乌云深谙此道,手中一万四千名白帽子,无疑是社区成立五年以来最值钱的“资产”。让这些白帽子坚守正义理想的同时,不至于“啼饥号寒”,也是乌云团队这几年的“规定动作”。
三年前,乌云团队搞出了一个“乌云众测”。
简单说来“乌云众测”就是用众包安全测试的方式给手下的白帽子“拉生意”。为每一个想要进行安全测试的企业选拔30名白帽子,手动进行渗透测试。脑洞大开的白帽子会采用各种“刁蛮”的姿势试图进入企业内部,然后为企业修复他们发现的漏洞。
客观来讲这个策略是成功的。几年来“乌云白帽子”的口碑不断积累,成为了很多人眼里的“金字招牌”。这就导致更多天才白帽子愿意“皈依”到乌云门下。2015年诸如“网易邮箱数据泄露”“携程用户数据泄露”“12306用户数据泄露”“百度全系安卓漏洞”等很多爆炸性的漏洞都是在乌云平台上首发预警的。和其他各式漏洞平台相比,乌云白帽子可谓是风头出尽,让“人多力量大”这句互联网时代的金句威力初显。
如果说“乌云众测”是别动小分队的话,那么乌云原班人马刚刚推出的“唐朝安全巡航”系统就算是“人民战争”了。
【唐朝安全巡航系统主界面】
唐朝巡航和乌云众测最大的区别就是采用了“人海战术+自动化”的策略。白帽子在系统中的主要功能就是提交“自动化监测漏洞插件”。说来简单,这个插件实际上是把白帽子手动寻找漏洞的方式用自动化的方式重现出来,这样白帽子就不用在不同的任务中重复同样的渗透过程了。插件一旦被系统选用,那么一旦企业运用这个插件搜寻到漏洞,它的作者白帽子就会获得一次分成。如果这个插件被普遍运用,那么白帽子就可以坐收“版税”,在夏威夷的阳光下一边看着草裙舞一边数钱了。
乌云创始人剑心把“唐朝”比作一个航空母舰,“围绕着企业的安全边界去巡航”。优点在于,这艘航母上的“舰载机”(漏洞插件)是会实时升级的。
用“攻击者”的思维来对企业安全进行测试,是“唐朝”让剑心引以为傲的特点。因为企业被利用的漏洞往往是低级而奇葩的。唐朝安全巡航产品总监 boooooom 向雷锋网介绍了几个奇葩但是屡屡出现的企业漏洞:
1、弱口令
“你的公司一定存在用自己的姓名+生日作为密码的人。”因为繁重的工作已经把员工累成狗,很多人面对复杂的内网密码,内心是拒绝的。没错,这个世界正是“加班不息,弱口令不止”的熊样。你会问:“你不知道我的用户名,一样无法爆破我的验证啊。”没关系,你的身边一定有叫做诸如“张伟”“王伟”“李伟”“张芳”“王芳”的同事。通过简单的社工库运用,就有很大几率爆破你的口令,从而让黑客进入你的内网进行漫游。
2、“好网站”Github
Github是最大的开源代码库,很多程序猿选择在上面分享自己编写的代码组件。黑客在为程序猿分享精神点赞的同时,也会顺便瞅一瞅他是否在代码里泄露了内网数据库的配置,或者干脆是企业内部邮箱的帐号密码。万达、步步高、唯品会等数不胜数的企业都倒在了这个无厘头的原因上。
3、“别人家”的漏洞
“CSDN的数据泄露跟我公司有什么关系呢?”关系就是:你的员工很可能用和CSDN同样的密码注册了你的企业邮箱。
根据乌云白帽子“紫霞仙子”(别幻想了,是个纯爷们)透露:
某在唐朝上提交漏洞插件的白帽子兄弟,第一个月分红有1000元,第二个月分红就上涨到了4000元。一个新的漏洞爆出来,提交插件的人都在争抢,几个小时之内就有四个类似插件提交。
【这就是传说中的紫霞仙子(感觉不会再爱白帽子了)】
由此看来,在“唐朝”运行初期漏洞插件的行情还是不错的。然而,也有白帽子表示了顾虑:一旦制作了漏洞扫描插件,就相当于把独门武功公诸于众。之后自己再用这套功夫在江湖上行走的时候,就没有那么好用了——因为别人花点钱就可以买到你写的武林秘籍。
这个问题的关键在于两点:
1、你的武林秘籍到底值多少钱?
2、你更在乎钱还是更在乎成就感?
这两个问题很难回答。也许为了实现“天下无贼”的梦想,白帽子从来都需要情怀吧。
不过乌云社区的合伙人邬迪表达了对白帽子的充分信心。他对雷锋网(公众号:雷锋网)表示,乌云还是很有情怀的,白帽子并不像有些人想象得那样惟利是图。乌云团队做这些项目的时候的首要考量是为企业提供价值,然后才是让白帽子赚到合理的钱。
