压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　互聯(lián)網(wǎng)安全漏洞爆料平臺烏云聯(lián)合創(chuàng)始人孟卓、合伙人鄔迪做客《公司人俱樂部》直播間，他們表示，平臺上有將近5000個白帽子，他們發(fā)現(xiàn)漏洞上傳，烏云會有一個5天的確認期，之后還會給企業(yè)大概還有40天的修復期，修復期過去之后，烏云才會給它公開的。

　　想做時髦的云 最小的黑客只有13歲

　　烏云網(wǎng)是國內(nèi)一個立足于計算機廠商和安全研究者之間的安全問題反饋及發(fā)布平臺，集中了國內(nèi)的黑客資源。用戶可以在線提交發(fā)現(xiàn)的網(wǎng)站安全漏洞，企業(yè)用戶也可以通過該平臺獲知自己網(wǎng)站的漏洞。

　　主持人：為什么起名“烏云”？

　　孟卓：因為烏云成立之初，正好是計算機互聯(lián)網(wǎng)時代的云時代然后感覺叫帶"云"字的名字都是沒有趕上時髦，所以我起了一個叫烏云。

　　主持人：黑客的日常工作需要在一個辦公室嗎？

　　孟卓：我們經(jīng)常開玩笑說，只要黑客一臺電腦，一根網(wǎng)線，他在全球各地都可以開展自己的工作。烏云網(wǎng)現(xiàn)在有20個人，我們都是黑客出身。

　　主持人：一起共事彼此也不會見到真人？

　　孟卓：大家見面就會非常少，但是現(xiàn)在這些年來，可能大家相聚的機會越來越多了。聚在一起，聊聊技術，因為之前都是一個ID，突然見到背后ID這個人，會有很多很多的問題，我認識最小的黑客只有13歲，最年長有40多歲了，但是最年長的接觸的還不是很多，我們接觸的圈子還是比較年輕的群體。

　　黑客宅男居多 大部分是兼職

　　主持人：黑客行業(yè)男女比例如何？

　　孟卓：男女比例非常失調(diào)的，很少有女孩子。

　　主持人：黑客的工作習慣和其他職業(yè)最大區(qū)別是什么？

　　孟卓：經(jīng)常熬夜，因為黑客研究一門技術，有時候會非常忘我，時間觀念是根本不存在的。

　　主持人：黑客的日常工作是什么？

　　孟卓：其實黑客這個詞大家會有一些誤解，就是認為黑客都是有惡意性目的的人，利用計算機這種技術去攻擊別人，其實黑客只是一種掌握了計算機攻防技術的人，只要掌握這種技術的人都可以成為一個黑客，一些大型互聯(lián)網(wǎng)公司的安全從業(yè)人員，他們每天工作就是尋找自己企業(yè)安全漏洞，杜絕安全隱患。

　　主持人：他們大多都有常規(guī)職位嗎？

　　孟卓：大部分都是有的，有的是在IT的企業(yè)，有些比如像銀行職員、收銀員、商場保安，還有我認識一位非常厲害的，他是生物學的博士。

　　鄔迪：我還見過一位送水工，一位黑客催我們幫他審漏洞，說他要出去送水，我們覺得開玩笑，結(jié)果后來他還是發(fā)一張照片，確實是在網(wǎng)吧邊上堆了很多桶的水。

　　主持人：一般如何向別人介紹你的工作？

　　孟卓：介紹的時候還真是有點困難，特別是很多人對網(wǎng)絡安全不是很了解，有些人聽完一些，我個人專業(yè)的描述之后，原來就是保安。有的黑客是善意的，他可能就是保護自己身邊的人，或者自己工作這家企業(yè)數(shù)據(jù)一些安全等等，他們就是在做這種事情。

　　主持人：人們對黑客的最大誤解是什么？

　　鄔迪：黑客是一個通稱，黑客是掌握攻防技術的人。另外，我們這種屬于白帽子，我們是做安全研究的，其實我們更多發(fā)現(xiàn)企業(yè)安全的問題，報告給企業(yè)，幫助企業(yè)和整個行業(yè)改善問題。

