Vad är ursprunget till de mörka moln som bröt ut från Ctrip och andra läckor?

Klockan 18.00 den 23 mars 2014 avslöjades sårbarhetsplattformen Wuyun (Wuyun.com)CtripDet säkra betalningsservergränssnittet har en felsökningsfunktion som kan spara användarens betalningsregister, inklusive kortinnehavarens namn, ID-kort, bankkortsnummer, kortets CVV-kod, sexsiffrig kortbehållare och annan information. På grund av läckage av personlig ekonomisk information har det väckt stark oro från alla samhällsskikt, och andra medier har skyndat sig att rapportera om det, och det finns olika åsikter.

Det är utan tvekan fel och dumt att lagra känslig användarinformation i Ctrips loggar, och när allmänheten lyfte fram Ctrip hade författaren en stark nyfikenhet på Wuyun.com. När man ser på historien om Wuyun.com avslöjanden om sårbarheter är det chockerande:

10 oktober 2013,Som hemmaoch annan information om hotellrumsöppning läckte; 20 november,Tencent70 miljonerQQgruppanvändardata anklagades för läckage; 26 november,360Sårbarheter vid lösenordsbyte av godtyckliga användare; Den 17 februari 2014 var Alipay/Yuebao:s godtyckliga inloggningssårbarheter, nätanvändarnas konton i riskzonen; Den 26 februari 2014 läckte sårbarheter i WeChats känsliga information, vilket ledde till att ett stort antal användarvideor läckte, och effekten var jämförbar med XX gate......

En rad läckor har gjort Wuyun.com och denna tidigare okända webbplats känd. Medan folk ifrågasätter relevanta företags oansvariga prestationer är de också fulla av frågor om Wuyun.com: Vilken typ av plattform är detta, och varför kan den avslöja sårbarheter hos stora företag under flera olika tillfällen? Hur många hemligheter finns det bakom de mörka molnen?

Bakom de mörka molnen

WooYun grundades i maj 2010, och huvudgrundaren är Fang Xiaodun, en före detta säkerhetsexpert på Baidu, en välkänd inhemsk hacker "Jianxin" född 1987, som deltog i Hunan Satellite TVs program "Every Day Upward" med Robin Li i februari 2010, och blev känd för att hans flickvän sjöng en sång. Sedan dess har Fang Xiaodun gått samman med flera personer inom säkerhetsgemenskapen för att etablera Wuyun.com, med målet att bli en "fri och jämlik" plattform för sårbarhetsrapportering.

I Baidu-encyklopedin beskriver Wuyun sig själv så här: en plattform för säkerhetsfrågor som är placerad mellan tillverkare och säkerhetsforskare, och erbjuder en plattform för allmänhetens välfärd, lärande, kommunikation och forskning för internetsäkerhetsforskare samtidigt som återkopplingsbearbetning och uppföljning av säkerhetsfrågor.

Även om Wuyun har byggt upp sin image som en tredjepartsorganisation för allmänintresset för att vinna förtroendet hos vita hattar och samhället. Efter verifiering är Wuyun.com dock inte en offentlig tredje parts institution, utan ett rent privat företag, och dess intäkter kommer från dess regler för sårbarhetsrapportering.

För allmänna sårbarheter är reglerna för Wuyun.com följande:

1. Efter att white hat skickat in sårbarheten och klarat granskningen, kommer Wuyun.com att publicera en sammanfattning av sårbarheten, inklusive sårbarhetstitel, leverantör inblandad, sårbarhetstyp och kort beskrivning

2. Tillverkaren har en bekräftelseperiod på 5 dagar (om den inte bekräftas inom 5 dagar kommer den att ignoreras, men den kommer inte att avslöjas och den kommer att registreras direkt i 2);

3. Upplysning för säkerhetspartners efter 3 dagars bekräftelse;

4. Lämna information till experter inom kärn- och närliggande områden efter 10 dagar;

5. Efter 20 dagar kommer den att avslöjas för vanliga vita hattar;

6. Upplysning för praktikanter med vita hattar efter 40 dagar;

7. Tillgänglig för allmänheten efter 90 dagar;

Det är förstått att när vissa säkerhetsföretag betalar en viss avgift för att Wuyun.com, kan de se alla sårbarheter hos sina kunder i förväg, och är det lagligt att läcka sårbarhetsinformation till tjänsteföretaget utan kundens tillstånd? Det är värt att nämna att sårbarhetstitlarna som publiceras av Wuyun.com helt kommer från white hat-inlägg, utan någon granskning och modifiering, och skrämmande titlar som "kan leda till att mer än 1 000 servrar faller" och "nästan 10 miljoner användardata riskerar läckage" är många.

