职业赌徒

光的傳人


鄔迪:烏云完成了使命 | 烏云回憶錄(一)

轉載說明: 《烏云回憶錄》,是科技自媒體淺黑科技出品的專題。

2016年漏洞平臺烏云關停。時隔一年,我試圖走訪那些和烏云相關的人,了解他們對網絡安全、白帽子黑客,以及這個世界的看法。愿這些記錄可以引發更多人的思考。

每個人都有自己的立場和理由,他們的憤怒、恐懼和自私本就情有可原。我只祈禱自己有一雙忠誠的眼睛,注腳這個世界的美好或荒涼。

本文是對前烏云合伙人鄔迪的采訪,是為《烏云回憶錄》第一篇。

鄔迪:烏云完成了使命

口述 | 鄔迪 文 | 史中

烏云完成了它的使命。鄔迪說。鄔迪,前漏洞平臺“烏云”合伙人,如今他加入了一家安全創業公司。2016年7月20日,烏云頁面突然顯示“升級公告”,關閉至今。2017年11月12日,距離“烏云事件”480天,我坐在鄔迪對面。這個故事的另一個主人公是方小頓,人稱劍心,“烏云”創始人。和鄔迪一樣,方小頓也在等待烏云事件最終的結果。在一家咖啡館里,鄔迪和我講了一些被塵封的往事:

(一)

我認識方小頓,是在2012年。那是我在老牌 IT 公司深信服工作的第7年。有同事找到我說,有個叫做“烏云”的媒體曝光了我們產品的一個漏洞。作為品牌總監,我得想辦法“平事兒”。我設法找到了烏云聯系人的電話,電話那頭傳來了方小頓沙啞的聲音。

他說,烏云不是媒體,而是漏洞平臺。漏洞是民間的“白帽子黑客”提交的,把漏洞公開就是為了讓中國的企業都能夠重視網絡安全。我說,太感謝了,我們已經重視了,并且修復了漏洞,是否有可能把帖子刪掉呢?他說,這個恐怕沒可能。只要發到烏云網站上的漏洞,就沒有辦法刪除。每個帖子,都是一盞警示燈,燈亮得足夠多,企業才會足夠重視自己的安全建設。我有點奇怪,這個人的話語邏輯里不包含“錢”。

于是我搜索了“方小頓”,知道他是一個資深的安全專家。曾經供職百度,還和李彥宏一起上過《天天向上》,唱了一首慘不忍睹的歌。除此之外,別無其他。幾個星期以后,我北上北京,專門約他喝咖啡。希格瑪大廈的硬盤咖啡,我見到了他。長發及肩,不修邊幅,牛仔褲、舊短袖、夾板拖鞋,聲調不高但邏輯清楚。挺黑客的。我再一次提出刪帖的要求,暗示可以出些錢,他拒絕了。

做了這么多年市場,我能聽出來一個人是否真的不想要錢。于是我死心了,反倒對“烏云”有了更多的興趣。方小頓說,離開百度時他的級別是 T7,如果繼續待下去還能更高,這個級別意味著衣食無憂前程似錦。但他堅信自己另有使命。

他說安全圈太封閉了,這么多互聯網公司漏洞百出,個人信息不斷被黑客竊取,電信詐騙、網絡攻擊已經到了令人發指的地步。然而公眾卻沒有渠道得知真相,任由自己的隱私權利被販賣和侵害。需要有人把真相說出來,他深信做這件事的人應該是自己。他設想的模式是:鼓勵“白帽子黑客”——民間對網絡安全技術感興趣的技術人員——提交各個企業的漏洞,烏云審核之后無條件公開。白帽子在這個平臺上獲得認可、技術交流和榮譽感,企業在這里獲得自己的漏洞詳情和危機感,鞭策自己提高安全性。這就是后來著名的“烏云模式”。