　　黑客分好壞 有黑產(chǎn)也有白帽子

　　黑客里面也分好黑客和壞黑客，壞就是利用漏洞去賺錢，也有好人，在中國被叫做叫白帽子。

　　主持人：套用在黑客這個群體上呢？

　　孟卓：黑客的群體上，像烏云的白帽子，發(fā)現(xiàn)漏洞的目的并不是想去利用它，攻擊它，而是希望幫助企業(yè)修復，而且這個邏輯也非常簡單。

　　孟卓：灰帽子，第一他們的技術非常高超，但是有的時候也在迷盲，要走哪一條的路。我們一直在說，如果說能光明正大的，賺非常多的錢，誰都不愿意做一些的低下、骯臟的黑錢。所以中間這種的灰色群體，他正好處在一個矛盾點，他既在當前可能無法得到一個非常好的工作，而且自身的家庭等等原因又需要很大的開銷。所以他們在中間又不希望走黑色的道路，確實有法律的責任，不是一個很好的結(jié)局，所以他們在中間是飄忽不定。

　　主持人：有白帽子是由黑帽子變過來的嗎？

　　鄔迪：但是其實如果做了黑帽子，我們覺得真正再轉(zhuǎn)回白帽子很難，因為它賺的錢是很快的，有的人，他今天還是騎個自行車，第二天開一個跑車，這是夸張一點的說法，但是那個錢賺的很快，他再從事一些工作，去上班，他這些人他回不去了。

　　張奧：能給我們舉兩個你們知道的案例。黑客一夜之間暴富的。

　　孟卓：這個是有的，黑客有自己的功能的圈子，我也是在有一個QQ群，然后跟這個朋友他可能恰好有這方面做黑色產(chǎn)業(yè)的黑帽子，他有一天突然發(fā)給我一張圖片，黑帽子在他空間上更新了一句話，這句話讓人看了觸目驚心，那個人他這么說，說最近終于找回狀態(tài)了，什么狀態(tài)是日入過萬的狀態(tài)。所以說可以想像在一些二三線城市，可能一個人半年的收入才過萬，像北上廣深一線的城市可能有些人一個月的收入才剛剛過萬，但是你再想一個人一天的收入就能過萬，對于一個人價值觀來說。

　　主持人：所以利益這么大，你們還能堅定下來做這個白帽子，您覺得這是一個怎樣的想法？

　　孟卓：這個第一出發(fā)點是自己和家人的角度去思考，因為這種事做的時候會有巨大的利益回報，但是一旦想到自己因為某一天因為做出一件事情，影響到自己影響到家人的話，想想還是挺恐怖的，雖然那個時候腰纏萬貫了，但是也沒有什么意義了。

　　黑客多半由于興趣

　　主持人：很多的年輕人還是對黑客充滿了好奇的，想成為一名黑客，到底具備哪些素質(zhì)？

　　孟卓：我所理解的黑客最簡單的素質(zhì)就是說，就是有一種勤于思考的心，這個怎么解釋，就是像互聯(lián)網(wǎng)一開始出來之后，就是很開放、很自由的，所有東西大家可以下載，但是時間慢慢推移之后，這個網(wǎng)絡變得商業(yè)化，很多人希望在上面盈利，所以互聯(lián)網(wǎng)變得封閉化了，所以有的時候一種想法，我想突破這種封閉。

　　鄔迪：我們覺得能成為一個技術比較好的人，更多人還是興趣，有一些人，我一個月給你幾萬塊錢，讓你去做黑客，最后他可能自己堅持不下去，你不給他錢，但有些人你可能不給他錢，他就是有興趣，他會沒命在這個興趣上去研究，反倒是這些人成長更快，走的很遠。

　　烏云曾多次遭遇企業(yè)威脅 還被大公司拔過網(wǎng)線

　　主持人：為什么要成立烏云網(wǎng)？

　　孟卓：因為當時我們幾個在企業(yè)做安全工作的小伙伴，就感覺現(xiàn)在的互聯(lián)網(wǎng)有很多弊端，有什么弊端呢，民間的安全運作非常多，他們的技術也非常強，然后就有一個問題，那個時代已經(jīng)有人在善意向企業(yè)報告問題，但是會發(fā)現(xiàn)很大的矛盾，民間的安全意識包括報道的寫發(fā)現(xiàn)漏洞沒有渠道，然后后來他們就會覺得可能走一個錯誤的方法，發(fā)在自己的博客上，這樣在未修復的情況下，很多人看到，可以進行攻擊。第二，有些人善意給企業(yè)報告這個安全問題，但是企業(yè)這邊，會有一個誤解，他會認為你找我的漏洞，你來找我是不是要挾我。

