乌云创始人方小顿白帽黑客的挣扎网络安全需要更多参与者

发布时间：2020-07-24 10:28:40 阅读：次来源：焊条厂家

乌云创始人方小顿

新浪科技李何冉

黑客1词源自英文hacker，最初曾指热情于计算机技术、水平高超的电脑玩家，尤其是程序设计人员，但随着互联网行业的逐步成熟，黑客的属性也分为白帽子和黑帽子。

方小顿就是白帽黑客中的佼佼者。他是国内著名安全组织80sec的成员。也曾是百度安全专家，负责对黑客攻击百度网站的抵抗工作，曾发现多个知名底层和脚本安全漏洞。

随后他又创建了网络漏洞报告平台乌云，作为一个厂商和安全研究者之间的安全问题反馈平台，乌云提供给互联网公司很多漏洞及风险报告，帮助他们防患于未然。随着乌云影响力的提高，旗下白帽子团队也到达了近5000人，其中核心黑客超过100人。

黑帽子指泛指那些专门利用电脑网络弄破坏或恶作剧的黑客，并通过网络漏洞非法牟利，在英文中这些人叫做cracker。而白帽子指对网络技术防御的黑客，他们可以辨认计算机系统或网络系统中的安全漏洞，但并不会歹意去利用，而是公布其漏洞，以便系统可以在被其他人(例如黑帽子)利用之前来修补漏洞。

方小顿留着一头长发，看上去颇具有文艺青年范儿，他对白帽子这个职业有着自己的见解。在他看来，白帽子最难的就是坚持自己的理想，不计眼前的利益诱惑，从全部行业着眼为网络安全贡献自己的气力。在他眼里，白帽子是一群挣扎在理想和现实边沿的黑客。

白帽子是如何炼成的

2002年，15岁的方小顿便考上了哈尔滨理工大学的化学专业，也是在那一年，他开始接触互联网，接触网络安全。

方小顿称，由于对化学专业没有太大的兴趣，基本上除去上课、睡觉，大学全部的时间都扑在网络安全研究上。从那时开始，方小顿常常给国内顶尖网络安全杂志投稿，稿件多被录用。在大学期间还受聘给某网络安全培训机构的学生授课。

但他其实不认为课堂中会出网络安全人材。网络安全问题本身就存在于破坏规范中，处理网络安全问题的核心就在于不守规矩，所以在规范的教育体系下，很难出网络安全人材。方小顿指出，网络安全是一门兴趣指引下的学问，他需要黑客亲身去研究，不能把他人过往的经验总结成课程来学习。

方小顿自己的经历完全可以印证这一点。最初他对网络安全产生兴趣，源于课余时间同学之间在网络上的相互攻击。彼时可鉴戒参考的资料基本属于空白，完全依托自己的研究。随后他又与大学同学一起黑入一家网站的主页并善意提示了这家公司存在漏洞问题。这家公司在2006年也为方小顿提供了他大学毕业后的第一份工作。

2008年，方小顿加盟了百度，负责网络安全。在百度，他取得了从大平台的角度去学习认知互联网安全的机会。但百度的主体业务是搜索引擎，由于其在全部互联网领域的局限性，对2010年的方小顿，留给他发挥的空间也极其有限。

方小顿称，离开百度主要还是由于理想，他想利用自己的技术来为更多的互联网公司解决安全问题。他认为，一名白帽子黑客除要有这方面兴趣以外，另外一点就是必须具有一个正能量的理想。

一样利用技术发现漏洞，黑帽子黑客常常利用漏洞通过不法手段来获得利益，这部份利益能多到哪种程度呢?方小顿称，可能是一个其实不起眼的黑客，某一天你就会发现他住上了好房，开起了好车。他表示，目前最强的黑帽子和白帽子收入的差距大概是日薪1万和月薪1万的差距。

正因如此所有白帽子黑客都是站在了理想和现实边沿。方小顿认为，白帽子黑客必须认清自己的核心诉求不一样，在理想和现实中更加重视个人的成长。他同时指出，以黑帽子黑客赚钱的方式常常会使人变得浮躁，这类心态会不利于本身对技术的学习，从个人技术发展角度讲，这并不是一件好事。

