方小顿非盈利组织乌云漏洞报告平台创始人。乌云(wooyun)是一个位于厂商和安全研究者之间的安全问题反馈平台,用户可以在线提交发现的网站安全漏洞,企业用户也可通过该平台获知自己网站的漏报。

十二万个漏洞

2015-07-06北京
发现微信的一个漏洞,我可以一天给自己刷100万,也可以选择把它报告给腾讯,然后修复它。后面这种人,也是在我们平台上玩的这种人,叫白帽子。这些人很特别,他的整个思维,他看问题的角度,全部是黑客角度。
  • 2980
  • 13

已有13条评论

加载中...
分享到微信 如果您需要分享到微信,请用微信扫一扫,扫描下方二维码,再进行分享
查看完整演讲稿
TOP
© 2014 一席. 京ICP备13001689号-1
Τ¸Τ 您还没有登录哦 登录后才能使用喜爱、评论和收藏的功能 请在导航栏处登录或注册 感谢! 关闭
oops,这里有点问题 关闭

十二万个漏洞

方小顿 2015-07-06

在开始之前,跟大家先讲一个故事。我讲一下发生在今年一月份的事情。


一月份大家都在玩微信。快过年了,大家都在群里抢红包,有个小伙子他也抢红包,红包谁都抢,大家特别喜欢这个,但是那个人,他可能比大家会多想一点,我能不能抢别人的红包啊,如果我能抢别人的红包,那这个抢起来就省事很多了。


他开始看那个微信本身的一套机制,然后找到里面一个问题,尝试了八百多次,抢到了两百多个红包,价值大概200多块钱吧。尽管也不多,但是他接着算一笔账,我一分钟抢200多块钱,这还是在白天,如果我在晚上,我在过年的时候,我把程序往电脑上一挂,这比炒股肯定好多了。按照正常人的思维一定会这么做,然后接下来我们就租个系统,然后我去写个程序就刷,然后,等着我日薪百万吧,这个级别,正常人的思维是可以这样。


然后这个人后来干了什么事情呢?他把这个漏洞通过我们的一个网站,我们网站叫乌云,然后通过我们这个网站报告给腾讯,腾讯大概一天修复了这个问题。这个问题在一月份报告的,很高兴在过年之前它把问题修复了。然后大概过了两个多月,整个问题修复之后,我们在我们平台上有一个公开,公开之后,我们所有人对这个问题有一个讨论。有几个人在这里边可能代表了几种声音,第一种就是说,有些程序员,我没想到说写一个红包这样的系统还能带来这么大的危害,那我下次我要注意,这是一些人的声音。另外一种声音说,我从来不知道抢红包能把我的钱抢到别人那儿,我之前两个红包没抢到,是不是就是被别人抢了?这是一种声音。然后还有一些人,可能另外对于一些做安全的,就是另外的一些黑客想,原来我可以在这样的地方,进行这样的尝试,那下次我可以在这些地方多思考一下,我能发现更多的问题。


这个就是整个一个红包的事情,这是一个真实的事情。在我们平台上,这样一个很典型的问题,那这样的问题从2010年到现在,2015年,这么长的时间,在我们这样的平台上,每天都在发生,到今天为止已经发生了12万次。我们十二万个问题就是通过这样的方式进行处理,也帮助很多人去避免这样的问题,帮助很多人的成长,然后参与的人真正来做这个事情,帮助这些企业解决问题的人有多少个?有一万个。


我给大家介绍的就是我们在做的一件事情,就是这样一件事情。刚才我们说,发现腾讯的微信的一个漏洞,当然我可以一天给自己刷100万,我也可以选择把它报告给腾讯,然后修复。对于后面这一种人,也是在我们平台上玩的这种人,我们给他一个定义,叫白帽子。但你看这些人很特别,他的整个思维,他看问题的角度,全部是黑客角度。当然很多人他不太理解白帽子,为什么叫白帽子这个概念,大家如果看过很多美国牛仔的西部片,里面就可以看到,那个好的人贴一个标签,然后戴一个白色的帽子,那不用看,主角,永远死不了,他肯定是好人。另外一个人呢,往往是坏人,黑帽子,最后一定会挂。


但是他们的能力都是很强。实际上我们就借鉴了这么一个概念,把这些拥有很强的黑客技术,但他愿意用来给企业去做贡献,能做好事的这些黑客,我们叫他白帽子,其他人我们都可能叫黑帽子。这只是做一个简单的区别,而实际上,到现在今天为止,我们也通过这样的方式,号召了1万多个白帽子参与到我们这样的群体,给企业发现很多的问题。