這個模式讓當時的我熱血沸騰,當然后來也改寫了我們所有人的命運。兩年以后,我選擇加入烏云。另一位創始人“瘋狗”跟我回憶,我認識方小頓的2012年烏云已經成立三年,那時只有兩三個人,所有人住在民宅里,不僅不領工資,而且都是把自己的積蓄在往里填。他們相信自己在做一件偉大的事。

(二)

自從認識了方小頓,每次去北京,我都會約他聊聊。特別是當我發現,我們的很多同行,甚至是安全能力很強的 BAT,都在烏云上被“白帽子”爆出過漏洞,公司從上到下也開始放下對烏云敵意,甚至我們的技術人員也會在烏云上查看同類產品被爆出什么漏洞,然后趕快檢查自家的產品有沒有問題。2013年,深信服要推一個重磅產品:下一代防火墻。

在推出之前,本著對用戶負責的態度,我們希望自己先對產品做一個深度的安全測試。于是我們找到了一家廣東省內的安全公司,他們按照“Check List”逐項作了檢查,結論是產品沒有漏洞,很安全。雖然有這個結果,但貿然發布產品我們覺得還是有些草率,于是我想起了方小頓。我問他烏云是否能做“安全測試”這種工作。他想到一個方法,我們把防火墻映射在一個網絡地址上,烏云組織天南海北的“白帽子”在網上對這個產品發起測試。發現漏洞,我們就付費給白帽子。這就是后來烏云推出的第一款產品“烏云眾測”。

深信服是它的第一個客戶。那次眾測,白帽子找到了產品的十多個高中危漏洞,和之前的“0漏洞報告”一對比,我們挺震驚的。2014年4月,方小頓突然給我發來了一些截圖,是一份測試報告,來自“烏云眾測”。雖然上面的公司名稱打了碼,但我能看到眾測給這家公司找到了上百個安全漏洞。在QQ上,他問我,現在烏云眾測做得很好,團隊還計劃做新產品,愿不愿意來烏云?當時,我挺心動的。

我可能是一個理想主義者,一直迷戀一種體驗:在早期加入一家偉大的公司,和大家一起改變行業,創造歷史。以當時我對“烏云模式”的判斷,還有對“烏云眾測”的了解,我覺得烏云未來是一定能夠被寫進中國網絡安全歷史的。只不過,我當時已經在深圳成家,按照世俗的眼光看,該有的也都有了,原本沒有任何換工作的想法。我住的小區蓋在一座山上,收到邀請的那一個月,每天7點吃完飯后,我就到山上去散步,有時自己,有時和妻子一起,思考自己的選擇,每天直到快到10點才回家。

2014年的北京霧霾肆虐,我很抵觸。不僅如此,如果加入烏云,股票歸零,工資減半,獎金全無。我記得在最糾結的時候,我妻子突然轉過身對我說:錢什么時候都可以賺,但一生之中尋找理想的機會并不常有。現在閉上眼,她當時的眼神就浮現在面前。

最后我決定,用手中的這一切,換烏云的未來。但我不覺得父母可以理解我的選擇。為了讓父母不擔心,我說深信服在北京投資了一家公司叫“烏云”,我被派駐到那里負責管理。

(三)

正式上班第一天,鄔迪才第一次走進烏云的辦公室。那時候烏云剛剛搬到上地,嘉華大廈。這間辦公室的上一任主人是“火幣網”。除了劍心,瘋狗,瞌睡龍,鄔迪這幾個合伙人老一點,是八零后,其他十來個人都是九零后。鄔迪回憶,有人十一點來,有人下午才來,有點散漫。不過每個人都是絕頂高手,張口閉口都是技術,午飯時都沒人討論其他話題。他們熱愛安全,熱愛烏云所作的事情,并且對所有試圖遮蓋或掩飾安全問題的行為表示不齒。他們是一群理想主義者。

