Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Beheergebied Klachtensuggesties Prullenbak Wat is de bron van de donkere wolken die uit Ctrip en andere lekken zijn gekomen...
Bekijken: 8519|Antwoord: 0

Wat is de oorsprong van de donkere wolken die uit Ctrip en andere lekken zijn gekomen?

[Link kopiëren]
Geplaatst op 26-09-2015 16:41:22 | | | |

Om 18.00 uur op 23 maart 2014 werd het Wuyun-kwetsbaarheidsplatform (Wuyun.com) blootgelegdCtripDe interface van de beveiligde betaalserver heeft een debuggingfunctie die de betalingsgegevens van de gebruiker kan opslaan, waaronder de naam van de kaarthouder, ID-kaart, bankkaartnummer, kaart-CVV-code, 6-cijferige kaartbak en andere informatie. Door het lekken van persoonlijke financiële informatie heeft dit grote bezorgdheid gewekt bij alle lagen van de bevolking, en andere media haastten zich om hierover te berichten, en er zijn verschillende meningen.

Het is ongetwijfeld verkeerd en dom om gevoelige gebruikersinformatie in Ctrips logs op te slaan, en toen de publieke opinie Ctrip naar de voorgrond bracht, had de auteur een sterke nieuwsgierigheid naar Wuyun.com. Als je kijkt naar de geschiedenis van de kwetsbaarheidsonthullingen van Wuyun.com, is het schokkend:

10 oktober 2013,Net als thuisen andere informatie over het openen van hotelkamers lekte; 20 november,Tencent70 miljoenQQgroepsgebruikersgegevens werden beschuldigd van lekken; 26 november,360Kwetsbaarheden bij het wijzigen van wachtwoorden door willekeurige gebruikers; Op 17 februari 2014 kwam een willekeurige inlogkwetsbaarheid van Alipay/Yuebao en de accounts van netizens in gevaar; Op 26 februari 2014 lekte de gevoelige informatie van WeChat kwetsbaarheden, wat resulteerde in het lekken van een groot aantal gebruikersvideo's, en de impact was vergelijkbaar met XX gate......

Een reeks lekken heeft Wuyun.com en deze voorheen onbekende website beroemd gemaakt. Hoewel mensen de onverantwoordelijke prestaties van relevante bedrijven in twijfel trekken, staan ze ook vol vragen over Wuyun.com: Wat voor soort platform is dit, en waarom kan het de kwetsbaarheden van grote bedrijven op een reeks momenten blootleggen? Hoeveel geheimen schuilen er achter de donkere wolken?

Achter de donkere wolken

WooYun werd opgericht in mei 2010, en de belangrijkste oprichter is Fang Xiaodun, een voormalig beveiligingsexpert bij Baidu, een bekende binnenlandse hacker "Jianxin" geboren in 1987, die in februari 2010 deelnam aan het programma "Every Day Upward" op Hunan Satellite TV met Robin Li, en bekend werd omdat zijn vriendin een lied zong. Sindsdien heeft Fang Xiaodun de krachten gebundeld met verschillende mensen uit de beveiligingsgemeenschap om Wuyun.com op te richten, met als doel een "vrij en gelijk" platform voor kwetsbaarheidsrapportage te worden.

In de Baidu Encyclopedie beschrijft Wuyun zichzelf als volgt: een platform voor feedback op het gebied van beveiligingskwesties tussen fabrikanten en beveiligingsonderzoekers, dat een platform biedt voor het algemeen welzijn, leren, communicatie en onderzoek voor internetbeveiligingsonderzoekers, terwijl feedback wordt verwerkt en opvolgt op beveiligingskwesties.

Hoewel Wuyun zijn imago heeft opgebouwd als een derde partij voor het algemeen welzijn om het vertrouwen van witte hoeden en de samenleving te winnen. Na verificatie is Wuyun.com echter geen publieke derde partij, maar een puur privébedrijf, en de inkomsten komen voort uit de regels voor kwetsbaarheidsrapportage.

