正如白魔法和黑魔法一樣，在黑客領域也要分“白帽子”和“黑帽子”。作為“信息警察”，方小頓在過去8年間都在扮演黑客領域中的“甘道夫”，專門和“伏地魔”對打。近期曝出的攜程網“漏洞門”事件，讓方小頓以及其創建的網絡漏洞報告平臺——烏云網再次走到臺前。今年剛滿27歲的方小頓稱他如今已經集結了5000名分散在各個領域的白帽黑客，排查國內各大網站的安全漏洞。方小頓說，“烏云”就是云時代罩在信息小偷和互聯網企業頭上的一道警示咒，希望每一次撥云見霧都是網絡安全的一次進步。

　　□人物故事

 

　　自學成才的黑客達人

　　2002年，15歲的湖北小伙子方小頓考上了哈爾濱理工大學化學專業。“小時候一直對計算機很感興趣，大學課余時間多，我就自己研究互聯網技術。”在方小頓眼中，技術其實沒什么，靠自學就能成專家。“當時網上有很多互聯網技術教程和討論社區，只要肯學，每個人都能成為技術高手，安全技術絕不是學校里能教出來的。”

　　大學四年，方小頓幾乎全都在研究黑客技術。要知道，網絡安全從來都是攻防一體，黑客的段位都是通過實戰練出來的。所以，方小頓黑過學校的網站，自己做網絡技術類的社區網站，當時研究網絡技術的小團體之間經常上演技術“火拼”，而方小頓都是主力。“那時候大家互相黑來黑去地比技術，2004年前后，整個互聯網還不像現在這樣深入每個人的生活，網絡安全還只是純技術性的存在。后來沒的黑了，我們就找一些常用的軟件漏洞，發現之后告訴開發人員就覺得很有成就感。”

　　起初因為好玩才做的事，卻為方小頓提供了第一份工作，也讓他誤打誤撞成為了真正意義上的網絡安全工程師。2006年，即將畢業的方小頓發現了一家軟件公司的產品漏洞，當時這家公司服務幾十萬客戶，通過這些客戶可以輻射到上億用戶。

　　“發現漏洞后我就通過互聯網社區聯系到公司的人，他們聽了之后很好奇，邀請我到北京和他們老總聊聊。”方小頓說，“我們相談甚歡，畢業之后我就進入這家公司，專門負責軟件的安全防護工作。”

　　百度挖角變身安全專家

　　從某種意義上說，方小頓也是“黑客”，但并不是攪局者。2008年，方小頓在網絡安全領域早已如魚得水，不斷有互聯網公司前來挖角，而最讓方小頓心動的，是百度。

　　互聯網公司的“碼農”和“技術猿”們有一個習慣，就是“混社區”。這些大大小小的網上技術社區是中國互聯網高手和黑客的集散地，這種組織極其松散，大家都以網名相稱，但就是這樣的網絡論壇卻嚴格地論資排輩。

　　“在我們的安全社區里，只要你足夠優秀，有很多人會推薦你，百度就是通過這個社區找到我的。”方小頓說，當時考慮的是，雖然在軟件公司工作了兩年，但還沒有嘗試過面對一個大公司的大平臺。“因此我打算換個環境，看看自己在大平臺中能不能做好安全技術。”

　　從2008年進入百度到2011年離開，方小頓在百度一步步做到了高級安全工程師，主要責任是抵御黑客入侵，而百度的安全團隊也由最初的五六人發展成為30余人的“黑客防護墻”。

　　談到離開百度的原因，方小頓說，主要還是因為理想，想利用自己的技術為更多的互聯網公司解決安全問題。“一名白帽子黑客除了要在技術方面感興趣之外，另一點就是必須擁有一個正能量的理想。”事實上，百度的主體業務是搜索引擎，因而在整個互聯網領域具有局限性，對于當時的方小頓來說，百度留給他施展的空間已極為有限。“在百度永遠只能做百度的事，整個互聯網除了百度還有很大的空間，于是我就想，能不能在更大的空間里做點事。”

　　掌門烏云一時名聲大噪

　　其實，早在2010年7月，方小頓就聯合新浪、360的兩個白帽子工程師，一起創立了烏云網，當時創立的目的是為了解決百度以及和百度類似企業的問題。談到“烏云”名字的來歷，方小頓表示，當時云技術發展勢頭強勁，很多企業都在談云的便捷、低成本，但其實以前出一個問題只影響一兩個用戶，使用云技術之后可能影響上千萬的人。“烏云就是想告訴大家，云技術是有風險的，烏云就是一個預警。”

　　鑒于自己做的是得罪人的事，烏云從成立的第一天起就定位為介于白帽子和企業之間的非營利組織。2011年，剛成立一年的烏云網連續披露京東、支付寶、網易等著名互聯網企業存在高危漏洞。此后，烏云更是指出支付寶2500萬用戶資料泄露、如家酒店開房信息泄露、騰訊7000萬QQ群用戶數據泄露等一系列安全問題，幾乎戰戰告捷，一時間烏云名聲大噪。

