Ποια είναι η προέλευση των μαύρων νεφών που ξέσπασαν από το Ctrip και άλλες διαρροές;

Στις 6 μ.μ. της 23ης Μαρτίου 2014, η πλατφόρμα ευπάθειας Wuyun (Wuyun.com) εκτέθηκεΤριπΗ ασφαλής διεπαφή διακομιστή πληρωμών διαθέτει μια λειτουργία εντοπισμού σφαλμάτων που μπορεί να αποθηκεύσει τα αρχεία πληρωμών του χρήστη, συμπεριλαμβανομένου του ονόματος του κατόχου της κάρτας, της ταυτότητας, του αριθμού τραπεζικής κάρτας, του κωδικού CVV της κάρτας, του 6ψήφιου κάδου καρτών και άλλων πληροφοριών. Λόγω της διαρροής προσωπικών οικονομικών πληροφοριών, έχει προκαλέσει έντονη ανησυχία από όλα τα κοινωνικά στρώματα και άλλα μέσα έσπευσαν να το αναφέρουν και υπάρχουν διαφορετικές απόψεις.

Είναι αναμφίβολα λάθος και ανόητο να αποθηκεύονται ευαίσθητες πληροφορίες χρηστών στα αρχεία καταγραφής του Ctrip και όταν η κοινή γνώμη ώθησε το Ctrip στο προσκήνιο, ο συγγραφέας είχε έντονη περιέργεια για Wuyun.com. Κοιτάζοντας το ιστορικό των αποκαλύψεων ευπάθειας του Wuyun.com, είναι συγκλονιστικό:

10 Οκτωβρίου 2013,Σαν στο σπίτι σαςκαι άλλες πληροφορίες για το άνοιγμα δωματίων ξενοδοχείου διέρρευσαν. 20 Νοεμβρίου,Τένσεντ70 εκατομμύριαQQΤα δεδομένα των χρηστών της ομάδας κατηγορήθηκαν για διαρροή. 26 Νοεμβρίου,360Τρωτά σημεία στην αλλαγή κωδικών πρόσβασης από αυθαίρετους χρήστες. Στις 17 Φεβρουαρίου 2014, ευπάθεια αυθαίρετης σύνδεσης Alipay/Yuebao, οι λογαριασμοί των χρηστών του Διαδικτύου κινδύνευαν. Στις 26 Φεβρουαρίου 2014, οι ευαίσθητες πληροφορίες του WeChat διέρρευσαν ευπάθεια, με αποτέλεσμα να διαρρεύσει μεγάλος αριθμός βίντεο χρηστών και ο αντίκτυπος ήταν συγκρίσιμος με την πύλη XX......

Μια σειρά από διαρροές έχουν κάνει Wuyun.com και αυτόν τον αρχικά άγνωστο ιστότοπο διάσημο. Ενώ οι άνθρωποι αμφισβητούν την ανεύθυνη απόδοση των σχετικών εταιρειών, είναι επίσης γεμάτοι ερωτήσεις σχετικά με Wuyun.com: Τι είδους πλατφόρμα είναι αυτή και γιατί μπορεί να εκθέσει τα τρωτά σημεία των μεγάλων εταιρειών σε μια σειρά από φορές; Πόσα μυστικά κρύβονται πίσω από τα μαύρα σύννεφα;

Πίσω από τα μαύρα σύννεφα

Η WooYun ιδρύθηκε τον Μάιο του 2010 και ο κύριος ιδρυτής είναι ο Fang Xiaodun, πρώην ειδικός σε θέματα ασφάλειας στην Baidu, ένας γνωστός εγχώριος χάκερ "Jianxin" που γεννήθηκε το 1987, ο οποίος συμμετείχε στο πρόγραμμα "Every Day Upward" της Hunan Satellite TV με τον Robin Li τον Φεβρουάριο του 2010 και έγινε γνωστός επειδή η κοπέλα του τραγούδησε ένα τραγούδι. Έκτοτε, ο Fang Xiaodun ένωσε τις δυνάμεις του με πολλά άτομα στην κοινότητα ασφαλείας για να δημιουργήσει Wuyun.com, με στόχο να γίνει μια «ελεύθερη και ισότιμη» πλατφόρμα αναφοράς ευπάθειας.

Στην Εγκυκλοπαίδεια Baidu, ο Wuyun περιγράφει τον εαυτό του ως εξής: μια πλατφόρμα ανατροφοδότησης θεμάτων ασφάλειας που βρίσκεται μεταξύ κατασκευαστών και ερευνητών ασφάλειας, παρέχοντας μια πλατφόρμα για τη δημόσια ευημερία, τη μάθηση, την επικοινωνία και την έρευνα για τους ερευνητές ασφάλειας στο Διαδίκτυο, ενώ παράλληλα επεξεργάζεται ανατροφοδότηση και παρακολουθεί θέματα ασφάλειας.

