¿Cuál es el origen de las nubes oscuras que surgieron de Ctrip y otras fugas?

A las 18:00 horas del 23 de marzo de 2014, se expuso la plataforma de vulnerabilidad de Wuyun (Wuyun.com)CtripLa interfaz del servidor de pagos seguro cuenta con una función de depuración que puede guardar los registros de pago del usuario, incluyendo el nombre del titular, la tarjeta de identificación, el número de la tarjeta bancaria, el código CVV de la tarjeta, la caja de 6 dígitos y otra información. Debido a la filtración de información financiera personal, ha generado gran preocupación en todos los ámbitos de la vida, y otros medios se apresuraron a informarlo, y existen opiniones diferentes.

Sin duda es incorrecto y estúpido almacenar información sensible de los usuarios en los registros de Ctrip, y cuando la opinión pública puso a Ctrip en primer plano, el autor mostró una gran curiosidad por Wuyun.com. Al observar la historia de las revelaciones de vulnerabilidad de Wuyun.com, resulta impactante:

10 de octubre de 2013,Como en casay se filtró otra información sobre la apertura de habitaciones de hotel; 20 de noviembre,Tencent70 millonesQQSe acusó de filtrar datos de usuarios del grupo; 26 de noviembre,360Vulnerabilidades en el cambio de contraseñas por usuarios arbitrarios; El 17 de febrero de 2014, la vulnerabilidad arbitraria de inicio de sesión de Alipay/Yuebao hizo que las cuentas de los internautas estuvieron en riesgo; El 26 de febrero de 2014, la información sensible de WeChat filtró vulnerabilidad, lo que provocó la filtración de un gran número de vídeos de usuarios, y el impacto fue comparable al de la puerta XX......

Una serie de filtraciones han hecho famosos a Wuyun.com y a este sitio web originalmente desconocido. Mientras la gente cuestiona el rendimiento irresponsable de las empresas relevantes, también está llena de preguntas sobre Wuyun.com: ¿Qué tipo de plataforma es esta y por qué puede exponer las vulnerabilidades de grandes empresas en varias ocasiones? ¿Cuántos secretos hay detrás de las nubes oscuras?

Tras las nubes oscuras

WooYun fue fundada en mayo de 2010, y el principal fundador es Fang Xiaodun, un exexperto en seguridad de Baidu, un conocido hacker doméstico llamado "Jianxin" nacido en 1987, que participó en el programa "Every Day Upward" de Hunan Satellite TV junto a Robin Li en febrero de 2010, y se hizo conocido porque su novia cantó una canción. Desde entonces, Fang Xiaodun se ha unido a varias personas de la comunidad de seguridad para establecer Wuyun.com, con el objetivo de convertirse en una plataforma de reporte de vulnerabilidades "libre e igualitaria".

En la Enciclopedia Baidu, Wuyun se describe así: una plataforma de retroalimentación de temas de seguridad situada entre fabricantes e investigadores de seguridad, que proporciona una plataforma para el bienestar público, el aprendizaje, la comunicación y la investigación para investigadores de seguridad en Internet, mientras procesa retroalimentación y se realiza seguimiento de cuestiones de seguridad.

Aunque Wuyun ha construido su imagen como una organización de terceros para el bienestar público y ganarse la confianza de los sombreros blancos y de la sociedad. Sin embargo, tras la verificación, Wuyun.com no es una entidad pública de terceros, sino una empresa puramente privada, y sus ingresos provienen de sus normas de divulgación de vulnerabilidades.

Para vulnerabilidades generales, las reglas de Wuyun.com son las siguientes:

1. Después de que el white hat envíe la vulnerabilidad y supere la revisión, Wuyun.com publicará un resumen de la vulnerabilidad, incluyendo el título de la vulnerabilidad, el proveedor involucrado, el tipo de vulnerabilidad y una breve descripción

2. El fabricante tiene un periodo de confirmación de 5 días (si no se confirma en 5 días, será ignorado, pero no se divulgará y se introducirá directamente en 2);

3. Divulgación a los socios de valores tras 3 días de confirmación;

4. Informar a expertos en áreas principales y relacionadas tras 10 días;

5. Después de 20 días, se revelará a los ordinarios sombreros blancos;

6. Divulgación a los becarios blancos tras 40 días;

7. Disponible para el público tras 90 días;

Se entiende que cuando algunas empresas de servicios de seguridad pagan una determinada tarifa a Wuyun.com, pueden ver todas las vulnerabilidades de sus clientes de servicio por adelantado, y ¿es legal filtrar información de vulnerabilidades a la empresa sin el permiso del cliente? Cabe mencionar que los títulos de vulnerabilidades publicados por Wuyun.com provienen íntegramente de envíos de sombrero blanco, sin revisión ni modificación, y títulos intimidantes como "puede llevar a la caída de más de 1.000 servidores" y "casi 10 millones de datos de usuarios están en riesgo de filtración".

El autor ha aprendido algunas historias de un amigo que lleva muchos años trabajando en la industria de la seguridad:

1. Desde el principio, la existencia de nubes oscuras es para despertar la atención de todas las partes hacia la seguridad, lo cual es sin duda importante.

2. En el proceso de desarrollo, existen ciertas diferencias en las nubes oscuras, que pueden deberse a la inconsistencia en la orientación al valor de los insiders; Puede haber un nombre de imagen, un beneficio o un cuadro de fama y fortuna;

3. Este desacuerdo convierte su divulgación de vulnerabilidad en una especieCoacción disfrazada (chips), e incluso se convirtieron en un coliseo para PK juntos;

4. En el proceso de 2 a 3, las autoridades industriales correspondientes (supervisión) más o menos aceptaron (apoyaron) la existencia de nubes oscuras.

