借我一双“钟馗之眼” 让漏洞无所遁形

最近，Zoomeye（“钟馗之眼”）的问世让安全界掀起一阵不大不小的波澜。这个由知道创宇公司推出的网络空间搜索引擎到底是用来干什么的？它是否真如人们所担心的那样，会被黑客利用？近日，知道创宇公司研究部总监钟晨鸣（余弦）接受了记者的专访。访谈中，他的语调平和轻松，偶尔还会来点调侃，却又不时流露出一种“白帽子”特有的侠义感。

 [[85622]]

知道创宇公司研究部总监钟晨鸣（余弦）

Zoomeye：捉出被藏匿的漏洞

Zoomeye中文名为“钟馗之眼”，它定位于网络空间搜索引擎，能对暴露在公网的主机设备及网站组件进行全方位搜索（只要有IP地址即可搜索到），发现其中的漏洞，揪出网络中“藏着掖着的问题”。

与谷歌爬虫原理相类似，Zoomeye运用知道创宇研发的爬虫技术，可识别网站用了哪些第三方组件，如：Apache、IIS、discuz、phpwind等。一旦哪个组件出了问题，即可知道该组件的影响面（地域、行业）有多大，从而为使用同样组件的网站提供预警，如：在政府领域，如果某OA系统出了问题，那么，所有用到同种OA系统的机构都可能会受到影响。

Zoomeye与国外的撒旦有些类似，但在余弦看来，二者并无可比性：Zoomeye关注IP，也关注组件；而撒旦只关注IP，以设备搜索为主。目前，知道创宇先期开放了网站组件库，主机设备（数据库、路由器、网络摄像头、防火墙）库暂时未开放。

Zoomeye推出后，很多人质疑其存在的必要性。普通站长好好的去搜索网络空间干什么？别急，Zoomeye的用户群定位压根儿就不是站长们，而是监管部门和那些作为极客的“小伙伴们”。对于监管部门（如：CNCERT、各地公安局网监部门）而言，如果某组件曝出漏洞，他们即可迅速知道哪些网站会因此受到影响，并及时解决。而对于创业的“小伙伴”来说，从Zoomeye中的大量数据中会发现很多亮点，如：电商行业创业者在建立网站时可通过Zoomeye搜索到相关案例，找到本行业流行的组件，由此获得借鉴；再比如，做应用的创业者通过Zoomeye搜索后发现，wordpress使用者比较多，就可以给wordpress开发插件。

Zoomeye被黑客利用怎么办

针对Zoomeye的最大质疑当然还是：被黑客利用怎么办？确实，作为一款搜索工具，Zoomeye人人都可以用，也包括黑客。黑客利用Zoomeye，能更快将对某组件的攻击进行蔓延，这就像在现实生活中，小偷如果知道某品牌的防盗门在哪些住户中被使用，那么，一旦他攻破了该品牌的防盗门，所有使用该品牌防盗门的住户也就很容易被“搞定”了。

针对这一质疑，余弦坦诚，的确无法避免Zoomeye被黑客所用，不过，Zoomeye有相应的限制，对普通用户只显示前5页50条信息。对真正的黑客而言，对这前50条信息的获取，根本不需要通过Zoomeye，而是从其他途径即可轻易获得，如：很多知名组件供应商的成功案例中就有包含了这样的信息。

如果因为担心被黑客利用而不敢放出漏洞，无异于因噎废食。在余弦看来，透明的力量的巨大的。把互联网背后藏着掖着的问题曝光，通过适当地放出漏洞，能够推动监管部门在漏洞出来的第一时间尽快解决，也能改变行业中现存的一些不良风气——目前，一些甲方明明有漏洞，却只会在私下偷偷地修复，严重打击漏洞提交者的积极性，也不能及时将漏洞的影响降到最小。

针对业界目前对Zoomeye存在的争议，余弦认为，每个革新技术的推出都难免面临争议。而评判一个新事物的标准，要看其发展主线，看其终极目的是不是好。

由Zoomeye引发的安全公司角色思考

Zoomeye网络空间搜索引擎目前是免费的。余弦坦言，对于Zoomeye的商业模式，他们仍在探索中。未来，研究机构、广告商、互联网创业者，都有可能对Zoomeye搜索出的信息有深度需求。而知道创宇公司推出Zoomeye，则是其长期积累的大数据在安全领域的体现。

实际上，像Zoomeye这样的网络空间搜索引擎工具，很多安全公司都有能力做。但对这类工作，单靠个人英雄主义不可能实现。余弦表示，公司理念决定知道创宇能支持Zoomeye做大，而不急于要让它盈利。这家成立6年的公司希望在安全层面做得更细，从宏观上挖掘大数据的巨大威力。

在现有的安全公司中，有一类被投资者逼着要快速赚钱；还有一类希望做点伟大的事情，只要能影响整个互联网，推进安全行业发展，“很多人就愿意去玩”，而不是杀鸡取卵。知道创宇属于后者，这家以80后、90后员工主打的公司也由此透露出有些另类的气质。

余弦表示，将大数据应用到安全领域，Zoomeye只是个开始。在Zoomeye背后，还有很多其他类型的数据。如，知道创宇的安全团队在研究中发现很多网站被黑，也发现很多欺诈网站、钓鱼网站、赌博网站、色情网站等，便将其背后引擎产生的数据提炼出来，并推出安全联盟。安全联盟也应用了大数据，旨在借以庞大的恶意库，形成合力，让网络中的“坑蒙拐骗”行为无处藏身。现在，安全联盟已经获得百度、腾讯、金山等多家互联网和安全企业支持。而经过多年的积累，海量的库也已成为知道创宇的核心竞争力。

余弦告诉记者，未来，知道创宇将把控两个点：安全和大数据，并将二者结合，推动互联网变得更安全。其中，说到大数据，很容易陷入浮躁，只有踏踏实实把大数据发挥价值的的场景找到，贴合企业业务，才能让它真正落地。

题外话

问：“你为什么叫余弦？”

答：“我比较喜欢数学，余弦体现了我们团队理念：光有正义的心不会成功，一定要有一定邪气。团队骨子要正，但思想和做事方式一定要邪，要像黑客一样思考，Zoomeye就有邪气，不邪不能存活。”

问：“你对自己的定位是什么？黑客还是极客？”

（思考二十秒钟），笑，答：“这两个词不是非此即彼的，它们有交叉。我希望在研究问题的时候，像黑客一样思考；做产品的时候，像极客一样追求极致。”

问：“你对安全的理解？”

答：“我希望这个世界不是由不懂安全的人来主导。不论现实世界还是网络世界，都不能为了追求发展速度而不考虑安全。但有时这二者要平衡非常难。安全需要大众意识的整体提高，但人性弱点决定这个世界不可能完美。知道创宇希望能把安全理念向公众普及。”