国内两大漏洞报告平台之一的乌云网陷入停摆危机。前晚(19日)11点,有网友微博爆料称,国内知名社区乌云网已无法正常访问,网站挂出的公告称"乌云及相关服务将进行升级"。
乌云网在公告最后指出,“与其听信谣言,不如相信乌云。”。网站截图
尽管乌云网官方口径称“进行升级”,但有不愿意透露姓名的知情人士向南都记者透露,“乌云网有十几个高管被抓。”然而直至今天截稿时,这一消息尚未得到官方证实。
同时,昨天(20日)上午,一位接近乌云的网络安全律师向南都记者证实,前天(19日)下午包括乌云网团队近10人被警方带走,其中包括CEO方小顿,因何事由暂不明确。
近日,随着袁炜的被捕,“黑客”与“正面黑客”两者之间的界限争论再度成为风口浪尖上的话题。
乌云停摆危机幕后
“正面黑客”究竟是什么人?他们日常所从事都是什么工作?带着对这一行业的神秘猜想,南都记者昨天联系采访了多名IT世界里的“正面黑客”高手,试图还原他们最真实的生存状态。
“乌云确实出事了”?
乌云被认为是国内最早的漏洞报告平台,成立于2010年,众多“正面黑客”聚集其中,并曝出了此前多个互联网平台信息泄漏事件,如此前的铁道部官网12306用户数据泄露一事,为乌云网赢得了公众不少好感。
早前大麦网账户信息泄漏事件,乌云曾多次发布漏洞报告,回顾戳 ↓↓
又一知名网站被“撞库”,大麦网密码泄露,数十用户被骗超百万!你的账户安全吗?
在业内看来,乌云事件应该和此前袁炜被捕一事息息相关。
袁炜被捕事件
2015年12月4日,“正面黑客”袁炜向乌云平台提交世纪佳缘网的漏洞报告,乌云平台将该漏洞告知并得到了修复。随后,世纪佳缘确认并修复了该漏洞,并致谢乌云网及袁某。
今年1月,世纪佳缘网针对4000余条实名注册信息被窃取一事报案,结果被抓的人却是袁炜;今年4月12日,北京市朝阳区人民检察院已正式批准逮捕袁炜。目前案件处于审查阶段,未有结论。
(南都早前报道全文:“正面黑客”提交世纪佳缘网漏洞报告后被刑拘)
此事件后,南都记者登录互联网安全测试另一大平台 漏洞盒子发现,该页面可以正常打开,但旗下“漏洞黑板报”网页则打不开,其官方公告里的“热门漏洞”也变成404页面。
漏洞盒子网站下端的“漏洞黑板报”点进去是一片空白。
点击官方公告里的“热门漏洞”,则是404页面。
漏洞盒子方面昨日(20日)向南都记者表示,所有业务都没有受到任何乌云事件的影响,公司目前准备做一些制度上的改版,也是在正常的计划安排中。
游走于法律边缘
两种黑客之间,实际上仅有一线之隔,都游走在法律的边缘。安全专家李夏(化名)向南都记者表示,“黑客”是把漏洞卖到黑市上,谋取巨额利益。“正面黑客”是把漏洞提交给厂商,让厂商及时修复漏洞保护用户信息。
不过,有IT业资深人士对南都记者表示, 乌云的模式存在一定弊端。一般乌云与漏洞盒子两家平台发布一则漏洞信息后,一段时间内如果没有厂商认领,他们就会选择直接公布漏洞。
“对于我们而言肯定是好事,可以学习他的思路,但对厂商就不一定了。”有一不愿透露姓名的“正面黑客”向南都记者透露,他之前曾发现某金融公司的漏洞,但最后无人认领,一个半月后被发布了。“从我个人角度来说,我是不希望这个漏洞被一些有心人利用的,所以我就跟乌云的人协调了一下,把关键信息打上了马赛克。”
同样是在未授权情况下对某网站或服务器进行渗透测试,这样做是否合法合规?李夏向南都记者坦言,其实都是“不合规的,但行业里很多人都会这么做。”
按照上述业内资深人士的说法,“正面黑客”查漏洞行为从法律角度是没有合法规定的,只是现在几个漏洞平台由政府支持,所以 处于一个“不算违法”的情况。一般漏洞检测有两种情况,一是厂商发起众测,并根据漏洞大小予以打赏;一种是自发上报,引起厂商或者漏洞平台的注意,换取积分可以在漏洞商城换一些极客商品,或者有厂商会自发打赏,这个价格没有标准。
黑白二者各成圈子
