|
O 18:00 23. marca 2014 bola odhalená platforma zraniteľnosti Wuyun (Wuyun.com)CtripRozhranie bezpečného platobného servera má funkciu ladenia, ktorá dokáže uložiť platobné záznamy používateľa, vrátane mena držiteľa karty, občianskeho preukazu, čísla bankovej karty, CVV kódu karty, 6-miestneho kartového boxu a ďalších informácií. V dôsledku úniku osobných finančných informácií to vyvolalo silné obavy zo všetkých oblastí života a iné médiá sa o tom ponáhľali informovať, pričom existujú rôzne názory. Je nepochybne nesprávne a hlúpe uchovávať citlivé používateľské informácie v Ctripových logoch, a keď verejná mienka posunula Ctripa do popredia, autor mal silnú zvedavosť ohľadom Wuyun.com. Keď sa pozrieme na históriu zverejňovania zraniteľností Wuyun.com, je to šokujúce: 10. október 2013,Ako domaa ďalšie informácie o otváraní hotelových izieb unikli; 20. november,Tencent70 miliónovQQSkupinové používateľské dáta boli obvinené z úniku; 26. november,360Zraniteľnosti pri zmene hesiel ľubovoľnými používateľmi; Dňa 17. februára 2014 bola zraniteľnosť Alipay/Yuebao pri ľubovoľnom prihlasovaní, účtoch používateľov internetu ohrozená; Dňa 26. februára 2014 unikla zraniteľnosť citlivých informácií WeChatu, čo viedlo k úniku veľkého množstva používateľských videí a dopad bol porovnateľný s XX gate...... Séria únikov informácií preslávila Wuyun.com aj túto pôvodne neznámu webovú stránku. Kým ľudia spochybňujú nezodpovedný výkon relevantných firiem, sú tiež plní otázok o Wuyun.com: Aký druh platformy je to a prečo dokáže odhaliť zraniteľnosti veľkých spoločností v priebehu niekoľkých období? Koľko tajomstiev sa skrýva za tmavými mrakmi? Za tmavými mrakmi WooYun bola založená v máji 2010 a hlavným zakladateľom je Fang Xiaodun, bývalý bezpečnostný expert v Baidu, známy domáci hacker "Jianxin" narodený v roku 1987, ktorý sa zúčastnil programu Hunan Satellite TV "Every Day Upward" s Robinom Lim vo februári 2010 a preslávil sa tým, že jeho priateľka zaspievala pieseň. Odvtedy sa Fang Xiaodun spojil s viacerými ľuďmi z bezpečnostnej komunity, aby založili Wuyun.com s cieľom stať sa "slobodnou a rovnocennou" platformou na hlásenie zraniteľností. V Baidu Encyclopedia sa Wuyun opisuje nasledovne: platforma na spätnú väzbu v oblasti bezpečnostných otázok, umiestnená medzi výrobcami a bezpečnostnými výskumníkmi, poskytujúca platformu pre verejné blaho, vzdelávanie, komunikáciu a výskum pre výskumníkov internetovej bezpečnosti pri spracovaní spätnej väzby a následnom sledovaní bezpečnostných otázok. Hoci si Wuyun vybudoval imidž tretej strany pre verejné blaho, aby si získal dôveru bielych klobúkov a spoločnosti. Po overení však Wuyun.com nie je verejnou inštitúciou tretej strany, ale čisto súkromnou spoločnosťou a jej príjmy pochádzajú z pravidiel zverejňovania zraniteľností. Pre všeobecné zraniteľnosti sú pravidlá Wuyun.com nasledovné: 1. Po tom, čo white hat predloží zraniteľnosť a prejde kontrolou, Wuyun.com zverejní zhrnutie zraniteľnosti, vrátane názvu zraniteľnosti, zúčastneného dodávateľa, typu zraniteľnosti a stručného popisu 2. Výrobca má 5-dňovú lehotu na potvrdenie (ak nie je potvrdená do 5 dní, bude ignorovaná, ale nebude zverejnená