|
2014 m. kovo 23 d. 18 val. buvo atskleista "Wuyun" pažeidžiamumo platforma (Wuyun.com)CtripSaugi mokėjimo serverio sąsaja turi derinimo funkciją, kuri gali išsaugoti vartotojo mokėjimo įrašus, įskaitant kortelės turėtojo vardą, pavardę, asmens tapatybės kortelę, banko kortelės numerį, kortelės CVV kodą, 6 skaitmenų kortelės dėžę ir kitą informaciją. Dėl asmeninės finansinės informacijos nutekėjimo ji sukėlė didelį susirūpinimą iš visų visuomenės sluoksnių, o kitos žiniasklaidos priemonės suskubo apie tai pranešti, ir yra įvairių nuomonių. Tai neabejotinai neteisinga ir kvaila saugoti slaptą vartotojo informaciją Ctrip žurnaluose, ir kai visuomenės nuomonė pastūmėjo Ctrip į priekį, autorius turėjo stiprų smalsumą apie Wuyun.com. Žvelgiant į Wuyun.com pažeidžiamumo atskleidimo istoriją, tai šokiruoja: 2013 m. spalio 10 d.Kaip namuoseir kita viešbučio kambario atidarymo informacija nutekėjo; Lapkričio 20 d."Tencent"70 mln.QQgrupės vartotojų duomenys buvo apkaltinti nutekėjimu; Lapkričio 26 d.360Savavališkų vartotojų slaptažodžių keitimo pažeidžiamumas; 2014 m. vasario 17 d. "Alipay" / "Yuebao" savavališko prisijungimo pažeidžiamumas, internautų paskyroms iškilo pavojus; 2014 m. vasario 26 d. "WeChat" slapta informacija nutekėjo pažeidžiamumas, dėl kurio buvo nutekinta daug vartotojų vaizdo įrašų, o poveikis buvo panašus į XX vartų...... Nutekėjimų serija išgarsino Wuyun.com ir šią iš pradžių nežinomą svetainę. Nors žmonės abejoja neatsakingu atitinkamų įmonių darbu, jie taip pat yra kupini klausimų apie Wuyun.com: kokia tai platforma ir kodėl ji gali atskleisti didžiųjų įmonių pažeidžiamumą daugybę kartų? Kiek paslapčių slypi už tamsių debesų? Už tamsių debesų "WooYun" buvo įkurta 2010 m. gegužę, o pagrindinis įkūrėjas yra Fang Xiaodun, buvęs "Baidu" saugumo ekspertas, gerai žinomas vietinis įsilaužėlis "Jianxin", gimęs 1987 m., kuris 2010 m. vasarį dalyvavo Hunano palydovinės televizijos programoje "Every Day Upward" su Robinu Li ir tapo žinomas, nes jo mergina dainavo dainą. Nuo to laiko Fang Xiaodun suvienijo jėgas su keliais saugumo bendruomenės žmonėmis, kad sukurtų Wuyun.com, siekdama tapti "nemokama ir lygiaverte" pažeidžiamumo ataskaitų teikimo platforma. Baidu enciklopedijoje Wuyun apibūdina save taip: saugumo klausimų grįžtamojo ryšio platforma, esanti tarp gamintojų ir saugumo tyrėjų, teikianti platformą visuomenės gerovei, mokymuisi, bendravimui ir tyrimams interneto saugumo tyrėjams, apdorojant grįžtamąjį ryšį ir stebint saugumo klausimus. Nors Wuyun sukūrė savo, kaip trečiosios šalies visuomenės gerovės organizacijos, įvaizdį, kad įgytų baltųjų skrybėlių ir visuomenės pasitikėjimą. Tačiau po patikrinimo Wuyun.com yra ne valstybinė trečiosios šalies institucija, o grynai privati įmonė, o jos pajamos gaunamos iš pažeidžiamumo atskleidimo taisyklių. Dėl bendrųjų pažeidžiamumų Wuyun.com taisyklės yra šios: 1. Kai baltoji skrybėlė pateiks pažeidžiamumą ir atliks peržiūrą, Wuyun.com paskelbs pažeidžiamumo santrauką, įskaitant pažeidžiamumo pavadinimą, dalyvaujantį pardavėją, pažeidžiamumo tipą ir trumpą aprašymą 2. Gamintojas turi 5 dienų patvirtinimo laikotarpį (jei jis nebus patvirtintas per 5 dienas, jis bus ignoruojamas, bet nebus atskleistas ir bus tiesiogiai