Kakšen je izvor temnih oblakov, ki so se pojavili iz Ctripa in drugih puščanj?

Ob 18. uri, 23. marca 2014, je bila platforma ranljivosti Wuyun (Wuyun.com) razkritaCtripVmesnik varnega plačilnega strežnika ima funkcijo odpravljanja napak, ki lahko shrani uporabnikove plačilne zapise, vključno z imenom imetnika kartice, osebno izkaznico, številko bančne kartice, CVV kodo kartice, 6-mestnim predalom za kartice in drugimi podatki. Zaradi uhajanja osebnih finančnih podatkov je to povzročilo močno zaskrbljenost v vseh družbenih krogih, drugi mediji pa so pohiteli poročati o tem, kar je različno mnenje.

Nedvomno je napačno in neumno shranjevati občutljive uporabniške podatke v Ctripovih dnevnikih, in ko je javno mnenje potisnilo Ctripa v ospredje, je avtor pokazal veliko radovednost glede Wuyun.com. Če pogledamo zgodovino razkritij ranljivosti Wuyun.com, je to šokantno:

10. oktober 2013,Kot domain druge informacije o odprtju hotelskih sob so bile uhajanje; 20. november,Tencent70 milijonovQQUporabniški podatki skupine so bili obtoženi uhajanja informacij; 26. november,360Ranljivosti pri spreminjanju gesel s strani poljubnih uporabnikov; 17. februarja 2014 je bila ranljivost Alipay/Yuebao zaradi poljubne prijave in računov uporabnikov interneta ogrožena; 26. februarja 2014 so občutljive informacije WeChata razkrile ranljivost, kar je povzročilo veliko število uporabniških videoposnetkov, učinek pa je bil primerljiv z XX gate......

Serija uhajanj informacij je Wuyun.com in to prej neznano spletno stran naredila slavno. Medtem ko ljudje dvomijo o neodgovornem delovanju relevantnih podjetij, so polni tudi vprašanj o Wuyun.com: Kakšna platforma je to in zakaj lahko razkriva ranljivosti velikih podjetij v več primerih? Koliko skrivnosti se skriva za temnimi oblaki?

Za temnimi oblaki

WooYun je bil ustanovljen maja 2010, glavni ustanovitelj pa je Fang Xiaodun, nekdanji varnostni strokovnjak pri Baidu, znan domači heker "Jianxin", rojen leta 1987, ki je februarja 2010 sodeloval v programu Hunan Satellite TV "Every Day Upward" z Robin Lijem in postal znan, ker je njegova punca zapela pesem. Od takrat je Fang Xiaodun združil moči z več ljudmi iz varnostne skupnosti, da bi vzpostavil Wuyun.com, z namenom postati "brezplačna in enaka" platforma za poročanje ranljivosti.

V Baidu enciklopediji se Wuyun opisuje takole: platforma za povratne informacije o varnostnih vprašanjih, ki jo povezujejo proizvajalci in varnostni raziskovalci, ki nudi platformo za javno dobrobit, učenje, komunikacijo in raziskave za raziskovalce internetne varnosti ter hkrati za obdelavo povratnih informacij in spremljanje varnostnih vprašanj.

Čeprav je Wuyun zgradil svoj ugled kot tretja organizacija za javno dobro, da bi pridobil zaupanje belih klobukov in družbe. Vendar pa po preverjanju Wuyun.com ni javna tretja oseba, temveč povsem zasebno podjetje, njegov prihodek pa izhaja iz pravil o razkritju ranljivosti.

