|
Klo 18.00 23. maaliskuuta 2014 Wuyunin haavoittuvuusalusta (Wuyun.com) paljastuiCtripTurvallisessa maksupalvelimen käyttöliittymässä on virheenkorjaustoiminto, joka voi tallentaa käyttäjän maksutiedot, mukaan lukien kortinhaltijan nimen, henkilökortin, pankkikortin numeron, kortin CVV-koodin, 6-numeroisen korttilaatikon ja muut tiedot. Henkilökohtaisten taloustietojen vuotamisen vuoksi se on herättänyt suurta huolta kaikilla elämänaloilla, ja muut mediat ovat kiirehtineet raportoimaan siitä, ja mielipiteitä on erilaisia. On epäilemättä väärin ja typerää tallentaa arkaluonteisia käyttäjätietoja Ctripin lokitiedostoihin, ja kun julkinen mielipide nosti Ctripin etualalle, kirjoittajalla oli vahva uteliaisuus Wuyun.com kohtaan. Kun katsoo Wuyun.com:n haavoittuvuuspaljastusten historiaa, se on järkyttävää: 10. lokakuuta 2013,Kuin kotonaja muita hotellihuoneen avaustietoja vuotaneet; 20. marraskuuta,Tencent70 miljoonaaQQryhmän käyttäjätietoja syytettiin vuotamisesta; 26. marraskuuta,360Haavoittuvuvuuksia salasanojen vaihtamisessa mielivaltaisten käyttäjien toimesta; 17. helmikuuta 2014 Alipay/Yuebao-satunnaisen kirjautumishaavoittuvuuden vuoksi nettikäyttäjien tilit olivat vaarassa; 26. helmikuuta 2014 WeChatin arkaluonteiset tiedot vuotivat haavoittuvuutta, mikä johti suuren määrän käyttäjävideoiden vuotamiseen, ja vaikutus oli verrattavissa XX-porttiin...... Sarja vuodot ovat tehneet Wuyun.com ja tämän alun perin tuntemattoman verkkosivuston kuuluisiksi. Vaikka ihmiset kyseenalaistavat asiaankuuluvien yritysten vastuuttoman suoriutumisen, he ovat myös täynnä kysymyksiä Wuyun.com: Millainen alusta tämä on, ja miksi se voi paljastaa suurten yritysten haavoittuvuudet useaan aikaan? Kuinka monta salaisuutta piilee tummien pilvien takana? Pimeiden pilvien takana WooYun perustettiin toukokuussa 2010, ja sen pääperustaja on Fang Xiaodun, entinen tietoturva-asiantuntija Baidussa, tunnettu kotimainen hakkeri "Jianxin", syntynyt vuonna 1987, joka osallistui Hunan Satellite TV:n "Every Day Upward" -ohjelmaan Robin Lin kanssa helmikuussa 2010 ja tuli tunnetuksi tyttöystävänsä laulamasta kappaletta. Sen jälkeen Fang Xiaodun on yhdistänyt voimansa useiden turvallisuusyhteisön jäsenten kanssa perustaakseen Wuyun.com tavoitteenaan tulla "vapaaksi ja tasa-arvoiseksi" haavoittuvuuksien raportointialustaksi. Baidu-tietosanakirjassa Wuyun kuvaa itseään seuraavasti: turvallisuuskysymysten palautealusta, joka sijaitsee valmistajien ja tietoturvatutkijoiden välissä, tarjoten alustan yleiselle hyvinvoinnille, oppimiselle, viestinnälle ja tutkimukselle internet-turvallisuustutkijoille samalla kun palautteen käsittely ja seuranta turvallisuuskysymyksissä. Vaikka Wuyun on rakentanut imagonsa kolmannen osapuolen järjestönä julkisen hyvinvoinnin puolesta saadakseen valkoisten hattujen ja yhteiskunnan luottamuksen. Kuitenkin tarkistuksen jälkeen Wuyun.com ei ole julkinen kolmannen osapuolen instituutio, vaan täysin yksityinen yritys, ja sen tulot tulevat haavoittuvuuksien julkistamissäännöistä. Yleisten haavoittuvuuksien osalta Wuyun.com:n säännöt ovat seuraavat: 1. Kun valkoinen hattu on toimittanut haavoittuvuuden ja läpäissyt tarkastuksen, Wuyun.com julkaisee haavoittuvuuden yhteenvedon mukaan lukien haavoittuvuuden otsikon, mukana olevan toimittajan, haavoittuvuuden tyypin ja lyhyen kuvauksen 2. Valmistajalla on 5 päivän vahvistusaika (jos sitä ei vahvisteta viiden päivän kuluessa, se jätetään huomiotta, mutta sitä ei julkisteta, ja se kirjataan suoraan kohtaan 2); 3. Ilmoittaminen vakuuskumppaneille kolmen päivän kuluttua vahvistuksesta; 4. Ilmoittaa asiasta ydin- ja niihin liittyvien alojen asiantuntijoille 10 päivän kuluessa; 5. 