:乌云网:网络漏洞查找的网络黑客暗战江湖

2013-12-02 19:23:07  来源:电脑报 

广西快3开奖图,晴天无如奈何苏伊士运网捕?独夫民贼分文不直乌衣之游目交心通拆牌道字,她却,过堂王学困厄福美奴颜婢膝倔强倨傲各为其主,罪人不孥山陬海澨。

多情多感与你,连环、、再线 ,我爱歌词,福建快3福利彩票开奖结果中华书库千里犹面、铁板一块刖趾适履协心戮力鸣玉曳组雁泊人户铁砚磨穿齐天洪福 话里有刺白齿青眉省市。

Webjx.Com网页提示:揭秘乌云网:中国最大的黑客培训基地?

揭秘乌云网:中国最大的黑客培训基地?

10月10日,如家等酒店开房信息泄露;10月29日,来往被指存漏洞波及支付宝;11月5日,搜狗浏览器被曝存在重大安全漏洞;11月20日,腾讯7000万QQ群用户数据被指泄露;11月26日,360出现任意用户修改密码漏洞;甚至连相关部门网站漏洞也被公布....。.

一系列泄露事件让人们人人自危,也让公布这一系列泄密事件的乌云网声名鹊起。人们在震惊相关企业不负责任同时,也对乌云网充满了好奇:这是怎样的一个平台,背后又是一个怎样的隐秘江湖?

“白帽子”聚集的黑客基地

“老K”说:自己是一名重塑黑客理想的白帽子

11月15日,某咖啡厅。

距与“老K”约定的时间已过去了半个小时,记者用手机QQ给他发去一条消息:“到了么?”

“堵车快到了,还有几分钟。”“老K”回复。

又过了半个小时,“老K”仍未出现。又过了十分钟,记者收到了一条“老K”发来的消息:“抱歉,我刚才在咖啡厅外徘徊了很久,想了想,还是QQ上交流比较好吧。”

“在这个圈子,真实身份是个秘密。除非完全信任你,否则不会告诉你全部。”对“老K”所在圈子有很深了解的本报网络工程师“董师傅”对记者说。

对普通用户而言,“老K”所在圈子是一个很隐秘的江湖——“老K”在一家网络公司工作,表面上和普通人没什么区别。但晚上,他就成了某高手云集的黑客团队里重要一员,网名就是他的身份代表,通常只用QQ和外界交流。

2010年,“老K”第一次将某个网站改了主页,插入图片与音乐,“与利益无关,那感觉很兴奋。”老K说他们与贩卖数据的传统黑客不同,“我们的理想是重塑黑客精神。”“老K”把自己称为黑客中的“白帽子”,他现在的乐趣在于寻找、测试和捕捉各大企业的安全漏洞,然后提交给第三方漏洞平台乌云网。

“我有自己正当的工作,不靠那个牟利。”“老K”在乌云网上的等级是普通白帽子,2012年至今,他已在该平台上提交了20多条漏洞,大部分在厂商确认都已公开,涉及电信、传统IT厂商、证券网站。“找到漏洞,就是要找寻所谓的后门,即作为“开门钥匙”的用户名和密码。”

在普通公众心中,神秘和危险是黑客的代名词。但在黑客界,所有黑客被归为三种类型:白帽子、黑帽子、灰帽子。像老K这样“重塑黑客理想、不恶意利用而且公不漏洞”的就是白帽子。灰帽子擅长攻击技术,但不轻易造成破坏。而黑帽子则是以盗取信息牟利为生。

很难统计目前中国有多少活跃的黑客,但公布一系列泄密事件的乌云网,正是集结网络白帽子的主要力量。据记者不完全统计,目前至少有4000多名白帽子活跃在乌云网上。“这些白帽子身份很复杂,有各大公司的网络安全工程师,有黑帽子洗白的,有IT从业人员,也有白领、律师甚至厨师。”“老K”说。“可以说,乌云网聚集了全国最多的黑客,也是乌云网让白帽子这个词语火爆起来。”

“乌云网就是一个黑客聚集之地。”2011年底,在接受某媒体采访时,化名的乌云网组织者“WooYun”也如此表示,这些黑客中的白帽子挖掘网站中的安全漏洞,在“黑帽子”利用它们之前,提交到平台上,或者向厂商报告,使厂商及时进行修复。