和“黑客”贩卖网络漏洞获得的高额收入相比,“正面黑客”更多被认为是“情怀主义”。猎豹移动安全专家李铁军向南都记者介绍说,在国外,微软、谷歌等科技公司都会给“正面黑客”专门的奖励,并且加上荣誉公告。“价格都在几千美元到几万美元不等,”李铁军说,这当然不能与“黑客”相比, 一个高危漏洞在黑市上卖出上百万美元都很正常。
“(”正面黑客“)不能沾那些事情,一旦沾了的话,就回不了头。”李夏特别强调。
李铁军也指出,“其实很多数据库泄露都是撞库等方式泄露的,这是数据库本身已经暴露的基础上造成的,根本不需要黑客这种技术功底。”
腾讯科恩实验室成员陈良表示,近几年来网络信息泄漏事件频发,加上信息安全从业人员水平的提升,使得“正面黑客”开始被当成正当职业对待,而圈子内“黑客”和“正面黑客”分得比较开。腾讯电脑管家团队成员邓欣表示,公开场合内二者会有技术、研究成果的交流,但也仅限于此,“比如说像QQ盗号的人,他们有自己的圈子,他们交流不走国内的渠道,他们找一些很偏的通讯软件进行沟通。”邓欣说。
对话“正面黑客”
“破解漏洞就像追女生,
享受的是那个过程与成就感”
小林是个普通的“正面黑客”,去年12月毕业之后正式入职一家安全公司做技术测试员,主要是帮客户做一些网站漏洞监测工作。“其实我身边的大部分‘正面黑客’也都是从事相关工作。”小林如是表示。
其实小林并不是信息安全科班出身,大学他学的是会计行业,但是由于从小对代码方面比较感兴趣,就自学一些相关内容,比如说在i春秋学院看大咖授课,做些在线实验。在两年前他大二的时候就通过万能密码(“OR1=1”)成功登录一个政府网站的后台。“当时就感觉特别兴奋,然后在乌云上就提交了漏洞,后面就不关我的事了。”
从去年7月份自费到北京参加完乌云峰会回来,小林认定这是让其更有成就感与兴趣的一件事情,自此他开始真正入行。小林说,“我们一般都在一些网络安全的QQ群上交流,看看不同的漏洞分析,学习他们的破解思路。发现漏洞没有什么秘笈,很多时候凭感觉。”现在小林还使用了SQL、MSS等不同语言。
小林介绍说,“人为密码过于简单是主要的漏洞,技术上,SQL输入的代码不严谨是最常见的,会导致数据库泄露。”
小林:上个月,我破解了一个地方电信网站,一般用户定套餐会发送验证码到手机进行确认,我可以修改它的数据包,把短信发到我的手机上。然后我就可以给任意手机用户定套餐。
南都:所以你为什么要破解它?
小林:额……因为它的界面很low……
南都:(恩……好好找个美术……)然后你发现了漏洞之后干啥了
小林:我给舍友定了个30元的流量套餐……
南都:(不带这么任性的……)然后你就发布到平台了
小林:是滴,我发到了补天上,两个星期后,客户就委托补天给了我2000元。
……客户不用知道我是谁,我所有提交漏洞都是匿名的。也会有厂商的众测项目,这个就是拼手速,一般众测项目上线后,我们签订保密协议,然后审核1- 2天之后就可以开始做。漏洞奖励从几百块到上万不等。
南都:听上去很赚……
小林:根本不赚好吗!去年底到现在破了100多个漏洞,只有三成给了钱,大概就给了1万多……
之前最长时间破了一个网站的MD5加密,用了半个月时间,每天花了7-8个小时,下班叫了个外卖就回房间使劲算,用了上千种算法破了它,最后客户都不给钱。
有钱的还是黑客们,他们基本都在国外,发现个漏洞会直接把整个数据库拿出来,在黑市最高可以卖到千万级别。
南都:……何必呢?
小林:恩,我就是不服而已……有时候就是闲了下来抽了个烟,点开某个网站,恩,我就是看你不顺眼,就想挖你,没别的。
南都:(真的可以更任性点吗?……)好吧总结下,你能形容下,破解一个网站是什么感觉吗?
小林:额……就像追一个女人,破解了,就是追到手了,的那种成就感。
南都:但是,追女生追到手,你可以结婚生孩子走上人生巅峰。
小林:nonono!追到手你可以再追下一个,有精力你可以不停追,享受的是追求这个过程。
统筹策划:甄芹
采写:南都记者 李冰如 蔡辉 卫佳铭 实习生 张雅婷 向治霖