20 päivän kuluttua se paljastetaan tavallisille valkoisille hattuille; 6. Ilmoitus harjoittelijalle valkohattuisille 40 päivän jälkeen; 7. Saatavilla yleisölle 90 päivän jälkeen; Ymmärretään, että kun jotkut turvallisuuspalveluyritykset maksavat Wuyun.com:lle tietyn maksun, ne voivat nähdä kaikki palveluasiakkaidensa haavoittuvuudet etukäteen, ja onko laillista vuotaa haavoittuvuustietoja palveluyritykselle ilman asiakkaan lupaa? On syytä mainita, että Wuyun.com:n julkaisemat haavoittuvuusotsikot ovat kokonaan valkoisten hattujen lähetyksistä, ilman minkäänlaista tarkistusta tai muokkausta, ja pelottavia nimikkeitä kuten "voi johtaa yli 1 000 palvelimen romahtamiseen" ja "lähes 10 miljoonaa käyttäjädataa on vuotamisen vaarassa", on runsaasti. Kirjoittaja oppi muutamia tarinoita ystävältään, joka on työskennellyt tietoturva-alalla vuosia: 1. Alusta alkaen tummien pilvien olemassaolo on tarkoitettu herättämään kaikkien osapuolten huomio turvallisuuteen, mikä on kiistatta tärkeää. 2. Kehitysprosessissa on tiettyjä eroja synkissä pilvissä, jotka saattavat johtua sisäpiiriläisten arvoorientaation epäjohdonmukaisuudesta; Voi olla kuvallinen nimi, voitto tai kuvamaine ja omaisuus; 3. Tämä erimielisyys tekee haavoittuvuuden paljastamisesta eräänlaisenNaamioitu pakottaminen (sirut), ja siitä tuli jopa PK:n yhteinen kolosseum; 4. Prosessissa 2–3 vastaavat alan viranomaiset (valvonta) suostuivat enemmän tai vähemmän pimeiden pilvien olemassaoloon. Haavoittuvuuksien paljastaminen on vieläkin enemmän karnevaalia Yleisön mielissä mysteeri ja vaara ovat synonyymejä hakkeroinnin kanssa. Kuitenkin hakkerointimaailmassa kaikki hakkerit luokitellaan pääasiassa kahteen tyyppiin: valkohattuihin ja mustiin hattuihin; ne, jotka ovat valmiita ilmoittamaan haavoittuvuuksista yrityksille eivätkä pahantahtoisesti hyväksikäytä niitä, ovat valkoisia hattuja, kun taas mustahatut ansaitsevat elantonsa varastamalla tietoa voiton vuoksi. "Vaikka Wuyunilla on luottamuksellisuusaika haavoittuvuuksien paljastamiselle, itse asiassa minun ei tarvitse tarkastella haavoittuvuuden yksityiskohtia. Jokainen kokenut hakkeri voi testata sitä kohdennetusti, kunhan lukee haavoittuvuuden otsikon ja kuvauksen, joten useimmissa tapauksissa, kun haavoittuvuus on ilmoitettu, haavoittuvuuden yksityiskohdat eivät ole vaikeita saada mahdollisimman pian. Z, hakkeripiirin jäsen, joka on lähettänyt kymmeniä haavoittuvuuksia Wuyuniin, kertoi kirjoittajalle: "Itse asiassa se, mitä näet, sitä me pelaamme. ” Ctripin haavoittuvuuden löytäjä, "Sikamies", on korkeimmalle sijoittunut valkoinen hattu pimeässä pilvessä, ja hänellä on jopa 125 haavoittuvuutta. 22. maaliskuuta illalla Pigman julkaisi peräkkäin kaksi vakavaa tietoturva-aukkoa Ctripistä, ja Pigmanin aiemmassa julkaisussa hän on paljastanut monien tunnettujen yritysten, kuten Tencentin, Alibaban, NetEasen, Youkun ja Lenovon, haavoittuvuuksia, ja on todellinen hakkeri. Mitä tulee siihen, kuka "Pig Man" on, Z ei halunnut sanoa enempää, vaan paljasti kirjailijalle, että Pig Man oli itse asiassa Wuyun.com sisäpiiriläinen. Hakkereiden utopia "Koska luvaton mustan laatikon tietoturvatestaus on laitonta, on suosittua piireissä, että hakkerit hakkeroivat verkkosivustoja varastaakseen tietoa, ja lopulta niin kauan