|
23. märtsil 2014 kell 18.00 paljastati Wuyuni haavatavuse platvorm (Wuyun.com)CtripTurvalisel makseserveri liidesel on silumisfunktsioon, mis võimaldab salvestada kasutaja makseandmeid, sealhulgas kaardiomaniku nime, ID-kaardi, pangakaardi numbri, kaardi CVV-koodi, 6-kohalise kaardikasti ja muud teavet. Isiklike finantsandmete lekkimise tõttu on see tekitanud tugevat muret kõigis eluvaldkondades ning teised meediakanalid on kiirustanud seda kajastama ning arvamused on erinevad. On kahtlemata vale ja rumal hoida tundlikku kasutajateavet Ctripi logidesse ning kui avalik arvamus tõstis Ctripi esiplaanile, tekkis autoril tugev uudishimu Wuyun.com vastu. Vaadates Wuyun.com haavatavuse avalikustamise ajalugu, on see šokeeriv: 10. oktoober 2013,Nagu koduja lekkinud muud hotellitoa avainfot; 20. november,Tencent70 miljonitQQgrupi kasutajate andmeid süüdistati lekkimises; 26. november,360Haavatavused paroolide vahetamisel suvaliste kasutajate poolt; 17. veebruaril 2014 olid Alipay/Yuebao suvalise sisselogimishaavatavuse tõttu ohus netikasutajate kontod; 26. veebruaril 2014 lekkis WeChati tundlik info haavatavus, mille tagajärjel lekkis suur hulk kasutajavideoid ning mõju oli võrreldav XX väravaga...... Mitmed lekked on teinud Wuyun.com ja selle algselt tundmatu veebilehe kuulsaks. Kuigi inimesed kahtlevad asjakohaste ettevõtete vastutustundetu tulemuslikkusega, on nad ka täis küsimusi Wuyun.com kohta: Milline platvorm see on ja miks see võib mitmel korral paljastada suurte ettevõtete haavatavuse? Kui palju saladusi peitub tumedate pilvede taga? Tumedate pilvede taga WooYun asutati 2010. aasta mais ning peamine asutaja on Fang Xiaodun, endine Baidu turvaekspert, tuntud kodumaine häkker "Jianxin", sündinud 1987. aastal, kes osales Hunan Satellite TV saates "Every Day Upward" koos Robin Liga 2010. aasta veebruaris ning sai tuntuks tänu oma tüdruksõbra laulmisele. Sellest ajast alates on Fang Xiaodun ühendanud jõud mitme turvakogukonna liikmega, et luua Wuyun.com eesmärgiga saada "vabaks ja võrdseks" haavatavuste raporteerimise platvormiks. Baidu entsüklopeedias kirjeldab Wuyun end järgmiselt: turvaküsimuste tagasiside platvorm, mis asub tootjate ja turvateadlaste vahel, pakkudes platvormi avaliku heaolu, õppimise, suhtluse ja uurimistöö jaoks internetiturbe uurijatele, samal ajal tagasiside töötlemiseks ja turvaküsimuste järeltegevuseks. Kuigi Wuyun on loonud oma kuvandi avaliku heaolu kolmanda osapoole organisatsioonina, et võita valgete mütside ja ühiskonna usaldus. Kuid pärast kontrolli ei ole Wuyun.com avalik kolmanda osapoole asutus, vaid puhtalt eraettevõte, ning selle tulu tuleb haavatavuse avalikustamise reeglitest. Üldiste haavatavuste puhul on Wuyun.com reeglid järgmised: 1. Pärast seda, kui valge müts on haavatavuse esitanud ja läbinud ülevaatuse, avaldab Wuyun.com haavatavuse kokkuvõtte, sealhulgas haavatavuse pealkirja, kaasatud müüja, haavatavuse tüübi ja lühikese kirjelduse 2. Tootjal on 5-päevane kinnitusperiood (kui seda ei kinnitata 5 päeva jooksul, ignoreeritakse seda, kuid seda ei avalikustata ja see sisestatakse otse 2-sse); 3. Avalikustamine turvapartneritele pärast 3 päeva kinnitamist; 4. Avalikustada põhi- ja sellega seotud valdkondade ekspertidele 10 päeva jooksul; 5. 