Was ist der Ursprung der dunklen Wolken, die aus Ctrip und anderen Lecks ausgebrochen sind?

Um 18 Uhr am 23. März 2014 wurde die Wuyun-Schwachstelle (Wuyun.com) aufgedecktCtripDie sichere Schnittstelle des Zahlungsservers verfügt über eine Debugging-Funktion, die die Zahlungsaufzeichnungen des Nutzers speichern kann, einschließlich des Namens, der ID-Karte, der Bankkartennummer, des CVV-Codes, des sechsstelligen Kartenspeichers und weiterer Informationen. Aufgrund des Durchsickerns persönlicher Finanzinformationen hat dies große Besorgnis in allen Lebensbereichen ausgelöst, und andere Medien haben sich beeilt, darüber zu berichten, und es gibt unterschiedliche Meinungen.

Es ist zweifellos falsch und dumm, sensible Nutzerinformationen in Ctrips Logs zu speichern, und als die öffentliche Meinung Ctrip in den Vordergrund rückte, war der Autor sehr neugierig auf Wuyun.com. Betrachtet man die Geschichte der Offenbarungen von Wuyun.com, ist das schockierend:

10. Oktober 2013,Wie Zuhauseund weitere Informationen zur Hotelzimmeröffnung wurden durchgesickert; 20. November,Tencent70 MillionenQQGruppennutzerdaten wurden des Leaks beschuldigt; 26. November,360Schwachstellen beim Passwortwechsel durch beliebige Nutzer; Am 17. Februar 2014 waren die willkürlichen Login-Schwachstellen von Alipay/Yuebao gefährdet, die Konten der Internetnutzer waren gefährdet; Am 26. Februar 2014 führten die sensiblen Informationen von WeChat zu einer Schwachstelle, was dazu führte, dass viele Nutzervideos geleakt wurden, und die Auswirkungen waren vergleichbar mit denen von XX Gate......

Eine Reihe von Leaks hat Wuyun.com und diese ursprünglich unbekannte Website berühmt gemacht. Während die Menschen die unverantwortliche Leistung relevanter Unternehmen infrage stellen, sind sie auch voller Fragen zu Wuyun.com: Was für eine Plattform ist das, und warum kann sie die Schwachstellen großer Unternehmen in mehreren Zeiten offenlegen? Wie viele Geheimnisse verbergen sich hinter den dunklen Wolken?

Hinter den dunklen Wolken

WooYun wurde im Mai 2010 gegründet, und der Hauptgründer ist Fang Xiaodun, ein ehemaliger Sicherheitsexperte bei Baidu, ein bekannter inländischer Hacker "Jianxin", geboren 1987, der im Februar 2010 mit Robin Li an der Hunan Satellite TV-Sendung "Every Day Upward" teilnahm und bekannt wurde, weil seine Freundin ein Lied sang. Seitdem hat sich Fang Xiaodun mit mehreren Personen aus der Sicherheitsgemeinschaft zusammengeschlossen, um Wuyun.com zu gründen, mit dem Ziel, eine "freie und gleichberechtigte" Plattform zur Meldung von Schwachstellen zu werden.

In der Baidu-Enzyklopädie beschreibt sich Wuyun wie folgt: eine Plattform für Rückmeldungen zu Sicherheitsfragen, die zwischen Herstellern und Sicherheitsforschern angesiedelt ist und eine Plattform für das öffentliche Wohl, Lernen, Kommunikation und Forschung für Internetsicherheitsforscher bietet, während Feedback verarbeitet und zu Sicherheitsfragen nachgefasst wird.

Obwohl Wuyun sein Image als Drittpartei-Organisation zum Gemeinwohl aufgebaut hat, um das Vertrauen der weißen Hüte und der Gesellschaft zu gewinnen. Nach der Überprüfung ist Wuyun.com jedoch keine öffentliche Drittinstitution, sondern ein rein privates Unternehmen, und seine Einnahmen stammen aus den Offenbarkeitsregeln.

