方小顿:应该说大部分企业还是很认可的。但也有企业希望大家不要在意安全,放心的用他们的软件,放心的把钱放在他们的账户上,而我们做的事情是希望大家重视安全,因此这种不认可是有的。
京华时报:这种不认可多吗?
方小顿:这种阻力主要来源于BAT(百度、阿里巴巴、腾讯)。现在很多企业对发现漏洞的人会提供奖励或奖金,他们的奖金一部分肯定是解决问题,但更多的目的是不希望公众知道有安全问题。我们曝出来的问题他们都没有奖励过,只奖励把问题交给他们、私底下解决的人。
京华时报:既然这样,BAT的人有私下找你们吗?
方小顿:最开始找过,我们没有同意,因为我们定的规则就是不管基于什么原因一定要对用户公开。后来他们改变了策略,就是重金奖励把漏洞问题报给他们的工程师,这个漏洞就对用户封闭了。这里面很好玩。
京华时报:这样是否会给乌云带来一些冲击?
方小顿:会有,但是整个行业现在越来越重视安全了,我们也在想怎么通过更好的方式和BAT对抗。因为只有公众了解漏洞和安全问题,整个行业的动力才会存在,企业才会愿意将资金更多地投入在安全领域,白帽子的生存状态、公众的信息安全都能得到更好保障。以前大家对安全不重视,企业不投入,白帽子的待遇不好,为了生活就会有更多人做黑色产业,我们希望改变这种循环,让企业在面对安全问题的时候信息更透明。
>>谈炒作
有三类人对我们最不满意
京华时报:有人质疑乌云的漏洞披露是为抓眼球的“标题党”,乌云是如何进行内部监管的?
方小顿:我们是特别注意标题的,现在我们有3个人专门负责白帽子们提交上来的漏洞报告的审核和客观化处理。但是有一个矛盾是处理不了的,最近有一个案例,阿里巴巴认为某一个漏洞危险级别很低,但白帽子看了以后觉得不是这么回事,他就把这个问题拿去演示了一下,发现这个问题的危险等级是高。对企业来说肯定是影响越小越好,但对于白帽子来说是越真实越好,这样我们就容易被别人说成是“标题党”。但是45天之后,我们会把漏洞细节全部公开出来,到时候事实摆在这儿,客观与否大家来评判。
京华时报:还有一种质疑认为,乌云很会炒作自己,您怎么看待这种声音?
方小顿:这些声音都来的很蹊跷,企业一定会这么说。阿里、腾讯的公关很强大,这种声音没办法阻止。做什么事都会有人不满意,我们只能做好自己的事。我想说的是,有三类人对我们最不满意:一是希望用户不要重视安全的大企业;第二就是黑色产业,我们直接阻断了很多黑色产业链;第三就是希望通过信息封闭来谋利的企业,例如一些安全公司以前会通过漏洞来恐吓用户,我们公开全部信息,对他们不利。
>>谈奖励
企业给白帽子奖励有监管
京华时报:白帽子告知企业系统漏洞后,很多企业会给奖励对吗?
方小顿:我们是非盈利组织,还是希望做个桥,现在很多企业对白帽子是非常友好的。最近摩登天空音乐节,我们曝出了他们的一个漏洞,主办方愿意出30张门票奖励白帽子。我们只会和对用户知道安全问题持敌视态度的人产生矛盾。
京华时报:这些人就是BAT?怎么平衡?
方小顿:网络社区的方式和商业的方式还是不一样,如果我们是盈利机构那是没办法平衡的。所以乌云和BAT并不是对立的,我们现在也在尝试和他们的高层沟通,但我想还需要很长的时间。
京华时报:企业给的奖励是否有管理机制?
方小顿:通常我们会让企业和白帽子直接联系,给他们寄小礼品。工信部的赞助会定期给一些小奖品,定期可能会出一些书,这些我们都有监管。
>>谈安全
目前国内网络安全才及格
京华时报:您认为国内的网络安全处在什么水平?