“你有沒有想過,正是理想主義才讓烏云被關?”我問。“是的。”他想了想,“但現實主義者不會做烏云。”也正是在那個時候,他開始認真地了解“白帽子”這個群體。黑客本身就是反叛精神的載體,白帽子也是這樣一群特殊的技術群體。很多白帽子黑客都是高中畢業、大學肄業,諸如此類。他們當中相當一部分不滿學校教育,自學計算機知識。鄔迪覺得這些人中“鬼才”居多,但社會并沒有給他們足夠的空間。

以前,因為學歷的問題,很多白帽子很難跨進大公司的門檻。但有了烏云以后,他們可以在上面提交漏洞,獲得社區和公眾的注意,同時證明自己的技術能力,通過這些在一家大公司獲得一份體面的工作和不菲的收入。面對黑產的誘惑,他們可以更堅決地說不。也許烏云讓這個群體從此遠離了網絡犯罪,給他們一種新的人生可能。鄔迪回憶。但同時,在這些白帽子里分化出了另一個更為特殊的群體。他們在烏云體系里成為了“核心白帽子”。這些核心白帽子往往能夠“以一敵百”,發現其他白帽子無法發現的巨大漏洞,這些漏洞曝光出來,甚至可以在輿論中造成軒然大波,例如,2014年3月,烏云突然曝光攜程網泄露公民信用卡信息;2015年,烏云曝光12306大量乘客信息泄露。

這些曝光都直接推動了網絡安全的歷史進程。根據鄔迪的觀察,核心白帽子和普通白帽子有很大的區別。他們往往是高知,有的是博士畢業,有一份工資很高的工作,但生活很簡樸甚至無趣。挖漏洞更多出于愛好。比起錢來,他們更在乎自己“天下無賊”的夢想。接連曝光了一些重要的漏洞之后,鄔迪對這些核心白帽子從好奇轉變成了敬佩。

他依然能回憶起一些故事:白帽子A,測試了特斯拉的網站,本來預定一臺 Model S 電動汽車需要網上支付30萬的定金,而他通過漏洞,只需要1塊錢就可以達到預付30萬的效果。他把漏洞提交給特斯拉之后,特斯拉為了表彰他的貢獻,告訴他這1塊錢就認定為30萬,只要他繳納余款就能提走一輛車。他家境不錯,買特斯拉不成問題,但他拒絕了。他說自己這么做只是為了找到漏洞,不是為了這份獎勵。

無論漏洞多么嚴重,烏云都會強制公開。態度和當年方小頓對待深信服的鄔迪別無二致。這些“烏云核心白帽子”攪動了整個中國互聯網,恨和愛由此開始交織。有關“烏云模式”的討論也甚囂塵上。保守主義者認為“進步需要時間”,激進主義者認為“矯枉必須過正”。

身處白帽子群體,鄔迪雖然不搞黑客技術,也能經常接到黑產發來的郵件。有的郵件里言辭閃躲,留下一個QQ號,出于好奇他會去搜索,一看簽名里面全是“黑話”,就知道這是個搞黑產的。有人甚至直接打來電話,說你幫我搞一個網站,先給你打過去100萬,事成之后再給你200萬。“那些白帽子同事接到的郵件和電話就更多了。他們經常把黑產和他們對話的截圖發到公司的群里,每一單都值一輛車,而對他們的技術水平來說,賺這些錢只需要動動手指。

但大家都當成笑話說,沒人真去接單。雖然他們有的人想買房,當時確實很缺錢。”他說。“你怎么確定他們沒有心動去做了黑產?”我問。“因為直到最后那些同事還在租房,還在找我們借錢。”

他說。除了要抵抗金錢的誘惑,白帽子們還要應對外界的各種質疑甚至威脅。曾經有很知名的巨頭企業給烏云內部的工作人員打電話,在電話里一字不差的說出了這名同事的姓名、身份證號和家庭住址,暗示如果烏云上再出現他們的漏洞就會采取“必要的行動”。如果說不害怕那是假話。

