|
2014. gada 23. martā pulksten 18 tika atklāta Wuyun ievainojamības platforma (Wuyun.com)CtripDrošā maksājumu servera saskarnē ir atkļūdošanas funkcija, kas var saglabāt lietotāja maksājumu ierakstus, ieskaitot kartes īpašnieka vārdu, ID karti, bankas kartes numuru, kartes CVV kodu, 6 ciparu kartes atkritni un citu informāciju. Personiskās finanšu informācijas noplūdes dēļ tas ir izraisījis lielas bažas visās dzīves jomās, un citi plašsaziņas līdzekļi steidzās par to ziņot, un ir dažādi viedokļi. Neapšaubāmi ir nepareizi un stulbi glabāt sensitīvu lietotāju informāciju Ctrip žurnālos, un, kad sabiedriskā doma izvirzīja Ctrip priekšplānā, autoram bija spēcīga ziņkāre par Wuyun.com. Aplūkojot Wuyun.com ievainojamības atklāšanas vēsturi, tas ir šokējoši: 2013. gada 10. oktobrisTāpat kā mājāsun cita viesnīcas numura atvēršanas informācija noplūda; 20. novembris,Tencents70 miljoniQQgrupas lietotāju dati tika apsūdzēti noplūdē; 26. novembris,360Ievainojamība patvaļīgu lietotāju paroļu maiņā; 2014. gada 17. februārī Alipay/Yuebao patvaļīgas pieteikšanās ievainojamība, interneta lietotāju konti bija apdraudēti; 2014. gada 26. februārī WeChat sensitīva informācija noplūda ievainojamību, kā rezultātā tika nopludināts liels skaits lietotāju videoklipu, un ietekme bija salīdzināma ar XX vārtiem...... Virkne noplūdes ir padarījušas Wuyun.com un šo sākotnēji nezināmo vietni slavenu. Lai gan cilvēki apšauba attiecīgo uzņēmumu bezatbildīgo darbību, viņi ir arī pilni ar jautājumiem par Wuyun.com: Kāda veida platforma ir šī un kāpēc tā var atklāt lielāko uzņēmumu ievainojamību vairākos gadījumos? Cik noslēpumu slēpjas aiz tumšajiem mākoņiem? Aiz tumšajiem mākoņiem WooYun tika dibināts 2010. gada maijā, un galvenais dibinātājs ir Fang Xiaodun, bijušais Baidu drošības eksperts, pazīstams vietējais hakeris "Jianxin", dzimis 1987. gadā, kurš 2010. gada februārī piedalījās Hunan satelīttelevīzijas programmā "Every Day Upward" kopā ar Robinu Li un kļuva pazīstams, jo viņa draudzene dziedāja dziesmu. Kopš tā laika Fang Xiaodun ir apvienojis spēkus ar vairākiem cilvēkiem drošības kopienā, lai izveidotu Wuyun.com ar mērķi kļūt par "bezmaksas un vienlīdzīgu" ievainojamības ziņošanas platformu. Baidu enciklopēdijā Wuyun sevi raksturo šādi: drošības jautājumu atgriezeniskās saites platforma, kas atrodas starp ražotājiem un drošības pētniekiem, nodrošinot platformu sabiedrības labklājībai, mācībai, saziņai un pētniecībai interneta drošības pētniekiem, vienlaikus apstrādājot atgriezenisko saiti un sekojot drošības jautājumiem. Lai gan Wuyun ir izveidojis savu tēlu kā trešās puses organizācija sabiedrības labklājībai, lai iegūtu balto cepuru un sabiedrības uzticību. Tomēr pēc pārbaudes Wuyun.com nav publiska trešās puses iestāde, bet gan tīri privāts uzņēmums, un tā ienākumi nāk no ievainojamības atklāšanas noteikumiem. Attiecībā uz vispārējām ievainojamībām Wuyun.com noteikumi ir šādi: 1. Pēc tam, kad baltā cepure ir iesniegusi ievainojamību un izturējusi pārskatīšanu, Wuyun.com publicēs ievainojamības kopsavilkumu, tostarp ievainojamības nosaukumu, iesaistīto piegādātāju, ievainojamības veidu un īsu aprakstu 2. Ražotājam ir 5 dienu apstiprinājuma periods (ja tas netiks apstiprināts 5 dienu laikā, tas tiks