20 päeva pärast avalikustatakse see tavalistele valgetele mütsidele; 6. Avalikustamine praktikanditele pärast 40 päeva; 7. Avalikkusele kättesaadav pärast 90 päeva; On arusaadav, et kui mõned turvateenuse ettevõtted maksavad Wuyun.com teatud tasu, saavad nad oma teenuseklientide haavatavusi ette näha ning kas on seaduslik lekkida haavatavuse infot teenusepakkujale ilma kliendi loata? Tasub mainida, et Wuyun.com poolt avaldatud haavatavuse pealkirjad pärinevad täielikult valge mütsi postitustest, ilma igasuguse ülevaatuse ja muudatusteta, ning hirmutavad pealkirjad nagu "võib viia enam kui 1000 serveri kokkuvarisemiseni" ja "peaaegu 10 miljoni kasutaja andme lekkimise ohus" on palju. Autor õppis mõned lood sõbralt, kes on aastaid turvatööstuses töötanud: 1. Algusest peale on tumedate pilvede olemasolu selleks, et äratada kõigi osapoolte tähelepanu ohutusele, mis on kahtlemata oluline. 2. Arenguprotsessis on tumedates pilvedes teatud erinevusi, mis võivad tuleneda siseringi väärtusorientatsiooni ebajärjekindlusest; Võib olla pildinimi, kasum või pildikuulsus ja rikkus; 3. See erimeelsus muudab haavatavuse avalikustamise liigiliseksVarjatud sund (kiibid), ja muutusid isegi PK koosolemise kolosseumiks; 4. Protsessis 2–3 nõustusid vastavad tööstusasutused (järelevalve) enam-vähem tumedate pilvede olemasoluga. Haavatavuste avalikustamine on veelgi suurem karneval Üldsuse silmis on saladus ja oht häkkimisega sünonüümid. Kuid häkkimismaailmas jagunevad kõik häkkerid peamiselt kaheks tüübiks: valged mütsid ja mustad mütsid; need, kes on valmis ettevõtetele haavatavusi teatama ega kasuta neid pahatahtlikult ära, on valged mütsid, samas kui mustad mütsid teenivad elatist info varastamisega kasumi teenimiseks. "Kuigi Wuyunil on haavatavuste avalikustamiseks konfidentsiaalsusperiood, ei pea ma tegelikult haavatavuse üksikasju vaatama. Iga kogenud häkker saab seda sihipäraselt testida, kui ta loeb haavatavuse pealkirja ja kirjeldust, nii et enamasti, kui haavatavus on avalikustatud, pole haavatavuse üksikasjad võimalikult kiiresti teada saamine. Z, häkkeriringkonna liige, kes on esitanud Wuyunis kümneid haavatavusi, ütles autorile: "Tegelikult mängime seda, mida sa näed. ” Ctripi haavatavuse avastaja, "Pig Man", on kõrgeima astmega valge müts pimedas pilves, vabastatud kuni 125 haavatavust. 22. märtsi õhtul avaldas Pigman järjest kaks tõsist turvanõrkust Ctripi kohta ning Pigmani varasemas loos on ta avaldanud paljude tuntud ettevõtete, sealhulgas Tencenti, Alibaba, NetEase'i, Youku ja Lenovo, haavatavusi ning on tõeline häkker. Mis puudutab "Pig Mani" olemust, siis Z ei tahtnud rohkem öelda, vaid paljastas autorile, et Pig Man oli tegelikult Wuyun.com siseringi liige. Utoopia häkkerite jaoks "Kuna volitamata musta kasti turvatestimine on ebaseaduslik, on ringkonnas populaarne, et häkkerid häkkivad veebisaite, et varastada infot, ja lõpuks, kui nad esitavad haavatavusi tootjatele Wuyun.com-l, saab