|
Kl. 18 den 23. marts 2014 blev Wuyun-sårbarhedsplatformen (Wuyun.com) afsløretCtripDen sikre betalingsservergrænseflade har en fejlsøgningsfunktion, der kan gemme brugerens betalingsoptegnelser, herunder kortholderens navn, ID-kort, bankkortnummer, kortets CVV-kode, 6-cifret kortbeholder og andre oplysninger. På grund af lækagen af personlige finansielle oplysninger har det vakt stor bekymring fra alle samfundslag, og andre medier har hastet med at rapportere det, og der er forskellige meninger. Det er uden tvivl forkert og dumt at gemme følsomme brugeroplysninger i Ctrips logs, og da den offentlige mening skubbede Ctrip i forgrunden, havde forfatteren en stærk nysgerrighed omkring Wuyun.com. Når man ser på historien bag Wuyun.com's sårbarhedsafsløringer, er det chokerende: 10. oktober 2013,Som hjemmeog anden information om hotelværelsesåbninger lækkede; 20. november,Tencent70 millionerQQgruppebrugerdata blev anklaget for lækage; 26. november,360Sårbarheder ved ændring af adgangskoder af vilkårlige brugere; Den 17. februar 2014 var Alipay/Yuebao-sårbarhed ved vilkårlig login, netbrugeres konti i fare; Den 26. februar 2014 lækkede WeChats følsomme oplysninger sårbarhed, hvilket resulterede i, at et stort antal brugervideoer blev lækket, og effekten var sammenlignelig med XX gate...... En række lækager har gjort Wuyun.com og denne oprindeligt ukendte hjemmeside berømt. Mens folk stiller spørgsmålstegn ved de relevante virksomheders uansvarlige præstation, er de også fulde af spørgsmål om Wuyun.com: Hvilken slags platform er dette, og hvorfor kan den afsløre sårbarhederne hos store virksomheder på flere tidspunkter? Hvor mange hemmeligheder er der bag de mørke skyer? Bag de mørke skyer WooYun blev grundlagt i maj 2010, og hovedstifteren er Fang Xiaodun, en tidligere sikkerhedsekspert hos Baidu, en kendt indenlandsk hacker "Jianxin" født i 1987, som deltog i Hunan Satellite TVs program "Every Day Upward" med Robin Li i februar 2010, og blev kendt fordi hans kæreste sang en sang. Siden da har Fang Xiaodun slået sig sammen med flere personer i sikkerhedsmiljøet for at etablere Wuyun.com med målet om at blive en "fri og lige" platform for rapportering af sårbarheder. I Baidu-encyklopædien beskriver Wuyun sig selv således: en platform for feedback på sikkerhedsspørgsmål placeret mellem producenter og sikkerhedsforskere, som tilbyder en platform for offentlig velfærd, læring, kommunikation og forskning for internetsikkerhedsforskere, mens feedbackbehandling og opfølgning på sikkerhedsspørgsmål foregår. Selvom Wuyun har opbygget sit image som en tredjepartsorganisation for offentlig velfærd for at vinde tillid hos de hvide hatte og samfundet. Efter verifikation er Wuyun.com dog ikke en offentlig tredjepartsinstitution, men et rent privat selskab, og dens indtægter stammer fra dens regler for sårbarhedsoplysning. For generelle sårbarheder er reglerne for Wuyun.com som følger: 1. Efter at white hat'en har indsendt sårbarheden og bestået gennemgangen, vil Wuyun.com offentliggøre et resumé af sårbarheden, inklusive sårbarhedstitel, involveret leverandør, sårbarhedstype og kort beskrivelse 2. Producenten har en bekræftelsesperiode på 5 dage (hvis det ikke bekræftes inden for 5 dage, ignoreres det, men det vil ikke blive oplyst, og det vil blive direkte indtastet i 2); 3. Videregivelse til sikkerhedspartnere efter 3 dages bekræftelse; 4. Oplyse til eksperter inden for kerne- og beslægtede områder efter 10 dage; 5. Efter 20 dage vil det blive afsløret for almindelige hvide hatte; 6. Oplysning til praktikanter med hvide hatte efter 40 dage; 7. Tilgængelig for offentligheden efter 90 dage; Det forstås, at når nogle sikkerhedstjenestefirmaer betaler et bestemt gebyr til Wuyun.com, kan de på forhånd se alle deres kunders sårbarheder, og er det lovligt at lække sårbarhedsoplysninger til servicevirksomheden uden kundens tilladelse? Det er værd at nævne, at sårbarhedstitlerne, der udgives af Wuyun.com, udelukkende stammer fra white hat-indsendelser, uden nogen gennemgang og ændring, og skræmmende titler som "kan føre til faldet af mere end 1.000 servere" og "næsten 10 millioner brugerdata er i fare for lækage" er udbredt. Forfatteren lærte nogle historier fra en ven, der har arbejdet i sikkerhedsbranchen i mange år: 1. Fra begyndelsen skal eksistensen af mørke skyer vække alles opmærksomhed på sikkerhed, hvilket uden tvivl er vigtigt. 