ignorēts, bet tas netiks atklāts, un tas tiks tieši ievadīts 2); 3. Izpaušana drošības partneriem pēc 3 dienu apstiprinājuma; 4. Pēc 10 dienām atklājiet ekspertiem pamatjomās un saistītās jomās; 5. Pēc 20 dienām tas tiks atklāts parastajām baltajām cepurēm; 6. Atklāšana praktikantiem baltajām cepurēm pēc 40 dienām; 7. Pieejams sabiedrībai pēc 90 dienām; Ir saprotams, ka, ja daži apsardzes pakalpojumu uzņēmumi maksā noteiktu maksu Wuyun.com, viņi var iepriekš redzēt visas savu pakalpojumu klientu ievainojamības, un vai ir likumīgi nopludināt ievainojamības informāciju pakalpojumu uzņēmumam bez klienta atļaujas? Ir vērts pieminēt, ka Wuyun.com publicētie ievainojamības nosaukumi ir pilnībā no baltās cepures iesniegumiem, bez jebkādas pārskatīšanas un modifikācijām, un biedējoši nosaukumi, piemēram, "var izraisīt vairāk nekā 1,000 serveru kritumu" un "gandrīz 10 miljoni lietotāju datu ir pakļauti noplūdes riskam". Autors uzzināja dažus stāstus no drauga, kurš daudzus gadus strādā drošības nozarē: 1. Jau no paša sākuma tumšo mākoņu esamība ir jāpievērš visu pušu uzmanība drošībai, kas neapšaubāmi ir svarīga. 2. Attīstības procesā tumšajos mākoņos ir zināmas atšķirības, kas var rasties no iekšējo personu vērtību orientācijas nekonsekvences; Var būt attēla vārds vai peļņa, vai attēla slava un bagātība; 3. Šī nesaskaņa padara tās ievainojamības atklāšanu par sava veidaSlēpta piespiešana (mikroshēmas), un pat kļuva par kolizeju PK savā starpā; 4. Procesā no 2 līdz 3 attiecīgās nozares iestādes (uzraudzība) vairāk vai mazāk piekrita (atbalstīja) tumšo mākoņu esamību. Ievainojamības atklāšana ir vēl vairāk karnevāls Plašākas sabiedrības prātos noslēpums un briesmas ir sinonīms hakeriem. Tomēr hakeru pasaulē visi hakeri galvenokārt tiek klasificēti divos veidos: baltās cepures un melnās cepures, tie, kas vēlas paziņot par uzņēmumu ievainojamību un ļaunprātīgi neizmanto ievainojamību, ir baltās cepures, bet melnās cepures pelna iztiku, zogot informāciju peļņas gūšanai. "Lai gan Wuyun ir konfidencialitātes periods ievainojamības atklāšanai, patiesībā man nav jāaplūko ievainojamības detaļas. Jebkurš pieredzējis hakeris var to mērķtiecīgi pārbaudīt, ja vien viņš lasa ievainojamības nosaukumu un aprakstu, tāpēc vairumā gadījumu, tiklīdz ievainojamība ir paziņota, nav grūti pēc iespējas ātrāk iegūt informāciju par ievainojamību. Z, hakeru loka loceklis, kurš ir iesniedzis desmitiem ievainojamību Wuyun, sacīja autoram: "Patiesībā tas, ko jūs redzat, ir tas, ko mēs spēlējam. ” Ctrip ievainojamības atklājējs "Pig Man" ir visaugstāk novērtētā baltā cepure tumšajā mākonī, kurā ir izlaistas pat 125 ievainojamības. 22. marta vakarā Pigman izlaida divas nopietnas drošības ievainojamības par Ctrip pēc kārtas, un Pigman iepriekšējā ierakstā viņš ir izlaidis daudzu pazīstamu uzņēmumu, tostarp Tencent, Alibaba, NetEase, Youku un Lenovo, ievainojamību, un ir īsts hakeris. Attiecībā uz to, kas ir "Cūku cilvēks", Z negribēja teikt vairāk, tikai atklājot autoram, ka Cūku cilvēks patiesībā bija Wuyun.com iekšējais cilvēks. Utopija hakeriem "Tā kā nesankcionēta melnās kastes drošības pārbaude ir nelikumīga, aprindās ir populāri, ka hakeri uzlauž vietnes, lai nozagtu informāciju, un, visbeidzot, kamēr viņi iesniedz