329
鄔迪:烏雲完成了使命 | 烏雲回憶錄(一)
《烏雲回憶錄》,是科技自媒體淺黑科技出品的專題。
2016年漏洞平台烏雲關停。時隔一年,我試圖走訪那些和烏雲相關的人,了解他們對網絡安全、白帽子黑客,以及這個世界的看法。願這些記錄可以引發更多人的思考。
每個人都有自己的立場和理由,他們的憤怒、恐懼和自私本就情有可原。我隻祈禱自己有一雙忠誠的眼睛,注腳這個世界的美好或荒涼。
本文是對前烏雲合夥人鄔迪的采訪,是為《烏雲回憶錄》第一篇。
鄔迪:烏雲完成了使命
口述 | 鄔迪 文 | 史中
烏雲完成了它的使命。
鄔迪說。
鄔迪,前漏洞平台“烏雲”合夥人,如今他加入了一家安全創業公司。
2016年7月20日,烏雲頁麵突然顯示“升級公告”,關閉至今。2017年11月12日,距離“烏雲事件”480天,我坐在鄔迪對麵。這個故事的另一個主人公是方小頓,人稱劍心,“烏雲”創始人。和鄔迪一樣,方小頓也在等待烏雲事件最終的結果。
在一家咖啡館裏,鄔迪和我講了一些被塵封的往事:
(一)
我認識方小頓,是在2012年。
那是我在老牌 IT 公司深信服工作的第7年。
有同事找到我說,有個叫做“烏雲”的媒體曝光了我們產品的一個漏洞。作為品牌總監,我得想辦法“平事兒”。
我設法找到了烏雲聯係人的電話,電話那頭傳來了方小頓沙啞的聲音。
他說,烏雲不是媒體,而是漏洞平台。漏洞是民間的“白帽子黑客”提交的,把漏洞公開就是為了讓中國的企業都能夠重視網絡安全。我說,太感謝了,我們已經重視了,並且修複了漏洞,是否有可能把帖子刪掉呢?他說,這個恐怕沒可能。隻要發到烏雲網站上的漏洞,就沒有辦法刪除。每個帖子,都是一盞警示燈,燈亮得足夠多,企業才會足夠重視自己的安全建設。
我有點奇怪,這個人的話語邏輯裏不包含“錢”。於是我搜索了“方小頓”,知道他是一個資深的安全專家。曾經供職百度,還和李彥宏一起上過《天天向上》,唱了一首慘不忍睹的歌。除此之外,別無其他。
幾個星期以後,我北上北京,專門約他喝咖啡。
希格瑪大廈的硬盤咖啡,我見到了他。長發及肩,不修邊幅,牛仔褲、舊短袖、夾板拖鞋,聲調不高但邏輯清楚。挺黑客的。
我再一次提出刪帖的要求,暗示可以出些錢,他拒絕了。做了這麼多年市場,我能聽出來一個人是否真的不想要錢。於是我死心了,反倒對“烏雲”有了更多的興趣。
方小頓說,離開百度時他的級別是 T7,如果繼續待下去還能更高,這個級別意味著衣食無憂前程似錦。但他堅信自己另有使命。他說安全圈太封閉了,這麼多互聯網公司漏洞百出,個人信息不斷被黑客竊取,電信詐騙、網絡攻擊已經到了令人發指的地步。然而公眾卻沒有渠道得知真相,任由自己的隱私權利被販賣和侵害。需要有人把真相說出來,他深信做這件事的人應該是自己。
他設想的模式是:
鼓勵“白帽子黑客”——民間對網絡安全技術感興趣的技術人員——提交各個企業的漏洞,烏雲審核之後無條件公開。白帽子在這個平台上獲得認可、技術交流和榮譽感,企業在這裏獲得自己的漏洞詳情和危機感,鞭策自己提高安全性。
這就是後來著名的“烏雲模式”。這個模式讓當時的我熱血沸騰,當然後來也改寫了我們所有人的命運。
兩年以後,我選擇加入烏雲。另一位創始人“瘋狗”跟我回憶,我認識方小頓的2012年烏雲已經成立三年,那時隻有兩三個人,所有人住在民宅裏,不僅不領工資,而且都是把自己的積蓄在往裏填。他們相信自己在做一件偉大的事。
(二)
自從認識了方小頓,每次去北京,我都會約他聊聊。
特別是當我發現,我們的很多同行,甚至是安全能力很強的 BAT,都在烏雲上被“白帽子”爆出過漏洞,公司從上到下也開始放下對烏雲敵意,甚至我們的技術人員也會在烏雲上查看同類產品被爆出什麼漏洞,然後趕快檢查自家的產品有沒有問題。
2013年,深信服要推一個重磅產品:下一代防火牆。
在推出之前,本著對用戶負責的態度,我們希望自己先對產品做一個深度的安全測試。於是我們找到了一家廣東省內的安全公司,他們按照“Check List”逐項作了檢查,結論是產品沒有漏洞,很安全。
雖然有這個結果,但貿然發布產品我們覺得還是有些草率,於是我想起了方小頓。我問他烏雲是否能做“安全測試”這種工作。
他想到一個方法,我們把防火牆映射在一個網絡地址上,烏雲組織天南海北的“白帽子”在網上對這個產品發起測試。發現漏洞,我們就付費給白帽子。
這就是後來烏雲推出的第一款產品“烏雲眾測”。深信服是它的第一個客戶。那次眾測,白帽子找到了產品的十多個高中危漏洞,和之前的“0漏洞報告”一對比,我們挺震驚的。
2014年4月,方小頓突然給我發來了一些截圖,是一份測試報告,來自“烏雲眾測”。雖然上麵的公司名稱打了碼,但我能看到眾測給這家公司找到了上百個安全漏洞。
在QQ上,他問我,現在烏雲眾測做得很好,團隊還計劃做新產品,願不願意來烏雲?
