最多的企業也是騰訊——根據記者不完全統計，烏云網公不的騰訊各種安全問題多達數百個。

送禮物或獎勵，是廠商給予提交漏洞的白帽子一種報酬。這種模式在美國很常見，去年，微軟還設立了一項20萬美元的獎項，懸賞能夠解決Windows操作系統中存在的內存漏洞的人；Google、Mozilla、Facebook等則向發現本公司產品安全漏洞的研究人員，提供最低500美元的獎金。

但在國內，由于廠商對提交漏洞者的輕視或偏見，向第三方漏洞平臺給予豐厚獎勵的比較少(360、騰訊、新浪等企業對自己漏洞收集平臺則有獎勵規定)，大多是T恤衫、筆、水杯等等紀念禮物。烏云網一名“白帽子”、在紐約證券交易所一家美國上市公司就職的一位企業架構師由于在烏云網發布了一條小米網的安全漏洞，小米公司贈送了他一部小米手機以示謝意就讓他深感滿意。孟德認為，實際上，在相對“白帽子”花費不少精力找到的漏洞來說，這點激勵也算不上什么。

但是廠商也有自己的委屈。“一是擔心漏洞信息給自己帶來負面影響，二是各家企業漏洞都不少，開了獎勵先河后，成千上萬名黑客都盯著自己的漏洞。”上述互聯網高層人士對記者稱。

一次提交，就是一次侵入

白帽子的反思：黑亦白，白亦黑。烏云上的白帽子，真的是白帽子？

“客觀來說，烏云網解決了許多問題，如黑客與廠商之間的信任問題，減少了溝通上的時間成本，降低了終端客戶可能面臨的安全風險。”一位互聯網安全觀察人士對記者稱，但一個重要問題是，數千名白帽子是如何發現各個行業、各大企業網站漏洞的？即便漏洞真實存在，獲得漏洞的過程是否合法？

11月18日，某科技公司人士“yuange1975”的一條微博引起熱議：這些人膽子比較大哈，這種事情不要拿自己的命來成就別人。雖然我不贊成廠商因此抓這些人，但是如果真要抓人分分鐘鐘的事情。

這條引起眾多業內人士關注的消息是——11月17日，名為“NILIU"的白帽子在烏云網上提交了一個名為“某銀行某分行管理系統命令執行導致服務器淪陷”的漏洞，盡管該漏洞并未公布詳細細節，但還是引起業內的關注與擔心。

“誰給你授權測試該網站漏洞了？你是通過什么方式得到的該漏洞？如果要根據該漏洞抓你，那也是有根有據。”網友“網路游俠”如此評論，悄悄的黑站，吆喝的不要。發現漏洞的過程，很多時候也是違法的過程。

“黑亦白，白亦黑。烏云的白帽子，真的是白帽子？很多白帽子的測試滲透過程，完全就是一系列的入侵、破壞和信息盜取行為。”在騰訊微博，認證為“烏云平臺白帽子成員”的于小葵發微博進行反思。

“自己所提交到烏云網的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻擊進行的，根本不可能提前通知相關部門和廠商。”“老K”對此承認，這其實也是一種違法行為。“所謂的白帽子，本質就是黑客，只是黑客不好聽，誰都不愿意承認。”

“老K”不愿詳細透露自己采用了哪些手段滲透進企業內網，獲得了企業的漏洞，但他表示很多入侵思路都來自烏云網——實際上，烏云網除了是第三方漏洞提交平臺，還是一個獲取漏洞學習交流研究平臺。這些攻略一部分只有白帽子可見，另一部分則對公眾公開。比如在2013年11月22日，烏云網就公布了一份《我是這樣搞定全省萬象網吧的》，萬象網吧原為盛大旗下子公司，后被盛大出售給杭州順網科技，盡管該漏洞測試時間是今年2月，但其中攻擊步驟、方式、操作手段都無比詳細，從中可以看出該漏洞的獲得本身就是一次違法入侵行為。

一些高調的白帽子則現身說事。去年10月19日，一位叫“only_guest”的知名白帽子在烏云網發《微信任意用戶密碼修改漏洞》的技術帖，稱通過利用微信賬號安全的設置漏洞，成功地破解了多位名人的微信賬號和手機號，并公布為證。

