乌云漏洞的披露一方面让乌云聚集了大量的白帽子,这也成为其众测的重要力量。

在网易用户密码泄漏传开两天之后,漏洞报告平台乌云终于为网易确症了。

今天下午,乌云发布泄密预警称,有白帽子报告称网易的用户数据库疑似泄露。其中,涉及到的数量总共数亿条,包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等数据。这意味着,网易几乎已经将上亿用户的密码和数据泄漏,其波及面已经超出了网易系产品本身,包括微博、支付宝、百度云盘、游戏等相关账号都可能受到影响。

事实上,这并不是乌云对大公司漏洞的第一次披露。作为国内知名度最高的互联网安全平台,此前在乌云平台上“亮相”过的互联网公司还包括腾讯、京东、支付宝、搜狗等一大批互联网巨头。

2010年,生于1987的方小顿与两个“白帽子”(简单说就是正直的黑客)一起创立了互联网漏洞报告平台“乌云”。在那之前,他曾是百度的资深安全专家,也曾与李彦宏登上《天天向上》的舞台。而离开百度之后,他的目标则是把乌云成为“自由平等”的漏洞报告平台。

不过即便是在公众中小有名气,但除了安全圈子里的朋友,普通人还是很难理解这个平台背后是什么。

所幸,随着一批批漏洞的曝光,人们开始明白在中国这个网络安全极为脆弱的环境里,乌云存在的价值。真正让人们熟知乌云,是2011年的11月。这个月,乌云连续披露京东商城、支付宝、网易等互联网企业存在的高危漏洞。此后,乌云又了披露支付宝2500万用户资料泄露,引起人们持续关注。

但关注之外,乌云本身也面临巨大的压力。2011年12月29日,乌云网因为“频繁披露的安全事件及带来的影响”,宣布暂停服务。而随后,乌云也开始探求漏洞披露之外,其可能网络安全的推动。

2012年1月,停服一个月的乌云重新上线,随后拿到国家互联网应急中心赞助,承担了部分“国家信息安全漏洞库”的工作。而在2012年,影响乌云发展的还有另一件事——尝试众测。

众测是一种借助信息安全专家的力量,对互联网服务企业进行渗透测试的方式。相比黑客主动发起的网络攻击,渗透测试大多是企业主动发起,以寻找安全漏洞。今天,以安全渗透为出发点的创业公司已经不少,比如漏洞盒子、长亭科技、Sobug 众测等公司都已经拿到拿到了投资。

而其中,乌云是最早吃螃蟹的那个。

2012年8月,乌云众测平台第一个测试任务在乌云社区完成;2012年11月,第一个正式的众测项目于开始。在这三年的时间里,一方面乌云将众测的概念提出来并加以推广,另一方面,乌云也在优化不断改善和优化其作为平台的操作机制。

实际上,对创业公司而言,雇佣一个专职的安全人员的价格并不低,而即使是找一些安全公司来进行安全测试,也存在着成本以及测试不够全面和结果难以评估等问题。乌云测试的思路则是借助漏洞披露所聚集的大量白帽子,采用匹配、竞价以及按效果付费的方式进行兼职测试,进而节约成本。

今天,乌云的众测机制已经相当成熟。其操作方法是:先有厂商提出众测需求,然后乌云众测帮助其在平台上匹配30位合适的报名白帽子人选,并在指定时间彼此独立测试,遵循先到先得的方式付费给白帽子。在这个过程中,由于白帽子的竞争,其在安全上的潜能会得到极大提升。

而在定价上,乌云提供了按结果付费、一次性打包和年度 VIP 服务三种服务。其中,最有意思的是按结果付费:将漏洞分级,根据白帽子最终发现的漏洞数量支付总费用,完全按结果付费。如此一来,明码标价之后,众测便有了一个相对市场化的定价。

显然,从社会层面上说,众测的价值远远大于漏洞。后者更多时候是发现严重安全问题之后,以警示的声音去传递安全意识;而前者,则是在上线之前就去帮助企业寻找安全隐患。

一个是声音,一个是行动。尽管后者的难度远超于前者,但好在,还有众包的力量。