Αν και ο Wuyun έχει χτίσει την εικόνα του ως τρίτος οργανισμός για τη δημόσια ευημερία για να κερδίσει την εμπιστοσύνη των λευκών καπέλων και της κοινωνίας. Ωστόσο, μετά από επαλήθευση, η Wuyun.com δεν είναι δημόσιο τρίτο ίδρυμα, αλλά αμιγώς ιδιωτική εταιρεία και τα έσοδά της προέρχονται από τους κανόνες γνωστοποίησης ευπάθειας.

Για γενικές ευπάθειες, οι κανόνες Wuyun.com είναι οι εξής:

1. Αφού το white hat υποβάλει την ευπάθεια και περάσει τον έλεγχο, Wuyun.com θα δημοσιεύσει μια περίληψη της ευπάθειας, συμπεριλαμβανομένου του τίτλου της ευπάθειας, του εμπλεκόμενου προμηθευτή, του τύπου ευπάθειας και της σύντομης περιγραφής

2. Ο κατασκευαστής έχει περίοδο επιβεβαίωσης 5 ημερών (εάν δεν επιβεβαιωθεί εντός 5 ημερών, θα αγνοηθεί, αλλά δεν θα αποκαλυφθεί και θα εισαχθεί απευθείας στο 2).

3. Γνωστοποίηση στους συνεργάτες ασφαλείας μετά από 3 ημέρες επιβεβαίωσης.

4. Αποκαλύψτε σε ειδικούς σε βασικούς και συναφείς τομείς μετά από 10 ημέρες.

5. Μετά από 20 ημέρες, θα αποκαλυφθεί στα συνηθισμένα λευκά καπέλα.

6. Αποκάλυψη σε ασκούμενους λευκούς καπέλα μετά από 40 ημέρες.

7. Διαθέσιμο στο κοινό μετά από 90 ημέρες.

Είναι κατανοητό ότι όταν ορισμένες εταιρείες παροχής υπηρεσιών ασφαλείας πληρώνουν ένα συγκεκριμένο τέλος για να Wuyun.com, μπορούν να δουν εκ των προτέρων όλα τα τρωτά σημεία των πελατών υπηρεσιών τους και είναι νόμιμη η διαρροή πληροφοριών ευπάθειας στην εταιρεία παροχής υπηρεσιών χωρίς την άδεια του πελάτη; Αξίζει να σημειωθεί ότι οι τίτλοι ευπάθειας που δημοσιεύει η Wuyun.com προέρχονται εξ ολοκλήρου από υποβολές λευκών καπέλων, χωρίς καμία αναθεώρηση και τροποποίηση, και εκφοβιστικοί τίτλοι όπως "μπορεί να οδηγήσει στην πτώση περισσότερων από 1.000 διακομιστών" και "σχεδόν 10 εκατομμύρια δεδομένα χρηστών κινδυνεύουν να διαρρεύσουν" αφθονούν.

Ο συγγραφέας έμαθε μερικές ιστορίες από έναν φίλο που εργάζεται στον κλάδο της ασφάλειας εδώ και πολλά χρόνια:

1. Από την αρχή, η ύπαρξη μαύρων νεφών είναι για να προκαλέσει την προσοχή όλων των μερών στην ασφάλεια, κάτι που είναι αναμφίβολα σημαντικό.

2. Στη διαδικασία ανάπτυξης, υπάρχουν ορισμένες διαφορές στα μαύρα σύννεφα, οι οποίες μπορεί να προέρχονται από την ασυνέπεια του αξιακού προσανατολισμού των μυημένων. Μπορεί να υπάρχει ένα όνομα εικόνας, ή ένα κέρδος, ή μια εικόνα φήμη και περιουσία.

3. Αυτή η διαφωνία καθιστά την αποκάλυψη της ευπάθειας ένα είδοςΣυγκαλυμμένος εξαναγκασμός (τσιπ), και μάλιστα έγινε κολοσσαίο για τον ΠΚ μεταξύ τους.

4. Στη διαδικασία από το 2 έως το 3, οι αντίστοιχες αρχές του κλάδου (εποπτεία) λίγο πολύ συναίνεσαν (υποστήριξαν) την ύπαρξη σκοτεινών νεφών.