　　“我們是從一個小的技術圈子里發展起來的，所以最開始只關注大的互聯網公司，后來很多白帽子會提交政府部門、大型央企網站的漏洞報告，但作為第三方機構，我們很難和這些機構協調，讓他們提供改進信息。”正在方小頓苦于如何解決這一問題的當口，2011年底，工信部下屬“國家信息安全漏洞共享平臺”的負責人主動找上門來尋求合作，希望烏云能夠共享數據信息，由該平臺出面推動政府、央企改進系統。

　　“目前烏云的贊助方有兩個：國家信息安全漏洞共享平臺和廣東省信息安全測評中心，他們會每年定期提供資金，基本能夠覆蓋我們的成本。”方小頓說，“而借助這兩大平臺，烏云就成為涵蓋互聯網公司、金融、大中型企業、政府機構網站的全行業漏洞入口。”

　　自稱工程師不愿做商人

　　盡管拉來了贊助方，但2011年仍舊是烏云最困難的時期。2011年12月，烏云披露了國內知名技術社區CSDN的600余萬用戶資料被泄露的消息。數據公開后，很多人利用這一數據攻擊其他企業，一時間烏云被廣泛質疑。12月29日，烏云網宣布暫時關閉，稱今后將選擇性披露漏洞以降低影響。半個月之后，重新調整披露規則的烏云網恢復訪問。

　　方小頓說，烏云在創立之初要花很多時間和企業、監管部門解釋烏云的作用僅僅相當于安全預警，并不是黑客行為。截至目前，烏云共披露了近5萬個網絡安全漏洞，包括攜程、騰訊、淘寶等知名企業在內的524家廠商在烏云注冊。而烏云的技術團隊——白帽子也已達到5000名，這些白帽黑客有各大公司的網絡安全工程師，有IT從業人員，也有白領、律師甚至廚師。隨著知名度的提高，越來越多的人開始接納烏云。

　　不過，質疑烏云的聲音也不少。黑客圈內有這樣一種說法：黑客入侵網站盜取信息后，只要在烏云網向廠商提交漏洞，就可以洗白。在只有獲得審核的白帽子才能進入的烏云網非公開論壇上，黑色產業、網賺、網絡戰爭等話題都有專門的討論板塊，烏云一度被指為“中國最大的黑客培訓基地”。

　　面對質疑，方小頓很淡然。“做網絡安全的有一個最大的問題就是我們不知道對手在干什么，設立這些討論區是為了研究黑帽子的技術手段，更好地阻擊黑客。”方小頓說，“真正的黑客是不想洗白的，最好不要讓任何人知道他做了什么，怎么還會主動通知企業。”

　　其實，從百度出來創辦烏云，方小頓的收入降低不少。雖然暫時不考慮賺錢多少，但方小頓和他的團隊還是對未來做了些許商業構想。“現在烏云在發現問題，提供免費的預警信息。未來圍繞烏云平臺，我們還可以往前走一步，把白帽子和企業聯系起來，提供改代碼、修復漏洞等解決方案，這部分服務是收費的。”

　　方小頓坦言，烏云本身絕不會變成一個營利性的安全技術中介，仍會延續在線的公益模式。“我覺得自己仍舊是一個技術員，不是商人。”

　　■名詞解釋·白帽黑客

　　白帽黑客指那些用自己的黑客技術來做“好事”的黑客們，這點和網絡安全工程師的性質有點相同。通常，白帽黑客攻擊他們自己的系統，或被聘請來攻擊客戶的系統以便進行安全審查。

　　□人物素描 現實邊緣的理想主義者

　　初見方小頓是在IT企業聚集的中關村，長發、T恤、人字拖，看起來更像是文藝小青年，而不是黑客技術男。在百度搜索方小頓，傳播最廣的不是烏云，不是白帽黑客，而是他和李彥宏一起上湖南衛視《天天向上》節目時，給離開他的女朋友唱的那首有點走音的《一無所有》。

　　方小頓說，曾經自己對技術太過狂熱，除了吃飯、睡覺都在網上鉆研技術?，F在執掌烏云，事務性的工作多了，技術放下不少，唯有僅剩的一點理想從沒放下。方小頓的理想是，讓網絡安全問題更透明，企業能更重視安全，白帽子的工資能提高點兒。

　　不過，方小頓常說，現在的互聯網行業環境不夠好，想要實現這樣的理想其實挺難。要知道，白帽子和黑帽子的收入差距就是每月收入一萬和每天收入一萬的差距。“當初做白帽黑客、去百度、做烏云自己都沒想到，現在烏云和其他平臺要怎么做也并沒有完全想好。路是一步步沉淀出來的，不是想出來的，烏云現在就只管做好自己的事。”此時的方小頓又變成了務實的理工男。

　　>>談困境

 

　　阻力主要來自BAT三巨頭

 