Za splošne ranljivosti so pravila Wuyun.com naslednja:

1. Po tem, ko white hat predloži ranljivost in prestane pregled, Wuyun.com objavi povzetek ranljivosti, vključno z naslovom ranljivosti, vključenim ponudnikom, vrsto ranljivosti in kratkim opisom

2. Proizvajalec ima 5-dnevno potrditveno obdobje (če ni potrjeno v 5 dneh, bo prezrto, vendar ne bo razkrito, in bo neposredno vneseno v 2 dni);

3. Razkritje varnostnim partnerjem po 3 dneh od potrditve;

4. Razkriti strokovnjakom na ključnih in sorodnih področjih po 10 dneh;

5. Po 20 dneh bo razkrit običajnim belim klobukom;

6. Razkritje pripravnikom belih klobukov po 40 dneh;

7. Na voljo javnosti po 90 dneh;

Razumemo se, da lahko nekatera varnostna podjetja, ki plačajo določeno pristojbino za Wuyun.com, vnaprej vidijo vse ranljivosti svojih strank, in ali je zakonito razkriti informacije o ranljivostih podjetju brez dovoljenja stranke? Vredno je omeniti, da so naslovi o ranljivostih, ki jih Wuyun.com objavi, v celoti iz belih klobukov, brez kakršnegakoli pregleda in sprememb, ter da so zastrašujoči naslovi, kot so "lahko povzročijo padec več kot 1.000 strežnikov" in "skoraj 10 milijonov uporabniških podatkov je ogroženih za uhajanje", pa je povsod.

Avtor je izvedel nekaj zgodb od prijatelja, ki že vrsto let dela v varnostni industriji:

1. Od samega začetka je obstoj temnih oblakov namenjen vzbuditvi pozornosti vseh strani na varnost, kar je nedvomno pomembno.

2. V procesu razvoja obstajajo določene razlike v temnih oblakih, ki lahko izhajajo iz nedoslednosti vrednostne usmerjenosti notranjih virov; Lahko je ime na sliki, ali dobiček, ali slika, slava in bogastvo;

3. To nesoglasje naredi razkritje ranljivosti nekakšnoPrikrita prisila (čipi), in so celo postali kolosej za PK med seboj;

4. V procesu od 2 do 3 so ustrezni industrijski organi (nadzor) bolj ali manj privolili (podprli) obstoj temnih oblakov.

Razkritje ranljivosti je še bolj pravi karneval

V očeh širše javnosti sta skrivnost in nevarnost sinonim za hekanje. Vendar pa so v svetu hekanja vsi hekerji večinoma razdeljeni v dve vrsti: bele klobuke in črne klobuke; tisti, ki so pripravljeni razkriti ranljivosti podjetjem in jih ne izkoriščajo zlonamerno, so beli klobuki, medtem ko črni klobuki služijo kruh z krajo informacij za dobiček.

"Čeprav ima Wuyun obdobje zaupnosti za razkritje ranljivosti, mi dejansko ni treba gledati podrobnosti ranljivosti. Vsak izkušen heker jo lahko ciljno testira, če prebere naslov in opis ranljivosti, zato v večini primerov, ko je ranljivost objavljena, ni težko čim prej pridobiti podrobnosti ranljivosti. Z, član hekerskega kroga, ki je v Wuyunu objavil na desetine ranljivosti, je avtorju povedal: "Pravzaprav je tisto, kar vidiš, tisto, kar igramo. ”

Odkritelj Ctripove ranljivosti, "Prašičji mož", je najvišje rangirani beli klobuk v temnem oblaku, z do 125 razkritimi ranljivostmi. Zvečer 22. marca je Pigman zapored objavil dve resni varnostni ranljivosti o Ctripu, v prejšnjem zapisu pa je razkril ranljivosti številnih znanih podjetij, vključno s Tencentom, Alibabo, NetEase, Youku in Lenovom, ter je pravi heker. Glede tega, kdo je "Pig Man", Z ni želel povedati več, le razkril je avtorju, da je Pig Man pravzaprav notranji poznavalec Wuyun.com.

Utopija za hekerje

"Ker je nepooblaščeno testiranje varnosti črne skrinjice nezakonito, je v krogu priljubljeno, da hekerji vdirajo v spletne strani, da ukradejo informacije, in dokler proizvajalcem na Wuyun.com pošiljajo ranljivosti, jih je mogoče prikriti."