截圖顯示該名白帽子在成功破解柳巖、馬化騰的微信賬號前，選擇修改了兩個人微信賬號密碼，一個是明星柳巖的經紀人，一個是騰訊的某位高管，并通過這兩位的微信賬號獲取了柳巖和馬化騰的微信號或QQ號，甚至用該名騰訊高管的號碼給馬化騰發了消息。

因此，獲取漏洞本身就是一次黑客的入侵過程。“我們經常可以看到，烏云網上一些白帽子為了提交漏洞，而經常滲透進企業內網的過程。挖個漏洞需要上傳真實的shell，進入內網轉一圈嗎？你看到別人家房門沒有關，然后你就跑進去給熟睡的女主人拍了幾張裸照，然后發到她的郵箱里面說，你家門沒有關，你看這個照片就是證明，然后你還評論了一下，女主人的屁股還挺白。你讓人家情以何堪？”XMD5解密網站長汪利輝在《白帽子看過來，漏洞平臺那點事》中表示，白帽子測試的目標網站誰給你授權了？真出了問題，沒有人給擔著的。如果烏云如不能正確引導這些白帽子，估計會有某些白帽子哭的一天。

“不處理好授權問題，提交到烏云的漏洞報告就可能成為入侵證據。”武漢大學計算機學院副教授、信息安全博士彭國軍說。

“對此烏云網也心知肚明，因此在聲明上做了風險規避，提交漏洞的事情和烏云沒有任何關系。”“老K”說。根據烏云網的信息安全和保護聲明，白帽子注冊必須通過郵件驗證，對于提交虛假漏洞信息的用戶在證實后，烏云網將根據情況扣除用戶的Rank甚至直接刪除用戶。同時，烏云網也強調，對于白帽子研究漏洞的方法、方式、工具及手段的合法性，烏云網對此不承擔任何法律責任。

11月19日，或許是基于業界的議論，或許是基于其他擔心，提交該漏洞的白帽子“NILIU”在烏云網該漏洞下發布聲明表示：“此次測試未對系統做任何破壞，未竊取任何數據，只是截圖證明。”

但在律師看來，烏云網的聲明并不能免責。“假如烏云網是一名‘善意的黑客’，其目的僅是為幫助企業修補漏洞，那么烏云網應該私下就找出的漏洞與企業溝通，而不是公之于眾。要知道酒店登記入住涉及個人隱私和資料，一旦信息被泄露不僅涉嫌對企業侵權，也涉嫌對個人侵權，假如客人因此狀告酒店而酒店再以侵權狀告烏云網，那么烏云網就會很麻煩。”上海袁圓律師事務所陳軍律師分析。

或許，更為嚴重的是，由于烏云網對“白帽子”真實身份難以確定，像“老K”這樣的“白帽子”，神秘身份背后到底是什么？是否競爭對手的惡意攻擊行為？是否會發布虛假漏洞消息？對于心懷叵測的黑客來說，是否偽裝成白帽子潛伏其中，伺機而動？

這并非杞人憂天。2011年12月29日，烏云網宣布暫停服務，對系統做短暫的升級，原因是“頻繁披露的安全事件及帶來的影響——根據國家互聯網信息辦披露，CSDN、天涯網站被入侵事件也同樣是因為網友的個人行為，調查發現，網名“臭小子”的許某某出于個人炫耀的目的，于去年12月4日在烏云網上發帖稱CSDN等網站數據密碼被泄露，并公布泄露的數據包截圖。此外，一些白帽子甚至以信息泄露相要挾索要利益，烏云網白帽子“我心飛翔”就因涉嫌敲詐勒索京東商城被刑事拘留。

河南億恩科技股份有限公司(www.vbseamall.com)始創于2000年，專注服務器托管租用，是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務，另有網總管、名片俠網絡推廣服務，使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話：0371-60135900
虛擬主機/智能建站 24小時售后服務電話：0371-55621053
網絡版權侵權舉報電話：0371-60135995
服務熱線：0371-60135900