　　主持人：以前我聽說過，有些廠家有些企業(yè)，對這些報告發(fā)布者、爆料者進行過威脅。

　　孟卓：因為企業(yè)不理解這個行為，而且他會感覺認為你在找他的麻煩，在給它曝光一個大的問題，對它名稱甚至有損害，所以說這個時候?qū)Π酌弊討B(tài)度就會非常的很不友善，然后這個情況導致白帽子在某種情況下作出一些某種錯誤的行為，所以后來我們就感覺這個問題非常非常的大，因為我們當時有一些項工作，就是主動發(fā)現(xiàn)自己的漏洞怎么發(fā)現(xiàn)的，就是看各種各樣黑客的博客。會不會發(fā)現(xiàn)漏洞。

　　白帽子提交漏洞 烏云45天之后向公眾發(fā)布

　　烏云網(wǎng)2010年5月正式上線的，平臺上有將近5000個白帽子注冊了。很多人的訪問時間很長，一上去幾個小時，然后一頁一頁去發(fā)，仔細去看，停滯的時間特別長。每天白帽子會發(fā)現(xiàn)一些漏洞，上傳到烏云。

　　鄔迪：烏云做的是相當于初審，他們報漏洞，我們檢查一下這個信息的完整性，一些基本的內(nèi)容，當時我們初步覺得這個沒有太大問題的話，最終這個確認是由企業(yè)來確認的。我們有一個5天的確認期，企業(yè)可以來確認這個漏洞是否存在，你是忽略還是確認，5天過去，大概還有40多天給企業(yè)的修復期，修復期過去之后，我們才會給它公開的。

　　主持人：現(xiàn)在企業(yè)能夠接受你們這種模式或者認可這種形式嗎？

　　孟卓：隨著時間的推移慢慢有企業(yè)理解了，因為現(xiàn)在其實我們不知道這種攻擊對企業(yè)造成的攻擊非常多。然后白帽子出現(xiàn)其實有時候恰好真正解除企業(yè)的問題，一些安全漏洞，一些隱患等等，甚至企業(yè)很多年都沒有發(fā)現(xiàn)的問題，白帽子能指出，能解決掉，所以企業(yè)也發(fā)現(xiàn)，白帽子為自己的安全創(chuàng)造了價值。

　　主持人：現(xiàn)在有沒有企業(yè)主動來尋求和你們一起來合作。

　　鄔迪：不過剛才的合題我還得插一句，現(xiàn)在還有企業(yè)不理解這個事情，很多企業(yè)就說他們沒有這個問題，或者它修完以后，它說沒有，也會質(zhì)疑我們你們怎么這么做，包括發(fā)一些漏洞的時候，現(xiàn)在還是會有很多企業(yè)，我給你們多少錢，你們把這個刪了吧。但是這個我們基本上不會去，讓他們按照我們的正常的流程去走。

　　2011年短暫關閉后 烏云再度出發(fā)

　　烏云網(wǎng)運作過程當中，有一個年份不得不提，2011年，那一年我們看到很多人說你們的白帽子一炮打響，一炮而紅，是因為你們指出了很多比較大的這種像支付寶、京東、搜狗輸入這些的問題，同時在那一天年底12月31號，烏云網(wǎng)暫時關閉了網(wǎng)站，那一年到底經(jīng)歷了什么？

　　孟卓：現(xiàn)在互聯(lián)網(wǎng)有一種非常盛行的攻擊，也是非常難以解決的攻擊，叫“撞庫”，撞庫就是說很多的網(wǎng)站企業(yè)他們的很關鍵的會員的數(shù)據(jù)庫泄露了，這個會員數(shù)據(jù)庫包括什么，我們的姓名、身分證號、手機號、郵箱等等信息，然后烏云為什么在這一年，出了這么大事，就因為烏云把這個事情曝光。因為這個攻擊在安全圈子里面知道，可能已經(jīng)流傳很多年了，但是那一年太大了，已經(jīng)開始有把控不住的效果，有白帽子發(fā)現(xiàn)這個問題就上報了。為什么對我們影響非常大，因為也是那一年企業(yè)和用戶不了解烏云，當時這個問題一報告，引起非常大的轟動與反響，企業(yè)用戶會認為以為是烏云做的攻擊，把這個數(shù)據(jù)泄露來，但是其實大家對烏云的流程那個時候不了解。

　　主持人：所以你們在流程上做了一些改變嗎？

　　孟卓：沒有改變，而且說再次向社會說出我們到底是什么樣的一些流程，比如說像那一次的攻擊，在互聯(lián)網(wǎng)流傳了很久了，很多人在網(wǎng)隨隨便便就能下載到了，只不過有人覺得這個問題影響非常大，然后報告給我們，我們向社會進行預警，有這樣一種攻擊，大家的數(shù)據(jù)可能都已經(jīng)泄露了，然后這種泄露可能會對我們造成詐騙攻擊等等，甚至說到我們的信用卡、銀行或者各種各樣的互聯(lián)網(wǎng)賬號。