但一夜過后,第二天上班他仍然該怎么做就怎么做。

鄔迪說。依靠這樣一群散發著理想主義光芒的白帽子,那幾年烏云毫不意外地進入了爆發期,因為不斷曝光網絡的黑暗陰影而屢上頭條,被大眾所知。方小頓成為某種黑客精神的旗手。白帽子們雖然散落在互聯網各個地方,擁有不同的教育背景,從事著不同的主業,但都同時聚集在這面旗幟下。他們之中有些鐵粉,紛紛選擇加入了烏云,成為了幾十名員工之一,為之后的產品“烏云眾測”和“Tangscan”貢獻力量。

我問鄔迪,現在他究竟怎么看待白帽子這個群體。他想了想,把中國黑客歷史分為三個階段:

黑客時代:從上世紀90年代到10年之前,沒有純粹的白帽子和黑帽子之分。黑客可能會給企業提交漏洞,但是沒有可預期的回報,他們可能也會做黑產,利用自己的技術犯罪。同一個人也許有黑白兩個身份,沒有清晰的邊界。

前白帽時代:從2010年烏云建立開始,黑客漸漸分化成了兩個群體:白帽子和黑帽子。代表理想主義情懷的白帽子在發現企業漏洞之后,提交到烏云或其他平臺,獲得聲望;而代表現實主義的黑帽子發現漏洞之后,賣給地下黑產,和這個世界玩捉迷藏。

后白帽時代:2016年“世紀佳緣案”和“烏云事件”之后,白帽子群體分化,有些白帽子選擇了“授權測試”的平臺,完全守法,不再公開漏洞。有些白帽子轉而從事其他職業,有一部分邊緣白帽子轉入黑產,進入地下。目前來看,他們從公眾的視野里消失了。

(四)

2016年6月,就在“烏云事件”的一個月前,方小頓在QQ上給我發來信息:“我想把烏云主站關掉。”我感到錯愕。我猜他一定知道了什么,或者至少感覺到了什么,但到最后他都沒有和我說。我記得很清楚,我抬起頭,看著屋子外面坐著的一群年輕人。他們是因為我們,因為烏云,或者說因為某種理想才坐在這里。“關掉烏云可以,但他們怎么辦?”我覺得我們對于這些單純又有理想的九零后負有不可推卸的責任。

但一個月后發生的事情證明我們不僅不是救世主,也許還正好相反。我總在想,如果我們能夠不那么自以為是,不那么悲天憫人,早點關閉烏云,事情可能會有所不同。但,沒有人是神。

后來有人問我,你恨不恨方小頓。我說不恨,他已經盡力了,如果我是他,也許做得不如他好。當然如果有機會,我們應該和相關部門有更多的溝通。2016年7月初,烏云大會召開,我們專門攢了一個論壇,拉來了白帽子、網絡取證專家、公安機關領導,探討“漏洞機制”這件事。

我記得方小頓在臺上,不遺余力地為“烏云模式”站臺。但當時他內心究竟在涌動著怎樣的情緒,可能誰都無法了解。10天后,發生了安全圈甚至大半個互聯網圈都知道的事情。

(五)

(六)

時隔很久,我才第一次打開手機。那是一臺 iPhone,性能不錯。但手機就像死機了一樣,震了幾十分鐘。熟悉的人,不熟悉的人,媒體、客戶、很久不聯系的朋友,他們發來的微信還沒來得及閃現,就被其他人的消息頂到了后面。他們關心地詢問我的近況,同時小心地避開我的傷口。未接電話的提醒短信一個接一個,仿佛沒有休止的一刻。我告訴父母,我從未想過要去做一件壞事,但結果也許不盡如人意。

他們說,你不用說了,我們了解自己的兒子。你回來就好。那幾個月,我發誓要加入一個大公司。這樣也許今后的人生就不會有這么多風險,就像當年方小頓如果不離開百度,他的生命將會平穩安定,將會衣食無憂,后面發生的一切都不過是一場虛幻的夢。隨后也確實有挺多大公司向我伸出了橄欖枝,我準備挑選其中一家。