2. I udviklingsprocessen er der visse forskelle i de mørke skyer, som kan stamme fra inkonsistens i værdiorienteringen hos insidere; Der kan være et billedenavn, eller en profit, eller et billede af berømmelse og formue; 3. Denne uenighed gør sårbarhedsoplysningen en slagsForklædt tvang (chips), og blev endda et colosseum for PK sammen; 4. I processen fra 2 til 3 accepterede de tilsvarende branchemyndigheder (tilsyn) mere eller mindre eksistensen af mørke skyer. Afsløringen af sårbarheder er endnu mere et karneval I offentlighedens sind er mystik og fare synonymt med hacking. Men i hackerverdenen klassificeres alle hackere hovedsageligt i to typer: white hats og black hats, dem der er villige til at annoncere sårbarheder til virksomheder og ikke ondsindet udnytter dem, er white hats, mens black hats lever af at stjæle information for profit. "Selvom Wuyun har en fortrolighedsperiode for at afsløre sårbarheder, behøver jeg faktisk ikke at se detaljerne om sårbarheden. Enhver erfaren hacker kan teste den målrettet, så længe han læser sårbarhedens titel og beskrivelse, så i de fleste tilfælde, når sårbarheden er annonceret, er det ikke svært at få detaljerne om sårbarheden så hurtigt som muligt. Z, et medlem af hacker-kredsen, som har indsendt dusinvis af sårbarheder i Wuyun, sagde til forfatteren: "Faktisk er det, du ser, det, vi spiller. ” Opdageren af Ctrips sårbarhed, "Pig Man", er den højest rangerede white hat i den mørke sky, med op til 125 sårbarheder frigivet. Om aftenen den 22. marts offentliggjorde Pigman to alvorlige sikkerhedssårbarheder om Ctrip i træk, og i Pigmans tidligere rekord har han frigivet sårbarheder i mange velkendte virksomheder, herunder Tencent, Alibaba, NetEase, Youku og Lenovo, og han er en sand hacker. Med hensyn til hvem "Pig Man" er, ønskede Z ikke at sige mere, men afslørede kun for forfatteren, at Pig Man faktisk var en insider i Wuyun.com. En utopi for hackere "Fordi uautoriseret black box-sikkerhedstest er ulovligt, er det populært i kredsen, at hackere hacker hjemmesider for at stjæle information, og til sidst, så længe de indsender sårbarheder til producenter på Wuyun.com, kan de hvidvaskes." Z viste også forfatteren et privat forum på Wuyun.com, som kun kan tilgås af godkendte white hats. Forfatteren fandt i dette hemmelige forum, at der findes særlige diskussionssektioner om emner som sort industri, online indtjening og cyberkrige. I artiklen "Revealing Wuyun.com" udgivet af Sina Technology i december 2013 blev Wuyun.com udfordret som "Kinas største hackertræningsbase", som vist i figuren nedenfor: Lignende emner florerer i forummet, og mange hvide hatte er blevet til et drivhus til at diskutere udnyttelsesteknikker, hvordan man bruger disse smuthuller til at drive sort industri, og at bevæge sig i lovens gråzone. Vil sikkerhedsbrud blive det mest magtfulde PR-våben i internettets tidsalder? Med internettets hurtige udvikling bliver den indenlandske undergrunds sorte industrikæde også stadig større, og sikkerhedssårbarheder truer virkelig alles reelle interesser. Efter at Alipay/Yuebaos vilkårlige login-smuthul blev afsløret den 17. februar 2014, angreb Alibaba PR hurtigt og udstedte en kontant dusør på 5 millioner yuan for at dække den offentlige mening. Siden da har der været utallige PR-udkast om den dårlige sikkerhed ved WeChat Pay og Alipays fælles ansvar. I sikkerhedens navn ligger der bag det forbud og anti-forbud mod internetindustrien, black public relations og anti-sorte hændelser, som intensiveres, og Wuyun.com har spillet en rolle i at fremme det. I lyset af den hidtil usete sociale bekymring, som de vedvarende sikkerhedshændelser, som Wuyun.com har oplyst, har nogle eksperter for nylig begyndt at stille spørgsmål ved, om Wuyun.com's regler for sårbarhedsoplysning er lovlige: medierne rapporterer som vanvittige baseret på sårbarhedstitlerne og korte beskrivelser, som Wuyun har offentliggjort. Så hvis nogen bevidst offentliggør falske smuthuller, vil det uundgåeligt have en meget dårlig indvirkning på virksomheden – hvem skal så bære dette ansvar? Er en privat virksomhed, der har så mange sikkerhedssårbarheder og bruger sårbarhedsoplysning som forretningsmodel, selv ved at træde ind i lovens gråzone? I sit udkast RFC2026 Responsible Vulnerability Disclosure Process nævner Internet Working Group, at "journalister bør sikre, at sårbarhederne er ægte." "Men når sårbarheden frigives på Wuyun.com og bekræftes af Enterprise, kan sårbarhedens ægthed og nøjagtighed ikke fastslås. Ansvarlig oplysning af sikkerhedssårbarheder bør være grundig, og enhver teknisk medarbejder, der finder en sårbarhed, bør klart angive omfanget af sårbarhedens indvirkning for ikke at skabe unødig offentlig panik, som denne Ctrip-kreditkortdør, selvom Wuyun.com er ængstelig for medieeksponering og hype på grund af sine egne behov, men det bør også forklare, om de lækkede oplysninger er krypteret, og hvad omfanget af konsekvenserne er, i stedet for at blive en såkaldt "headline party" og holde virksomheder som gidsler i sikkerhedens navn. Oplysning af sikkerhedssårbarheder er nødvendig, hvilket ikke kun er ansvarligt for brugerne, men også for overvågningen af virksomhedens sikkerhed, men hvordan man virkelig opnår ansvarlig oplysning af sårbarheder, er værd at overveje.
| 
Opslået på 26/09/2015 16.41.22
|
|
|
|
