Какъв е произходът на тъмните облаци, които се появиха от Ctrip и други изтичания?

В 18:00 ч. на 23 март 2014 г. платформата за уязвимост на Wuyun (Wuyun.com) беше разкритаКрипсИнтерфейсът на сигурния платежен сървър има функция за отстраняване на грешки, която може да запази платежните записи на потребителя, включително името на притежателя на картата, лична карта, номер на банкова карта, CVV код на картата, 6-цифрен кош за карти и друга информация. Поради изтичането на лична финансова информация, това предизвика силна загриженост от всички сфери на обществото, а други медии побързаха да го съобщят, като има различни мнения.

Безспорно е грешно и глупаво да се съхранява чувствителна потребителска информация в логовете на Ctrip, и когато общественото мнение го изведе на преден план, авторът прояви силно любопитство към Wuyun.com. Когато погледнем историята на разкритията на уязвимости на Wuyun.com, това е шокиращо:

10 октомври 2013 г.,Като у домаи изтекла информация за откриването на хотелски стаи; 20 ноември,Tencent70 милионаQQДанни на групови потребители бяха обвинени в изтичане; 26 ноември,360Уязвимости при смяна на пароли от произволни потребители; На 17 февруари 2014 г., поради произволна уязвимост към входа на Alipay/Yuebao, акаунтите на потребителите бяха изложени на риск; На 26 февруари 2014 г. чувствителната информация на WeChat изтече уязвимост, което доведе до изтичане на голям брой потребителски видеа, а въздействието беше сравнимо с XX gate......

Серия от изтичания на информация направиха Wuyun.com и този първоначално неизвестен уебсайт известен. Докато хората поставят под въпрос безотговорното представяне на съответните компании, те са пълни и с въпроси за Wuyun.com: Каква платформа е това и защо може да разкрие уязвимостите на големите компании в поредица от случаи? Колко тайни има зад тъмните облаци?

Зад тъмните облаци

WooYun е основана през май 2010 г., а основният основател е Фан Сяодун, бивш експерт по сигурността в Baidu, известен местен хакер "Джиансин", роден през 1987 г., който участва в програмата на Hunan Satellite TV "Every Day Upward" с Робин Ли през февруари 2010 г. и стана известен, защото приятелката му изпя песен. Оттогава Fang Xiaodun се обедини с няколко души от охранителната общност, за да създаде Wuyun.com с цел да стане "свободна и равноправна" платформа за докладване на уязвимости.

В Baidu Encyclopedia, Wuyun се описва така: платформа за обратна връзка по проблеми със сигурността, разположена между производители и изследователи по сигурността, предоставяща платформа за обществено благосъстояние, учене, комуникация и изследвания за изследователи в областта на интернет сигурността, докато обработват обратна връзка и проследяват въпроси на сигурността.

Въпреки това Уюн е изградил имиджа си на трета страна за обществено благо, за да спечели доверието на белите шапки и обществото. Въпреки това, след проверката, Wuyun.com не е публична институция на трета страна, а изцяло частна компания, а приходите ѝ идват от правилата за разкриване на уязвимости.

За общи уязвимости правилата на Wuyun.com са следните:

1. След като бялата шапка подаде уязвимостта и премине прегледа, Wuyun.com ще публикува обобщение на уязвимостта, включително заглавието на уязвимостта, участващия доставчик, типа уязвимост и кратко описание

2. Производителят има 5-дневен период за потвърждение (ако не бъде потвърдено в рамките на 5 дни, ще бъде игнорирано, но няма да бъде разкрито и ще бъде директно въведено в 2 дни);

3. Разкриване на партньори по сигурността след 3 дни потвърждение;

4. Да разкрие информация пред експерти в основните и сродни области след 10 дни;

5. След 20 дни ще бъде разкрито на обикновените бели шапки;

6. Разкриване на информация за стажантите след 40 дни;

7. Достъпен за обществеността след 90 дни;

Разбира се, че когато някои компании за сигурност плащат определена такса на Wuyun.com, те могат предварително да видят всички уязвимости на своите клиенти, и законно ли е да се изтече информация за уязвимост на обслужващата компания без разрешението на клиента? Струва си да се спомене, че заглавията с уязвимости, публикувани от Wuyun.com, са изцяло от white hat подадени материали, без никакъв преглед и модификация, а заплашителни заглавия като "може да доведе до падане на над 1 000 сървъра" и "близо 10 милиона потребителски данни са изложени на риск от изтичане".

Авторът научи някои истории от приятел, който работи в охранителната индустрия от много години:

1. От самото начало съществуването на тъмните облаци е за да привлече вниманието на всички страни към безопасността, което несъмнено е важно.

2. В процеса на развитие съществуват определени разлики в тъмните облаци, които може да произтичат от несъответствието в ориентацията към стойността на вътрешните лица; Може да има име на картина, печалба или филмова слава и богатство;

3. Това несъгласие прави разкриването на уязвимостта си видПрикритие на принуда (чипс), и дори се превърна в колизеум за PK заедно;

4. В процеса от 2 към 3, съответните индустриални власти (надзор) повече или по-малко се съгласиха (подкрепяха) съществуването на тъмни облаци.

