烏云方小頓：沒有天生的黑帽子

（圖為方小頓在“離線時(shí)間”上做分享）

《黑客追緝令》里有一句經(jīng)典臺(tái)詞：“我可以從全世界的ATM里取錢，但是我沒有。”烏云創(chuàng)始人方小頓對(duì)這句話的印象很深刻。

方小頓網(wǎng)名“劍心”，安全圈的人對(duì)這個(gè)名字一定不陌生。他曾經(jīng)是百度的安全專家，創(chuàng)辦過一個(gè)公益性的網(wǎng)絡(luò)安全組織80sec。

方小頓從02開始就活躍在安全圈——最早和他一起活躍在安全論壇的人，大部分已經(jīng)退出江湖，不知道去了哪兒——他基本上算是見證了這個(gè)領(lǐng)域的發(fā)展歷程，眼看著黑客人數(shù)從少到多，由純粹變得逐漸多了利益角逐，方小頓在一次公開演講上用“黑客已死”來描述這種狀況，但當(dāng)記者問及這種變化是進(jìn)步還是退步，方小頓還是持樂觀態(tài)度：“任何事情都不會(huì)只有利或只有弊，總體上應(yīng)該還是在進(jìn)步的。安全不是一個(gè)獨(dú)立的東西，是伴隨著互聯(lián)網(wǎng)存在的，互聯(lián)網(wǎng)在發(fā)展，安全也會(huì)跟著發(fā)展。”

有一個(gè)黑客跟記者說過他早年的一件小事：他發(fā)現(xiàn)一個(gè)廠商網(wǎng)絡(luò)系統(tǒng)有漏洞，輾轉(zhuǎn)告知了廠商，廠商把問題修復(fù)了，然后寄了一個(gè)公仔給他作為感謝——一個(gè)公仔，這就是廠商對(duì)發(fā)現(xiàn)漏洞這件事的價(jià)值認(rèn)定。這種情況下，很多黑客選擇利用這個(gè)漏洞做謀點(diǎn)兒私利，雖然法理上說不過去，但從人情上看并不難理解。

網(wǎng)絡(luò)是黑客的游樂場，黑客可以攻擊系統(tǒng)，攻擊賬戶，進(jìn)入任何想去的地方，拿走任何想拿走的東西——破壞和建設(shè)就只在一念之間。有能力從全世界的ATM里取錢但是不取當(dāng)然最好，但是把拿和不拿的希望寄托在人的一念之間，實(shí)在有點(diǎn)脆弱。

“確實(shí)很脆弱。所以比起人性，我更相信機(jī)制。”方小頓說。

方小頓認(rèn)為沒有人天生是好人或者是壞人，沒有天生的白帽子或黑帽子，選擇成為黑帽子，很大原因可能是因?yàn)槿狈σ粋€(gè)合理的機(jī)制讓黑客的價(jià)值通過正當(dāng)?shù)那赖玫匠姓J(rèn)。于是他發(fā)起了烏云網(wǎng)，一個(gè)介于安全研究者和廠商之間的安全問題反饋及發(fā)布平臺(tái)。

“黑客喜歡在網(wǎng)絡(luò)里面自由穿梭、發(fā)現(xiàn)系統(tǒng)的問題，就像打游戲一樣上癮，但是發(fā)現(xiàn)系統(tǒng)安全漏洞之后，這個(gè)信息是用來幫助企業(yè)解決問題還是為自己謀利？以前是沒有一個(gè)合理的通道去幫助企業(yè)的，我們?cè)诎酌焙诳秃推髽I(yè)之間搭建了一個(gè)通道，他們發(fā)現(xiàn)企業(yè)的安全漏洞，把這個(gè)東西告訴企業(yè)，企業(yè)把問題修復(fù)，把漏洞堵住，然后把企業(yè)的問題對(duì)外公開，其他的企業(yè)看到存在這個(gè)問題之后可以規(guī)避同樣的問題，這個(gè)行業(yè)會(huì)越來越透明，越來越成熟。”

最初，烏云要做的事情不被認(rèn)可，很多廠商覺得找到漏洞并公之于眾這種事是在給他們找麻煩，報(bào)復(fù)者眾，最嚴(yán)重的時(shí)候?yàn)踉凭W(wǎng)被拔過網(wǎng)線。“到現(xiàn)在，狀況改善了很多，但也仍然說不上完全接納，因?yàn)檫€是有很多廠商不愿在安全上進(jìn)行態(tài)度轉(zhuǎn)變。”

讓方小頓感到欣慰的是，烏云這幾年的努力總算有一點(diǎn)成果。雖然外界對(duì)烏云仍然有一些爭議之處，但總體上，烏云促進(jìn)了安全行業(yè)的透明化和正向發(fā)展——提高了整個(gè)行業(yè)的安全意識(shí)，為安全行業(yè)輸送了不少生力軍，而且，那些徘徊在破壞與建設(shè)之間的黑客多了一條大路可以走。

點(diǎn)開烏云的官網(wǎng)，整個(gè)頁面都是干干凈凈的，沒有任何小廣告，只在頁面底部有幾個(gè)諸如“國家漏洞安全信息平臺(tái)”、“廣東省信息安全評(píng)測中心”這樣利益不相關(guān)的第三方鏈接。不是沒有互聯(lián)網(wǎng)公司、安全類的廠商投放廣告，只是利益相關(guān)，方小頓選擇盡可能維持烏云的客觀和中立，不受技術(shù)之外的因素的影響。

至于商業(yè)化的使命，就交給“唐朝安全巡航”吧。這是烏云旗下的一個(gè)盈利項(xiàng)目，烏云原本的模式有點(diǎn)類似于眾包地發(fā)現(xiàn)和促進(jìn)解決企業(yè)安全問題，對(duì)企業(yè)而言，需要被動(dòng)地關(guān)注烏云；Tangscan算是一個(gè)增值服務(wù)版，企業(yè)可以在 Tangscan主動(dòng) 對(duì)自己的企業(yè)網(wǎng)絡(luò)進(jìn)行安全漏洞檢測和監(jiān)控，以發(fā)現(xiàn)潛藏在網(wǎng)絡(luò)里的重要安全問題。

就在上個(gè)月，Tangscan已經(jīng)拿到了紅杉的投資。

有句古詩叫“文章不為稻粱謀”，把“文章”換成“安全”是一樣的，如果Tangscan能為烏云解決稻粱問題，烏云所堅(jiān)持的客觀和中立會(huì)有更堅(jiān)實(shí)的基礎(chǔ)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。