然后很多人很好奇就会问,为什么会想到做这样的一个平台,来做这样的一件事情?其实这个跟我个人的经历也是有关系的。我大学学的是化学专业,这个专业很无聊的,每天就是坐在实验室,瓶瓶罐罐的,而且那个东西搞得我很容易掉头发,然后我们看了就特别不想学,那一些人就选择去玩游戏。当时流行玩《传奇》,很多人都玩那个游戏。对于我们来说的话,我们只是换了一种方式去玩,而且我发现玩的更好玩,更有意思,就是黑客的技术。


黑客技术是特别迷人的,有兴趣的可以回去看一下,你可以想象,自己面对的是一个系统,是一个人造的系统,你们学校的教务处对你来说是个人造的系统,包括微信的红包的机制,对你来说是一个人造的系统。你想象自己在里面成为上帝的这种感觉,改成绩什么的。很多人会改,但是我没有,但是这种感觉是很迷人,它比你打《传奇》 爆boss那个感觉来得更爽。


我们大学的时候基本上就没有正经学习自己的专业,当然我大学也不是什么好大学,是非211,非重点,然后非重点里面的非重点专业,这么一个没有前途的学校,但我们当时的确就是说为了好玩,在大学有什么可以做的,谈恋爱又不行,然后就选择做这样的一个事情。反正也的确很好玩,然后我们就参与进去。


我大学毕业之后,一个机缘巧合的机会找了一个工作。大学毕业其实大家都不懂的,但是我们正好是做了一份跟网络安全相关的工作,那就做呗。刚过来就像一个普通人一样做,后来做一段时间之后,我们再跳槽,再接着做。但后来做着做着发现,自己会问自己一个问题。我不知道大家所在的行业是什么样,反正我们那个行业就是不够好,跟我理想的差别太大了,我相信大家应该有些人也有这个想法,按理说黑客这么高大上,改变世界,大家所有人都很重视安全问题,我们是网络里面的神,大家都会自己这么去想,但实际上你发现,你到一个企业里面去,你就是一个救火的工程师,天天这儿出安全问题了,你来堵一下,那边出安全问题了,堵一下,就给大家做这些事情。


然后我们就想,当然最开始是想不明白该怎么做的,我相信很多人在自己的行业里面也会遇到行业里特有的一些问题,这个问题可能短时间不是大家自己能解决的。我们当时也遇到这样的情况,我们就想怎么去解决。


最开始其实是没有什么答案的,每天还是玩,然后听听摇滚,二手玫瑰这样的。但是玩到一定时候你会觉得,这个人吧,他就不能多想,他就应该每天干活,就不能给他留太多时间一直想。我一想,太没意思了,这个还不如回去卖水果呢。因为我的身边的确有好多人,当然他不是做安全的,做技术的,做到一定时候回去卖水果了,听说很好。后来我们都想,当时我们好几个朋友在一起玩,我们觉得,太没意思了这个,我们行业有问题,我们行业有病。


为什么这么说呢?因为当时我在的企业叫百度。全中国像百度这样的企业才重视安全。其他的企业根本没有安全这个职位,我们跳槽也跳不到哪儿去。就是这句话,如果你跳槽也跳不到哪儿去,你的薪水就不可能涨太多。但是,与之相比的一个背景,差不多2010年左右,大家都在上网,中国的网民越来越增多,而且同时呢移动互联网也出来了,一个人在睡觉的话,你带个手环,你的数据还在不断地上传,所以一个人的生活越来越多的是被虚拟化所代替了。你每天早上起床,打开手机,微信找你,然后你去支付宝买个什么东西,你的数据全部在这些公司里面,哪怕你手机里面随便装个什么应用,它一定会问你要你的通讯录啊,你的位置信息啊,全拿过去,也就是说,将来,你不再是你了,你是被碎片化的,你被存储在各个企业的云里面。


我们是做安全的,我会比大家更优先感知这一切。你存就存吧,但是回想到当时我们对整个互联网的看法,没人重视安全,也就是,我把我奉献给了你,但是你一点都不重视我,就这个意思。我们觉得这个太有问题了,我们最开始是想用技术,用很多自己的努力,去让这个互联网做的更好,我们研究很多的技术,我们给微软,给谷歌,给它们报很多的漏洞,但后来发现,这有什么用,因为整个世界没有任何改变。然后我们就想,为什么会有这个问题,为什么我们做这么多事情,世界还是按照它现有的这种方式去运行?


