因披露過多網路安全性漏洞 烏雲網暫時關閉

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷淘寶客 站長團購 雲主機 技術大廳

昨日，曾頻頻披露網路安全性漏洞的烏雲網突然宣佈暫時關閉、進行系統升級，引發線民的關注和熱議。

原本名不見經傳的烏雲網，近期在一系列網站洩密事件中聲名鵲起。 該網站先後曝出CSDN、天涯、當當、京東商城等網站存在安全性漏洞。

頻頻出擊，似乎讓烏雲網站上了風口浪尖。 如今在洩密高潮中，該網站卻突然關閉。 原因何在？

昨日，成都商報記者經過多方聯繫，與烏雲網的召集人WooYun在網上展開對話，這名「善意的駭客」向記者講述了一場「駭客戰爭」。

披露漏洞的「白帽子」

昨日，成都商報記者通過業內人士聯絡WooYun時，他爽快地答應了，但條件是不能通電話、只能通過QQ和郵件進行交流；連QQ上的網名也不能公佈，只是勉強同意使用「WooYun」作為代號。

WooYun告訴記者，烏雲網就是一個「駭客」的聚集之地。 不過，他們都是「白帽子」。

在普通公眾心目中，「駭客」仿佛是神秘和危險的代名詞，然而在駭客的世界中，他們可被分為三種類型：第一類：白帽子，描述的是正面的駭客，他可以識別電腦系統或網路系統中的安全性漏洞，但並不會惡意去利用，而是公佈其漏洞。 這樣，系統將可以在被其他人（例如黑帽子）利用之前來修補漏洞。 第二類：灰帽子，他們擅長攻擊技術，但不輕易造成破壞；他們精通攻擊與防禦，同時頭腦裡具有資訊安全體系的宏觀意識。 第三類：黑帽子，他們研究攻擊技術，唯一的目的就是惹是生非。

「我們並不是一個組織，只是一個平臺聚集了一些愛好安全技術的人。 」據其介紹，通過烏雲的平臺，共有500多位研究人員為120多個企業提交了接近4000個安全問題。

「白帽子」們的戰鬥方式是：挖掘網站中的安全性漏洞，在「黑帽子」利用它們之前，提交到平臺上，或者向廠商報告，希望廠商及時進行修復。

「我們實際上保護的是廠商的使用者，但是很多的廠商基於公關的考慮，都極力回避（安全性漏洞）這些問題，所以我們想借這個平臺來更好地做這個事情。 」針對近期網路安全氣氛緊張，WooYun分析，估計是有些大網站對安全不夠重視甚至回避，才導致安全隱患越來越嚴重。 「不被瞭解的安全隱患，才是真正嚴重的安全隱患」。

作為一名資深「白帽子」，WooYun告訴成都商報記者，他們工作的動力在於「提高中國互聯網整體安全水準，並且從中獲得尊重和分享的樂趣」。 他相信相關部門一定能夠找到資訊洩密的源頭，遏制資料的洩漏。 「我們相信，做對的事情就有價值。 」

坦陳可能被利用

對於烏雲網的做法，有安全專家認為，漏洞報告是把雙刃劍，有可能造成漏洞被不法分子利用，甚至有不法分子冒充「白帽子」，在平臺上發佈虛假的漏洞資訊。 因此，目前該網站進行流程調整十分必要。

「2011年即將以這樣的方式結束，我們希望以一個更好的方式開始2012年。 」昨日，WooYun發佈消息，宣佈將暫時關閉烏雲網進行系統升級，並將調整漏洞處理流程及公開機制。 與此同時，烏雲平臺還將針對漏洞公開機制向公眾徵集建議，以圖減少實際可能帶來的影響。

對有的線民猜測，烏雲可能是受到來自各方的壓力，而被迫暫停服務。 WooYun向成都商報記者坦陳，「烏雲網披露的漏洞有可能被‘黑帽子’利用，目前的機制的確不夠完整。 」但他否認有人冒充「白帽子」，在平臺上發佈虛假的漏洞資訊。

至於如何保證貢獻漏洞資訊的人都是「白帽子」，WooYun稱，「只看他的行為、提交的安全問題和分享的技術，我們就能認出白帽子。 相信大家會對自己的行為負責。 」

WooYun稱，不會對烏雲網進行大的改變，但是在披露和驗證方面會調整得更合理。 「短暫的整改和修正會走得更遠一些，畢竟新的一年馬上就來了。 」