鉴于自己做的是得罪人的事,乌云从成立的第一天起就定位为介于白帽子和企业之间的非营利组织。2011年,刚成立一年的乌云网连续披露京东、支付宝、网易等著名互联网企业存在高危漏洞。此后,乌云更是指出支付宝2500万用户资料泄露、如家酒店开房信息泄露、腾讯7000万QQ群用户数据泄露等一系列安全问题,几乎战战告捷,一时间乌云名声大噪。
“我们是从一个小的技术圈子里发展起来的,所以最开始只关注大的互联网公司,后来很多白帽子会提交政府部门、大型央企网站的漏洞报告,但作为第三方机构,我们很难和这些机构协调,让他们提供改进信息。”正在方小顿苦于如何解决这一问题的当口,2011年底,工信部下属“国家信息安全漏洞共享平台”的负责人主动找上门来寻求合作,希望乌云能够共享数据信息,由该平台出面推动政府、央企改进系统。
“目前乌云的赞助方有两个:国家信息安全漏洞共享平台和广东省信息安全测评中心,他们会每年定期提供资金,基本能够覆盖我们的成本。”方小顿说,“而借助这两大平台,乌云就成为涵盖互联网公司、金融、大中型企业、政府机构网站的全行业漏洞入口。”
自称工程师不愿做商人
尽管拉来了赞助方,但2011年仍旧是乌云最困难的时期。2011年12月,乌云披露了国内知名技术社区CSDN的600余万用户资料被泄露的消息。数据公开后,很多人利用这一数据攻击其他企业,一时间乌云被广泛质疑。12月29日,乌云网宣布暂时关闭,称今后将选择性披露漏洞以降低影响。半个月之后,重新调整披露规则的乌云网恢复访问。
方小顿说,乌云在创立之初要花很多时间和企业、监管部门解释乌云的作用仅仅相当于安全预警,并不是黑客行为。截至目前,乌云共披露了近5万个网络安全漏洞,包括携程、腾讯、淘宝等知名企业在内的524家厂商在乌云注册。而乌云的技术团队——白帽子也已达到5000名,这些白帽黑客有各大公司的网络安全工程师,有IT从业人员,也有白领、律师甚至厨师。随着知名度的提高,越来越多的人开始接纳乌云。
不过,质疑乌云的声音也不少。黑客圈内有这样一种说法:黑客入侵网站盗取信息后,只要在乌云网向厂商提交漏洞,就可以洗白。在只有获得审核的白帽子才能进入的乌云网非公开论坛上,黑色产业、网赚、网络战争等话题都有专门的讨论板块,乌云一度被指为“中国最大的黑客培训基地”。
面对质疑,方小顿很淡然。“做网络安全的有一个最大的问题就是我们不知道对手在干什么,设立这些讨论区是为了研究黑帽子的技术手段,更好地阻击黑客。”方小顿说,“真正的黑客是不想洗白的,最好不要让任何人知道他做了什么,怎么还会主动通知企业。”
其实,从百度出来创办乌云,方小顿的收入降低不少。虽然暂时不考虑赚钱多少,但方小顿和他的团队还是对未来做了些许商业构想。“现在乌云在发现问题,提供免费的预警信息。未来围绕乌云平台,我们还可以往前走一步,把白帽子和企业联系起来,提供改代码、修复漏洞等解决方案,这部分服务是收费的。”
方小顿坦言,乌云本身绝不会变成一个营利性的安全技术中介,仍会延续在线的公益模式。“我觉得自己仍旧是一个技术员,不是商人。”
■名词解释·白帽黑客
白帽黑客指那些用自己的黑客技术来做“好事”的黑客们,这点和网络安全工程师的性质有点相同。通常,白帽黑客攻击他们自己的系统,或被聘请来攻击客户的系统以便进行安全审查。
□人物素描 现实边缘的理想主义者
初见方小顿是在IT企业聚集的中关村,长发、T恤、人字拖,看起来更像是文艺小青年,而不是黑客技术男。在百度搜索方小顿,传播最广的不是乌云,不是白帽黑客,而是他和李彦宏一起上湖南卫视《天天向上》节目时,给离开他的女朋友唱的那首有点走音的《一无所有》。
方小顿说,曾经自己对技术太过狂热,除了吃饭、睡觉都在网上钻研技术。现在执掌乌云,事务性的工作多了,技术放下不少,唯有仅剩的一点理想从没放下。方小顿的理想是,让网络安全问题更透明,企业能更重视安全,白帽子的工资能提高点儿。
不过,方小顿常说,现在的互联网行业环境不够好,想要实现这样的理想其实挺难。要知道,白帽子和黑帽子的收入差距就是每月收入一万和每天收入一万的差距。“当初做白帽黑客、去百度、做乌云自己都没想到,现在乌云和其他平台要怎么做也并没有完全想好。路是一步步沉淀出来的,不是想出来的,乌云现在就只管做好自己的事。”此时的方小顿又变成了务实的理工男。
>>谈困境
阻力主要来自BAT三巨头
京华时报:乌云这种漏洞披露模式企业认可吗?