后来我们找到答案了。因为安全这个东西,它最麻烦的地方,它本质是不可见的,就是大家不知道安不安全。对于企业来说,它的商业模式里面,本质是希望大家不要注意到安全这个字眼的。比如大家炒股,谁都告诉你这里面风险很大,但希望你进去的时候,它一定会把这个风险给你抹掉。说吸烟有害健康,但是那个字一定印得很小,从来不会对你讲,这是一样的。它希望你每天用它的手机Apps,用它的云,它希望你把你所有的数据全部贡献给它,它恨不得开个银行,让你把钱全放在里面,它就希望它能占据你的生活。然后它全是免费的,那它的商业模式一定是说,最后从这些数据里面去挣钱。


这个问题就变成,你对它是没有任何约束的,它却完全拥有你的这些数据。所以我们觉得,这个是最大的一个问题,企业不重视安全的根本原因在于用户不重视安全。


但用户是没有办法重视安全的,用户是没有办法去思考,像大家这样能思考的人才多少个,这一屋子也就那么多,那更多地方的用户是没有办法去关注安全的,为什么呢?媒体天天给他推娱乐消息,推中美黑客大战,它愿意推这样的东西,但是它从来不会告诉你,今天你的上网可能会有什么样的风险,有哪些地方已经利用了这些东西,可能造成什么样的危害,它从来不给你推这些东西,它永远推能够抓眼球、抓流量的一些东西给到你。所以我们觉得这是个问题。


同时,因为用户不关注安全,所以企业不关注安全,只要企业不关注安全,那么现在那个社区里面,整个安全行业里面这些人都是生存很苦的,也就是说,黑客是弱势群体。一旦把黑客逼成弱势群体了,什么事儿都做的出来。在我看,我这个行业病就在这儿,它是一个死循环,它是一个死结,一潭死水,没有人能解开。


后来我们就尝试性地,我并不是说我预计到将来会把这个东西做成什么样一个状况,我们就觉得,如果我们找到问题,我们多少应该尝试一下。我跟也是我现在一起做乌云的一个朋友讲了,我说大不了我们卖水果去,这个还是可以的,我们是抱着这种心态去做的。


然后我们就开始做乌云。但是我们要求的一点就是,我们号召整个的安全社区里面的人把问题报告给企业,让企业去修复,但是,我们要求一点,最后企业一定要把它所发生的这些问题对用户有一个公开,这样的话,用户的数据在企业那儿能得到一个什么样的保存,是不是保存好了,它就变成可见的了,任何人想去了解一个企业的安全做的好不好,都有个地方可以去追溯的,就是把一个封闭的信息变成一个公开透明的了,这是我们希望做的一件事情。但是前提是,我们还是希望能够帮助企业把安全问题都修复,都提高,所以有后面说的12万个漏洞是这么多年的一个积累。


但是,这件事情是很难的。最开始你做的时候,这些社区的人,我为什么要相信你啊,我为什么要去把问题通过你报告给企业,最后会在你这儿有一个公开,这是一个非常难的一件事情。但是很好,当时因为我们很牛逼,因为我们之前一直在研究安全的技术,我们在这个社区里面算是有一个领导性的地位,我们觉得这是一个行业的准则,我们应该把它推出去。但是你千万不能做一件事情,你让人家按照这个规则推,但自己一点都不行动,这是不可能的。大家也记住,将来在做任何事情之前,如果你希望别人怎么做,首先你得坚持自己这么做,而且要坚持足够长的时间。


当时我们就这么去做,然后我们也很高兴,慢慢也创建了这样的一套机制。现在大部分的安全社区,白帽子所遵循的一个规则,就是先把漏洞报给企业,企业最后会修复,修复完之后,我们会对外有一个公开。我们一直在做这样的一件事情。


运行一段时间之后发现问题了。什么问题?你这是在尝试改变之前的一套规则,来自企业的反弹是很大的,为什么这么讲呢?我再给大家举个例子。腾讯在2012年左右,因为自己的安全问题泄漏了一份数据,真正地下的黑客攻击它,然后攻击成功了,泄漏了一份数据。这个数据是什么数据呢?是QQ群的这种关系,就是你在哪个群里面待过,你跟多少人是好友。这个数据是很重要的一份数据,它因为自己的安全问题给泄漏了。它是在2012年泄漏的,一直到2013年,我们社区发现有人在利用这份数据做坏事。因为这数据已经泄漏了,传得足够开了,然后我们就把这样的问题反馈给腾讯,让它尽快去处理。这个时候,腾讯说,这个东西我们早就知道了,早就处理了。


