乌云网:网络缝隙查找的网络黑客暗战江湖

2013-12-02 19:23:07  来历:电脑报 

ndnha2bn.com网页提示:揭秘乌云网:我国最大的黑客训练基地?

揭秘乌云网:我国最大的黑客训练基地?

10月10日,如家等酒店开房信息走漏;10月29日,交游被指存缝隙触及支付宝;11月5日,搜狗浏览器被曝存在严重安全缝隙;11月20日,腾讯7000万QQ群用户数据被指走漏;11月26日,360呈现恣意用户修正暗码缝隙;乃至连相关部分网站缝隙也被发布....。.

一系列走漏事情让人们人人自危,也让发布这一系列泄密事情的乌云网声名鹊起。人们在震动相关企业不担任任一起,也对乌云网充满了猎奇:这是怎样的一个途径,背面又是一个怎样的隐秘江湖?

“白帽子”集合的黑客基地

“老K”说:自己是一名重塑黑客抱负的白帽子

11月15日,某咖啡厅。

距与“老K”约好的时刻已过去了半个小时,记者用手机QQ给他发去一条音讯:“到了么?”

“堵车快到了,还有几分钟。”“老K”回复。

又过了半个小时,“老K”仍未呈现。又过了十分钟,记者收到了一条“老K”发来的音讯:“抱愧,我刚才在咖啡厅外徜徉了好久,想了想,仍是QQ上交流比较好吧。”

“在这个圈子,实在身份是个隐秘。除非彻底信赖你,不然不会告知你悉数。”对“老K”地点圈子有很深了解的本报网络工程师“董师傅”对记者说。

对一般用户而言,“老K”地点圈子是一个很隐秘的江湖——“老K”在一家网络公司作业,表面上和一般人没什么差异。但晚上,他就成了某高手集合的黑客团队里重要一员,网名便是他的身份代表,一般只用QQ和外界交流。

2010年,“老K”第一次将某个网站改了主页,刺进图片与音乐,“与利益无关,那感觉很振奋。”老K说他们与贩卖数据的传统黑客不同,“咱们的抱负是重塑黑客精力。”“老K”把自己称为黑客中的“白帽子”,他现在的趣味在于寻觅、测验和捕捉各大企业的安全缝隙,然后提交给第三方缝隙途径乌云网。

“我有自己合理的作业,不靠那个牟利。”“老K”在乌云网上的等级是一般白帽子,2012年至今,他已在该途径上提交了20多条缝隙,大部分在厂商承认都已揭露,触及电信、传统IT厂商、证券网站。“找到缝隙,便是要找寻所谓的后门,即作为“开门钥匙”的用户名和暗码。”

在一般大众心中,奥秘和风险是黑客的代名词。但在黑客界,一切黑客被归为三种类型:白帽子、黑帽子、灰帽子。像老K这样“重塑黑客抱负、不歹意运用并且公不缝隙”的便是白帽子。灰帽子拿手进犯技能,但不容易形成损坏。而黑帽子则是以盗取信息牟利为生。

很难计算现在我国有多少活泼的黑客,但发布一系列泄密事情的乌云网,正是集结网络白帽子的首要力气。据记者不彻底计算,现在至少有4000多名白帽子活泼在乌云网上。“这些白帽子身份很杂乱,有各大公司的网络安全工程师,有黑帽子洗白的,有IT从业人员,也有白领、律师乃至厨师。”“老K”说。“能够说,乌云网集合了全国最多的黑客,也是乌云网让白帽子这个词语火爆起来。”

“乌云网便是一个黑客集合之地。”2011年末,在承受某媒体采访时,化名的乌云网安排者“WooYun”也如此表明,这些黑客中的白帽子发掘网站中的安全缝隙,在“黑帽子”运用它们之前,提交到途径上,或许向厂商陈述,使厂商及时进行修正。

“乌云之前,满是黑的”

乌云网联合开创人孟德说:在乌云之前,(安全界)满是黑的

依据记者不彻底计算数据,乌云网主页“最新揭露”的安全问题达1.5万个,“最新承认”缝隙近1千个,11月25日至11月28日提交的缝隙也有30多个。从记者调查来看,这些缝隙所涉范畴中繁复,除了传统的联想、腾讯、我国移动等多家IT企业,还有中科院、各大银行、国家航空、海关体系乃至政府各部分官方网站等中心网站。

“这些缝隙来历均来自民间安全研讨人员,缝隙提交上来后途径会进行一个简略的验证,承认后就转交给各个企业在乌云的的安全接口人进行承认,厂商对其实在性担任。”孟德说。

乌云网(WooYun)成立于2010年5月,首要开创人为百度前安全专家方小顿——这位1987年出世的国内闻名黑客“剑心”,因在2010年2月和李彦宏一道参与湖南卫视《天天向上》节目,由于女友高歌一首而为人所知。尔后,方小顿联合几位安全界人士成立了乌云网,其方针是成为“自在相等的”的缝隙陈述途径,为计算机厂商和安全研讨者供给技能上的各种参阅以及缝隙bug的修正。

“乌云之前,你当他(安全界)满是黑的好了。由于没有合理的缝隙提交途径,一个所谓的仁慈黑客要提交缝隙或许会被厂商要挟 。”10月21日,乌云网对外发言人孟德对记者说,乌云网的创建初衷之一是在厂商和白帽子之间树立一个交流途径。

孟德,和活泼在乌云上的白帽子相同,他更乐意让人们叫他的网名“疯狗”。自称为业余浸透师,web安全喜好者。具有9年互联网安全阅历,乌云网联合开创人。

孟德如此描绘乌云网对国内安全界的严重贡献:“有了乌云之后呢,咱们会告知咱们,缝隙你别乱发,咱们帮你跟厂商交流,培育缝隙先给厂商的习气.....。.把途径上的白帽子们思维和习气给规范化、合理化......。.变成一支互联网安全的中坚力气。”