离开百度的方小顿，为了自己的理想在2010年5月创建了乌云。在2011年12月21日，乌云曝出国内知名技术社区CSDN的600余万用户资料被泄漏。尔后又陆续曝出多玩800万用户信息、7K7K小游戏的2000万用户、网站的1000万用户资料，和人人网、U9网、百合网、开心网、天涯、世纪佳缘等网站数据库遭受不同程度的外泄。该事件引发各界人士讨论，一时间网友纷纭修改网站密码，并只呼修改得手抖，促使各方更加重视网络安全，乌云平台也因此名声大震。

在尔后的这几年，乌云平台不断发布在各个网站发现的漏洞，并且快速成长为一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台，同时它也是服务于互联网IT人士技术开发的互动平台。

最新的暴光是乌云核心白帽子猪猪侠登出的携程某分站源代码包可直接下载(触及数据库配置和支付接口信息)和携程安全支付日志可遍历下载致使大量用户银行卡信息泄漏(包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)的两条信息。

携程漏洞暴光后，引发极大反响，携程股价一度下跌近10%。乌云再次以强势的姿态冲进人们的视野，并且一次次带给人们更大的震动。

方小顿指出，目前安全行业环境不够好，与互联网提倡的开放和分享走得很远，不利于全部社区的成长和行业的发展。他泄漏，乌云在把部份厂商的漏洞公然后，会遭到来自厂商的一些报复，最严重的乌云服务器还被拔过线。

他认为，目前信息安全的问题是行业环境的问题，不够公然不够透明的问题致使很难像其他行业一样被人了解和理解，而互联网安全从业者在不了解和不理解的条件下很难将事情做好。

如果我家里没有上锁，可以说是我自己的事情，无关他人。但如果你是家银行，你管理的东西都不是你的，那就有必要也有义务让用户知道你管理的真实情况。方小顿解释道，公然漏洞信息另一方面的重要缘由是，让同类企业引以为戒，并节省全部行业的安全本钱。

他进一步表示，乌云将坚持开放和分享的核心运营思路，通过信息的活动带来社区的活跃，在积累了大量的安全问题基础数据以后，希望能够与白帽子一起除发现问题以后还能为企业解决和规避安全问题。

目前，乌云仍属于一个非盈利组织，网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。接近5000人的白帽子黑客全部为乌云义务提供服务。

方小顿认为，互联网安全行业应当遭到更高的重视，还需要像国家、企业、媒体和第三方平台等参与进来。来自各行各业的人士会从不同的角度分析判断网络安全问题，从而会更容易发现漏洞，减少损失;另一方面，企业的参与也能够从一定程度上改良白帽子黑客的生活质量，对其也是一种正确方向的引导。

移动安全问题核心不在终端

不过，网络安全参与者的增长速度，明显没有麻烦制造者的增长速度快。随着移动互联网的兴起，一些由手机等移动装备曝出的网络安全问题，已成为了近两年315晚会的常客。但方小顿认为，移动互联网的安全问题核心不在移动终端，归根结柢还是互联网服务的漏洞愈来愈多。

他表示，回归到安全漏洞的本质，漏洞与数据是相对应的，一个不能影响数据的漏洞只能说是个Bug，不管用户用甚么手机，它终究只承载了互联网服务入口的使命。

方小顿称，移动安全问题的增多，主要是由于人们愈来愈频繁的通过手机等移动装备使用互联网云服务。现在的移动智能终端都在强调一个数据云处理的概念，邮件、照片、通讯录等用户数据都在云端，一旦出了安全问题，还是在云服务器中存在漏洞隐患。

从目前来看，苹果生态系统的安全性是被普遍认可的。由于iOS系统的封闭性，和App Store的自有生态体系下，出现任何安全问题，苹果都会快速做出公道的决策反应，从而保证其品牌利益。

而在安全方面常常被诟病的Android装备，在方小顿看来与苹果的安全水平也属同一级别。他解释道，目前品牌Android装备的开放属于一种相对的开放，终端厂商为了自己的品牌利益，会对自己产品中内置运用做出严格的审核，对待自己品牌的运用分发市场也会采取相同的态度，但对第三方运用市场的产品，终端厂商还是没法进行审查的。

方小顿认为，基于云时期的互联网安全状态，企业在一定程度上应把数据的控制权交还给用户，给用户一个选择权，让用户有权利删除记录，以保障这部份数据的安全性。另一方面，国家或第三方监管机构加强对终端公司的把控，避免企业在用户不知情的情况下搜集用户电脑里的数据、记录，乃至从云端下发策略。