Η αποκάλυψη των τρωτών σημείων είναι ακόμη περισσότερο καρναβάλι

Στο μυαλό του ευρύτερου κοινού, το μυστήριο και ο κίνδυνος είναι συνώνυμα με το hacking. Ωστόσο, στον κόσμο του hacking, όλοι οι χάκερ ταξινομούνται κυρίως σε δύο τύπους: λευκά καπέλα και μαύρα καπέλα, όσοι είναι πρόθυμοι να ανακοινώσουν τρωτά σημεία στις επιχειρήσεις και δεν εκμεταλλεύονται κακόβουλα τα τρωτά σημεία είναι λευκά καπέλα, ενώ τα μαύρα καπέλα βγάζουν τα προς το ζην κλέβοντας πληροφορίες για κέρδος.

«Αν και η Wuyun έχει μια περίοδο εμπιστευτικότητας για την αποκάλυψη των τρωτών σημείων, στην πραγματικότητα, δεν χρειάζεται να εξετάσω τις λεπτομέρειες της ευπάθειας. Οποιοσδήποτε έμπειρος hacker μπορεί να το δοκιμάσει στοχευμένα, αρκεί να διαβάσει τον τίτλο και την περιγραφή της ευπάθειας, οπότε στις περισσότερες περιπτώσεις, μόλις ανακοινωθεί η ευπάθεια, δεν είναι δύσκολο να λάβετε τις λεπτομέρειες της ευπάθειας το συντομότερο δυνατό. Ο Z, ένα μέλος του κύκλου χάκερ που έχει υποβάλει δεκάδες τρωτά σημεία στο Wuyun, είπε στον συγγραφέα: «Στην πραγματικότητα, αυτό που βλέπετε είναι αυτό που παίζουμε. ”

Ο ανακάλυψε την ευπάθεια του Ctrip, ο "Pig Man", είναι το λευκό καπέλο με την υψηλότερη κατάταξη στο σκοτεινό σύννεφο, με έως και 125 ευπάθειες που κυκλοφόρησαν. Το βράδυ της 22ας Μαρτίου, ο Pigman κυκλοφόρησε δύο σοβαρά τρωτά σημεία ασφαλείας σχετικά με το Ctrip στη σειρά και στο προηγούμενο ρεκόρ του Pigman, έχει κυκλοφορήσει τρωτά σημεία πολλών γνωστών επιχειρήσεων, συμπεριλαμβανομένων των Tencent, Alibaba, NetEase, Youku και Lenovo, και είναι ένας πραγματικός χάκερ. Σχετικά με το ποιος είναι ο "Pig Man", ο Z δεν θέλησε να πει περισσότερα, αποκαλύπτοντας μόνο στον συγγραφέα ότι ο Pig Man ήταν στην πραγματικότητα γνώστης του Wuyun.com.

Μια ουτοπία για τους χάκερ

«Επειδή οι μη εξουσιοδοτημένες δοκιμές ασφαλείας μαύρου κουτιού είναι παράνομες, είναι δημοφιλές στον κύκλο ότι οι χάκερ χακάρουν ιστότοπους για να κλέψουν πληροφορίες και, τέλος, εφόσον υποβάλλουν τρωτά σημεία στους κατασκευαστές στο Wuyun.com, μπορούν να ξεπλυθούν».

Ο Z έδειξε επίσης στον συγγραφέα ένα ιδιωτικό φόρουμ στο Wuyun.com, στο οποίο μπορούν να έχουν πρόσβαση μόνο ελεγμένα λευκά καπέλα. Ο συγγραφέας διαπίστωσε σε αυτό το μυστικό φόρουμ ότι υπάρχουν ειδικές ενότητες συζήτησης για θέματα όπως η μαύρη βιομηχανία, τα διαδικτυακά κέρδη και οι πόλεμοι στον κυβερνοχώρο. Στο άρθρο "Revealing Wuyun.com" που κυκλοφόρησε από τη Sina Technology τον Δεκέμβριο του 2013, Wuyun.com αμφισβητήθηκε ως "η μεγαλύτερη βάση εκπαίδευσης χάκερ της Κίνας", όπως φαίνεται στο παρακάτω σχήμα:

Παρόμοια θέματα αφθονούν στο φόρουμ και πολλά λευκά καπέλα έχουν μετατραπεί σε θερμοκήπιο για να συζητήσουν τεχνικές εκμετάλλευσης, πώς να χρησιμοποιήσουν αυτά τα κενά για να κάνουν μαύρη βιομηχανία και να περιπλανηθούν στη γκρίζα ζώνη του νόμου.