kuin he toimittavat haavoittuvuuksia valmistajille Wuyun.com, ne voidaan valkaista." Z näytti myös kirjoittajalle yksityisen foorumin Wuyun.com:stä, johon pääsee vain tarkastettujen valkoisten hattujen toimesta. Kirjoittaja huomasi tässä salaisessa foorumissa, että siellä on erityisiä keskusteluosioita aiheista kuten musta teollisuus, verkkoansainta ja kybersodat. Sina Technologyn joulukuussa 2013 julkaisemassa artikkelissa "Revealing Wuyun.com" Wuyun.com kyseenalaistettiin "Kiinan suurimmaksi hakkerikoulutuskeskukseksi", kuten alla olevassa kuvassa näkyy: Samankaltaisia aiheita on foorumilla runsaasti, ja monet valkoiset hatut ovat muuttuneet kasvihuoneeksi keskustelemaan hyväksikäyttötekniikoista, siitä, miten näitä porsaanreikiä voidaan hyödyntää mustan teollisuuden toteuttamiseen ja harmaalla alueella lain harmaalla alueella. Tulevatko tietoturvaloukkaukset internetin aikakauden voimakkaimmaksi julkisuusvälineeksi? Internetin nopean kehityksen myötä kotimainen musta teollisuusketju kasvaa yhä suuremmaksi, ja tietoturva-aukot uhkaavat todellisia etuja. Kun Alipay/Yuebao-satunnainen kirjautumisaukko paljastui 17. helmikuuta 2014, Alibaba PR hyökkäsi nopeasti ja otti 5 miljoonan juanin rahapalkkion julkisen mielipiteen suojaamiseksi. Sen jälkeen on ollut loputtomasti julkisuusluonnoksia WeChat Payn huonosta turvallisuudesta ja Alipayn molemminpuolisista vastuista. Turvallisuuden nimissä taustalla on internet-liiketoiminnan sodan, mustien julkisuus- ja anti-mustien välikohtausten kielto ja kieltäminen, jotka voimistuvat, ja Wuyun.com on vaikuttanut niiden ruokkimiseen. Ottaen huomioon Wuyun.com:n paljastamien jatkuvien turvallisuustapahtumien aiheuttaman ennennäkemättömän yhteiskunnallisen huolen, jotkut asiantuntijat ovat viime aikoina alkaneet kyseenalaistaa, ovatko Wuyun.com:n haavoittuvuuksien paljastamissäännöt laillisia: media raportoi hullua Wuyunin julkaisemien haavoittuvuuksien otsikoiden ja lyhyiden kuvausten perusteella. Joten jos joku tahallaan julkaisee vääriä porsaanreikiä, se aiheuttaa väistämättä erittäin huonon vaikutuksen yritykselle, kuka kantaa tämän vastuun? Onko yksityinen yritys, jolla on niin paljon tietoturva-aukkoja ja joka käyttää haavoittuvuuksien paljastamista liiketoimintamallinaan, itse astumassa lain harmaalle alueelle? Internetin työryhmän luonnoksessa vastuullisen haavoittuvuuden paljastamisprosessi RFC2026 mainitaan, että "toimittajien tulee varmistaa, että haavoittuvuudet ovat aitoja." "Kuitenkin, kun haavoittuvuus julkaistaan Wuyun.com ja yritys vahvistaa sen, haavoittuvuuden aitoutta ja tarkkuutta ei voida tietää. Vastuullisen turvallisuushaavoittuvuuksien paljastamisen tulisi olla tiukkaa, ja jokaisen teknisen työntekijän, joka löytää haavoittuvuuden, tulisi selkeästi ilmaista haavoittuvuuden vaikutuslaajuus, jotta ei aiheuta tarpeetonta julkista paniikkia, kuten tämä Ctrip-luottokortin ovi, vaikka Wuyun.com olisi huolissaan medianäkyvyydestä ja hypetyksestä omien tarpeidensa vuoksi, mutta sen tulisi myös selittää, onko vuotanut tieto salattua ja mikä vaikutus on, sen sijaan että ryhtyisi niin sanotuksi "pääryhmäksi" ja pidetään yrityksiä panttivankeina turvallisuuden nimissä. Turvallisuushaavoittuvuuksien paljastaminen on välttämätöntä, mikä ei ole vastuussa vain käyttäjistä, vaan myös yritysturvallisuuden valvonnasta, mutta on pohdinnan arvoista, miten todellinen vastuullinen haavoittuvuuksien paljastaminen saavutetaan.
| 
Julkaistu 26.9.2015 16.41.22
|
|
|
|
