Care este originea norilor întunecați care au ieșit din Ctrip și alte scurgeri?

La ora 18:00, pe 23 martie 2014, platforma vulnerabilității Wuyun (Wuyun.com) a fost expusăCtripInterfața serverului de plăți securizat are o funcție de depanare care poate salva înregistrările de plată ale utilizatorului, inclusiv numele titularului cardului, cardul de identitate, numărul cardului bancar, codul CVV al cardului, compartimentul cardului cu 6 cifre și alte informații. Din cauza scurgerii de informații financiare personale, a stârnit o îngrijorare puternică din toate mediile, iar alte mass-media s-au grăbit să o relateze, existând opinii diferite.

Este fără îndoială greșit și stupid să stochezi informații sensibile ale utilizatorilor în jurnalele lui Ctrip, iar când opinia publică l-a împins pe Ctrip în prim-plan, autorul a avut o curiozitate puternică față de Wuyun.com. Privind istoria dezvăluirilor de vulnerabilitate ale Wuyun.com, este șocant:

10 octombrie 2013,Ca acasăși alte informații despre deschiderea camerelor de hotel au fost scurse; 20 noiembrie,Tencent70 de milioaneQQdatele utilizatorilor grupului au fost acuzate de scurgeri; 26 noiembrie,360Vulnerabilități în schimbarea parolelor de către utilizatori arbitrari; La 17 februarie 2014, vulnerabilitatea arbitrară de autentificare Alipay/Yuebao, conturile internauților erau expuse riscului; Pe 26 februarie 2014, informațiile sensibile WeChat au scurs o vulnerabilitate, ceea ce a dus la scurgerile unui număr mare de videoclipuri ale utilizatorilor, iar impactul a fost comparabil cu cel XX gate......

O serie de scurgeri de informații l-au făcut celebri pe Wuyun.com și pe acest site inițial necunoscut. Deși oamenii pun la îndoială performanța iresponsabilă a companiilor relevante, sunt plini de întrebări despre Wuyun.com: Ce fel de platformă este aceasta și de ce poate expune vulnerabilitățile companiilor mari în mai multe cazuri? Câte secrete există în spatele norilor întunecați?

În spatele norilor întunecați

WooYun a fost fondat în mai 2010, iar fondatorul principal este Fang Xiaodun, fost expert în securitate la Baidu, un cunoscut hacker intern "Jianxin", născut în 1987, care a participat la programul "Every Day Upward" al Hunan Satellite TV alături de Robin Li în februarie 2010 și a devenit cunoscut pentru că iubita lui a cântat un cântec. De atunci, Fang Xiaodun s-a asociat cu mai multe persoane din comunitatea de securitate pentru a înființa Wuyun.com, cu scopul de a deveni o platformă de raportare a vulnerabilităților "liberă și egală".

În Baidu Encyclopedia, Wuyun se descrie astfel: o platformă de feedback asupra problemelor de securitate situată între producători și cercetători în securitate, oferind o platformă pentru bunăstare publică, învățare, comunicare și cercetare pentru cercetătorii în securitatea Internetului, în timp ce procesează feedback-ul și urmăresc problemele de securitate.

Deși Wuyun și-a construit imaginea ca o organizație terță pentru binele public, pentru a câștiga încrederea oamenilor și a societății. Totuși, după verificare, Wuyun.com nu este o instituție publică terță, ci o companie pur privată, iar veniturile sale provin din regulile de dezvăluire a vulnerabilităților.

Pentru vulnerabilitățile generale, regulile Wuyun.com sunt următoarele:

1. După ce white hat-ul trimite vulnerabilitatea și trece revizuirea, Wuyun.com va publica un rezumat al vulnerabilității, incluzând titlul vulnerabilității, furnizorul implicat, tipul vulnerabilității și o scurtă descriere

2. Producătorul are o perioadă de confirmare de 5 zile (dacă nu este confirmată în termen de 5 zile, va fi ignorată, dar nu va fi dezvăluită și va fi introdusă direct în 2);

3. Dezvăluirea către partenerii de securitate după 3 zile de la confirmare;

4. Să dezvăluie experților din domeniile de bază și conexe după 10 zile;

5. După 20 de zile, va fi dezvăluit banalilor obișnuiți;

6. Dezvăluire către practicienii cu pălărie albă după 40 de zile;

7. Disponibil publicului după 90 de zile;

Se înțelege că atunci când unele companii de servicii de securitate plătesc o anumită taxă pentru Wuyun.com, pot vedea toate vulnerabilitățile clienților lor din timp, iar este legal să se scurgă informații despre vulnerabilități către compania de servicii fără permisiunea clientului? Merită menționat că titlurile de vulnerabilități publicate de Wuyun.com provin în întregime din trimiteri white hat, fără nicio revizuire sau modificare, iar titluri intimidante precum "pot duce la căderea a peste 1.000 de servere" și "aproape 10 milioane de date ale utilizatorilor sunt expuse riscului de scurgere".

Autoarea a învățat câteva povești de la un prieten care lucrează de mulți ani în industria securității:

1. De la început, existența norilor întunecați are scopul de a atrage atenția tuturor părților către siguranță, ceea ce este fără îndoială important.

2. În procesul de dezvoltare, există anumite diferențe în norii întunecați, care pot proveni din inconsistența orientării către valoare a celor din interior; Poate exista un nume de tablou, un profit sau un tablou faimă și avere;

3. Această dezacord face ca dezvăluirea vulnerabilității să fie un felCoerciție deghizată (cipuri), și chiar au devenit un colosseum pentru PK împreună;

4. În procesul de la 2 la 3, autoritățile industriale corespunzătoare (supravegherea) au acceptat mai mult sau mai puțin existența norilor întunecați.