依据孟德的说法,现在乌云网职工都是“兼职”行为,由企业与协作伙伴的朋友一起支撑。“咱们并不是一个安排,仅仅一个途径集合了一些喜好安全技能的人。许多白帽子都来这儿同享缝隙,也只需得到核实并现已采纳防范措施解决问题后才会被揭露。”孟德说,此前由于交流途径的缺少,“白帽子”即便发现了缝隙也很难将信息传递给网站,而网站也底子无法顾及散落在互联网各地的缝隙信息,终究导致一些缝隙被人忘记,未得到修正而形成丢失。

乌云网一炮打响是在2011年末——当年11月,乌云网依据白帽子供给的各种材料,接连发表京东商城、支付宝、网易等闻名互联网企业存在高危缝隙,12月29日更是指出支付宝1500万至2500万用户材料走漏,以及广东省公安厅出入境政务网444万用户信息走漏。

而尔后,如家酒店等开房信息走漏、支付宝缝隙、搜狗浏览器走漏用户数据、腾讯7000万QQ群用户数据走漏等一系列引起重视的走漏事情均由乌云网发布。

三方暗战的江湖

关于乌云网、厂商、白帽子而言,三者间亦是一个不为大众所知的暗战江湖。

依据《乌云网缝隙审阅机制改善布告》,一般缝隙发表流程为5天厂商承认期,10天向中心白帽子揭露其缝隙细节,20天向一般白帽子揭露,30天向实习白帽子揭露,45天向大众揭露其细节。“超越周期厂商无回应,或许在期间内否定缝隙的实在性,乌云网一般都会揭露其细节。”“老K”说。

来自乌云网官方的数据显现,现在有500多家厂商与乌云网有协作或被发布缝隙。关于乌云网、厂商、白帽子而言,三者间亦是一个不为大众所知的暗战江湖。

“厂商是否应该给予乌云网上的白帽子奖赏?”10月26日,在京东安全沙龙上,一位参会者提出了一个引起热议的问题。1个月后的11月20日,乌云网发布了一个“不太听话”的厂商??称腾讯7000多万QQ群联络数据被走漏,在迅雷快传很容易就能找到数据下载链接。依据QQ号,能够查询到补白名字、年纪、交际联络网乃至从业阅历等很多个人隐私。

一位业内人士还对记者举了一个比如:10月29日,乌云网发布了一个白帽子提交的缝隙,其标题为《“交游”致淘宝账号被破解 触及余额宝支付宝》的缝隙音讯,称该缝隙处于等候厂商处理状况,也便是说,用户挑选经过淘宝帐户登陆交游后,看到音讯时仍可触及到支付宝余额宝的安全问题。“据我了解,这位白帽子先把缝隙提交给了阿里官方,但阿里官方没有答理,后来这位白帽子气不过,又提交到了乌云网,乌云网则对其进行了发布。”

这个缝隙音讯带来的结果之一是——在声讨支付宝安全缝隙的热议中,依据媒体报道,在三元里做服装生意的杨先生,其银行账号经过支付宝不可思议转走了5万元。随后一名“黑客”发来短信自称在测验支付宝缝隙时所为。

上一年2月14日,一位网名为“zazaz”的黑客在国内安全问题反应途径乌云上提交缝隙,称我国联通客服体系存安全隐患,该缝隙在乌云途径发布后,有部分用户用于文娱。而如家等酒店的开房信息走漏,更是在全国引起了张狂的下载、查询开房信息风云。

这引发了人们的诘问:乌云网是否应该将缝隙发布于众?依据孟德的说法,在厂商未承认或驳回前,大众不会看到缝隙的详细细节,黑客很难依据这些音讯进行违法行为。但一位互联网人士也对记者称:“假如黑客对此有爱好,那么只需知道企业名字和大约缝隙音讯源头,侵入这个企业并不是难事。”该人士表明,从他的调查来看,乌云网上的很多待承认和刚提交的缝隙,乃至触及到各个政府部分的安全问题,尽管没有详细细节,但仍然让外界用户感到吃惊。

“厂商前方百计要把影响降到最低,要么否定、驳回其缝隙,要么乖乖和乌云网进行协作。而乌云网则想方设法想要炒作自己,亏大自己的影响。”“老K”说,而白帽子,也有自己的诉求,或为了名,或为了利,因而假如提交给厂商被驳回,一般都会提交到乌云网。

对此,一位不肯泄漏名字的某互联网企业高层人士对记者称,关于乌云网,他们也是较为无法。一方面,企业有自己的安全数据中心,随时在对企业网站进行测验;另一方面,乌云网亦不时发布些耸人听闻的音讯,炒作自己在业界的威望,不答理也不可——但事实上,那些引起热议的走漏事情,其缝隙早在几个月前就已修正。

关于是否炒作的说法,孟德对此并不否定。“这其实是国内互联网言论的一个怪圈 ,只需是曝光率比较高, 或由于什么比较抢手了 ,就或许会被认为是自我炒作 ,乌云现在也在阅历这个怪圈罢了。”

依照乌云联合开创人,原百度安全架构师“剑心”在知乎的说法,乌云网得到“除了腾讯这样的封闭企业的认可。”对此一位知情人士对记者称,腾讯是仅有不对乌云网上的白帽子送礼物或奖赏的厂商,相对应的,乌云网上发布问题最多的企业也是腾讯——依据记者不彻底计算,乌云网公不的腾讯各种安全问题多达数百个。

共2页: 上一页 1 [2] 下一页
更多