然而,有一天半夜,我突然醒來。我好像看到方小頓走到我面前。我好像看到了烏云的兄弟姐妹,看到了那些為了理想不怕威脅不計回報的白帽子。他們輕聲問我,是不是還像當年一樣渴望親自參與一次偉大的創業,是不是還像當年一樣夢想做一個可以被銘記的人。我坐起身來看向窗外,夜色如海,上帝在沉默。幾秒種后,我想通了,像個嬰兒一樣沉沉睡去。

那天晚上,我做了此生最美的夢。我拒絕了大公司的邀請,最終又加入了一家網絡安全創業公司。我猜,對于理想主義者來說,有些事情是注定的,堅硬的,赴湯蹈火的,無法更改的。烏云出事后很多人問我,辭掉深信服來烏云,是不是挺后悔的?你可能不信,我并不后悔。

我在電話里告訴身在老家的父親,說我還是決定加入一家創業公司。父親說,我支持你,因為我早就知道,我的兒子無論經歷過什么,都能有勇氣重頭再來。他說,我為你感到驕傲。

(七)

鄔迪疊好回憶,望向窗外。外面天色湛藍,像是舒展了半生的愁眉。

“烏云完成了它的使命,是時候說再見了。”

他說。我順著他的目光極目遠眺,萬里無云。“為什么?”

我問。之前很長時間,我都以為是烏云創造了歷史。但現在我知道,是歷史選擇了烏云。那個時代互聯網爆炸式發展,而網絡安全沒人重視。網絡犯罪行為越來越多,但沒人告訴大眾,他們究竟是如何被侵害的。面對那個墜落的世界,需要有人站出來——這個喊出皇帝新衣的小孩,恰好是我們。

人們總在爭論烏云的模式是否極端、披露漏洞是否要授權,但在那個時代里,我們別無選擇。你明白嗎,別無選擇。

他盯著我,說。“那個時代還在嗎?”

“不在了。烏云隨著這個時代開始,也隨著這個時代結束了。”

“那個時代,還有遺憾嗎?”

“我們讓網絡安全問題從封閉的小群體走向了大眾的視野,讓整個社會開始重視安全。烏云沒有遺憾。”

“原來那些烏云的白帽子,現在在哪里?”

“有一部分移民海外了,從此沒了音信。還有些人暫時放棄了安全,成為一名普通的程序員。4月份時我見到了一位核心白帽子B,他曾依靠一己之力改變了中國網絡安全的進程。如今他在一家大企業做程序員,白天坐在西二旗的格子里寫代碼,晚上回到回龍觀的格子里寫代碼。”

“不挖漏洞了嗎?”

“不挖了。”

“你和他說什么了嗎?”

“我說我感到悲涼。”

“白帽子們都離開了嗎?”

“我更愿意相信,他們在等待。”

“等待什么?”

“當時代需要時,他們勇敢地站了出來。當潮水退去時,他們等待新的使命。他們等待被拋棄或被懷念,等待這個世界告訴他們善惡和對錯。”

鄔迪

end

---

對了,作為文章作者我再自我介紹一下。我叫史中,是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友,可以加我微信,fungungun。不要害怕,我不是什么好人。不想走丟的話,你也可以關注我們的自媒體公眾號“淺黑科技”。 


網友評論(以下內容僅代表網友觀點,與本站無關)

原創文章請注明轉載自光的傳人博客本文地址:http://www.nixvk.club/post/wooyun.html,標題:鄔迪:烏云完成了使命 | 烏云回憶錄(一)

【我來說兩句】
分享到:

評論 0

發表評論:

阿光驗證碼

◎歡迎參與討論,請在這里發表您的看法、交流您的觀點。


聯系郵箱:www#liu16.com(將#換成@) 魯ICP備13024089號   感謝Z-Blog阿光網站地圖
职业赌徒