Разкриването на уязвимости е още по-голямо карнавал

В съзнанието на широката публика мистерията и опасността са синоними на хакерство. Въпреки това, в света на хакерите всички хакери се класифицират основно в два типа: бели шапки и черни шапки; тези, които са готови да обявят уязвимости пред предприятия и не експлоатират злонамерено уязвимости, са бели шапки, докато черните шапки изкарват прехраната си чрез кражба на информация за печалба.

"Въпреки че Уюн има период на поверителност за разкриване на уязвимости, всъщност не ми се налага да разглеждам детайлите на уязвимостта. Всеки опитен хакер може да я тества целенасочено, стига да прочете заглавието и описанието на уязвимостта, така че в повечето случаи, след като уязвимостта бъде обявена, не е трудно да се получат подробностите за уязвимостта възможно най-скоро. З, член на хакерския кръг, който е изпратил десетки уязвимости в Wuyun, каза на автора: "Всъщност, това, което виждате, е това, което ние играем. ”

Откривателят на уязвимостта на Трип, "Свинският човек", е най-високо класираният бял човек в тъмния облак, с до 125 разкрити уязвимости. Вечерта на 22 март Pigman публикува две сериозни уязвимости в сигурността на Ctrip поред, а в предишния си опит той е разкрил уязвимости на много известни предприятия, включително Tencent, Alibaba, NetEase, Youku и Lenovo, и е истински хакер. Относно това кой е "Pig Man", Z не искаше да казва повече, а само разкри на автора, че Pig Man всъщност е вътрешен човек на Wuyun.com.

Утопия за хакери

"Тъй като неоторизираното тестване на черна кутия за сигурност е незаконно, в кръга е популярно хакерите да хакват уебсайтове, за да крадат информация, и накрая, докато предоставят уязвимости на производители в Wuyun.com, те могат да бъдат замаскирани."

З също показа на автора частен форум в Wuyun.com, достъпен само от проверени бели шапки. Авторът откри в този таен форум, че има специални секции за дискусии по теми като черната индустрия, онлайн печалбите и кибервойните. В статията "Разкриване на Wuyun.com", публикувана от Sina Technology през декември 2013 г., Wuyun.com беше поставен под въпрос като "най-голямата база за обучение на хакери в Китай", както е показано на фигурата по-долу:

Подобни теми изобилстват във форума, а много бели шапки са се превърнали в оранжерия, за да обсъждат техники за експлоатация, как да се използват тези вратички за черната индустрия и да се лутат в сивата зона на закона.

Ще се превърнат ли пробивите в сигурността най-мощното оръжие за връзки с обществеността в ерата на интернет?

С бързото развитие на интернет, вътрешната нелегална черна индустрия също става все по-голяма, а уязвимостите в сигурността наистина застрашават реалните интереси на всички.

След като на 17 февруари 2014 г. произволният пропуск в входа на Alipay/Yuebao беше разкрит, Alibaba PR бързо атакува и изтегли парична награда от 5 милиона юана, за да покрие общественото мнение. Оттогава има безброй пиар проекти за лошата сигурност на WeChat Pay и взаимните отговорности на Alipay. В името на сигурността, зад нея стои забраната и антизабраната на интернет бизнес войната, връзките с чернокожите и античерните инциденти, които се засилват и Wuyun.com е изиграл роля в нейното подхранване.

С оглед на безпрецедентната социална загриженост, причинена от непрекъснатите инциденти със сигурността, разкрити от Wuyun.com, някои експерти наскоро започнаха да поставят под въпрос дали правилата за разкриване на уязвимости на Wuyun.com са законни: медийните доклади са безумни въз основа на заглавията и кратките описания, публикувани от Уюн. Така че, ако някой умишлено публикува фалшиви вратички, това неизбежно ще има много лошо въздействие върху предприятието, кой ще поеме тази отговорност? Дали частна компания, която има толкова много уязвимости в сигурността и използва разкриването на уязвимости като свой бизнес модел, сама по себе си навлиза в сивата зона на закона?

В своя проект RFC2026 Отговорен процес за разкриване на уязвимости, Интернет работната група споменава, че "репортерите трябва да гарантират, че уязвимостите са автентични." "Въпреки това, когато уязвимостта бъде публикувана на Wuyun.com и потвърдена от предприятието, автентичността и точността ѝ не могат да бъдат известни. Отговорното разкриване на уязвимост в сигурността трябва да бъде стриктно, а всеки технически работник, който открие уязвимост, трябва ясно да посочи обхвата на въздействието ѝ, за да не предизвика ненужна обществена паника, като тази врата на кредитната карта Ctrip, дори ако Wuyun.com е притеснен от медийно излагане и шум поради собствените си нужди, но също така трябва да обясни дали изтеклата информация е криптирана и какъв е обхватът на въздействието, вместо да се превръща в т.нар. "заглавна страна" и да държи предприятията като заложници в името на сигурността.

Разкриването на уязвимостите в сигурността е необходимо, което не само носи отговорност за потребителите, но и за надзора на корпоративната сигурност, но как наистина да се постигне отговорно разкриване на уязвимостите си заслужава да се обмисли.