近日,听闻著名漏洞报告平台乌云网(http://www.wooyun.org/)被迫停摆,多名高管被抓,网站也贴出“服务升级”公告,暂时无法访问。我与乌云网的几位创始人也有过几次接触,也算从事过互联网安全行业,虽然仍是个门外汉,也希望能够借此聊一下我对互联网安全行业的一些思考和观感。
我真正开始接触安全行业,是从CSDN帐号泄漏事件开始。当时服务的公司也遇到类似的问题,我作为一个门外汉,当时只是在处理帐号问题以及antispam,可以说并没有真正接触安全领域。一次在杭州召开的安全行业大会上,我了解到了安全从业者的现状,也听闻了乌云网的创始人剑心的大名。
我的记忆中,大会的主题好像是呼吁所有的安全从业者联合起来,摆脱目前安全行业不受重视,安全从业者薪酬低的现状。剑心也做了主题演讲,具体细节却忘的差不多了。还有,我记得很多人跟我说不要随便用公司邮箱收邮件,不要随便用Wi-Fi,因为随时可能被这些搞安全的给黑了。
这次大会给了我对于安全行业的最初的印象。我之前所处的环境,同学几乎没有从事安全行业的,感觉并不是很多人愿意去做。原因可能有几方面:安全在大公司非核心业务部门,属于支撑部门;安全通常是累活脏活,干好了是应该的,干不好就会背黑锅;没有几个互联网大佬是做安全出身的。这些因素造成了目前安全行业的现状,这跟国外的情况相差很大。国外极为推崇黑客文化,“黑客”这个词在国内却有贬义,有的时候只好换用“极客”这个词,却是在表达相同的意思。安全这门纯技术的工种,在国内不受待见。我相信剑心在百度工作的几年,应该也深有感触,所以才会想到创立乌云网。
后来,因为工作的原因,跟剑心和疯狗都有一些简单接触。乌云网其实并非很大的组织,在管理方面也有不少的问题,但并不妨碍它创始的初衷。剑心和疯狗都是很有原则,非常坚持底线的人,但有的时候有点偏过,沟通上不免感觉缺少回旋的余地,很有点使不上力的感觉。也许我并非安全中人,并不适应安全行业的规则,也不适应安全从业的沟通方式。其实从最近公布的剑心的朋友圈信息,也能看出来他其实是个纯技术范儿的人,或许真的比较适合搞技术,而不是其他的。
不久,又有机会参加乌云网举办的安全峰会,排场很大,几乎中国互联网业界同仁都到场了,给了乌云网极大的面子。会议办的很成功,我也看到了乌云网这几年对业界所起到的积极正面的作用,但也看到了一些让人惊叹的演讲。这些让人惊叹的演讲,在提醒人们重视安全的同时,也不得不让人们感到处处无隐私。
现在我已经不再从事安全行业,虽然只有很短时间的接触,也算有些缘分。从最初的不被重视,到现在即使大公司、政府机构等也不得不重视乌云网曝出的安全漏洞,我能看到安全从业者做出的努力,以及乌云网积极的作用。
但仔细思考,这些变化似乎并非这些大公司大机构你情我愿的结果,更像是被胁迫的结果。乌云网的漏洞公布机制,让各大公司都很头疼,却让很多所谓的黑客有了炫技的机会。乌云网制定了安全行业的规则,逼迫着所有人遵守并执行这个规则,虽然这个规则的初衷很好,但却未必是大家喜欢的,里面缺少了润滑剂,很多人敢怒不敢言。这样的规则跟黑社会又有什么区别呢?
这几年虽然安全越来越受到重视,但安全从业人员的结构却没有太大的变化,相比之下优秀的人才更愿意从事产品开发,而不是安全。当然这里并非在说所有的安全从业者都不优秀,只是整个技术行业的主流倾向。因此不可避免会有一些害群之马(黑帽子),如何准确的区分黑帽子和白帽子,并没有好的答案。正如很多人提到的,有一些人就是白天上班白帽子,晚上下班黑帽子。这些都在阻碍着安全行业的进步,但乌云网没有尝试去解决这些问题,当然这些也并非乌云网的职责,但却是需要正视的问题。
很多人都说,乌云迟早要出事。但乌云网改变了安全行业,这不容置疑;它对于推进用户隐私保护,功不可没。方小顿只是个单纯的技术人员,他不是商人。在改变安全行业的道路上,乌云网还有未尽的事业,安全从业者也还有很长的路要走。我相信这不是一个人、一个公司、一个组织就能做到的。当疯狂的资本渐渐回归理性,当国人重新认识到技术才是第一生产力、唯有技术创新才是重中之重的时候,我相信安全行业也必将有一番新天地。
希望乌云网能度过此劫,未来越来越好!