Z je avtorju pokazal tudi zasebni forum na Wuyun.com, do katerega lahko dostopajo le preverjeni beli klobuki. Avtor je na tem skrivnem forumu našel, da obstajajo posebni razpravni razdelki o temah, kot so črna industrija, spletni zaslužek in kibernetske vojne. V članku "Revealing Wuyun.com", ki ga je decembra 2013 objavila Sina Technology, je bil Wuyun.com vprašan kot "največja kitajska baza za usposabljanje hekerjev", kot je prikazano na spodnji sliki:

Podobne teme se pojavljajo na forumu, mnogi beli klobuki pa so se spremenili v rastlinjak, kjer razpravljajo o tehnikah izkoriščanja, kako izkoristiti te luknje za izvajanje črnske industrije in se sprehajajo v sivo območje prava.

Ali bodo varnostni vdori postali najmočnejše orožje za odnose z javnostmi v dobi interneta?

Z hitrim razvojem interneta postaja tudi notranja podzemna veriga črne industrije vse večja, varnostne ranljivosti pa resno ogrožajo dejanske interese vseh.

Ko je bila 17. februarja 2014 razkrita arbitrarna luknja v prijavi Alipay/Yuebao, je Alibaba PR hitro napadla in razpisala denarno nagrado v višini 5 milijonov juanov za prikrivanje javnega mnenja. Od takrat je bilo neskončno osnutkov odnosov z javnostmi o slabi varnosti WeChat Pay in medsebojnih odgovornosti Alipay. V imenu varnosti za tem stojijo prepovedi in protiprepovedi internetne poslovne vojne, odnosi s temnopoltimi in incidenti proti temnopoltim, ki se stopnjujejo, pri čemer je Wuyun.com prispeval k temu.

Glede na brezprimerno družbeno zaskrbljenost, ki jo povzročajo neprekinjeni varnostni incidenti, ki jih je razkril Wuyun.com, so nekateri strokovnjaki v zadnjem času začeli dvomiti, ali so pravila o razkritju ranljivosti Wuyun.com zakonita: mediji poročajo o norih na podlagi naslovov ranljivosti in kratkih opisov, ki jih je objavil Wuyun. Torej, če nekdo namerno objavi lažne luknje, bo to neizogibno močno vplivalo na podjetje, kdo bo nosil to odgovornost? Ali zasebno podjetje, ki ima toliko varnostnih ranljivosti in uporablja razkritje ranljivosti kot poslovni model, samo stopa v sivo območje zakona?

V svojem osnutku postopka odgovornega razkritja ranljivosti RFC2026 Internet Working Group omenja, da "morajo poročevalci zagotoviti, da so ranljivosti resnične." "Vendar pa, ko je ranljivost objavljena na Wuyun.com in potrjena s strani Enterprise, pristnosti in natančnosti ranljivosti ni mogoče znati. Odgovorno razkrivanje varnostnih ranljivosti mora biti strogo, vsak tehnični delavec, ki odkrije ranljivost, pa mora jasno navesti obseg njenega vpliva, da ne bi povzročil nepotrebne panike javnosti, kot je ta vrata s kreditno kartico Ctrip, tudi če Wuyun.com zaradi lastnih potreb zaskrbljen zaradi medijske izpostavljenosti in pompa, hkrati pa mora pojasniti, ali so razkrite informacije šifrirane in kakšen je obseg vpliva, namesto da bi postali tako imenovana "glavna zabava" in zadrževali podjetja za talce v imenu varnosti.

Razkritje varnostnih ranljivosti je nujno, kar ni odgovorno le za uporabnike, temveč tudi za nadzor varnosti podjetja, vendar je vredno razmisliti, kako resnično doseči odgovorno razkritje ranljivosti.