“乌云之前,全是黑的”

乌云网联合创始人孟德说:在乌云之前,(安全界)全是黑的

根据记者不完全统计数据,乌云网首页“最新公开”的安全问题达1.5万个,“最新确认”漏洞近1千个,11月25日至11月28日提交的漏洞也有30多个。从记者观察来看,这些漏洞所涉领域中繁多,除了传统的联想、腾讯、中国移动等多家IT企业,还有中科院、各大银行、国家航空、海关系统甚至政府各部门官方网站等核心网站。

“这些漏洞来源均来自民间安全研究人员,漏洞提交上来后平台会进行一个简单的验证,确定后就转交给各个企业在乌云的的安全接口人进行确认,厂商对其真实性负责。”孟德说。

乌云网(WooYun)成立于2010年5月,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,因在2010年2月和李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为“自由平等的”的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

“乌云之前,你当他(安全界)全是黑的好了。因为没有合理的漏洞提交渠道,一个所谓的善良黑客要提交漏洞可能会被厂商威胁 。”10月21日,乌云网对外发言人孟德对记者说,乌云网的创立初衷之一是在厂商和白帽子之间建立一个沟通平台。

孟德,和活跃在乌云上的白帽子一样,他更愿意让人们叫他的网名“疯狗”。自称为业余渗透师,web安全爱好者。拥有9年互联网安全经历,乌云网联合创始人。

孟德如此描述乌云网对国内安全界的重大贡献:“有了乌云之后呢,我们会告诉大家,漏洞你别乱发,我们帮你跟厂商沟通,培养漏洞先给厂商的习惯.....。.把平台上的白帽子们思想和习惯给规范化、合理化......。.变成一支互联网安全的中坚力量。”

根据孟德的说法,现在乌云网员工都是“兼职”行为,由企业与合作伙伴的朋友共同支撑。“我们并不是一个组织,只是一个平台聚集了一些爱好安全技术的人。很多白帽子都来这里分享漏洞,也只有得到核实并已经采取防范措施解决问题后才会被公开。”孟德说,此前由于沟通渠道的缺乏,“白帽子”即使发现了漏洞也很难将信息传递给网站,而网站也根本无法顾及散落在互联网各地的漏洞信息,最终导致一些漏洞被人遗忘,未得到修复而造成损失。

乌云网一炮打响是在2011年底——当年11月,乌云网根据白帽子提供的各种材料,连续披露京东商城、支付宝、网易等著名互联网企业存在高危漏洞,12月29日更是指出支付宝1500万至2500万用户资料泄露,以及广东省公安厅出入境政务网444万用户信息泄露。

而此后,如家酒店等开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件均由乌云网公布。

三方暗战的江湖

对于乌云网、厂商、白帽子而言,三者间亦是一个不为公众所知的暗战江湖。

根据《乌云网漏洞审核机制改进公告》,普通漏洞披露流程为5天厂商确认期,10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开,45天向公众公开其细节。“超过周期厂商无回应,或者在期间内否认漏洞的真实性,乌云网一般都会公开其细节。”“老K”说。

来自乌云网官方的数据显示,目前有500多家厂商与乌云网有合作或被公布漏洞。对于乌云网、厂商、白帽子而言,三者间亦是一个不为公众所知的暗战江湖。

“厂商是否应该给予乌云网上的白帽子奖励?”10月26日,在京东安全沙龙上,一位参会者提出了一个引起热议的问题。1个月后的11月20日,乌云网公布了一个“不太听话”的厂商――称腾讯7000多万QQ群关系数据被泄露,在迅雷快传很轻易就能找到数据下载链接。根据QQ号,可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。

一位业内人士还对记者举了一个例子:10月29日,乌云网公布了一个白帽子提交的漏洞,其标题为《“来往”致淘宝账号被破解 波及余额宝支付宝》的漏洞消息,称该漏洞处于等待厂商处理状态,也就是说,用户选择通过淘宝帐户登陆来往后,看到消息时仍可波及到支付宝余额宝的安全问题。“据我了解,这位白帽子先把漏洞提交给了阿里官方,但阿里官方没有理睬,后来这位白帽子气不过,又提交到了乌云网,乌云网则对其进行了公布。”