當時,我挺心動的。我可能是一個理想主義者,一直迷戀一種體驗:在早期加入一家偉大的公司,和大家一起改變行業,創造曆史。
以當時我對“烏雲模式”的判斷,還有對“烏雲眾測”的了解,我覺得烏雲未來是一定能夠被寫進中國網絡安全曆史的。
隻不過,我當時已經在深圳成家,按照世俗的眼光看,該有的也都有了,原本沒有任何換工作的想法。
我住的小區蓋在一座山上,收到邀請的那一個月,每天7點吃完飯後,我就到山上去散步,有時自己,有時和妻子一起,思考自己的選擇,每天直到快到10點才回家。
2014年的北京霧霾肆虐,我很抵觸。不僅如此,如果加入烏雲,股票歸零,工資減半,獎金全無。我記得在最糾結的時候,我妻子突然轉過身對我說:錢什麼時候都可以賺,但一生之中尋找理想的機會並不常有。現在閉上眼,她當時的眼神就浮現在麵前。
最後我決定,用手中的這一切,換烏雲的未來。
但我不覺得父母可以理解我的選擇。為了讓父母不擔心,我說深信服在北京投資了一家公司叫“烏雲”,我被派駐到那裏負責管理。
(三)
正式上班第一天,鄔迪才第一次走進烏雲的辦公室。
那時候烏雲剛剛搬到上地,嘉華大廈。這間辦公室的上一任主人是“火幣網”。除了劍心,瘋狗,瞌睡龍,鄔迪這幾個合夥人老一點,是八零後,其他十來個人都是九零後。
鄔迪回憶,有人十一點來,有人下午才來,有點散漫。不過每個人都是絕頂高手,張口閉口都是技術,午飯時都沒人討論其他話題。他們熱愛安全,熱愛烏雲所作的事情,並且對所有試圖遮蓋或掩飾安全問題的行為表示不齒。他們是一群理想主義者。
“你有沒有想過,正是理想主義才讓烏雲被關?”我問。
“是的。”他想了想,“但現實主義者不會做烏雲。”
也正是在那個時候,他開始認真地了解“白帽子”這個群體。
黑客本身就是反叛精神的載體,白帽子也是這樣一群特殊的技術群體。很多白帽子黑客都是高中畢業、大學肄業,諸如此類。他們當中相當一部分不滿學校教育,自學計算機知識。鄔迪覺得這些人中“鬼才”居多,但社會並沒有給他們足夠的空間。
以前,因為學曆的問題,很多白帽子很難跨進大公司的門檻。
但有了烏雲以後,他們可以在上麵提交漏洞,獲得社區和公眾的注意,同時證明自己的技術能力,通過這些在一家大公司獲得一份體麵的工作和不菲的收入。麵對黑產的誘惑,他們可以更堅決地說不。也許烏雲讓這個群體從此遠離了網絡犯罪,給他們一種新的人生可能。
鄔迪回憶。
但同時,在這些白帽子裏分化出了另一個更為特殊的群體。他們在烏雲體係裏成為了“核心白帽子”。
這些核心白帽子往往能夠“以一敵百”,發現其他白帽子無法發現的巨大漏洞,這些漏洞曝光出來,甚至可以在輿論中造成軒然大波,例如,2014年3月,烏雲突然曝光攜程網泄露公民信用卡信息;2015年,烏雲曝光12306大量乘客信息泄露。這些曝光都直接推動了網絡安全的曆史進程。
根據鄔迪的觀察,核心白帽子和普通白帽子有很大的區別。他們往往是高知,有的是博士畢業,有一份工資很高的工作,但生活很簡樸甚至無趣。挖漏洞更多出於愛好。比起錢來,他們更在乎自己“天下無賊”的夢想。
接連曝光了一些重要的漏洞之後,鄔迪對這些核心白帽子從好奇轉變成了敬佩。他依然能回憶起一些故事:
白帽子A,測試了特斯拉的網站,本來預定一台 Model S 電動汽車需要網上支付30萬的定金,而他通過漏洞,隻需要1塊錢就可以達到預付30萬的效果。
他把漏洞提交給特斯拉之後,特斯拉為了表彰他的貢獻,告訴他這1塊錢就認定為30萬,隻要他繳納餘款就能提走一輛車。他家境不錯,買特斯拉不成問題,但他拒絕了。
他說自己這麼做隻是為了找到漏洞,不是為了這份獎勵。