Θα γίνουν οι παραβιάσεις της ασφάλειας το πιο ισχυρό όπλο δημοσίων σχέσεων στην εποχή του Διαδικτύου;

Με την ταχεία ανάπτυξη του Διαδικτύου, η εγχώρια αλυσίδα υπόγειας μαύρης βιομηχανίας γίνεται επίσης ολοένα και μεγαλύτερη και τα τρωτά σημεία ασφαλείας απειλούν πραγματικά τα πραγματικά συμφέροντα όλων.

Μετά την αποκάλυψη του κενού αυθαίρετης σύνδεσης Alipay/Yuebao στις 17 Φεβρουαρίου 2014, η Alibaba PR επιτέθηκε γρήγορα και έβγαλε χρηματική ανταμοιβή 5 εκατομμυρίων γιουάν για να καλύψει την κοινή γνώμη. Έκτοτε, υπήρξαν ατελείωτα προσχέδια δημοσίων σχέσεων σχετικά με την κακή ασφάλεια του WeChat Pay και τις αμοιβαίες ευθύνες της Alipay. Στο όνομα της ασφάλειας, πίσω από αυτό βρίσκεται η απαγόρευση και η αντι-απαγόρευση του επιχειρηματικού πολέμου στο Διαδίκτυο, οι δημόσιες σχέσεις των μαύρων και τα περιστατικά κατά των μαύρων, τα οποία εντείνονται και Wuyun.com έχει παίξει ρόλο στην τροφοδότησή του.

Ενόψει της άνευ προηγουμένου κοινωνικής ανησυχίας που προκαλείται από τα συνεχή περιστατικά ασφαλείας που αποκαλύπτονται από Wuyun.com, ορισμένοι ειδικοί άρχισαν πρόσφατα να αμφισβητούν εάν οι κανόνες αποκάλυψης ευπάθειας της Wuyun.com είναι νόμιμοι: τα μέσα ενημέρωσης αναφέρουν τρελά με βάση τους τίτλους ευπάθειας και τις σύντομες περιγραφές που δημοσίευσε ο Wuyun. Επομένως, εάν κάποιος δημοσιεύσει σκόπιμα ψευδή κενά, είναι βέβαιο ότι θα προκαλέσει πολύ άσχημο αντίκτυπο στην επιχείρηση, ποιος θα φέρει αυτήν την ευθύνη; Μια ιδιωτική εταιρεία που έχει τόσα πολλά τρωτά σημεία ασφαλείας και χρησιμοποιεί την αποκάλυψη ευπάθειας ως επιχειρηματικό της μοντέλο, πατάει η ίδια στη γκρίζα ζώνη του νόμου;

Στο προσχέδιο RFC2026 Διαδικασία Αποκάλυψης Υπεύθυνης Ευπάθειας, η Ομάδα Εργασίας Διαδικτύου αναφέρει ότι «οι δημοσιογράφοι θα πρέπει να διασφαλίζουν ότι τα τρωτά σημεία είναι γνήσια». «Ωστόσο, όταν η ευπάθεια κυκλοφορήσει στο Wuyun.com και επιβεβαιωθεί από την επιχείρηση, η αυθεντικότητα και η ακρίβεια της ευπάθειας δεν μπορούν να γίνουν γνωστές. Η υπεύθυνη αποκάλυψη ευπάθειας ασφαλείας θα πρέπει να είναι αυστηρή και κάθε τεχνικός εργαζόμενος που εντοπίζει μια ευπάθεια θα πρέπει να δηλώνει ξεκάθαρα το εύρος των επιπτώσεων της ευπάθειας, ώστε να μην προκαλείται περιττός δημόσιος πανικός, όπως αυτή η πόρτα πιστωτικής κάρτας Ctrip, ακόμα κι αν Wuyun.com αγωνιά για έκθεση στα μέσα ενημέρωσης και διαφημιστική εκστρατεία λόγω των δικών της αναγκών, αλλά θα πρέπει επίσης να εξηγεί εάν οι πληροφορίες που διέρρευσαν είναι κρυπτογραφημένες και ποιο είναι το εύρος των επιπτώσεων, αντί να γίνει το λεγόμενο «πρωτοσέλιδο μέρος» και να κρατά ομήρους τις επιχειρήσεις στο όνομα της ασφάλειας.

Η αποκάλυψη των τρωτών σημείων ασφαλείας είναι απαραίτητη, η οποία δεν είναι υπεύθυνη μόνο για τους χρήστες, αλλά και για την εποπτεία της ασφάλειας της επιχείρησης, αλλά αξίζει να εξεταστεί πώς να επιτευχθεί πραγματικά η υπεύθυνη αποκάλυψη ευπάθειας.