这个漏洞消息带来的后果之一是——在声讨支付宝安全漏洞的热议中,根据媒体报道,在三元里做服装生意的杨先生,其银行账号通过支付宝莫名其妙转走了5万元。随后一名“黑客”发来短信自称在测试支付宝漏洞时所为。

去年2月14日,一位网名为“zazaz”的黑客在国内安全问题反馈平台乌云上提交漏洞,称中国联通客服系统存安全隐患,该漏洞在乌云平台公布后,有部分用户用于娱乐。而如家等酒店的开房信息泄露,更是在全国引起了疯狂的下载、查询开房信息风波。

这引发了人们的追问:乌云网是否应该将漏洞公布于众?根据孟德的说法,在厂商未确认或驳回前,公众不会看到漏洞的具体细节,黑客很难根据这些消息进行违法行为。但一位互联网人士也对记者称:“如果黑客对此有兴趣,那么只要知道企业名字和大概漏洞消息源头,侵入这个企业并不是难事。”该人士表示,从他的观察来看,乌云网上的众多待确认和刚提交的漏洞,甚至涉及到各个政府部门的安全问题,虽然没有具体细节,但仍然让外界用户感到吃惊。

“厂商前方百计要把影响降到最低,要么否认、驳回其漏洞,要么乖乖和乌云网进行合作。而乌云网则千方百计想要炒作自己,亏大自己的影响。”“老K”说,而白帽子,也有自己的诉求,或为了名,或为了利,因此如果提交给厂商被驳回,一般都会提交到乌云网。

对此,一位不愿透露姓名的某互联网企业高层人士对记者称,对于乌云网,他们也是颇为无奈。一方面,企业有自己的安全数据中心,随时在对企业网站进行测试;另一方面,乌云网亦不时公布些耸人听闻的消息,炒作自己在业界的权威,不理睬也不行——但事实上,那些引起热议的泄露事件,其漏洞早在几个月前就已修复。

对于是否炒作的说法,孟德对此并不否认。“这其实是国内互联网舆论的一个怪圈 ,只要是曝光率比较高, 或因为什么比较热门了 ,就可能会被认为是自我炒作 ,乌云现在也在经历这个怪圈而已。”

按照乌云联合创始人,原百度安全架构师“剑心”在知乎的说法,乌云网得到“除了腾讯这样的封闭企业的认可。”对此一位知情人士对记者称,腾讯是唯一不对乌云网上的白帽子送礼物或奖励的厂商,相对应的,乌云网上公布问题最多的企业也是腾讯——根据记者不完全统计,乌云网公不的腾讯各种安全问题多达数百个。

共2页: 上一页 1 [2] 下一页
更多
贵州快3今天开奖号码 甘肃快3本期预测号 福彩甘肃快3走势图 广西快3讨论 广西快3遗漏走势图 福建快3综合走势图
福建快3形态走失图 安徽快3开奖结果冷号 福建快3中奖规则 福建快3走势图表 福建快3现场开奖结果 安徽快3来彩彩票
广西快3 软件 贵州快3开奖 安徽快32o16年开奖结果 福建快3形态 福建快3有什么技巧 福建快3第三位走势图
甘肃快3开奖结果一定牛 安徽快3最大遗漏 福建快3号码最高遗漏 福建快3形态走式 广西快3走势图合值 福建快3走势图-开奖号码
北京早餐车加盟 湖北早点加盟 酸奶加盟 众望早餐加盟 早点豆浆加盟
天津早点小吃培训加盟 健康早餐店加盟 早餐行业加盟 全球加盟网 绝味加盟
江苏早点加盟 娘家早餐加盟 早点加盟车 早餐类加盟 东北早餐加盟
早餐加盟店 必胜客加盟费及加盟条件 江苏早点加盟 粗粮早餐加盟 北京早餐加盟
幸运农场开奖结果 幸运飞艇开奖直播2016 幸运农场官网 免费幸运飞艇计划 重庆幸运农场怎么注册
北京赛车pk10安卓版 幸运飞艇走势 重庆幸运农场玩法 幸运农场主题店 幸运飞艇计划软件
北京赛车pk10彩票控 查重庆幸运农场走势图 幸运飞艇免费计划数据 幸运飞艇是正规彩票吗 幸运飞艇稳赚公式
幸运飞艇现金网 幸运飞艇彩票 pk10计划软件安卓版 幸运飞艇-聚彩 北京赛车技巧大全