漏洞银行罗清篮:收编游走在边缘的黑客,变身白帽为企业安全护航

漏洞银行罗清篮:收编游走在边缘的黑客,变身白帽为企业安全护航

前言:“创造未知,指的是创新,未知是过去没有的东西,惠及世界指的是,我们希望利用这些巨大的力量,去改变世界,让世界变的更美好。我们相信只要把力量往正确的方向去引导,就可以改变世界,造福世界。”——漏洞银行创始人罗清篮

黑客、红客、黑帽、白帽、邪恶、正义……自诞生的那一天起,黑客技术就像硬币的两面,被美化也被丑化,有人推崇也有人鄙弃。

发展到今天,企业对于黑客技术又爱又恨,一方面企业安全依赖于此,另一方面,黑客又造成企业很多损失,掌握这些技术的人也就一直游走在法律的边缘。

最近几天,世纪佳缘抓捕白帽和乌云停摆事件,让白帽这个本来小众的词语突然间火了起来。

罗清篮和他的漏洞银行似乎一夜之间被推到了聚光灯下,不论媒体还是公众,大家都把目光投向了这个似乎从不曾关注的领域。

“他们并不是一个纯粹商业化的群体,而是一群技术宅,希望外界不要有太多的打压。”这是漏洞银行创始人罗清篮对白帽的认知,而他做的,就是把这群白帽聚集起来,用他们掌握的黑客技术为企业安全保驾护航。

“信息安全世家”的少年黑客

对于出身“信息安全世家”这个称号,罗清篮觉得有些夸张了。

“家里正好有亲戚是中国第一代的信息安全公司的创始人之一,所以从小就耳濡目染。小学时候就开始研究网络安全技术,逆向过CIH病毒,用WPE修改过游戏封包,用Softice动态调试过破解软件,逐渐开始热爱起了这个行业。”

罗清篮的热爱很快就带给了不一样的成果,初中时他就已经是《黑客防线》的特约作者。

当时初中和高中,沉迷于黑客技术的罗清篮基本上都没有怎么学习,所有时间每天通宵研究网络安全。那时候不像现在,网络安全还没有很多法律的约束和条例,对于他来说也是最自由的时光。

当时罗清篮对缓冲区溢出非常感兴趣,就开始研究一些能够主动防御黑客入侵的防护系统。

后来写的一个驱动级的进程授权工具被第二十届青少年科技创新大赛入选,在人民大会堂颁发了当年的计算机网络安全方向的全国一等奖,当时科协主席周光召把奖杯放他手上的时候,他还觉得不可思议。

“我从未想过自己写的工具居然得到了那么多专家的认可”也正是这个大奖,让他获得了保送的资格。

当时他放弃了交大的保送特招,到了东华大学学习信息安全专业,师从中国第一代研究信息安全的专家曹奇英教授。

第一次创业尝试,拒绝360的收购

进入大学的罗清篮依然浸泡在网络安全的世界里,参加各种黑客比赛之余,他组织了一个社团——大学网络协会。2009年他上大三,从社团里挑了一帮伙伴,办起了公司。

2009年,那时候社会还没有推行现在的"双创",候创业环境非常难,没有人看好创业者,特别是网络安全创业者,与他一起创业的是自他高中时代起就认识的沉浸网络安全的老司机。

当时,正好依托上海市世博会的安全项目,罗清篮开始了创业的旅程。第一个产品叫“WEB宙斯盾”,是装在主机上的软件应用防火墙(WAF)。那时候网络安全市场完全没有起来,必须依靠一些政府和大型机构的项目才能存活。

公司创立不久之后,就收到了360的收购邀约。当时360的资总监王奕找到他们,说接下来360要进入企业安全市场,他们做的硬件产品支持"Zero-Copy"的透明网桥WAF正好是一个他们认为还不错的产品。

360当时邀请罗清篮和另外一个合伙人去了北京,那时候360还不大,只有1千多人,在一个创业园区里。

当时360请出了他们的WEB安全专家赵武来、进行技术考察,完成考察后去见了当时的360VP谭晓生但是最后收购以罗清篮的拒绝而告终。

“之所以谢绝了360的邀请是因为感觉我们还想自己尝试创业,毕竟没有体验过九死一生的感觉,想要在年轻的时候多体验下。”

从“乌云”得到的启发

2013年年底,罗清篮被一家名为乌云(WooYun)的平台所吸引。其模式为通过白帽提交、公开企业的漏洞。“由于媒体对漏洞曝光趋之若鹜,该平台的知名度迅速升温。”罗清篮很受启发。“乌云开创了漏洞提交的先河。”

但是对于乌云的模式,罗清篮也清晰的看到了弱点在哪里。“不少客户挺反感将漏洞公开。”

曾有一家在美国纳斯达克上市公司的CTO对他抱怨道:“当时乌云上公开了一个公司系统漏洞,股价遭受影响,当天跌了5%。”

这让他很受触动,“如果我们做一个漏洞提交平台,但是不曝光企业的漏洞,而是对接白帽与企业,让企业尽快修补漏洞,这样企业的认同度是否会更高呢?”

