网络安全 频道

乌云主站负责人“疯狗”:乌云平台发展

  【IT168 评论】9月12日消息,乌云首届安全峰会今日召开。从现场情况来看,这次大会受到了业界的最广泛关注。会议开始,乌云主站负责人“疯狗”对乌云做了简单的介绍。乌云从2012年7月12日有了第一个注册用户,到现在白帽子数量是6214个,注册厂商1827个。

  以下是“疯狗”的现场演讲速记:

  今天到场的嘉宾主要是互联网企业,还有互联网媒体,再有就是平台上的白帽子。还有一个特殊的群体,我也是昨天才知道的,还有一个叫白帽子的家长们。

  现在计算机技术还有网络普及的非常快,很多的学生接触互联网非常非常早的,新一代做安全网络的非常小,还未成年,所以有的小白帽家里不放心,说你自己大老远跑帝都很混乱的地方不放心,所以爸爸妈妈陪着过来了。我想对各位家长说,你们的孩子很优秀,他们也会是中国未来互联网强大核心的力量。

  大家知道乌云是第三方机构,大家可以看到今天很应景,白帽子会分享安全研究的心得,企业也会分享一些防守防护的经验,也是双方的经验与智慧的碰撞。我也相信今天的白帽子身价也会飙升三倍,企业演讲之后也会吸引有场下白帽子的加入,一切皆有可能。

  首先我还是自我介绍一下,我的网络ID,也就是乌云上的昵称叫疯狗。这起了很久了,也没什么意义,就是一个代号。我研究安全也是蛮久的了,我有十余年经验。

  这十余年并不是向大家炫耀我的技术多么多么,而是我真的很热爱这个行业,我相信今天在座的人把网络安全,信息安全目前,或者曾经是自己非常重要的一部分。

  插一句,除了上面的介绍外,我不知道是不是只有我一个人,我是唯一把乌云公开漏洞的都看了的人。

  四年前的夏天,几个小伙伴对外正式地公布了乌云漏洞报告平台,黑客圈或者中国安全网络圈有一些老前辈,后来也是找到我们说,其实我们也想做这样的平台,但是被你们先走了一步。这样也就是说乌云或者说第三方漏洞报告平台就是由我们这一帮年轻人营运,担负了很多期望和责任在肩上。

  今天也希望用你好,路人甲做话题。因为开始登录乌云的时候都没有帐号,在没有获得帐号之前我们都统称为路人甲。所以很多新加入我们都当做路人甲,所以我希望以这样的文化开始今天的简单的乌云的介绍。

  很多加入乌云的都会误会我们,因为我们是没有甲方工作经验的,就办了这个平台,其实我想说的是我们甲方经验还是很多的,我们在甲方工作了很多年,发现了种种弊端才出来做这个平台的。

  我们做的过程中发现了什么问题呢?我以前在新浪网工作,除了日常的发掘自己的漏洞,做防御体系等等外,还有一个重要的事情,我相信在座的很多,比如新参与工作的一些安全从业者们是没有经历过的,是什么呢?

  我们每天还有项重要的工作,就是去看这些白帽子,可能当时叫黑客或者研究者的博客,因为他们会公开一些漏洞信息,而且是在没有修复的情况下,人人看到之后都会去利用。

  所以我们天天还要扫各种RS,看看大家有没有报告我们的漏洞,报告了赶紧应急。我们觉得这种模式或者现状体现了一个问题,我们深入研究了这些人心理,他们有时候也并不是很恶意的,他们也想说我发现一个问题,我希望反馈给厂商,得到厂商的重视,同时我的技术也在业界得到反响,交更好的朋友,技术得到更好的提升。

  但是那种环境没有乌云的平台,所以大家选择了这种不太友善的方式,所以我们觉得做乌云的平台,漏洞的信息在它有影响的时候,我们报告给厂商,厂商解决后,我们会公开细节,让你在圈子里能分享你的想法,结交更多的朋友。

  还有一个,安全群太封闭,大家也知道,安全技术或者说黑客技术稍微走偏一点,可能通过非法手段牟取暴利的方式,一种手段,其实这个不得不承认,现在国内特别特别的普遍。因为它是牟利的手段,攻击者就不希望让其他人跟自己争利,也不希望让企业知道有哪些缺陷,封堵掉,而是长期循环。

  所以攻击的手段永远走在我们前面,而我们对黑产一无所知。乌云一直强调说我们要把细节公开,其实也是希望让大家看到系统安全到底是什么样子。我们做着做着就发现了很层次的意义,我们发现受益越来越大,我让安全研究人员通过这个平台学到其他人的技术和技能,让安全研究人员互相认识,也能获得更高荣誉的机会,也让企业了解到自己一个真实的安全的现状,同时我们也让普通用户如何才能保护自己,现在的问题都会出现在哪里。

  所以我们是帮企业完成了正像循环,白帽子提供安全漏洞,企业披露安全问题,用户了解到这些安全问题信息,对企业提出安全需求,企业加强自身的安全建设和重视白帽子价值,更多的白帽子会加入到这么一个流程,让这个循环越走越大,创造更多的价值。