a bude priamo zadaná do 2); 3. Oznámenie bezpečnostným partnerom po 3 dňoch od potvrdenia; 4. Oznámiť odborníkom v kľúčových a príbuzných oblastiach po 10 dňoch; 5. Po 20 dňoch bude zverejnená bežným bielym klobúkom; 6. Zverejnenie pre stážistov bielych klobúkov po 40 dňoch; 7. Dostupný verejnosti po 90 dňoch; Je známe, že keď niektoré bezpečnostné spoločnosti zaplatia určitý poplatok Wuyun.com, môžu vopred vidieť všetky zraniteľnosti svojich zákazníkov, a je legálne uniknúť informácie o zraniteľnostiach servisnej spoločnosti bez súhlasu zákazníka? Stojí za zmienku, že tituly zraniteľností publikované Wuyun.com sú výlučne z white hat príspevkov, bez akejkoľvek kontroly a úprav, a zastrašujúce titulky ako "môžu viesť k pádu viac ako 1 000 serverov" a "takmer 10 miliónov používateľských dát je ohrozených únikom" sú všadeprítomné. Autor sa dozvedel niekoľko príbehov od priateľa, ktorý už mnoho rokov pracuje v bezpečnostnom priemysle: 1. Od začiatku existencia tmavých oblakov má za cieľ vzbudiť pozornosť všetkých strán na bezpečie, čo je nepochybne dôležité. 2. V procese vývoja existujú určité rozdiely v tmavých oblakoch, ktoré môžu vyplývať z nekonzistentnosti hodnotovej orientácie insiderov; Môže tam byť meno na obrázku, zisk alebo sláva a bohatstvo na obrázku; 3. Tento nesúhlas robí z jeho odhalenia zraniteľnosti druhMaskované donucovanie (čipy), a dokonca sa stali koloseom PK medzi sebou; 4. V procese od 2 do 3 príslušné priemyselné orgány (dohľad) viac-menej súhlasili (podporovali) existenciu tmavých oblakov. Odhalenie zraniteľností je ešte väčším karnevalom V mysliach širokej verejnosti sú záhada a nebezpečenstvo synonymom hackovania. Avšak vo svete hackovania sú všetci hackeri rozdelení hlavne na dva typy: bielych klobúkov a čiernych klobúkov; tí, ktorí sú ochotní oznámiť zraniteľnosti podnikom a nezneužívajú ich zlomyseľne, sú bieli klobúkovia, zatiaľ čo čierni klobúkovia sa živia krádežou informácií pre zisk. "Hoci má Wuyun na zverejnenie zraniteľností obdobie dôvernosti, v skutočnosti nemusím skúmať detaily zraniteľnosti. Každý skúsený hacker ho môže cielene otestovať, pokiaľ si prečíta názov a popis zraniteľnosti, takže vo väčšine prípadov, keď je zraniteľnosť oznámená, nie je ťažké získať podrobnosti o zraniteľnosti čo najskôr. Z, člen hackerského kruhu, ktorý zverejnil desiatky zraniteľností vo Wuyun, povedal autorovi: "V skutočnosti to, čo vidíte, je to, čo hráme. ” Objaviteľ Ctripovej zraniteľnosti, "Pig Man", je najvyššie postaveným bielym klobúkom v temnom oblaku, s až 125 uvoľnenými zraniteľnosťami. Večer 22. marca Pigman zverejnil dve vážne bezpečnostné zraniteľnosti o Ctripovi za sebou a v jeho predchádzajúcom zázname zverejnil zraniteľnosti mnohých známych firiem vrátane Tencent, Alibaba, NetEase, Youku a Lenovo, a je skutočným hackerom. Čo sa týka toho, kto je "Pig Man", Z nechcel povedať viac, len prezradil autorovi, že Pig Man bol v skutočnosti insiderom Wuyun.com. Utópia pre hackerov "Keďže neoprávnené testovanie bezpečnosti čiernej skrinky je nelegálne, je v kruhu populárne, že hackeri hackujú webové stránky, aby ukradli informácie, a nakoniec, pokiaľ na Wuyun.com odosielajú zraniteľnosti