　　烏云堅持非盈利初衷 主要依靠國家補助

　　主持人：如何盈利？

　　鄔迪：目前烏云就是一個第三方的平臺。比如我收了一家企業(yè)的錢，我們是不是不去報這個企業(yè)的漏洞，會比較矛盾。我們希望白帽子自身能夠去報漏洞賺一些錢，使自己的生活變的更好，我們給企業(yè)提供一些安全服務，我們叫烏云公測。

　　主持人：現(xiàn)在有些企業(yè)，比較認可白帽子，補缺它的漏洞會給一些獎勵，但是好像中國對于白帽子獎勵都是非常小的獎勵，其實在美國這樣的獎勵是很正常的，其中微軟拿出20萬美元的現(xiàn)金，然后來獎勵給這樣的白帽子。白帽子們在乎這個嗎？

　　孟卓：其實有一些小獎勵，白帽子還是很在乎，是企業(yè)承認它作了正確的事情，有些人還拍照片，把家里的各種各樣公司獎勵的公仔擺了一床，其實那些東西加起來不過一、兩百塊錢。

　　主持人：在這樣情況之下，烏云網(wǎng)這些白帽子更多只能是兼職行為吧？

　　孟卓：對，目前是。

　　主持人：但是你們兩個是專職的，現(xiàn)在有一個矛盾在里面，你們又是一個非盈利的組織，給白帽子就是一個公仔，你們還有一個辦公室，養(yǎng)了20多個人，日常開銷怎么辦？

　　鄔迪：因為我們跟國家相關方面有合作，因為他們也要去收集中國互聯(lián)網(wǎng)一些漏洞，我們把這個提供給他們，這樣我們靠政府資金維持平臺日常運轉(zhuǎn)。

　　孟卓：因為像白帽子報的漏洞，除了像互聯(lián)網(wǎng)企業(yè)的，可能還有政府、金融、教育、保險一些航空等等行業(yè)的安全漏洞。像這種安全漏洞，我們會走國家互聯(lián)網(wǎng)中心這個渠道，進行下發(fā)通報。

　　主持人：現(xiàn)在這種模式你們將會堅持下去嗎？一直會走這種非盈利模式嗎？

　　孟卓：是的，一旦說我們以烏云來盈利的話，最終這個公平中立性會被打破。

　　張奧：現(xiàn)在有沒有企業(yè)來找你們，說你們能不能組織手下的這些，比較很厲害的黑客、白帽子，幫我專門去測我競爭對手的漏洞，幫我去做這種平臺？

　　鄔迪：我們肯定不會去做這樣的事情，如果他自身想去解決，解決自身的安全問題，沒有問題，可以組織一批人幫他做。

　　企業(yè)從回避漏洞到主動曝光

　　孟卓：現(xiàn)在烏云平臺上可見一些主流的互聯(lián)網(wǎng)企業(yè)已經(jīng)是600多家，但是還有很多地方級的這種，加起來近2000家企業(yè)了。

　　鄔迪：現(xiàn)在有一個比較好玩的趨勢，過去企業(yè)是不希望在烏云上被報漏洞的，但是現(xiàn)在有一個變化，有一些企業(yè)，它以前在烏云上沒有報漏洞，但是它自己過來注冊，說你們能不能幫我們?nèi)フ艺衣┒矗F(xiàn)在越來越多，上個月我們看到好幾個企業(yè)。希望白帽子幫助他們發(fā)現(xiàn)安全問題，因為企業(yè)它的安全觀念也在變化，過去有問題，趕緊把它蓋住，不要讓任何人知道，把它藏起來，但是現(xiàn)在他們覺得，你幫我發(fā)現(xiàn)一些問題，然后用戶會覺得我這個平臺更安全、更放心，更多用戶敢去用。

　　主持人：或者說以前企業(yè)自己要有一些網(wǎng)絡安全原因，是不是可以不用聘請了，跟你們合作就行了？

　　鄔迪：我們覺得很多在將來會成為一個趨勢，很多中小企業(yè)的話，安全人員現(xiàn)在身價越來越高了，一個好的安全人員，工作起來之后，40、50萬年薪是沒有問題的，特別是創(chuàng)業(yè)的企業(yè)，他不可能在業(yè)務沒有做成熟的時候，花這么多錢雇一個安全人員。