Voor algemene kwetsbaarheden zijn de regels van Wuyun.com als volgt:

1. Nadat de white hat de kwetsbaarheid heeft ingediend en de beoordeling heeft doorstaan, publiceert Wuyun.com een samenvatting van de kwetsbaarheid, inclusief de kwetsbaarheidstitel, de betrokken leverancier, het kwetsbaarheidstype en een korte beschrijving

2. De fabrikant heeft een bevestigingsperiode van 5 dagen (als deze niet binnen 5 dagen wordt bevestigd, wordt deze genegeerd, maar niet bekendgemaakt en direct ingevoerd in 2);

3. Openbaarmaking aan beveiligingspartners na 3 dagen bevestiging;

4. Na 10 dagen bekendmaken aan experts in kern- en aanverwante vakgebieden;

5. Na 20 dagen wordt het onthuld aan gewone witte hoeden;

6. Openbaarmaking aan stagiairs met witte hoeden na 40 dagen;

7. Beschikbaar voor het publiek na 90 dagen;

Het is bekend dat wanneer sommige beveiligingsbedrijven een bepaalde vergoeding betalen aan Wuyun.com, zij alle kwetsbaarheden van hun klanten van tevoren kunnen zien, en is het legaal om kwetsbaarheidsinformatie te lekken aan het servicebedrijf zonder toestemming van de klant? Het is vermeldenswaard dat de kwetsbaarheidstitels die door Wuyun.com worden gepubliceerd volledig afkomstig zijn van white hat-inzendingen, zonder enige beoordeling of aanpassing, en intimiderende titels zoals "kunnen leiden tot de val van meer dan 1.000 servers" en "bijna 10 miljoen gebruikersgegevens lopen risico op lekkage" in overvloed aanwezig zijn.

De auteur leerde enkele verhalen van een vriend die al vele jaren in de beveiligingsindustrie werkt:

1. Vanaf het begin is het bestaan van donkere wolken bedoeld om de aandacht van alle partijen op veiligheid te vestigen, wat ongetwijfeld belangrijk is.

2. In het ontwikkelingsproces zijn er bepaalde verschillen in de donkere wolken, die kunnen voortkomen uit de inconsistentie van de waardeoriëntatie van insiders; Er kan een naam van het schilderij zijn, of een winst, of een schilderij van roem en fortuin;

3. Deze onenigheid maakt de kwetsbaarheidsonthulling ervan op een bepaalde manierVermomde dwang (chips), en werden zelfs een colosseum voor PK met elkaar;

4. In het proces van 2 naar 3 stemden de betreffende brancheautoriteiten (toezicht) min of meer in met het bestaan van donkere wolken.

Het openbaren van kwetsbaarheden is nog meer een carnaval

In de hoofden van het grote publiek zijn mysterie en gevaar synoniem aan hacken. In de hackwereld worden alle hackers echter voornamelijk ingedeeld in twee types: white hats en black hats, degenen die bereid zijn kwetsbaarheden aan bedrijven bekend te maken en deze niet kwaadwillig exploiteren, zijn white hats, terwijl black hats hun brood verdienen met het stelen van informatie voor winst.

"Hoewel Wuyun een geheimhoudingsperiode heeft voor het openbaar maken van kwetsbaarheden, hoef ik de details van de kwetsbaarheid niet te bekijken. Elke ervaren hacker kan het doelgericht testen zolang hij de kwetsbaarheidstitel en beschrijving leest, dus in de meeste gevallen is het, zodra de kwetsbaarheid is aangekondigd, niet moeilijk om zo snel mogelijk de details van de kwetsbaarheid te verkrijgen. Z, een lid van de hacker circle die tientallen kwetsbaarheden in Wuyun heeft ingediend, vertelde de auteur: "In feite is wat je ziet wat wij spelen. ”

De ontdekker van Ctrips kwetsbaarheid, "Pig Man", is de hoogst gerangschikte witte hoed in de donkere wolk, met wel 125 vrijgegeven kwetsbaarheden. Op de avond van 22 maart bracht Pigman twee ernstige beveiligingslekken achter elkaar over Ctrip vrij, en in Pigmans eerdere dossier heeft hij kwetsbaarheden van vele bekende ondernemingen vrijgegeven, waaronder Tencent, Alibaba, NetEase, Youku en Lenovo, en is hij een ware hacker. Wat betreft wie "Pig Man" is, wilde Z niet meer zeggen, en onthulde alleen aan de auteur dat Pig Man eigenlijk een insider van Wuyun.com was.


Een utopie voor hackers

"Omdat ongeautoriseerde black box beveiligingstesten illegaal zijn, is het populair in de kring dat hackers websites hacken om informatie te stelen, en uiteindelijk, zolang ze kwetsbaarheden aan fabrikanten op Wuyun.com indienen, kunnen ze worden witgewassen."