在罗清篮的设想中,白帽发现提交企业的漏洞后,企业为其付费。但由于黑客行业混乱,加之不知企业付费意愿如何,罗花了很长时间走访验证。

他发现很多企业是痛并快乐着。“首先他们也接受乌云的这种曝光形式,虽然有一些声誉上的影响,但是帮企业提早发现了隐患。”罗清篮笑言,“我们希望企业不痛也能快乐。”

但是也有企业对白帽心存恐惧。比如,企业授权黑客测试系统,他找到了10个漏洞,但是只告诉企业7个,自己留了3个可能去做其它交易。“这会让企业无形中遭受损失,由于经过授权,也不好纠责。”

此外,一些企业对于安全问题存在偏见和忽视。“有的企业不愿意让白帽提交漏洞,他担心白帽除了会获取利益外,会持续不断地提交漏洞,或者引起黑帽的关注。”

有些处于早期的企业,忙于业务本身,并不愿在安全上投入。“等之后业务做大出现问题,他们再亡羊补牢,发现付出的成本更大,我见过很多鲜活的例子。”

2015年年初,漏洞银行网站上线,罗没有大张旗鼓宣传,而是默默地做起内测。“先要让企业提升对安全的认知度,并且靠市场机制聚拢白帽群体,或许能让黑帽转白帽。”

为企业和白帽搭起一座桥

网站上线后,罗清篮邀请了几十家之前积累的企业用户参与,平台同时入驻了一批圈内知名的白帽。“全靠白帽朋友之间互相介绍。”

为了能够顺利的进行测试,罗清篮设置了几个规则。

首先,内测企业要授权允许平台上的白帽测试查找漏洞。“这样规避了法律风险。”;其次,平台对白帽有保护机制。

“例如一些重点项目的测试,会对白帽的身份和IP进行备案。防止出现发现10个漏洞只告诉7个的情况。”罗清篮还更新了传统的漏洞评级模式,开发了联合诊断模式。

经过半年内测,平台汇集了约3000个白帽,约500家企业,每月提交漏洞约1000个。年中,罗清篮觉得模式跑通,决定正式运营漏洞银行。

漏洞银行的业务流程如下:企业入驻授权检测——白帽找出漏洞后提交——平台给出技术评级——企业给出危害评级,并根据两项评级为该漏洞定价。“把定价的权限交给企业。”

费用由企业通过平台支付给白帽,白帽不与企业直接沟通。“白帽是一群技术人员,不太懂商务那一套;企业方可能认为白帽在拿漏洞威胁。”

平台从中做沟通,制定标准和规则。“我们会告诉企业其它平台的定价范围,任他们参考。”

如果出现企业故意低价或者不出价的情况,白帽可向平台反馈申诉。倘若问题出在白帽身上,比如白帽出现黑色交易、威胁企业等极端行为,平台会直接封号并冻结账号。

同时为提高白帽的活跃度,今年3月,他上线社区栏目“PWN”(黑客俚语,代表攻击成功)。在这里,黑客可以自由发表观点、上传检测报告(必须对企业信息打码处理)、分享新技术等。

每周和每月,平台会对白帽个人或团体做声望排行榜。评价范围包括其所写的PWN文,发现漏洞质量、数量等。“排名靠前的除了现金奖励外,还会被邀请参加线下沙龙交流等活动。”

“黑”与“白”的一线之隔

罗清篮对于漏洞银行的发展很有信心,但是不可否认的是“黑”与“白”在很多时候还是一线之隔。

“都游走在法律的边缘。”安全专家李夏(化名)表示,“黑客”是把漏洞卖到黑市上,谋取巨额利益。“白帽”是把漏洞提交给厂商,让厂商及时修复漏洞保护用户信息。

按照业内资深人士的说法,“白帽”查漏洞行为从法律角度是没有合法规定的,只是现在几个漏洞平台由政府支持,所以处于一个“不算违法”的情况。

和“黑客”贩卖网络漏洞获得的高额收入相比,“白帽”更多被认为是“情怀主义”。

猎豹移动安全专家李铁军说,在国外,微软、谷歌等科技公司都会给“白帽”专门的奖励,并且加上荣誉公告。

“价格都在几千美元到几万美元不等,”李铁军说,这当然不能与“黑客”相比,一个高危漏洞在黑市上卖出上百万美元都很正常。

“白帽不能沾那些事情,一旦沾了的话,就回不了头。”李夏特别强调。

对于“白帽”近来被推到风口浪尖,罗清篮有自己的看法。

“这个群体非常低调,而且都是技术控,他们并没有太多获取利益的想法,更多是想展现自己的技术。”罗清篮说道,“我对现在这种抵制‘白帽’的声音不太认同。

“白帽”这个群体有他们存在的价值,前段时间美国的五角大楼搞众测,也邀请了众多“白帽”参与,发现了相当多的漏洞,提前为国家封堵了大量的潜在损失。解决问题的关键是合适的流程和降低风险的手段,而不是去抵制一群人。

漏洞银行的价值观是“创造未知,惠及世界”。罗清篮解释“创造未知,指的是创新,未知是过去没有的东西,惠及世界指的是,我们希望利用这些巨大的力量,去改变世界,让世界变的更美好。我们相信只要把力量往正确的方向去引导,就可以改变世界,造福世界。”

尽管现在关于“白帽”还有很多争论,罗清篮坚信他们正在做的事对这个社会是有利的。而获得资本青睐的他,相信能够在这条路上走的更远。

版权声明

本文由一起上整理编辑。转载时,请注明转载来源及作者姓名。如有其它需求,请联系我们(微信号:LC-1030)。

关于我们

一起上(www.17shang.cc)是关注青年创业的社群驱动型媒体,志在发现和报道青年创业,构建青年创业交流与合作平台。


漏洞银行罗清篮:收编游走在边缘的黑客,变身白帽为企业安全护航