Für allgemeine Schwachstellen sind die Regeln der Wuyun.com wie folgt:

1. Nachdem der White Hat die Schwachstelle eingereicht und die Überprüfung bestanden hat, veröffentlicht Wuyun.com eine Zusammenfassung der Schwachstelle, einschließlich des Schwachstellentitels, des beteiligten Anbieters, des Schwachstellentyps und einer kurzen Beschreibung

2. Der Hersteller hat eine Bestätigungsfrist von 5 Tagen (wenn sie nicht innerhalb von 5 Tagen bestätigt wird, wird sie ignoriert, aber nicht offengelegt und direkt in 2 eingetragen);

3. Offenlegung an Sicherheitspartner nach 3 Tagen Bestätigung;

4. Offenlegung von Experten in Kern- und verwandten Bereichen nach 10 Tagen;

5. Nach 20 Tagen wird es den gewöhnlichen weißen Hüten offengelegt;

6. Offenlegung an Praktikanten mit weißen Hüten nach 40 Tagen;

7. Nach 90 Tagen für die Öffentlichkeit zugänglich;

Es ist bekannt, dass einige Sicherheitsdienstunternehmen, wenn sie eine bestimmte Gebühr an Wuyun.com zahlen, alle Schwachstellen ihrer Kunden im Voraus sehen können, und ist es legal, Schwachstelleninformationen ohne Erlaubnis des Kunden an das Dienstleistungsunternehmen weiterzugeben? Es ist erwähnenswert, dass die von Wuyun.com veröffentlichten Schwachstellentitel vollständig aus White-Hat-Einreichungen stammen, ohne jegliche Überprüfung oder Änderung, und einschüchternde Titel wie "kann zum Verlust von mehr als 1.000 Servern führen" und "fast 10 Millionen Nutzerdaten sind vom Leak bedroht" zahlreich sind.

Der Autor hat einige Geschichten von einem Freund gelernt, der seit vielen Jahren in der Sicherheitsbranche arbeitet:

1. Von Anfang an soll das Vorhandensein dunkler Wolken die Aufmerksamkeit aller Parteien auf Sicherheit lenken, was zweifellos wichtig ist.

2. Im Entwicklungsprozess gibt es bestimmte Unterschiede in den dunklen Wolken, die aus der Inkonsistenz der Wertorientierung der Insider resultieren können; Es kann einen Bildname, einen Gewinn oder einen Ruhm und Reichtum geben;

3. Diese Meinungsverschiedenheit macht die Offenlegung ihrer Verwundbarkeit zu einer ArtGetarnter Zwang (Chips), und wurden sogar zu einem Kolosseum für PK miteinander;

4. Im Prozess von 2 zu 3 haben die entsprechenden Branchenbehörden (Aufsicht) mehr oder weniger die Existenz dunkler Wolken akzeptiert (unterstützt).

Die Offenlegung von Schwachstellen ist noch mehr ein Karneval

In den Köpfen der breiten Öffentlichkeit sind Geheimnis und Gefahr gleichbedeutend mit Hacking. In der Hackerwelt werden jedoch hauptsächlich alle Hacker in zwei Typen eingeteilt: White Hats und Black Hats; diejenigen, die bereit sind, Unternehmen Schwachstellen zu melden und diese nicht böswillig auszunutzen, sind White Hats, während Black Hats ihren Lebensunterhalt damit verdienen, Informationen für Profit zu stehlen.

"Obwohl Wuyun eine Vertraulichkeitsfrist für die Offenlegung von Schwachstellen hat, muss ich mir die Details der Schwachstelle nicht ansehen. Jeder erfahrene Hacker kann sie gezielt testen, solange er den Titel und die Beschreibung der Schwachstelle liest, sodass es in den meisten Fällen nicht schwer ist, nach der Bekanntgabe der Schwachstelle die Details der Schwachstelle so schnell wie möglich zu erhalten. Z, ein Mitglied des Hacker-Kreises, das Dutzende von Schwachstellen in Wuyun eingereicht hat, sagte dem Autor: "Tatsächlich ist das, was du siehst, das, was wir spielen. ”

Der Entdecker von Ctrips Schwachstelle, "Pig Man", ist der höchstrangige White Hat in der dunklen Wolke, mit bis zu 125 veröffentlichten Schwachstellen. Am Abend des 22. März veröffentlichte Pigman zwei schwerwiegende Sicherheitslücken in Folge zu Ctrip, und in Pigmans bisheriger Bilanz hat er Schwachstellen vieler bekannter Unternehmen wie Tencent, Alibaba, NetEase, Youku und Lenovo veröffentlicht und ist ein regelrechter Hacker. Bezüglich der Identität von "Pig Man" wollte Z nichts weiter sagen und dem Autor nur verraten, dass Pig Man tatsächlich ein Insider von Wuyun.com war.

