Jaký je původ temných mraků, které se objevily v Ctripu a dalších únikech?

V 18:00 dne 23. března 2014 byla platforma Wuyun pro zranitelnosti (Wuyun.com) odhalenaCtripRozhraní bezpečného platebního serveru má ladicí funkci, která dokáže uložit platební záznamy uživatele, včetně jména držitele karty, občanského průkazu, čísla bankovní karty, kódu CVV karty, 6místného zásobníku karet a dalších informací. Kvůli úniku osobních finančních informací to vyvolalo silné obavy ze všech oblastí života a další média o tom spěchala informovat, a existují různé názory.

Je bezpochyby špatné a hloupé uchovávat citlivé uživatelské informace v Ctripových záznamech, a když veřejné mínění posunulo Ctripa do popředí, autor měl silný zájem o Wuyun.com. Při pohledu na historii zveřejňování zranitelnosti Wuyun.com je to šokující:

10. října 2013,Jako domaa další informace o otevírání hotelových pokojů unikly; 20. listopadu,Tencent70 milionůQQUživatelská data skupiny byla obviněna z úniku; 26. listopadu,360Zranitelnosti při změně hesel libovolnými uživateli; Dne 17. února 2014 byla ohrožena zranitelnost Alipay/Yuebao při libovolném přihlášení a účtech uživatelů internetu; Dne 26. února 2014 unikla citlivá informace WeChatu zranitelnost, což vedlo k úniku velkého množství uživatelských videí a dopad byl srovnatelný s XX gate......

Série úniků Wuyun.com a tento původně neznámý web proslavila. Zatímco lidé zpochybňují nezodpovědný výkon relevantních firem, zároveň se ptají na Wuyun.com: Jaký druh platformy to je a proč dokáže odhalit zranitelnosti velkých firem v několika časech? Kolik tajemství se skrývá za temnými mraky?

Za temnými mraky

WooYun byla založena v květnu 2010 a hlavním zakladatelem je Fang Xiaodun, bývalý bezpečnostní expert z Baidu, známý domácí hacker "Jianxin" narozený v roce 1987, který se v únoru 2010 zúčastnil programu Hunan Satellite TV "Every Day Upward" s Robinem Lim a stal se známým díky své přítelkyni, která mu zazpívala píseň. Od té doby Fang Xiaodun spojil síly s několika lidmi z bezpečnostní komunity, aby založili Wuyun.com s cílem stát se "svobodnou a rovnocennou" platformou pro hlášení zranitelností.

V Baidu Encyclopedia se Wuyun popisuje následovně: platforma pro zpětnou vazbu k bezpečnostním problémům mezi výrobci a bezpečnostními výzkumníky, poskytující platformu pro veřejné blaho, vzdělávání, komunikaci a výzkum pro výzkumníky internetové bezpečnosti při zpracování zpětné vazby a následném sledování bezpečnostních otázek.

Ačkoliv si Wuyun vybudoval image jako třetí strana pro veřejné blaho, aby získal důvěru bílých klobouků a společnosti. Po ověření však Wuyun.com není veřejnou institucí třetí strany, ale čistě soukromou společností a její příjmy pocházejí z pravidel zveřejňování zranitelnosti.

Pro obecné zranitelnosti jsou pravidla Wuyun.com následující:

1. Po předložení zranitelnosti a úspěšném posouzení bílým kloboukem Wuyun.com zveřejní shrnutí zranitelnosti, včetně názvu zranitelnosti, zapojeného dodavatele, typu zranitelnosti a stručného popisu

2. Výrobce má pětidenní potvrzení (pokud není potvrzeno do 5 dnů, bude to ignorováno, ale nebude zveřejněno a bude to přímo zadáno do 2);

3. Oznámení bezpečnostním partnerům po 3 dnech od potvrzení;

4. Sdělit odborníkům v klíčových a příbuzných oborech po 10 dnech;

5. Po 20 dnech bude zveřejněn běžným bílým kloboukům;

6. Oznámení stážistům bílých klobouků po 40 dnech;

7. Dostupný veřejnosti po 90 dnech;

Je známo, že když některé bezpečnostní společnosti zaplatí určitý poplatek Wuyun.com, mohou předem vidět všechny zranitelnosti svých zákazníků, a je legální uniknout informace o zranitelnostech servisní společnosti bez souhlasu zákazníka? Stojí za zmínku, že tituly o zranitelnostech publikované Wuyun.com jsou zcela z bílých klobouků, bez jakékoliv kontroly a úprav, a zastrašující titulky jako "mohou vést ke zkáze více než 1 000 serverů" a "téměř 10 milionů uživatelských dat je ohroženo únikem" jsou všudypřítomné.

Autor se dozvěděl několik příběhů od přítele, který v bezpečnostním průmyslu pracuje mnoho let:

1. Od počátku má existence temných mraků vzbudit pozornost všech stran na bezpečnost, což je bezpochyby důležité.

2. V procesu vývoje existují určité rozdíly v temných mracích, které mohou vyplývat z nekonzistence hodnotové orientace insiderů; Může tam být jméno obrázku, zisk nebo sláva a bohatství na obrázku;

3. Tento nesouhlas činí z jeho zveřejnění zranitelnosti druhMaskované donucení (čipy), a dokonce se stali koloseem PK mezi sebou;

4. V procesu od 2 do 3 příslušné průmyslové orgány (dohled) víceméně souhlasily (podporovaly) existenci temných mraků.

Odhalení zranitelností je ještě větší karneval

V očích široké veřejnosti jsou tajemství a nebezpečí synonymem hackování. Nicméně ve světě hackování jsou všichni hackeři rozděleni hlavně do dvou typů: bílé klobouky a černé klobouky, kteří jsou ochotni oznamovat zranitelnosti podnikům a nezlomyslně je zneužívat, jsou bílí kloboukci, zatímco černí klobouci se živí krádeží informací pro zisk.