ievainojamību ražotājiem Wuyun.com, tos var attaisnot." Z arī parādīja autoram privātu forumu vietnē Wuyun.com, kuram var piekļūt tikai pārbaudītas baltas cepures. Autors šajā slepenajā forumā atklāja, ka ir īpašas diskusiju sadaļas par tādām tēmām kā melnā rūpniecība, tiešsaistes peļņa un kiberkari. Rakstā "Atklājot Wuyun.com", ko 2013. gada decembrī izdeva Sina Technology, Wuyun.com tika apšaubīts kā "Ķīnas lielākā hakeru apmācības bāze", kā parādīts zemāk redzamajā attēlā: Forumā ir daudz līdzīgu tēmu, un daudzas baltās cepures ir pārvērtušās par siltumnīcu, lai apspriestu ekspluatācijas metodes, kā izmantot šīs nepilnības, lai veiktu melno rūpniecību, un klīst likuma pelēkajā zonā. Vai drošības pārkāpumi kļūs par visspēcīgāko sabiedrisko attiecību ieroci interneta laikmetā? Strauji attīstoties internetam, arī vietējā pagrīdes melnās rūpniecības ķēde kļūst arvien lielāka, un drošības ievainojamība patiešām apdraud ikviena faktiskās intereses. Pēc tam, kad 2014. gada 17. februārī tika atklāta Alipay/Yuebao patvaļīga pieteikšanās nepilnība, Alibaba PR ātri uzbruka un paņēma naudas atlīdzību 5 miljonu juaņu apmērā, lai segtu sabiedrības viedokli. Kopš tā laika ir bijuši bezgalīgi sabiedrisko attiecību projekti par WeChat Pay slikto drošību un Alipay savstarpējo atbildību. Drošības vārdā aiz tā slēpjas interneta biznesa kara aizliegšana un aizliegums, melnādaino sabiedriskās attiecības un pret melnādainajiem incidenti, kas pastiprinās, un Wuyun.com ir bijusi sava loma tā veicināšanā. Ņemot vērā nepieredzētās sociālās bažas, ko izraisa Wuyun.com atklātie nepārtrauktie drošības incidenti, daži eksperti nesen sāka apšaubīt, vai Wuyun.com ievainojamības atklāšanas noteikumi ir likumīgi: plašsaziņas līdzekļi ziņo par trakiem, pamatojoties uz Wuyun publicētajiem ievainojamības nosaukumiem un īsiem aprakstiem. Tātad, ja kāds apzināti publicē nepatiesas nepilnības, tas noteikti radīs ļoti sliktu ietekmi uz uzņēmumu, kurš uzņemsies šo atbildību? Vai privāts uzņēmums, kuram ir tik daudz drošības ievainojamību un izmanto ievainojamības atklāšanu kā savu biznesa modeli, pats uzkāpj uz likuma pelēkās zonas? Savā projektā RFC2026 atbildīgas ievainojamības atklāšanas procesu interneta darba grupa min, ka "žurnālistiem jānodrošina, ka ievainojamība ir patiesa". "Tomēr, kad ievainojamība tiek izlaista Wuyun.com un uzņēmums to apstiprina, ievainojamības autentiskumu un precizitāti nevar zināt. Atbildīgai drošības ievainojamības atklāšanai jābūt stingrai, un ikvienam tehniskajam darbiniekam, kurš konstatē ievainojamību, ir skaidri jānorāda ievainojamības ietekmes apjoms, lai neradītu nevajadzīgu sabiedrības paniku, piemēram, šīs Ctrip kredītkartes durvis, pat ja Wuyun.com ir noraizējusies par plašsaziņas līdzekļu ekspozīciju un ažiotāžu savu vajadzību dēļ, bet tai vajadzētu arī paskaidrot, vai nopludinātā informācija ir šifrēta un kāds ir ietekmes apjoms, nevis kļūt par tā saukto "galveno pusi" un turēt uzņēmumus par ķīlniekiem drošības vārdā. Ir nepieciešama drošības ievainojamības atklāšana, kas ir atbildīga ne tikai par lietotājiem, bet arī par uzņēmuma drošības uzraudzību, bet ir vērts padomāt, kā patiesi panākt atbildīgu ievainojamības atklāšanu.
| 
Publicēts 26.09.2015 16:41:22
|
|
|
|