　　京華時報：烏云這種漏洞披露模式企業認可嗎？

　　方小頓：應該說大部分企業還是很認可的。但也有企業希望大家不要在意安全，放心的用他們的軟件，放心的把錢放在他們的賬戶上，而我們做的事情是希望大家重視安全，因此這種不認可是有的。

　　京華時報：這種不認可多嗎？

　　方小頓：這種阻力主要來源于BAT(百度、阿里巴巴、騰訊)?，F在很多企業對發現漏洞的人會提供獎勵或獎金，他們的獎金一部分肯定是解決問題，但更多的目的是不希望公眾知道有安全問題。我們曝出來的問題他們都沒有獎勵過，只獎勵把問題交給他們、私底下解決的人。

　　京華時報：既然這樣，BAT的人有私下找你們嗎？

　　方小頓：最開始找過，我們沒有同意，因為我們定的規則就是不管基于什么原因一定要對用戶公開。后來他們改變了策略，就是重金獎勵把漏洞問題報給他們的工程師，這個漏洞就對用戶封閉了。這里面很好玩。

　　京華時報：這樣是否會給烏云帶來一些沖擊？

　　方小頓：會有，但是整個行業現在越來越重視安全了，我們也在想怎么通過更好的方式和BAT對抗。因為只有公眾了解漏洞和安全問題，整個行業的動力才會存在，企業才會愿意將資金更多地投入在安全領域，白帽子的生存狀態、公眾的信息安全都能得到更好保障。以前大家對安全不重視，企業不投入，白帽子的待遇不好，為了生活就會有更多人做黑色產業，我們希望改變這種循環，讓企業在面對安全問題的時候信息更透明。

　　>>談炒作

 

　　有三類人對我們最不滿意

　　京華時報：有人質疑烏云的漏洞披露是為抓眼球的“標題黨”，烏云是如何進行內部監管的？

　　方小頓：我們是特別注意標題的，現在我們有3個人專門負責白帽子們提交上來的漏洞報告的審核和客觀化處理。但是有一個矛盾是處理不了的，最近有一個案例，阿里巴巴認為某一個漏洞危險級別很低，但白帽子看了以后覺得不是這么回事，他就把這個問題拿去演示了一下，發現這個問題的危險等級是高。對企業來說肯定是影響越小越好，但對于白帽子來說是越真實越好，這樣我們就容易被別人說成是“標題黨”。但是45天之后，我們會把漏洞細節全部公開出來，到時候事實擺在這兒，客觀與否大家來評判。

　　京華時報：還有一種質疑認為，烏云很會炒作自己，您怎么看待這種聲音？

　　方小頓：這些聲音都來的很蹊蹺，企業一定會這么說。阿里、騰訊的公關很強大，這種聲音沒辦法阻止。做什么事都會有人不滿意，我們只能做好自己的事。我想說的是，有三類人對我們最不滿意：一是希望用戶不要重視安全的大企業；第二就是黑色產業，我們直接阻斷了很多黑色產業鏈；第三就是希望通過信息封閉來謀利的企業，例如一些安全公司以前會通過漏洞來恐嚇用戶，我們公開全部信息，對他們不利。

　　>>談獎勵

 

　　企業給白帽子獎勵有監管

　　京華時報：白帽子告知企業系統漏洞后，很多企業會給獎勵對嗎？

　　方小頓：我們是非盈利組織，還是希望做個橋，現在很多企業對白帽子是非常友好的。最近摩登天空音樂節，我們曝出了他們的一個漏洞，主辦方愿意出30張門票獎勵白帽子。我們只會和對用戶知道安全問題持敵視態度的人產生矛盾。

　　京華時報：這些人就是BAT?怎么平衡？

　　方小頓：網絡社區的方式和商業的方式還是不一樣，如果我們是盈利機構那是沒辦法平衡的。所以烏云和BAT并不是對立的，我們現在也在嘗試和他們的高層溝通，但我想還需要很長的時間。

　　京華時報：企業給的獎勵是否有管理機制？

　　方小頓：通常我們會讓企業和白帽子直接聯系，給他們寄小禮品。工信部的贊助會定期給一些小獎品，定期可能會出一些書，這些我們都有監管。

　　>>談安全

 

　　目前國內網絡安全才及格

　　京華時報：您認為國內的網絡安全處在什么水平？

　　方小頓：坦白講，國內的互聯網安全在2011年之前都很差，現在好很多，但跟美國比還有很大差距，只能打個及格分?，F在我國的互聯網安全還不夠公開透明。

　　京華時報：攜程漏洞事件之后，您認為網絡安全和使用方便兩者之間是否矛盾？

　　方小頓：不存在本質上的矛盾，可能在具體的方案上有矛盾，但這種矛盾是可以通過其他方案來彌補的。安全和方便之間應該遵循什么樣的度呢？我認為如果是涉及錢的，以及個人的核心信息，一定是安全為先。