携程网用户信用卡信息泄露,东方航空客户行程单泄露,如家、汉庭酒店开房信息泄露……这些互联网安全漏洞总是第一时间被在乌云网上。
在近期的一次酒店行业信息安全论坛上,这家互联网漏洞分享网站的创始人方小顿解答了网站名字的由来:“因为乌云背后有晴天。”
这位生于1987年的年轻黑客,15岁时即考入哈尔滨工业大学化学系,但却迷上了计算机。他找到了无数和自己一样挣扎在现实与理想边缘的黑客―他们被称作白帽子―每天在乌云网至少提交三个网络安全漏洞,以引起相关企业注意并采取修复措施。
这打破了人们对黑客的惯常认知:其实黑客也分为黑帽子、灰帽子和白帽子。前者钻研技术的唯一目的是攻击破坏,并以此获得不法收入;后者则不会恶意利用安全漏洞;灰帽子则介于两者之间。事实上,黑客这个词最初就是指热心于计算机技术并且水平高超的电脑专家,尤其是程序设计人员。
从这个角度看,乔布斯和比尔・盖茨都可以称为“黑客”。
与黑帽子相比,白帽子除了技术,还要有理想。方小顿大学期间曾与同学“黑”入一家公司的主页,事后善意提醒。这家公司为他提供了第一份工作,两年后,百度向他伸出橄榄枝。
乌云网成立于2010年5月,在此之前方小顿已在百度工作两年,并因与李彦宏一起登上电视节目《天天向上》而小有名气。为了用自己的技术替更多公司解决网络安全问题,他带头创办乌云网。四年后乌云网声名大噪,最直接的原因是曝光了携程数据泄露事件。
15个信息安全研究团队的895个白帽子为乌云网提供技术支持,他们被分成核心、普通、实习三个等级,分别有各自的权限。按照乌云网漏洞提交流程,普通漏洞经审核并通知厂商后,若五天内得不到回应则视为忽略;十天后向核心及相关领域专家公开;20天后向普通白帽子公开;实习白帽子则要等上30天。
至于如何发现漏洞,这要看白帽子们自己的能耐。总体来说,最重要的是找准方向,从开发者角度考虑哪里最有可能出问题。
已经有542个厂商接受这些白帽子的“挑刺”,最早一批注册的有腾讯、百度、新浪、搜狐、奇虎、阿里巴巴、凤凰网等。厂商越来越重视网络信息安全,这正是方小顿所希望的。携程在漏洞门之后建立了安全应急响应中心,并设立了总额500万元的信息安全奖励基金。腾讯至今被乌云网的白帽子们发现了1124处安全漏洞,其中2012年高达472处,2013年下降为339处―这自然有白帽子的功劳。
这很容易让人联想到一种商业模式:发现漏洞后告诉企业获得奖励。锦江集团高级副总裁张兴国向方小顿提议:何不与酒店合作,将其对网络的随机侦测转化为有序的行动?言下之意,有问题咱们关起门解决,钱好商量,别让大家伙知道。
方小顿的回答是:乌云网的核心是开放和分享,最重要的是和厂商、用户之间的信任。这种盈利模式很容易想到,但至今乌云网还没有以这样的模式赚过一分钱。
转载请注明出处学文网 » 戴着“白帽子”的黑客