La revelación de vulnerabilidades es aún más un carnaval

En la mente del público general, misterio y peligro son sinónimos de hacking. Sin embargo, en el mundo del hacking, todos los hackers se clasifican principalmente en dos tipos: white hats y black hats; aquellos que están dispuestos a denunciar vulnerabilidades a las empresas y no explotan maliciosamente las son white hats, mientras que los black hats se ganan la vida robando información con fines de lucro.

"Aunque Wuyun tiene un periodo de confidencialidad para la divulgación de vulnerabilidades, en realidad no necesito revisar los detalles de la vulnerabilidad. Cualquier hacker experimentado puede probarlo de forma selectiva siempre que lea el título y la descripción de la vulnerabilidad, así que en la mayoría de los casos, una vez anunciada la vulnerabilidad, no es difícil obtener los detalles de la vulnerabilidad lo antes posible. Z, un miembro del círculo hacker que ha presentado decenas de vulnerabilidades en Wuyun, le dijo al autor: "De hecho, lo que ves es lo que jugamos. ”

El descubridor de la vulnerabilidad de Ctrip, "Pig Man", es el blanco de mayor rango en la nube oscura, con hasta 125 vulnerabilidades liberadas. La noche del 22 de marzo, Pigman publicó dos vulnerabilidades de seguridad graves consecutivas sobre Ctrip, y en su historial anterior, ha publicado vulnerabilidades de muchas empresas conocidas, incluyendo Tencent, Alibaba, NetEase, Youku y Lenovo, y es un auténtico hacker. Sobre quién es "Pig Man", Z no quiso decir más, solo reveló al autor que Pig Man en realidad era un insider de Wuyun.com.

Una utopía para hackers

"Debido a que las pruebas de seguridad no autorizadas en caja negra son ilegales, es popular en el círculo que los hackers hackeen sitios web para robar información, y finalmente, mientras envíen vulnerabilidades a los fabricantes en Wuyun.com, pueden ser blanqueadas."

Z también mostró al autor un foro privado sobre Wuyun.com, al que solo pueden acceder los expertos con sombreros blancos verificados. El autor encontró en este foro secreto que hay secciones especiales de discusión sobre temas como la industria negra, la ganancia online y las guerras cibernéticas. En el artículo "Revealing Wuyun.com" publicado por Sina Technology en diciembre de 2013, Wuyun.com fue cuestionado como "la mayor base de entrenamiento de hackers de China", como se muestra en la figura siguiente:

Temas similares abundan en el foro, y muchos "white hats" se han transformado en un invernadero para debatir técnicas de explotación, cómo usar estos vacíos legales para la industria negra y explorar la zona gris del derecho.

¿Se convertirán las brechas de seguridad en el arma de relaciones públicas más poderosa de la era de Internet?

Con el rápido desarrollo de Internet, la cadena clandestina de la industria negra nacional también se está haciendo cada vez más grande, y las vulnerabilidades de seguridad realmente amenazan los intereses reales de todos.

Tras la revelación de la laguna arbitraria de inicio de sesión Alipay/Yuebao el 17 de febrero de 2014, Alibaba PR atacó rápidamente y sacó una recompensa en efectivo de 5 millones de yuanes para cubrir la opinión pública. Desde entonces, ha habido interminables borradores de relaciones públicas sobre la escasa seguridad de WeChat Pay y las responsabilidades mutuas de Alipay. En nombre de la seguridad, detrás de ello está la prohibición y la anti-prohibición de la guerra empresarial de Internet, las relaciones públicas negras y los incidentes anti-negros, que se están intensificando, y Wuyun.com ha jugado un papel en alimentarlo.

Ante la preocupación social sin precedentes causada por los continuos incidentes de seguridad revelados por Wuyun.com, algunos expertos han empezado recientemente a cuestionar si las normas de divulgación de vulnerabilidades de Wuyun.com son legales: los medios informan de forma absurda basándose en los títulos de vulnerabilidades y las breves descripciones publicadas por Wuyun. Así que si alguien publica deliberadamente falsas lagunas, está destinado a causar un impacto muy negativo en la empresa, ¿quién asumirá esa responsabilidad? ¿Está una empresa privada que tiene tantas vulnerabilidades de seguridad y utiliza la divulgación de vulnerabilidades como modelo de negocio pisando la zona gris de la ley?

En su borrador RFC2026 Proceso Responsable de Divulgación de Vulnerabilidades, el Grupo de Trabajo de Internet menciona que "los periodistas deben asegurarse de que las vulnerabilidades sean genuinas." "Sin embargo, cuando la vulnerabilidad se libera en Wuyun.com y la empresa confirma, no se puede saber la autenticidad y precisión de la vulnerabilidad. La divulgación responsable de vulnerabilidades en seguridad debe ser rigurosa, y cualquier trabajador técnico que encuentre una vulnerabilidad debe indicar claramente el alcance del impacto de la vulnerabilidad, para no causar pánico público innecesario, como esta puerta de tarjeta de crédito Ctrip, incluso si Wuyun.com está ansiosa por la exposición mediática y el bombo por sus propias necesidades, pero también debe explicar si la información filtrada está cifrada y cuál es el alcance del impacto, en lugar de convertirse en una llamada "fiesta principal" y retener a las empresas como rehenes en nombre de la seguridad.

La divulgación de vulnerabilidades de seguridad es necesaria, lo cual no solo es responsable de los usuarios, sino también de la supervisión de la seguridad empresarial, pero merece la pena reflexionar sobre cómo lograr realmente una divulgación responsable de vulnerabilidades.