įvestas į 2); 3. Atskleidimas saugumo partneriams po 3 dienų nuo patvirtinimo; 4. Po 10 dienų atskleisti pagrindinių ir susijusių sričių ekspertams; 5. Po 20 dienų jis bus atskleistas paprastoms baltoms skrybėlėms; 6. Atskleidimas stažuotojams po 40 dienų; 7. Prieinama visuomenei po 90 dienų; Suprantama, kad kai kurios saugos paslaugų įmonės, sumokėjusios tam tikrą mokestį Wuyun.com, gali iš anksto pamatyti visus savo paslaugų klientų pažeidžiamumus, ir ar teisėta nutekinti pažeidžiamumo informaciją paslaugų įmonei be kliento leidimo? Verta paminėti, kad Wuyun.com paskelbti pažeidžiamumo pavadinimai yra tik iš baltosios skrybėlės pateikimų, be jokios peržiūros ir modifikavimo, ir bauginančių pavadinimų, tokių kaip "gali sukelti daugiau nei 1,000 serverių kritimą" ir "beveik 10 milijonų vartotojų duomenų yra nutekėjimo pavojus" gausu. Autorius sužinojo keletą istorijų iš draugo, kuris daugelį metų dirba saugumo pramonėje: 1. Nuo pat pradžių tamsių debesų egzistavimas turi atkreipti visų šalių dėmesį į saugumą, o tai neabejotinai svarbu. 2. Vystymosi procese yra tam tikrų tamsių debesų skirtumų, kurie gali atsirasti dėl viešai neatskleistų asmenų vertybinės orientacijos nenuoseklumo; Gali būti paveikslo vardas, pelnas, šlovė ir turtas; 3. Dėl šio nesutarimo pažeidžiamumo atskleidimas yra savotiškasUžmaskuota prievarta (lustai)ir netgi tapo PK koliziejumi tarpusavyje; 4. Procese nuo 2 iki 3 atitinkamos pramonės institucijos (priežiūra) daugiau ar mažiau sutiko (palaikė) tamsių debesų egzistavimą. Pažeidžiamumų atskleidimas yra dar labiau karnavalas Plačiosios visuomenės sąmonėje paslaptis ir pavojus yra įsilaužimo sinonimai. Tačiau įsilaužėlių pasaulyje visi įsilaužėliai daugiausia skirstomi į du tipus: baltosios ir juodosios skrybėlės, tie, kurie nori pranešti apie įmonių pažeidžiamumą ir piktybiškai neišnaudoja pažeidžiamumų, yra baltosios skrybėlės, o juodosios skrybėlės pragyvena vogdamos informaciją siekdamos pelno. "Nors "Wuyun" turi konfidencialumo laikotarpį pažeidžiamumų atskleidimui, iš tikrųjų man nereikia žiūrėti į pažeidžiamumo detales. Bet kuris patyręs įsilaužėlis gali jį išbandyti tikslingai, jei perskaito pažeidžiamumo pavadinimą ir aprašymą, todėl daugeliu atvejų, paskelbus apie pažeidžiamumą, nesunku kuo greičiau gauti išsamią informaciją apie pažeidžiamumą. Z, įsilaužėlių rato narys, pateikęs dešimtis pažeidžiamumų Wuyun, sakė autoriui: "Tiesą sakant, tai, ką matote, yra tai, ką mes žaidžiame. ” Ctrip pažeidžiamumo atradėjas "Pig Man" yra aukščiausio rango balta skrybėlė tamsiame debesyje, su net 125 pažeidžiamumu. Kovo 22 d. vakare Pigmanas išleido dvi rimtas saugumo spragas apie "Ctrip" iš eilės, o ankstesniame Pigmano įraše jis išleido daugelio žinomų įmonių, įskaitant "Tencent", "Alibaba", "NetEase", "Youku" ir "Lenovo", pažeidžiamumus ir yra tikras įsilaužėlis. Kalbant apie tai, kas yra "Kiaulės žmogus", Z nenorėjo pasakyti daugiau, tik atskleidė autoriui, kad Kiaulės žmogus iš tikrųjų buvo Wuyun.com viešai neatskleistas asmuo. Utopija įsilaužėliams "Kadangi neteisėtas juodosios dėžės saugumo testavimas yra neteisėtas, populiaru, kad įsilaužėliai įsilaužia į svetaines, kad pavogtų informaciją, ir galiausiai, kol jie pateikia pažeidžiamumą gamintojams Wuyun.com, jie gali būti išbalinti." Z taip pat parodė autoriui privatų forumą apie Wuyun.com, į kurį gali patekti tik patikrintos baltos skrybėlės. Autorius šiame slaptame forume nustatė, kad yra specialių diskusijų skyrių tokiomis temomis kaip juodoji pramonė, uždarbis internete ir kibernetiniai karai. 