烏云方小頓：沒有天生的黑帽子

（圖為方小頓在“離線時間”上做分享）

《黑客追緝令》里有一句經(jīng)典臺詞：“我可以從全世界的ATM里取錢，但是我沒有。”烏云創(chuàng)始人方小頓對這句話的印象很深刻。

方小頓網(wǎng)名“劍心”，安全圈的人對這個名字一定不陌生。他曾經(jīng)是百度的安全專家，創(chuàng)辦過一個公益性的網(wǎng)絡安全組織80sec。

方小頓從02開始就活躍在安全圈——最早和他一起活躍在安全論壇的人，大部分已經(jīng)退出江湖，不知道去了哪兒——他基本上算是見證了這個領域的發(fā)展歷程，眼看著黑客人數(shù)從少到多，由純粹變得逐漸多了利益角逐，方小頓在一次公開演講上用“黑客已死”來描述這種狀況，但當記者問及這種變化是進步還是退步，方小頓還是持樂觀態(tài)度：“任何事情都不會只有利或只有弊，總體上應該還是在進步的。安全不是一個獨立的東西，是伴隨著互聯(lián)網(wǎng)存在的，互聯(lián)網(wǎng)在發(fā)展，安全也會跟著發(fā)展。”

有一個黑客跟記者說過他早年的一件小事：他發(fā)現(xiàn)一個廠商網(wǎng)絡系統(tǒng)有漏洞，輾轉告知了廠商，廠商把問題修復了，然后寄了一個公仔給他作為感謝——一個公仔，這就是廠商對發(fā)現(xiàn)漏洞這件事的價值認定。這種情況下，很多黑客選擇利用這個漏洞做謀點兒私利，雖然法理上說不過去，但從人情上看并不難理解。

網(wǎng)絡是黑客的游樂場，黑客可以攻擊系統(tǒng)，攻擊賬戶，進入任何想去的地方，拿走任何想拿走的東西——破壞和建設就只在一念之間。有能力從全世界的ATM里取錢但是不取當然最好，但是把拿和不拿的希望寄托在人的一念之間，實在有點脆弱。

“確實很脆弱。所以比起人性，我更相信機制。”方小頓說。

方小頓認為沒有人天生是好人或者是壞人，沒有天生的白帽子或黑帽子，選擇成為黑帽子，很大原因可能是因為缺乏一個合理的機制讓黑客的價值通過正當?shù)那赖玫匠姓J。于是他發(fā)起了烏云網(wǎng)，一個介于安全研究者和廠商之間的安全問題反饋及發(fā)布平臺。

“黑客喜歡在網(wǎng)絡里面自由穿梭、發(fā)現(xiàn)系統(tǒng)的問題，就像打游戲一樣上癮，但是發(fā)現(xiàn)系統(tǒng)安全漏洞之后，這個信息是用來幫助企業(yè)解決問題還是為自己謀利？以前是沒有一個合理的通道去幫助企業(yè)的，我們在白帽黑客和企業(yè)之間搭建了一個通道，他們發(fā)現(xiàn)企業(yè)的安全漏洞，把這個東西告訴企業(yè)，企業(yè)把問題修復，把漏洞堵住，然后把企業(yè)的問題對外公開，其他的企業(yè)看到存在這個問題之后可以規(guī)避同樣的問題，這個行業(yè)會越來越透明，越來越成熟?！?/p>

最初，烏云要做的事情不被認可，很多廠商覺得找到漏洞并公之于眾這種事是在給他們找麻煩，報復者眾，最嚴重的時候烏云網(wǎng)被拔過網(wǎng)線。“到現(xiàn)在，狀況改善了很多，但也仍然說不上完全接納，因為還是有很多廠商不愿在安全上進行態(tài)度轉變?！?/p>

讓方小頓感到欣慰的是，烏云這幾年的努力總算有一點成果。雖然外界對烏云仍然有一些爭議之處，但總體上，烏云促進了安全行業(yè)的透明化和正向發(fā)展——提高了整個行業(yè)的安全意識，為安全行業(yè)輸送了不少生力軍，而且，那些徘徊在破壞與建設之間的黑客多了一條大路可以走。

點開烏云的官網(wǎng)，整個頁面都是干干凈凈的，沒有任何小廣告，只在頁面底部有幾個諸如“國家漏洞安全信息平臺”、“廣東省信息安全評測中心”這樣利益不相關的第三方鏈接。不是沒有互聯(lián)網(wǎng)公司、安全類的廠商投放廣告，只是利益相關，方小頓選擇盡可能維持烏云的客觀和中立，不受技術之外的因素的影響。

至于商業(yè)化的使命，就交給“唐朝安全巡航”吧。這是烏云旗下的一個盈利項目，烏云原本的模式有點類似于眾包地發(fā)現(xiàn)和促進解決企業(yè)安全問題，對企業(yè)而言，需要被動地關注烏云；Tangscan算是一個增值服務版，企業(yè)可以在 Tangscan主動 對自己的企業(yè)網(wǎng)絡進行安全漏洞檢測和監(jiān)控，以發(fā)現(xiàn)潛藏在網(wǎng)絡里的重要安全問題。

就在上個月，Tangscan已經(jīng)拿到了紅杉的投資。

有句古詩叫“文章不為稻粱謀”，把“文章”換成“安全”是一樣的，如果Tangscan能為烏云解決稻粱問題，烏云所堅持的客觀和中立會有更堅實的基礎。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。