(图为方小顿在“离线时间”上做分享)
《黑客追缉令》里有一句经典台词:“我可以从全世界的ATM里取钱,但是我没有。”乌云创始人方小顿对这句话的印象很深刻。
方小顿网名“剑心”,安全圈的人对这个名字一定不陌生。他曾经是百度的安全专家,创办过一个公益性的网络安全组织80sec。
方小顿从02开始就活跃在安全圈——比较早和他一起活跃在安全论坛的人,大部分已经退出江湖,不知道去了哪儿——他基本上算是见证了这个领域的发展历程,眼看着黑客人数从少到多,由纯粹变得逐渐多了利益角逐,方小顿在一次公开演讲上用“黑客已死”来描述这种状况,但当记者问及这种变化是进步还是退步,方小顿还是持乐观态度:“任何事情都不会只有利或只有弊,总体上应该还是在进步的。安全不是一个独立的东西,是伴随着互联网存在的,互联网在发展,安全也会跟着发展。”
有一个黑客跟记者说过他早年的一件小事:他发现一个厂商网络系统有漏洞,辗转告知了厂商,厂商把问题修复了,然后寄了一个公仔给他作为感谢——一个公仔,这就是厂商对发现漏洞这件事的价值认定。这种情况下,很多黑客选择利用这个漏洞做谋点儿私利,虽然法理上说不过去,但从人情上看并不难理解。
网络是黑客的游乐场,黑客可以攻击系统,攻击账户,进入任何想去的地方,拿走任何想拿走的东西——破坏和建设就只在一念之间。有能力从全世界的ATM里取钱但是不取当然比较好,但是把拿和不拿的希望寄托在人的一念之间,实在有点脆弱。
“确实很脆弱。所以比起人性,我更相信机制。”方小顿说。
方小顿认为没有人天生是好人或者是坏人,没有天生的白帽子或黑帽子,选择成为黑帽子,很大原因可能是因为缺乏一个合理的机制让黑客的价值通过正当的渠道得到承认。于是他发起了乌云网,一个介于安全研究者和厂商之间的安全问题反馈及发布平台。
“黑客喜欢在网络里面自由穿梭、发现系统的问题,就像打游戏一样上瘾,但是发现系统安全漏洞之后,这个信息是用来帮助企业解决问题还是为自己谋利?以前是没有一个合理的通道去帮助企业的,我们在白帽黑客和企业之间搭建了一个通道,他们发现企业的安全漏洞,把这个东西告诉企业,企业把问题修复,把漏洞堵住,然后把企业的问题对外公开,其他的企业看到存在这个问题之后可以规避同样的问题,这个行业会越来越透明,越来越成熟。”
比较初,乌云要做的事情不被认可,很多厂商觉得找到漏洞并公之于众这种事是在给他们找麻烦,报复者众,比较严重的时候乌云网被拔过网线。“到现在,状况改善了很多,但也仍然说不上完全接纳,因为还是有很多厂商不愿在安全上进行态度转变。”
让方小顿感到欣慰的是,乌云这几年的努力总算有一点成果。虽然外界对乌云仍然有一些争议之处,但总体上,乌云促进了安全行业的透明化和正向发展——提高了整个行业的安全意识,为安全行业输送了不少生力军,而且,那些徘徊在破坏与建设之间的黑客多了一条大路可以走。
点开乌云的官网,整个页面都是干干净净的,没有任何小广告,只在页面底部有几个诸如“国家漏洞安全信息平台”、“广东省信息安全评测中心”这样利益不相关的第三方链接。不是没有互联网公司、安全类的厂商投放广告,只是利益相关,方小顿选择尽可能维持乌云的客观和中立,不受技术之外的因素的影响。
至于商业化的使命,就交给“唐朝安全巡航”吧。这是乌云旗下的一个盈利项目,乌云原本的模式有点类似于众包地发现和促进解决企业安全问题,对企业而言,需要被动地关注乌云;Tangscan算是一个增值服务版,企业可以在 Tangscan主动 对自己的企业网络进行安全漏洞检测和监控,以发现潜藏在网络里的重要安全问题。
就在上个月,Tangscan已经拿到了红杉的投资。
有句古诗叫“文章不为稻粱谋”,把“文章”换成“安全”是一样的,如果Tangscan能为乌云解决稻粱问题,乌云所坚持的客观和中立会有更坚实的基础。