您现在的位置:融合网首页 > 文 化 > 其他 >

揭秘乌云网:中国最大的黑客培训基地?

来源:电脑报 作者:佚名 责任编辑:韩杰 发表时间:2014-04-08 15:32 
核心提示:从记者观察来看,这些漏洞所涉领域中繁多,除了传统的联想、腾讯、中国移动等多家IT企业,还有中科院、各大银行、国家航空、海关系统甚至政府各部门官方网站等核心网站。

10月10日,如家等酒店开房信息泄露;10月29日,来往被指存漏洞波及支付宝;11月5日,搜狗浏览器被曝存在重大安全漏洞;11月20日,腾讯7000万QQ群用户数据被指泄露;11月26日,360出现任意用户修改密码漏洞;甚至连相关部门网站漏洞也被公布....。.

一系列泄露事件让人们人人自危,也让公布这一系列泄密事件的乌云网声名鹊起。人们在震惊相关企业不负责任同时,也对乌云网充满了好奇:这是怎样的一个平台,背后又是一个怎样的隐秘江湖?

“白帽子”聚集的黑客基地

“老K”说:自己是一名重塑黑客理想的白帽子

11月15日,某咖啡厅。

距与“老K”约定的时间已过去了半个小时,记者用手机QQ给他发去一条消息:“到了么?”

“堵车快到了,还有几分钟。”“老K”回复。

又过了半个小时,“老K”仍未出现。又过了十分钟,记者收到了一条“老K”发来的消息:“抱歉,我刚才在咖啡厅外徘徊了很久,想了想,还是QQ上交流比较好吧。”

“在这个圈子,真实身份是个秘密。除非完全信任你,否则不会告诉你全部。”对“老K”所在圈子有很深了解的本报网络工程师“董师傅”对记者说。

对普通用户而言,“老K”所在圈子是一个很隐秘的江湖——“老K”在一家网络公司工作,表面上和普通人没什么区别。但晚上,他就成了某高手云集的黑客团队里重要一员,网名就是他的身份代表,通常只用QQ和外界交流。

2010年,“老K”第一次将某个网站改了主页,插入图片与音乐,“与利益无关,那感觉很兴奋。”老K说他们与贩卖数据的传统黑客不同,“我们的理想是重塑黑客精神。”“老K”把自己称为黑客中的“白帽子”,他现在的乐趣在于寻找、测试和捕捉各大企业的安全漏洞,然后提交给第三方漏洞平台乌云网。

“我有自己正当的工作,不靠那个牟利。”“老K”在乌云网上的等级是普通白帽子,2012年至今,他已在该平台上提交了20多条漏洞,大部分在厂商确认都已公开,涉及电信、传统IT厂商、证券网站。“找到漏洞,就是要找寻所谓的后门,即作为“开门钥匙”的用户名和密码。”

在普通公众心中,神秘和危险是黑客的代名词。但在黑客界,所有黑客被归为三种类型:白帽子、黑帽子、灰帽子。像老K这样“重塑黑客理想、不恶意利用而且公不漏洞”的就是白帽子。灰帽子擅长攻击技术,但不轻易造成破坏。而黑帽子则是以盗取信息牟利为生。

很难统计目前中国有多少活跃的黑客,但公布一系列泄密事件的乌云网,正是集结网络白帽子的主要力量。据记者不完全统计,目前至少有4000多名白帽子活跃在乌云网上。“这些白帽子身份很复杂,有各大公司的网络安全工程师,有黑帽子洗白的,有IT从业人员,也有白领、律师甚至厨师。”“老K”说。“可以说,乌云网聚集了全国最多的黑客,也是乌云网让白帽子这个词语火爆起来。”

“乌云网就是一个黑客聚集之地。”2011年底,在接受某媒体采访时,化名的乌云网组织者“WooYun”也如此表示,这些黑客中的白帽子挖掘网站中的安全漏洞,在“黑帽子”利用它们之前,提交到平台上,或者向厂商报告,使厂商及时进行修复。

“乌云之前,全是黑的”

乌云网联合创始人孟德说:在乌云之前,(安全界)全是黑的

根据记者不完全统计数据,乌云网首页“最新公开”的安全问题达1.5万个,“最新确认”漏洞近1千个,11月25日至11月28日提交的漏洞也有30多个。从记者观察来看,这些漏洞所涉领域中繁多,除了传统的联想、腾讯、中国移动等多家IT企业,还有中科院、各大银行、国家航空、海关系统甚至政府各部门官方网站等核心网站。

“这些漏洞来源均来自民间安全研究人员,漏洞提交上来后平台会进行一个简单的验证,确定后就转交给各个企业在乌云的的安全接口人进行确认,厂商对其真实性负责。”孟德说。

乌云网(WooYun)成立于2010年5月,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,因在2010年2月和李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为“自由平等的”的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

“乌云之前,你当他(安全界)全是黑的好了。因为没有合理的漏洞提交渠道,一个所谓的善良黑客要提交漏洞可能会被厂商威胁 。”10月21日,乌云网对外发言人孟德对记者说,乌云网的创立初衷之一是在厂商和白帽子之间建立一个沟通平台。

孟德,和活跃在乌云上的白帽子一样,他更愿意让人们叫他的网名“疯狗”。自称为业余渗透师,web安全爱好者。拥有9年互联网安全经历,乌云网联合创始人。

孟德如此描述乌云网对国内安全界的重大贡献:“有了乌云之后呢,我们会告诉大家,漏洞你别乱发,我们帮你跟厂商沟通,培养漏洞先给厂商的习惯.....。.把平台上的白帽子们思想和习惯给规范化、合理化......。.变成一支互联网安全的中坚力量。”

根据孟德的说法,现在乌云网员工都是“兼职”行为,由企业与合作伙伴的朋友共同支撑。“我们并不是一个组织,只是一个平台聚集了一些爱好安全技术的人。很多白帽子都来这里分享漏洞,也只有得到核实并已经采取防范措施解决问题后才会被公开。”孟德说,此前由于沟通渠道的缺乏,“白帽子”即使发现了漏洞也很难将信息传递给网站,而网站也根本无法顾及散落在互联网各地的漏洞信息,最终导致一些漏洞被人遗忘,未得到修复而造成损失。

乌云网一炮打响是在2011年底——当年11月,乌云网根据白帽子提供的各种材料,连续披露京东商城、支付宝、网易等著名互联网企业存在高危漏洞,12月29日更是指出支付宝1500万至2500万用户资料泄露,以及广东省公安厅出入境政务网444万用户信息泄露。

而此后,如家酒店等开房信息泄露、支付宝漏洞、搜狗浏览器泄露用户数据、腾讯7000万QQ群用户数据泄露等一系列引起关注的泄漏事件均由乌云网公布。(责任编辑:韩杰)

  • “扫一扫”关注融合网微信号

免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。

根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。

关于我们 - 融合文化 - 媒体报道 - 在线咨询 - 网站地图 - TAG标签 - 联系我们
Copyright © 2010-2020 融合网|DWRH.net 版权所有 联系邮箱:dwrh@dwrh.net 京公网安备 11011202002094号 京ICP备11014553号