Dezvăluirea vulnerabilităților este și mai mult un carnaval

În mintea publicului larg, misterul și pericolul sunt sinonime cu hacking-ul. Totuși, în lumea hackingului, toți hackerii sunt clasificați în principal în două tipuri: white hats și black hats, cei care sunt dispuși să anunțe vulnerabilitățile în fața companiilor și nu exploatează vulnerabilitățile în mod rău intenționat sunt white hats, în timp ce black hats își câștigă existența furând informații pentru profit.

"Deși Wuyun are o perioadă de confidențialitate pentru dezvăluirea vulnerabilităților, de fapt, nu trebuie să mă uit la detaliile vulnerabilității. Orice hacker experimentat o poate testa țintit, atâta timp cât citește titlul și descrierea vulnerabilității, astfel încât, în majoritatea cazurilor, odată ce vulnerabilitatea este anunțată, nu este dificil să obții detaliile cât mai curând posibil. Z, un membru al cercului hackerilor care a trimis zeci de vulnerabilități în Wuyun, i-a spus autorului: "De fapt, ceea ce vezi tu este ceea ce jucăm. ”

Descoperitorul vulnerabilității lui Ctrip, "Pig Man", este cel mai bine clasat white hat din norul întunecat, cu până la 125 de vulnerabilități publicate. În seara zilei de 22 martie, Pigman a lansat două vulnerabilități serioase de securitate legate de Ctrip la rând, iar în recordul său anterior, el a dezvăluit vulnerabilități ale multor companii cunoscute, inclusiv Tencent, Alibaba, NetEase, Youku și Lenovo, și este un adevărat hacker. Referitor la cine este "Pig Man", Z nu a vrut să spună mai multe, dezvăluindu-i doar autorului că Pig Man era de fapt un insider al Wuyun.com.

O utopie pentru hackeri

"Pentru că testarea neautorizată a cutiei negre este ilegală, este popular în cercul ca hackerii să spargă site-uri web pentru a fura informații și, în final, atâta timp cât trimit vulnerabilități producătorilor pe Wuyun.com, acestea pot fi albe."

Z i-a arătat autorului și un forum privat pe Wuyun.com, la care pot fi accesate doar de persoane cu pălării albe verificate. Autorul a descoperit în acest forum secret că există secțiuni speciale de discuție pe subiecte precum industria neagră, câștigurile online și războaiele cibernetice. În articolul "Revealing Wuyun.com" publicat de Sina Technology în decembrie 2013, Wuyun.com a fost pus sub semnul întrebării ca fiind "cea mai mare bază de antrenament hacker din China", așa cum se vede în figura de mai jos:

Subiecte similare abundă pe forum, iar mulți "white hats" s-au transformat într-o seră pentru a discuta tehnici de exploatare, cum să folosească aceste portițe pentru a face industria neagră și să rătăcească în zona gri a legii.

Vor deveni breșele de securitate cea mai puternică armă de relații publice din era Internetului?

Odată cu dezvoltarea rapidă a Internetului, lanțul industrial negru subteran intern devine tot mai mare, iar vulnerabilitățile de securitate amenință cu adevărat interesele reale ale tuturor.

După ce lacuna arbitrară de autentificare Alipay/Yuebao a fost dezvăluită pe 17 februarie 2014, Alibaba PR a atacat rapid și a acordat o recompensă în bani de 5 milioane de yuani pentru a acoperi opinia publică. De atunci, au existat nesfârșite proiecte de relații publice despre securitatea slabă a WeChat Pay și responsabilitățile comune ale Alipay. În numele securității, în spatele acestora se află interzicerea și anti-interzicerea războiului de afaceri de pe Internet, relațiile publice ale negrilor și incidentele anti-negri, care se intensifică, iar Wuyun.com a jucat un rol în alimentarea acestora.

Având în vedere preocuparea socială fără precedent cauzată de incidentele continue de securitate dezvăluite de Wuyun.com, unii experți au început recent să se întrebe dacă regulile de dezvăluire a vulnerabilităților din Wuyun.com sunt legale: relatările mass-media sunt nebunești bazându-se pe titlurile vulnerabilităților și descrierile scurte publicate de Wuyun. Așadar, dacă cineva publică deliberat portițe false, este inevitabil să aibă un impact foarte negativ asupra întreprinderii, cine va purta această responsabilitate? Oare o companie privată, care are atât de multe vulnerabilități de securitate și folosește dezvăluirea vulnerabilităților ca model de afaceri, pășește ea însăși în zona gri a legii?

În proiectul său RFC2026 Procesul Responsabil de Dezvăluire a Vulnerabilităților, Grupul de Lucru pe Internet menționează că "reporterii ar trebui să se asigure că vulnerabilitățile sunt autentice." "Totuși, când vulnerabilitatea este publicată pe Wuyun.com și confirmată de companie, autenticitatea și acuratețea vulnerabilității nu pot fi cunoscute. Dezvăluirea responsabilă a vulnerabilităților de securitate ar trebui să fie riguroasă, iar orice lucrător tehnic care găsește o vulnerabilitate ar trebui să precizeze clar amploarea impactului vulnerabilității, pentru a nu provoca panică publică inutilă, cum ar fi această ușă a cardului de credit Ctrip, chiar dacă Wuyun.com dorește expunere mediatică și hype din cauza propriilor nevoi, dar ar trebui să explice și dacă informațiile scurse sunt criptate și care este amploarea impactului, în loc să devină o așa-numită "petrecere principală" și să țină întreprinderile ostatice în numele securității.

Dezvăluirea vulnerabilităților de securitate este necesară, ceea ce nu este responsabil doar pentru utilizatori, ci și pentru supravegherea securității întreprinderii, însă modul în care se poate obține cu adevărat o dezvăluire responsabilă a vulnerabilităților merită analizat.