揭秘乌云网：中国最大的黑客培训基地？(2)

三方暗战的江湖

对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。

根据《乌云网漏洞审核机制改进公告》，普通漏洞披露流程为5天厂商确认期，10天向核心白帽子公开其漏洞细节，20天向普通白帽子公开，30天向实习白帽子公开，45天向公众公开其细节。“超过周期厂商无回应，或者在期间内否认漏洞的真实性，乌云网一般都会公开其细节。”“老K”说。

来自乌云网官方的数据显示，目前有500多家厂商与乌云网有合作或被公布漏洞。对于乌云网、厂商、白帽子而言，三者间亦是一个不为公众所知的暗战江湖。

“厂商是否应该给予乌云网上的白帽子奖励？”10月26日，在京东安全沙龙上，一位参会者提出了一个引起热议的问题。1个月后的11月20日，乌云网公布了一个“不太听话”的厂商――称腾讯7000多万QQ群关系数据被泄露，在迅雷快传很轻易就能找到数据下载链接。根据QQ号，可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。

一位业内人士还对记者举了一个例子：10月29日，乌云网公布了一个白帽子提交的漏洞，其标题为《“来往”致淘宝账号被破解 波及余额宝支付宝》的漏洞消息，称该漏洞处于等待厂商处理状态，也就是说，用户选择通过淘宝帐户登陆来往后，看到消息时仍可波及到支付宝余额宝的安全问题。“据我了解，这位白帽子先把漏洞提交给了阿里官方，但阿里官方没有理睬，后来这位白帽子气不过，又提交到了乌云网，乌云网则对其进行了公布。”

这个漏洞消息带来的后果之一是——在声讨支付宝安全漏洞的热议中，根据媒体报道，在三元里做服装生意的杨先生，其银行账号通过支付宝莫名其妙转走了5万元。随后一名“黑客”发来短信自称在测试支付宝漏洞时所为。

去年2月14日，一位网名为“zazaz”的黑客在国内安全问题反馈平台乌云上提交漏洞，称中国联通客服系统存安全隐患，该漏洞在乌云平台公布后，有部分用户用于娱乐。而如家等酒店的开房信息泄露，更是在全国引起了疯狂的下载、查询开房信息风波。

这引发了人们的追问：乌云网是否应该将漏洞公布于众？根据孟德的说法，在厂商未确认或驳回前，公众不会看到漏洞的具体细节，黑客很难根据这些消息进行违法行为。但一位互联网人士也对记者称：“如果黑客对此有兴趣，那么只要知道企业名字和大概漏洞消息源头，侵入这个企业并不是难事。”该人士表示，从他的观察来看，乌云网上的众多待确认和刚提交的漏洞，甚至涉及到各个政府部门的安全问题，虽然没有具体细节，但仍然让外界用户感到吃惊。

“厂商前方百计要把影响降到最低，要么否认、驳回其漏洞，要么乖乖和乌云网进行合作。而乌云网则千方百计想要炒作自己，亏大自己的影响。”“老K”说，而白帽子，也有自己的诉求，或为了名，或为了利，因此如果提交给厂商被驳回，一般都会提交到乌云网。

对此，一位不愿透露姓名的某互联网企业高层人士对记者称，对于乌云网，他们也是颇为无奈。一方面，企业有自己的安全数据中心，随时在对企业网站进行测试；另一方面，乌云网亦不时公布些耸人听闻的消息，炒作自己在业界的权威，不理睬也不行——但事实上，那些引起热议的泄露事件，其漏洞早在几个月前就已修复。

对于是否炒作的说法，孟德对此并不否认。“这其实是国内互联网舆论的一个怪圈 ，只要是曝光率比较高， 或因为什么比较热门了 ，就可能会被认为是自我炒作 ，乌云现在也在经历这个怪圈而已。”

按照乌云联合创始人，原百度安全架构师“剑心”在知乎的说法，乌云网得到“除了腾讯这样的封闭企业的认可。”对此一位知情人士对记者称，腾讯是唯一不对乌云网上的白帽子送礼物或奖励的厂商，相对应的，乌云网上公布问题最多的企业也是腾讯——根据记者不完全统计，乌云网公不的腾讯各种安全问题多达数百个。

送礼物或奖励，是厂商给予提交漏洞的白帽子一种报酬。这种模式在美国很常见，去年，微软还设立了一项20万美元的奖项，悬赏能够解决Windows操作系统中存在的内存漏洞的人；Google、Mozilla、Facebook等则向发现本公司产品安全漏洞的研究人员，提供最低500美元的奖金。

但在国内，由于厂商对提交漏洞者的轻视或偏见，向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定)，大多是T恤衫、笔、水杯等等纪念礼物。乌云网一名“白帽子”、在纽约证券交易所一家美国上市公司就职的一位企业架构师由于在乌云网发布了一条小米网的安全漏洞，小米公司赠送了他一部小米手机以示谢意就让他深感满意。孟德认为，实际上，在相对“白帽子”花费不少精力找到的漏洞来说，这点激励也算不上什么。

但是厂商也有自己的委屈。“一是担心漏洞信息给自己带来负面影响，二是各家企业漏洞都不少，开了奖励先河后，成千上万名黑客都盯着自己的漏洞。”上述互联网高层人士对记者称。

一次提交，就是一次侵入

白帽子的反思：黑亦白，白亦黑。乌云上的白帽子，真的是白帽子？

“客观来说，乌云网解决了许多问题，如黑客与厂商之间的信任问题，减少了沟通上的时间成本，降低了终端客户可能面临的安全风险。”一位互联网安全观察人士对记者称，但一个重要问题是，数千名白帽子是如何发现各个行业、各大企业网站漏洞的？即便漏洞真实存在，获得漏洞的过程是否合法？

11月18日，某科技公司人士“yuange1975”的一条微博引起热议：这些人胆子比较大哈，这种事情不要拿自己的命来成就别人。虽然我不赞成厂商因此抓这些人，但是如果真要抓人分分钟钟的事情。

这条引起众多业内人士关注的消息是——11月17日，名为“NILIU"的白帽子在乌云网上提交了一个名为“某银行某分行管理系统命令执行导致服务器沦陷”的漏洞，尽管该漏洞并未公布详细细节，但还是引起业内的关注与担心。

“谁给你授权测试该网站漏洞了？你是通过什么方式得到的该漏洞？如果要根据该漏洞抓你，那也是有根有据。”网友“网路游侠”如此评论，悄悄的黑站，吆喝的不要。发现漏洞的过程，很多时候也是违法的过程。

“黑亦白，白亦黑。乌云的白帽子，真的是白帽子？很多白帽子的测试渗透过程，完全就是一系列的入侵、破坏和信息盗取行为。”在腾讯微博，认证为“乌云平台白帽子成员”的于小葵发微博进行反思。

“自己所提交到乌云网的漏洞，和黑帽子捕捉漏洞的方式差不多，都是私下悄悄攻击进行的，根本不可能提前通知相关部门和厂商。”“老K”对此承认，这其实也是一种违法行为。“所谓的白帽子，本质就是黑客，只是黑客不好听，谁都不愿意承认。”(责任编辑：韩杰)