2013 m. gruodį "Sina Technology" išleistame straipsnyje "Revealing Wuyun.com" Wuyun.com buvo apklausta kaip "didžiausia Kinijos įsilaužėlių mokymo bazė", kaip parodyta paveikslėlyje žemiau: Panašių temų gausu forume, ir daugelis baltųjų skrybėlių virto šiltnamiu, kad aptartų išnaudojimo metodus, kaip panaudoti šias spragas juodajai pramonei ir klaidžioti pilkojoje įstatymo zonoje. Ar saugumo pažeidimai taps galingiausiu viešųjų ryšių ginklu interneto amžiuje? Sparčiai vystantis internetui, vietinė pogrindinė juodosios pramonės grandinė taip pat tampa vis didesnė, o saugumo spragos iš tikrųjų kelia grėsmę tikriesiems kiekvieno interesams. Po to, kai 2014 m. vasario 17 d. buvo atskleista "Alipay/Yuebao" savavališka prisijungimo spraga, "Alibaba PR" greitai užsipuolė ir išėmė 5 milijonų juanių piniginį atlygį, kad nuslėptų viešąją nuomonę. Nuo to laiko buvo begalė viešųjų ryšių juodraščių apie prastą "WeChat Pay" saugumą ir "Alipay" abipusę atsakomybę. Vardan saugumo už jo slypi interneto verslo karo uždraudimas ir uždraudimas prieš jį, juodaodžių viešieji ryšiai ir incidentai prieš juodaodžius, kurie intensyvėja, ir Wuyun.com suvaidino svarbų vaidmenį jį kurstant. Atsižvelgdami į precedento neturintį socialinį susirūpinimą, kurį sukėlė nuolatiniai Wuyun.com atskleisti saugumo incidentai, kai kurie ekspertai neseniai pradėjo abejoti, ar Wuyun.com pažeidžiamumo atskleidimo taisyklės yra teisėtos: žiniasklaida praneša apie beprotiškus pagal Wuyun paskelbtus pažeidžiamumo pavadinimus ir trumpus aprašymus. Taigi, jei kas nors sąmoningai skelbia klaidingas spragas, tai neišvengiamai padarys labai blogą poveikį įmonei, kas prisiims šią atsakomybę? Ar privati įmonė, turinti tiek daug saugumo spragų ir naudojanti pažeidžiamumo atskleidimą kaip savo verslo modelį, pati žengia į pilkąją įstatymo zoną? Savo RFC2026 atsakingo pažeidžiamumo atskleidimo proceso projekte interneto darbo grupė mini, kad "žurnalistai turėtų užtikrinti, kad pažeidžiamumas būtų tikras". "Tačiau kai pažeidžiamumas išleidžiamas Wuyun.com ir patvirtinamas įmonės, pažeidžiamumo autentiškumas ir tikslumas negali būti žinomas. Atsakingas saugumo pažeidžiamumo atskleidimas turėtų būti griežtas, o bet kuris techninis darbuotojas, radęs pažeidžiamumą, turėtų aiškiai nurodyti pažeidžiamumo poveikio mastą, kad nesukeltų nereikalingos visuomenės panikos, pavyzdžiui, šios "Ctrip" kredito kortelės durys, net jei Wuyun.com nerimauja dėl žiniasklaidos poveikio ir ažiotažo dėl savo poreikių, tačiau taip pat turėtų paaiškinti, ar nutekėjusi informacija yra užšifruota ir koks yra poveikio mastas, o ne tapti vadinamąja "pagrindine partija" ir laikyti įmones įkaitėmis vardan saugumo. Būtina atskleisti saugumo spragas, kurios yra atsakingos ne tik už vartotojus, bet ir už įmonės saugumo priežiūrą, tačiau verta apmąstyti, kaip iš tikrųjų pasiekti atsakingą pažeidžiamumo atskleidimą.
| 
Paskelbta 2015-09-26 16:41:22
|
|
|
|