Z liet de auteur ook een privéforum op Wuyun.com zien, dat alleen toegankelijk is met gescreende witte hoeden. De auteur ontdekte in dit geheime forum dat er speciale discussiesecties zijn over onderwerpen zoals de zwarte industrie, online verdienen en cyberoorlogen. In het artikel "Revealing Wuyun.com" dat in december 2013 door Sina Technology werd gepubliceerd, werd Wuyun.com bevraagd als "China's grootste hackertrainingsbasis", zoals te zien is in de onderstaande figuur:


Vergelijkbare onderwerpen zijn volop aanwezig in het forum, en veel witte hoeden zijn veranderd in een kas om exploitatietechnieken te bespreken, hoe deze mazen te gebruiken om zwarte industrie te bedrijven, en te dwalen in het grijze gebied van de wet.

Zullen beveiligingslekken het krachtigste public relations-instrument worden in het internettijdperk?

Met de snelle ontwikkeling van het internet wordt ook de binnenlandse ondergrondse zwarte industrieketen steeds groter en bedreigen beveiligingslekken echt ieders werkelijke belangen.

Nadat op 17 februari 2014 het Alipay/Yuebao-maas in de arbitraire login-wet werd blootgelegd, viel Alibaba PR snel aan en nam een geldbeloning van 5 miljoen yuan uit om de publieke opinie te dekken. Sindsdien zijn er eindeloze public relations-concepten geweest over de slechte beveiliging van WeChat Pay en de wederzijdse verantwoordelijkheden van Alipay. In naam van veiligheid zit er het verbod en anti-verbod op de internetoorlog, zwarte public relations en anti-zwarte incidenten achter, die toenemen, en Wuyun.com heeft een rol gespeeld in het aanwakkeren daarvan.

Gezien de ongekende maatschappelijke bezorgdheid veroorzaakt door de voortdurende beveiligingsincidenten die door Wuyun.com zijn onthuld, zijn sommige experts recentelijk begonnen te twijfelen aan de vraag of de kwetsbaarheidsregels van Wuyun.com legaal zijn: de media melden zich gek op basis van de kwetsbaarheidstitels en korte beschrijvingen die door Wuyun zijn gepubliceerd. Dus als iemand opzettelijk valse mazen in de wet publiceert, zal dat ongetwijfeld een zeer slechte impact op het bedrijf hebben, wie zal dan deze verantwoordelijkheid dragen? Is een privébedrijf met zoveel beveiligingslekken en kwetsbaarheidsrapportage als bedrijfsmodel gebruikt, zelf een stap in het grijze gebied van de wet?

In haar concept RFC2026 Responsible Vulnerability Disclosure Process vermeldt de Internet Working Group dat "verslaggevers ervoor moeten zorgen dat kwetsbaarheden echt zijn." "Wanneer de kwetsbaarheid echter op Wuyun.com wordt vrijgegeven en door de Enterprise wordt bevestigd, kan de authenticiteit en nauwkeurigheid van de kwetsbaarheid niet worden vastgesteld. Verantwoorde openbaarmaking van beveiligingslekken moet streng zijn, en elke technisch medewerker die een kwetsbaarheid vindt, moet duidelijk de omvang van de impact van de kwetsbaarheid aangeven, om onnodige publieke paniek te voorkomen, zoals deze Ctrip-creditcarddeur, ook al is Wuyun.com uit op media-exposure en hype vanwege haar eigen behoeften, maar het moet ook uitleggen of de gelekte informatie versleuteld is en wat de omvang van de impact is, in plaats van een zogenaamde "headline party" te worden en ondernemingen gegijzeld te houden in naam van veiligheid.

Het openbaar maken van beveiligingslekken is noodzakelijk, wat niet alleen verantwoordelijk is voor gebruikers, maar ook voor het toezicht op de bedrijfsbeveiliging, maar hoe je echt verantwoorde kwetsbaarheidsbekendmaking kunt bereiken is het overwegen waard.






Vorig:Het type interface of methode waarmee foreach kan worden doorkruist, moet worden geïmplementeerd.
Volgend:XMLHttpRequest kan niet laden ''. Geen 'Toegangscontrole-Toelaat-Oorsprong'
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com