無論漏洞多麼嚴重,烏雲都會強製公開。態度和當年方小頓對待深信服的鄔迪別無二致。
這些“烏雲核心白帽子”攪動了整個中國互聯網,恨和愛由此開始交織。有關“烏雲模式”的討論也甚囂塵上。保守主義者認為“進步需要時間”,激進主義者認為“矯枉必須過正”。
身處白帽子群體,鄔迪雖然不搞黑客技術,也能經常接到黑產發來的郵件。有的郵件裏言辭閃躲,留下一個QQ號,出於好奇他會去搜索,一看簽名裏麵全是“黑話”,就知道這是個搞黑產的。有人甚至直接打來電話,說你幫我搞一個網站,先給你打過去100萬,事成之後再給你200萬。
“那些白帽子同事接到的郵件和電話就更多了。他們經常把黑產和他們對話的截圖發到公司的群裏,每一單都值一輛車,而對他們的技術水平來說,賺這些錢隻需要動動手指。但大家都當成笑話說,沒人真去接單。雖然他們有的人想買房,當時確實很缺錢。”他說。
“你怎麼確定他們沒有心動去做了黑產?”我問。
“因為直到最後那些同事還在租房,還在找我們借錢。”他說。
除了要抵抗金錢的誘惑,白帽子們還要應對外界的各種質疑甚至威脅。
曾經有很知名的巨頭企業給烏雲內部的工作人員打電話,在電話裏一字不差的說出了這名同事的姓名、身份證號和家庭住址,暗示如果烏雲上再出現他們的漏洞就會采取“必要的行動”。如果說不害怕那是假話。但一夜過後,第二天上班他仍然該怎麼做就怎麼做。
鄔迪說。
依靠這樣一群散發著理想主義光芒的白帽子,那幾年烏雲毫不意外地進入了爆發期,因為不斷曝光網絡的黑暗陰影而屢上頭條,被大眾所知。方小頓成為某種黑客精神的旗手。白帽子們雖然散落在互聯網各個地方,擁有不同的教育背景,從事著不同的主業,但都同時聚集在這麵旗幟下。他們之中有些鐵粉,紛紛選擇加入了烏雲,成為了幾十名員工之一,為之後的產品“烏雲眾測”和“Tangscan”貢獻力量。
我問鄔迪,現在他究竟怎麼看待白帽子這個群體。
他想了想,把中國黑客曆史分為三個階段:
黑客時代:從上世紀90年代到10年之前,沒有純粹的白帽子和黑帽子之分。黑客可能會給企業提交漏洞,但是沒有可預期的回報,他們可能也會做黑產,利用自己的技術犯罪。同一個人也許有黑白兩個身份,沒有清晰的邊界。
前白帽時代:從2010年烏雲建立開始,黑客漸漸分化成了兩個群體:白帽子和黑帽子。代表理想主義情懷的白帽子在發現企業漏洞之後,提交到烏雲或其他平台,獲得聲望;而代表現實主義的黑帽子發現漏洞之後,賣給地下黑產,和這個世界玩捉迷藏。
後白帽時代:2016年“世紀佳緣案”和“烏雲事件”之後,白帽子群體分化,有些白帽子選擇了“授權測試”的平台,完全守法,不再公開漏洞。有些白帽子轉而從事其他職業,有一部分邊緣白帽子轉入黑產,進入地下。目前來看,他們從公眾的視野裏消失了。
(四)
2016年6月,就在“烏雲事件”的一個月前,方小頓在QQ上給我發來信息:“我想把烏雲主站關掉。”
我感到錯愕。
我猜他一定知道了什麼,或者至少感覺到了什麼,但到最後他都沒有和我說。
我記得很清楚,我抬起頭,看著屋子外麵坐著的一群年輕人。他們是因為我們,因為烏雲,或者說因為某種理想才坐在這裏。“關掉烏雲可以,但他們怎麼辦?”我覺得我們對於這些單純又有理想的九零後負有不可推卸的責任。
但一個月後發生的事情證明我們不僅不是救世主,也許還正好相反。
我總在想,如果我們能夠不那麼自以為是,不那麼悲天憫人,早點關閉烏雲,事情可能會有所不同。但,沒有人是神。
後來有人問我,你恨不恨方小頓。我說不恨,他已經盡力了,如果我是他,也許做得不如他好。當然如果有機會,我們應該和相關部門有更多的溝通。