当时我们就很奇怪,因为作为一个这么大的企业,QQ群这个是代表一个用户关系的,这个东西一旦泄露,任何一个人都可以查到你,通过你的QQ查到你在哪些群里面待过。比如你是留学生,你在哪个学校毕业的,甚至你的父母叫什么名字,都在这个地方,如果是有这种关系,我都可以查到。那接下来就可能有些人利用这个关系加QQ,加上你说,我这儿有个保险,我这最近在哪里做什么事儿,然后又出什么问题了,我是你同学,你借我钱。这种东西是影响很深远的,按理说,我觉得是在一个合理的一个规则下,腾讯它拥有这个数据,但是没有保护好的话,一旦发生问题,它应该告诉它所有的用户,我们有一份这个东西出问题了,我希望你在接下来的时间要小心,或者我告诉用户,我应该怎么样去避免数据泄漏所带来的一些风险,我会去告诉用户的。而实际上在国外都是这么做的,但是腾讯没有。


一直到2013年9月份,这个问题被披露出来的时候,腾讯才告诉我们,这个问题我是知道的,的确泄漏了,但是它中间这么长时间从来不会对外去讲一个字。根本性的原因就在于,企业是不希望用户去了解安全的,因为这个信息越封闭,对于它来说是越有利的,而一旦每个用户都了解了互联网的风险,他在使用互联网服务的时候考虑太多东西,那它的业务可能会受到损害,它的商业会受到损害。


所以,当我们强烈要求所有的安全问题修复之后一定要公开的时候,我们得到了很多的一些反弹性的东西。比如说,我们被联通拔过线,就是我们的IDC服务器,人家直接把线给拔了。然后我们也被喝过茶,当然因为我们这么做也得罪了很多黑帽子,包括我们的网站,基本上每天都在被攻击,我今天下午的时候还在那处理这样的事情,这就是每天的一个事情。


但是,很好的一点就是,我觉得整个任何事情只要你坚持,最后都在往好的方向去走,包括到目前为止,越来越多的人也参与到我们整个的社区,我们跟很多的部门沟通之后,大家也能理解这样的事情,得到一个认可,现在企业也慢慢接受了这种做法,接受了这种公开问题的方式。所以我觉得,我们还是相对来说是比较好的。


然后有很多人就问我说,你这一万多白帽子都是谁啊,都长什么样啊。其实跟大家都一样是很普通的人,比如说有医生,有保安,有人跟我说是保安,我不信,,我说你怎么可能是保安,保安怎么会搞这个呢?他说我给你发个图,然后一看,的确是在一个那个运钞车里面坐着,边上拿个枪。还有十三岁的学生,就很多很多很奇怪的人。而最重要的一点就是,安全这个东西是学校教不出来的,必须有一个破坏性的思维,用破坏性的思维去建设一个东西,这是一个最本质的东西。而学校不可能去教你破坏的,所有的学校都教你建设,做好事,但实际上,你如果不了解这种破坏性的东西,你是没有办法把这个互联网建设的更好的。


然后因为有很多这样的人进来,比如说我们排名第一的白帽子,最近好像不怎么活跃,我们有一次跟他聊天,说,最近干嘛呢,他说在炒股呢。所以说他首先是互联网的用户,他首先是跟我们一样,但是他会比一般的人会更关心安全,但是他在把他的这种爱好,一个兴趣,他会投射到他对平时在关注这些事情上面,然后通过乌云,然后我们通过一个很简单的方式,把大家凝聚起来,能够去帮助更多的企业,这就是我们一直想做的一个事情。而且最近,包括台湾他们也做了一个跟乌云很类似的一个平台,也是受我们影响然后去做的。所以我们这种方式,通过坚持的话,也是得到了很多人认可。


其实我们这么做就是觉得,互联网是一个很好的东西,但它是不可逆的,你今天把很多数据放上去,有一天你就不可能收回来了。我们通过做这样的事情也是想提醒大家,这个东西是有风险的,大家一定要去关注。我觉得也只要大家每个人都能关注这件事情,任何一个东西,只要是你的权利,只要你关注它,这个情况一定会得到改善的。