Eine Utopie für Hacker

"Da unautorisierte Black-Box-Sicherheitstests illegal sind, ist es im Kreis beliebt, dass Hacker Webseiten hacken, um Informationen zu stehlen, und schließlich, solange sie Schwachstellen bei Herstellern auf Wuyun.com vorlegen, können sie weißgewaschen werden."

Z zeigte dem Autor außerdem ein privates Forum auf Wuyun.com, das nur von geprüften White Hats zugänglich ist. Der Autor fand in diesem geheimen Forum heraus, dass es spezielle Diskussionsbereiche zu Themen wie der schwarzen Industrie, Online-Gewinnen und Cyberkriegen gibt. In dem Artikel "Revealing Wuyun.com", der im Dezember 2013 von Sina Technology veröffentlicht wurde, wurde Wuyun.com als "Chinas größte Hacker-Ausbildungsbasis" befragt, wie in der untenstehenden Abbildung gezeigt:

Ähnliche Themen gibt es im Forum zuhauf, und viele White Hats haben sich in ein Gewächshaus verwandelt, um Ausbeutungstechniken zu diskutieren, wie man diese Schlupflöcher nutzt, um die schwarze Industrie zu betreiben, und sich im Graubereich des Rechts zu bewegen.

Werden Sicherheitsverletzungen zur stärksten PR-Waffe im Internetzeitalter werden?

Mit der rasanten Entwicklung des Internets wird auch die inländische Untergrund-Schwarzindustrie-Kette immer größer, und Sicherheitslücken bedrohen wirklich die tatsächlichen Interessen aller.

Nachdem am 17. Februar 2014 die willkürliche Login-Lücke bei Alipay/Yuebao aufgedeckt worden war, griff Alibaba PR schnell an und verhängte eine Geldprämie von 5 Millionen Yuan, um die öffentliche Meinung zu decken. Seitdem gab es unzählige PR-Entwürfe über die schlechte Sicherheit von WeChat Pay und die gegenseitigen Verantwortlichkeiten von Alipay. Im Namen der Sicherheit steckt dahinter das Verbot und Anti-Verbot des Internet-Geschäftskriegs, der schwarzen Öffentlichkeitsarbeit und anti-schwarzer Vorfälle, die zunehmen und Wuyun.com eine Rolle dabei gespielt hat, dies anzuheizen.

Angesichts der beispiellosen gesellschaftlichen Besorgnis, die durch die fortwährenden Sicherheitsvorfälle, die von Wuyun.com offengelegt wurden, haben einige Experten kürzlich begonnen, zu hinterfragen, ob die Offenbarungsregeln von Wuyun.com legal sind: Die Medien berichten aufgrund der von Wuyun veröffentlichten Schwachstellentitel und kurzen Beschreibungen als verrückt. Wenn also jemand absichtlich falsche Schlupflöcher veröffentlicht, wird das zwangsläufig sehr negative Auswirkungen auf das Unternehmen haben – wer trägt diese Verantwortung? Betritt ein privates Unternehmen, das so viele Sicherheitslücken hat und die Offenlegung von Schwachstellen als Geschäftsmodell nutzt, selbst in der Grauzone des Gesetzes?

In ihrem Entwurf RFC2026 Responsible Vulnerability Disclosure Process erwähnt die Internet Working Group, dass "Reporter sicherstellen sollten, dass Schwachstellen echt sind." "Wenn die Schwachstelle jedoch auf Wuyun.com freigegeben und von der Enterprise bestätigt wird, kann die Authentizität und Genauigkeit der Schwachstelle nicht bekannt sein. Eine verantwortungsvolle Offenlegung von Sicherheitslücken sollte streng erfolgen, und jeder technische Mitarbeiter, der eine Schwachstelle findet, sollte das Ausmaß der Auswirkungen der Schwachstelle klar angeben, um keine unnötige öffentliche Panik wie diese Ctrip-Kreditkartentür zu verursachen, selbst wenn Wuyun.com aufgrund seiner eigenen Bedürfnisse auf Medienaufmerksamkeit und Hype hofft, aber es sollte auch erklärt werden, ob die geleakten Informationen verschlüsselt sind und welches Ausmaß der Auswirkungen aussieht, anstatt als sogenannte "Schlagzeilenpartei" Unternehmen im Namen der Sicherheit als Geiseln zu nehmen.

Die Offenlegung von Sicherheitslücken ist notwendig, was nicht nur für die Nutzer verantwortlich ist, sondern auch für die Überwachung der Unternehmenssicherheit, aber wie man wirklich eine verantwortungsvolle Offenlegung von Schwachstellen erreicht, ist eine Überlegung wert.