2016年7月初,烏雲大會召開,我們專門攢了一個論壇,拉來了白帽子、網絡取證專家、公安機關領導,探討“漏洞機製”這件事。我記得方小頓在台上,不遺餘力地為“烏雲模式”站台。但當時他內心究竟在湧動著怎樣的情緒,可能誰都無法了解。
10天後,發生了安全圈甚至大半個互聯網圈都知道的事情。
(六)
時隔很久,我才第一次打開手機。
那是一台 iPhone,性能不錯。但手機就像死機了一樣,震了幾十分鍾。熟悉的人,不熟悉的人,媒體、客戶、很久不聯係的朋友,他們發來的微信還沒來得及閃現,就被其他人的消息頂到了後麵。他們關心地詢問我的近況,同時小心地避開我的傷口。未接電話的提醒短信一個接一個,仿佛沒有休止的一刻。
我告訴父母,我從未想過要去做一件壞事,但結果也許不盡如人意。
他們說,你不用說了,我們了解自己的兒子。你回來就好。
那幾個月,我發誓要加入一個大公司。這樣也許今後的人生就不會有這麼多風險,就像當年方小頓如果不離開百度,他的生命將會平穩安定,將會衣食無憂,後麵發生的一切都不過是一場虛幻的夢。
隨後也確實有挺多大公司向我伸出了橄欖枝,我準備挑選其中一家。
然而,有一天半夜,我突然醒來。我好像看到方小頓走到我麵前。我好像看到了烏雲的兄弟姐妹,看到了那些為了理想不怕威脅不計回報的白帽子。他們輕聲問我,是不是還像當年一樣渴望親自參與一次偉大的創業,是不是還像當年一樣夢想做一個可以被銘記的人。我坐起身來看向窗外,夜色如海,上帝在沉默。
幾秒種後,我想通了,像個嬰兒一樣沉沉睡去。那天晚上,我做了此生最美的夢。
我拒絕了大公司的邀請,最終又加入了一家網絡安全創業公司。我猜,對於理想主義者來說,有些事情是注定的,堅硬的,赴湯蹈火的,無法更改的。
烏雲出事後很多人問我,辭掉深信服來烏雲,是不是挺後悔的?你可能不信,我並不後悔。
我在電話裏告訴身在老家的父親,說我還是決定加入一家創業公司。父親說,我支持你,因為我早就知道,我的兒子無論經曆過什麼,都能有勇氣重頭再來。
他說,我為你感到驕傲。
(七)
鄔迪疊好回憶,望向窗外。
外麵天色湛藍,像是舒展了半生的愁眉。
“烏雲完成了它的使命,是時候說再見了。”他說。
我順著他的目光極目遠眺,萬裏無雲。
“為什麼?”我問。
之前很長時間,我都以為是烏雲創造了曆史。但現在我知道,是曆史選擇了烏雲。
那個時代互聯網爆炸式發展,而網絡安全沒人重視。網絡犯罪行為越來越多,但沒人告訴大眾,他們究竟是如何被侵害的。麵對那個墜落的世界,需要有人站出來——這個喊出皇帝新衣的小孩,恰好是我們。
人們總在爭論烏雲的模式是否極端、披露漏洞是否要授權,但在那個時代裏,我們別無選擇。
你明白嗎,別無選擇。
他盯著我,說。
“那個時代還在嗎?”
“不在了。烏雲隨著這個時代開始,也隨著這個時代結束了。”
“那個時代,還有遺憾嗎?”
“我們讓網絡安全問題從封閉的小群體走向了大眾的視野,讓整個社會開始重視安全。烏雲沒有遺憾。”
“原來那些烏雲的白帽子,現在在哪裏?”
“有一部分移民海外了,從此沒了音信。還有些人暫時放棄了安全,成為一名普通的程序員。4月份時我見到了一位核心白帽子B,他曾依靠一己之力改變了中國網絡安全的進程。如今他在一家大企業做程序員,白天坐在西二旗的格子裏寫代碼,晚上回到回龍觀的格子裏寫代碼。”
“不挖漏洞了嗎?”
“不挖了。”
“你和他說什麼了嗎?”
“我說我感到悲涼。”
“白帽子們都離開了嗎?”
“我更願意相信,他們在等待。”
“等待什麼?”
“當時代需要時,他們勇敢地站了出來。當潮水退去時,他們等待新的使命。他們等待被拋棄或被懷念,等待這個世界告訴他們善惡和對錯。”
最後更新:2017-11-14 09:04:03