neid valgeks pesta." Z näitas autorile ka privaatset foorumit Wuyun.com kohta, kuhu pääsevad ligi ainult kontrollitud valged mütsid. Autor leidis selles salajases foorumis, et seal on eraldi arutelusektsioonid teemadel nagu must tööstus, veebipõhine teenimine ja kübersõjad. Sina Technology poolt 2013. aasta detsembris avaldatud artiklis "Revealing Wuyun.com" kahtlustati Wuyun.com kui "Hiina suurimat häkkerite koolitusbaas", nagu alloleval joonisel näidatud: Sarnaseid teemasid on foorumis palju ning paljud valged mütsid on muutunud kasvuhooneks, kus arutatakse ärakasutamise tehnikaid, kuidas neid lünki musta tööstuse elluviimiseks kasutada ning rännata õiguse hallil alal. Kas turvarikkumised saavad internetiajastu kõige võimsamaks avalike suhete relvaks? Interneti kiire arenguga muutub ka kodumaine musta tööstuse kett üha suuremaks ning turvanõrkused ohustavad tõeliselt kõigi tegelikke huve. Pärast seda, kui Alipay/Yuebao suvaline sisselogimisauk 17. veebruaril 2014 avalikuks tuli, ründas Alibaba PR kiiresti ja võttis avaliku arvamuse kajastamiseks 5 miljoni jüaani suuruse rahalise preemia. Sellest ajast alates on olnud lõputult avalike suhete eelnõusid WeChat Pay halva turvalisuse ja Alipay vastastikuse vastutuse kohta. Turvalisuse nimel on selle taga internetiäri sõja, mustanahaliste avalike suhete ja mustanahaliste vastaste juhtumite keelustamine ja keelustamise vastu, mis süvenevad, ning Wuyun.com on mänginud rolli selle süvendamisel. Arvestades Wuyun.com poolt avalikustatud pidevate turvaintsidentide põhjustatud enneolematut sotsiaalset muret, on mõned eksperdid hiljuti hakanud kahtlema, kas Wuyun.com haavatavuste avalikustamise reeglid on seaduslikud: meedia kajastab Wuyuni avaldatud haavatavuste pealkirju ja lühikesi kirjeldusi hullumeelselt. Kui keegi avaldab teadlikult valeauke, põhjustab see ettevõttele väga halba mõju, kes selle vastutuse eest vastutab? Kas eraettevõte, kellel on nii palju turvaauke ja kes kasutab haavatavuste avalikustamist ärimudelina, astub ise seaduse halli alale? Interneti töögrupi vastutustundliku haavatavuse avalikustamise protsessi mustandis RFC2026 mainib, et "ajakirjanikud peaksid tagama, et haavatavused on ehtsad." "Kuid kui haavatavus avalikustatakse Wuyun.com ja ettevõte kinnitab, ei saa haavatavuse autentsust ja täpsust teada. Vastutustundlik turvahaavatavuste avalikustamine peaks olema range ning iga tehniline töötaja, kes leiab haavatavuse, peaks selgelt väljendama haavatavuse mõju ulatust, et mitte põhjustada tarbetut avalikku paanikat, nagu see Ctripi krediitkaardi uks, isegi kui Wuyun.com on mures meedia tähelepanu ja hype'i pärast oma vajaduste tõttu, kuid see peaks ka selgitama, kas lekkinud info on krüpteeritud ja milline on mõju ulatus, mitte muutuda nn "pealkirjaks" ja hoida ettevõtteid pantvangis turvalisuse nimel. Turvaaukude avalikustamine on vajalik, mis ei vastuta ainult kasutajate eest, vaid ka ettevõtte turvalisuse järelevalve eest, kuid tasub mõelda, kuidas tõeliselt vastutustundlikku haavatavuste avalikustamist saavutada.
| 
Postitatud 26.09.2015 16:41:22
|
|
|
|