  厂商我只是随便取了一下,乌云第一页、第二页的企业,其实我们覆盖非常非常广,有互联网媒体、网络的金融、电子商务、社交平台、视频分享、移动营运,还有软件开发商,甚至说安全服务商,等等等等,可以说覆盖了整个中国互联网网络,我们就是为这样的企业提供漏洞信息报告的服务。

  乌云平台上大概有570多家厂商,这些厂商都是我刚才提到的这些性质的企业,还有一些看不到的,它们是地方的信息站点,传统的行业,这些我们就没有去显示。我说这五百家的企业注册是这个数字的三倍。

  不能说几乎,现在也是已经覆盖了整个中国互联网企业。这是一个活跃的白帽子数量,还有一些白帽子活跃在乌云的其他平台,像内容分享平台上等,实际上注册数量是这个数字的六倍多。

  而且这些白帽子来源,他们的角色,个人身份都千奇百怪,首先有专业的安全人员,还有学生、医生、博士、教师、安防人员、企业策划等等,他们来自各个领域,但是他们有一个共同点,对安全充满了兴趣,非常非常喜欢,就是这样一批人集中在一起形成了现在乌云白帽子的群体。

  目前,乌云已经接到了七万五千家的漏洞报告的数量,但是这个数量还在飞速地上涨中,我只是取了一下前阵子我统计出的结果。其实这些漏洞对乌云,对企业,对白帽子来说都是无形的财富,几乎所有都有覆盖,我想不到还有什么没有报告提交的。

  所以乌云接下来要做的也是积极分析这些漏洞报告中有价值的信息,反馈给各个渠道,像企业、用户,甚至白帽子,媒体,等等等等。

  大家也会看到过各种各样的漏洞风险的统计图,其实这种也确实很有意义,大家可以从中得到一些辅助的参考作用,乌云的风险统计图是非常非常有价值,它的价值在哪里?它的统计是以实际发生案例统计出来的,并不是我们拍脑袋共享出来的,或者通过数据计算出来,我们就是通过切实发生的案例来统计的。

  这个风险统计图我们认为是当今互联网一个真正的现状,可以看到前五条基本都是安全运维还有管理上的,最终撞库太多太多,很好地体现,像好莱坞的艳照门,这都能体现出来,这是现在最广也是我们迫切解决的问题。而且安全的影响也从传统的开发者慢慢转移到了安全的运维者和管理者上面,有这么一个转变。

  乌云在这四年的运营当中也是见过了很多的漏洞,我们也产生了漏洞的 非常中肯的评估方案,这个都在乌云的安全中心,大家可以去查看,这也会是我们今后向外界输出的重点。

  我们首先认为漏洞有两个方面具体的影响,第一,威胁的角色是谁,一个,难度怎么样,是不是很容易被人重现?说这个世界上一个人能利用,还是世界上一万个人能利用。还有一个,就是数据的影响。

  就是这个漏洞具体影响到我们业务,比较敏感信息,就是这个数据的范围多大,还有这个系统的重要性,看似很简单,这都是乌云这四年来慢慢沉淀分析下来的,也跟曾经的安全机构、组织所说的理念有不同的地方。

  我们乌云的想法,我们想把安全圈子变成什么样子?大家都知道有SOHO工作的模式,就是在家里工作,我想我们乌云叫乌HO,我觉得大理非常安逸,空气都很安逸,你稍微积极一些都不被人接受,这是非常舒服的地方,像我真辞去一切,去那儿待一阵子。大家知道这个在国内很不现实,在国内国民生活压力很大的,我们不能放弃一些东西去追寻我们理想国这种状态,所以我们就希望能把乌云,起码在白帽子领域做到什么呢?

  我们可以游山玩水,去哪里玩儿就去哪里玩儿,没钱了,打开电脑只用不到一个小时的时间,参与了一些项目,可能拿到一个月的开销,我就可以轻轻松松去做一些想要的生活,很理想,但这说明了我们的理想和目的。

  很多企业跟我们说我们报告平台是被动的搜集平台,但有时候我想主动地杜绝我的信息安全风险,比如一个重要的产品上线,我想主动地知道我面临的风险,并且告知我怎么修复,这就是我们的理念,主动为企业提供安全的服务。

  另外,也希望给白帽子一个合法收入的机会。因为现在做黑色产业的人非常非常多,他们真想这么做吗?也是被社会,被生活所逼迫。我敢打赌,如果有一个合理的收入,没有人愿意赚这个黑钱。所以我希望这样能让白帽子从一个合理的方向去赚取自己应得的报酬。

  很多白帽子还会问很多新来或者老白帽,或者还不是白帽子想成为白帽子的,来到乌云能得到什么?

  我觉得大家可以在上面用一个合法的渠道,能谋取一些合法的收入,同时还能以一个正确的渠道展现自己,也能得到思想比较开放、前卫的企业认可,还可以认识朋友,通过交流得到提升。我们的目标想法就是这么简单,这都是说的很实际的一些。

  上面我介绍了一下乌云过去、现在、将来的大致方向,接下来我还是把时间交给顶尖的白帽子和企业,让他们来与大家分享。

  点击查看专题报道:http://www.it168.com/remen/wuyun2014/

4
相关文章