"Ačkoliv má Wuyun pro zveřejnění zranitelností uzavřenou lhůtu důvěrnosti, ve skutečnosti se nemusím dívat na detaily zranitelnosti. Každý zkušený hacker může testovat cílově zranitelnost, pokud si přečte název a popis zranitelnosti, takže ve většině případů, jakmile je zranitelnost oznámena, není těžké získat podrobnosti o zranitelnosti co nejdříve. Z, člen hackerského kruhu, který v Wuyunu zadal desítky zranitelností, řekl autorovi: "Ve skutečnosti to, co vidíte, je to, co hrajeme. ”

Objevitel Ctripovy zranitelnosti, "Prasečí muž", je nejvýše postaveným bílým kloboukem v temném mraku, s až 125 uvolněnými zranitelnostmi. Večer 22. března Pigman zveřejnil dvě vážné bezpečnostní zranitelnosti o Ctripovi za sebou a v předchozím záznamu Pigmana zveřejnil zranitelnosti mnoha známých firem včetně Tencent, Alibaba, NetEase, Youku a Lenovo, a je skutečným hackerem. Co se týče toho, kdo je "Prasečí muž", Z nechtěl říkat víc, pouze autorovi prozradil, že Prasečí muž byl ve skutečnosti zasvěcen Wuyun.com.

Utopie pro hackery

"Protože neautorizované testování černé skříňky je nelegální, je v kruhu populární, že hackeři hackují webové stránky, aby ukradli informace, a nakonec, pokud na Wuyun.com otisknou zranitelnosti výrobcům, mohou být vymazány."

Z také ukázal autorovi soukromé fórum na Wuyun.com, které mají přístup pouze prověření bílí kloboukáři. Autor na tomto tajném fóru zjistil, že existují speciální diskusní sekce na témata jako černý průmysl, online výdělky a kybernetické války. V článku "Revealing Wuyun.com" vydaném Sina Technology v prosinci 2013 byl Wuyun.com zpochybněn jako "největší čínská výcviková základna pro hackery", jak ukazuje obrázek níže:

Podobná témata se objevují i na fóru a mnoho bílých klobouků se proměnilo v skleník, kde diskutují o vykořisťovacích technikách, jak využít tyto mezery k černošskému průmyslu a bloudit v šedé zóně práva.

Stanou se bezpečnostní úniky nejsilnější zbraní public relations v internetovém věku?

S rychlým rozvojem internetu se domácí podzemní řetězec černého průmyslu také stále zvětšuje a bezpečnostní zranitelnosti skutečně ohrožují skutečné zájmy všech.

Poté, co byla 17. února 2014 odhalena svévolná přihlašovací mezera Alipay/Yuebao, Alibaba PR rychle zaútočila a vypsala finanční odměnu 5 milionů jüanů na pokrytí veřejného mínění. Od té doby vzniklo nekonečné PR návrhy o špatné bezpečnosti WeChat Pay a vzájemných odpovědností Alipay. Ve jménu bezpečnosti za tím stojí zákaz a proti-ban internetové obchodní války, černošské PR a protičerné incidenty, které se stupňují a Wuyun.com sehrála roli v jejich podněcování.

Vzhledem k bezprecedentnímu společenskému znepokojení způsobenému neustálými bezpečnostními incidenty zveřejněnými Wuyun.com někteří odborníci v poslední době začali zpochybňovat, zda jsou pravidla Wuyun.com pro zveřejňování zranitelností legální: média informují o šílených zprávách na základě názvů zranitelností a stručných popisů publikovaných Wuyunem. Takže pokud někdo úmyslně zveřejní falešné mezery, nevyhnutelně to bude mít velmi špatný dopad na podnik, kdo ponese tuto odpovědnost? Vstupuje soukromá společnost, která má tolik bezpečnostních zranitelností a používá zveřejňování zranitelností jako svůj obchodní model, sama šedou zónu zákona?

Ve svém návrhu RFC2026 Odpovědném procesu zveřejňování zranitelností Internet Working Group uvádí, že "reportéři by měli zajistit, že zranitelnosti jsou skutečné." "Nicméně když je zranitelnost zveřejněna na Wuyun.com a potvrzena Enterprise, pravost a přesnost zranitelnosti nelze znát. Odpovědné zveřejňování bezpečnostních zranitelností by mělo být důsledné a každý technik, který zranitelnost narazí, by měl jasně uvést rozsah jejího dopadu, aby nezpůsobil zbytečnou paniku veřejnosti, jako je třeba u dveří kreditní karty Ctrip, i když Wuyun.com z vlastních důvodů očekává mediální pozornost a hype, ale zároveň by mělo vysvětlit, zda jsou uniklé informace zašifrované a jaký je rozsah dopadu, místo aby se stalo takzvanou "hlavní stranou" a drželo podniky jako rukojmí ve jménu bezpečnosti.

Zveřejňování bezpečnostních zranitelností je nezbytné, což je zodpovědné nejen za uživatele, ale také za dohled nad podnikovou bezpečností, ale stojí za zamyšlení, jak skutečně dosáhnout odpovědného zveřejňování zranitelností.