výrobcom, môžu byť vybielené." Z tiež ukázal autorovi súkromné fórum na Wuyun.com, ktoré majú prístup len overení bieli čiapky. Autor na tomto tajnom fóre zistil, že existujú špeciálne diskusné sekcie na témy ako čierny priemysel, online zarábanie a kybernetické vojny. V článku "Revealing Wuyun.com" vydanom Sina Technology v decembri 2013 bol Wuyun.com spochybnený ako "najväčšia hackerská výcviková základňa v Číne", ako je znázornené na obrázku nižšie: Podobné témy sa objavujú na fóre a mnohí bieli klobúkovia sa premenili na skleník, aby diskutovali o technikách vykorisťovania, o tom, ako využiť tieto medzery na černošský priemysel, a o blúdení v šedej zóne práva. Stanú sa bezpečnostné narušenia najsilnejšou zbraňou v oblasti vzťahov s verejnosťou v internetovej ére? S rýchlym rozvojom internetu sa aj domáci podzemný čierny priemysel stáva čoraz väčším a bezpečnostné zraniteľnosti skutočne ohrozujú skutočné záujmy všetkých. Po tom, čo bola 17. februára 2014 odhalená svojvoľná prihlasovacia medzera Alipay/Yuebao, Alibaba PR rýchlo zaútočila a vybrala finančnú odmenu 5 miliónov jüanov na pokrytie verejnej mienky. Odvtedy sa objavilo nekonečné množstvo PR návrhov o zlej bezpečnosti WeChat Pay a vzájomných zodpovedností Alipay. V mene bezpečnosti za tým stojí zákaz a proti-zákaz internetovej podnikateľskej vojny, černošské PR a protičierne incidenty, ktoré sa zintenzívňujú a Wuyun.com zohrali úlohu v ich podpore. Vzhľadom na bezprecedentné spoločenské obavy spôsobené neustálymi bezpečnostnými incidentmi zverejnenými Wuyun.com niektorí odborníci nedávno začali spochybňovať, či sú pravidlá Wuyun.com o zverejňovaní zraniteľností legálne: médiá informujú o šialených udalostiach na základe názvov zraniteľností a stručných popisov publikovaných Wuyunom. Takže ak niekto zámerne zverejní falošné medzery, nevyhnutne to spôsobí veľmi zlý dopad na podnik, kto ponesie túto zodpovednosť? Je súkromná spoločnosť, ktorá má toľko bezpečnostných zraniteľností a používa zverejňovanie zraniteľností ako svoj obchodný model, sama vstupuje do šedej zóny zákona? Vo svojom návrhu RFC2026 Procese zodpovedného zverejňovania zraniteľností pracovná skupina pre internet spomína, že "reportéri by mali zabezpečiť, že zraniteľnosti sú skutočné." "Avšak keď je zraniteľnosť zverejnená na Wuyun.com a potvrdená Enterprise, autenticita a presnosť zraniteľnosti nemôžu byť známe. Zodpovedné zverejňovanie bezpečnostných zraniteľností by malo byť prísne a každý technik, ktorý zraniteľnosť nájde, by mal jasne uviesť rozsah jej dopadu, aby nespôsobil zbytočnú verejnú paniku, ako napríklad dvere kreditnej karty Ctrip, aj keď Wuyun.com túži po mediálnej publicite a rozruchu kvôli vlastným potrebám, ale zároveň by mali vysvetliť, či sú uniknuté informácie šifrované a aký je rozsah dopadu, namiesto toho, aby sa stali takzvanou "hlavnou stranou" a držali podniky ako rukojemníkov v mene bezpečnosti. Zverejnenie bezpečnostných zraniteľností je nevyhnutné, čo nie je len zodpovedné za používateľov, ale aj za dohľad nad podnikovou bezpečnosťou, ale stojí za zamyslenie, ako skutočne dosiahnuť zodpovedné zverejňovanie zraniteľností.
| 
Zverejnené 26. 9. 2015 16:41:22
|
|
|
|
