正因如此所有白帽子黑客都是站在了理想和现实边缘。方小顿认为,白帽子黑客必须认清自己的核心诉求不一样,在理想和现实中更加重视个人的成长。他同时指 出,以黑帽子黑客赚钱的方式往往会令人变得浮躁,这种心态会不利于自身对技术的学习,从个人技术发展角度讲,这并不是一件好事。
离开百度的方小顿,为了自己的理想创立了乌云。2011年12月21日,乌云披露了国内知名技术社区CSDN的600余万用户资料被泄露。此后又陆续有多玩800万用户信息、7K7K小游戏的2000万用户资料,以及人人网、U9网、百合网、开心网、天涯、世纪佳缘等网站数据库也通过乌云网漏洞发布平台遭遇不同程度的外泄。乌云也随之快速成长为一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,同时它也是服务于互联网IT人士技术开发的互动平台。
在此后的这几年,乌云平台不断发布在各个网站发现的漏洞,并且快速成长为一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,同时它也是服务于互联网IT人士技术开发的互动平台。
最新的曝光是乌云核心白帽子“猪猪侠”登出的“携程某分站源代码包可直接下载(涉及数据库配置和支付接口信息)”以及“携程安全支付日志可遍历下载 导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)”的两条信息。
携程漏洞曝光后,引起极大反响,携程股价一度下跌近10%。乌云再次以强势的姿态冲进人们的视野,并且一次次带给人们更大的震撼。
方小顿指出,目前安全行业环境不够好,与互联网提倡的开放和分享走得很远,不利于整个社区的成长和行业的发展。他透露,乌云在把部分厂商的漏洞公开后,会受到来自厂商的一些报复,最严重的乌云服务器还被拔过线。
他认为,目前信息安全的问题是行业环境的问题,不够公开不够透明的问题导致很难像其他行业一样被人了解和理解,而互联网安全从业者在不了解和不理解的前提下很难将事情做好。
“如果我家里没有上锁,可以说是我自己的事情,无关他人。但如果你是家银行,你管理的东西都不是你的,那就有必要也有义务让用户知道你管理的真实情况。”方小顿解释道,公开漏洞信息另一方面的重要原因是,让同类企业引以为戒,并节省整个行业的安全成本。
他进一步表示,乌云将坚持开放和分享的核心运营思路,通过信息的流动带来社区的活跃,在积累了大量的安全问题基础数据之后,希望能够与白帽子一起除发现问题之后还能为企业解决和规避安全问题。
目前,乌云仍属于一个非盈利组织,网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。接近5000人的白帽子黑客全部为乌云义务提供服务。
方小顿认为,互联网安全行业应该受到更高的重视,还需要像国家、企业、媒体以及第三方平台等参与进来。“来自各行各业的人士会从不同的角度分析判断网络安 全问题,从而会更容易发现漏洞,减少损失;另一方面,企业的参与也能够从一定程度上改善白帽子黑客的生活质量,对其也是一种正确方向的引导。”
录等用户数据都在云端,一旦出了安全问题,还是在云服务器中存在漏洞隐患。”
从目前来看,苹果生态系统的安全性是被普遍认可的。由于iOS系统的封闭性,以及App Store的自有生态体系下,出现任何安全问题,苹果都会快速做出合理的决策反应,从而保证其品牌利益。
而在安全方面经常被诟病的Android设备,在方小顿看来与苹果的安全水平也属同一级别。他解释道,目前品牌Android设备的开放属于一种相对的开 放,终端厂商为了自己的品牌利益,会对自己产品中内置应用做出严格的审核,对待自己品牌的应用分发市场也会采取相同的态度,但对于第三方应用市场的产品, 终端厂商还是无法进行审查的。
方小顿认为,基于云时代的互联网安全状况,企业在一定程度上应把数据的控制权交还给用户,给用户一个选择权,让用户有权利删除记录,以保障这部分数据的安 全性。另一方面,国家或第三方监管机构加强对终端公司的把控,防止企业在用户不知情的情况下收集用户电脑里的数据、记录,甚至从云端下发策略。
(采写:何冉 制作:王上 coco)