Författaren lärde sig några berättelser från en vän som har arbetat inom säkerhetsbranschen i många år:

1. Från början är existensen av mörka moln för att väcka allas uppmärksamhet på säkerhet, vilket utan tvekan är viktigt.

2. I utvecklingsprocessen finns vissa skillnader i de mörka molnen, vilka kan bero på inkonsekvens i insiders värdeorientering; Det kan finnas ett filmnamn, eller en vinst, eller en filmens berömmelse och rikedom;

3. Denna oenighet gör dess sårbarhetsavslöjande till en sortsFörklädd tvång (chips), och blev till och med ett kolosseum för PK med varandra;

4. I processen från 2 till 3 accepterade motsvarande branschmyndigheter (tillsyn) mer eller mindre förekomsten av mörka moln.

Avslöjandet av sårbarheter är ännu mer som en karneval

I allmänhetens medvetande är mysterium och fara synonymt med hacking. Men i hackarvärlden klassificeras alla hackare huvudsakligen i två typer: white hats och black hats, de som är villiga att meddela sårbarheter till företag och inte illvilligt utnyttjar dem är white hats, medan black hats försörjer sig på att stjäla information för vinst.

"Även om Wuyun har en sekretessperiod för att avslöja sårbarheter, behöver jag faktiskt inte titta på detaljerna kring sårbarheten. Varje erfaren hackare kan testa den riktat så länge han läser sårbarhetens titel och beskrivning, så i de flesta fall, när sårbarheten väl har tillkännagivits, är det inte svårt att få tag på detaljerna om sårbarheten så snart som möjligt. Z, en medlem i hackercirkeln som har lämnat in dussintals sårbarheter i Wuyun, sa till författaren: "Faktum är att det du ser är vad vi spelar. ”

Upptäckaren av Ctrips sårbarhet, "Pig Man", är den högst rankade vita hatten i det mörka molnet, med så många som 125 sårbarheter som släppts. På kvällen den 22 mars släppte Pigman två allvarliga säkerhetssårbarheter om Ctrip i rad, och i Pigmans tidigare register har han släppt sårbarheter hos många välkända företag, inklusive Tencent, Alibaba, NetEase, Youku och Lenovo, och är en verklig hacker. När det gäller vem "Pig Man" är ville Z inte säga mer, utan avslöjade bara för författaren att Pig Man faktiskt var en insider i Wuyun.com.

En utopi för hackare

"Eftersom obehöriga svarta låd-säkerhetstester är olagliga är det vanligt i kretsen att hackare hackar webbplatser för att stjäla information, och slutligen, så länge de skickar in sårbarheter till tillverkare på Wuyun.com, kan de vittvättas."

Z visade också författaren ett privat forum på Wuyun.com, som endast kan nås av granskade vita hattar. Författaren upptäckte i detta hemliga forum att det finns särskilda diskussionssektioner om ämnen som svart industri, online-inkomster och cyberkrig. I artikeln "Revealing Wuyun.com" som publicerades av Sina Technology i december 2013 ifrågasattes Wuyun.com som "Kinas största hackerutbildningsbas", vilket visas i figuren nedan:

Liknande ämnen finns i överflöd på forumet, och många vita hattar har förvandlats till ett växthus för att diskutera exploateringstekniker, hur man använder dessa kryphål för svart industri, och att vandra i lagens gråzon.

Kommer säkerhetsintrång att bli det mest kraftfulla PR-vapnet i internetåldern?

Med internets snabba utveckling blir även den inhemska underjordiska svarta industrikedjan allt större, och säkerhetsbrister hotar verkligen allas faktiska intressen.

Efter att Alipay/Yuebaos godtyckliga inloggningslucka avslöjades den 17 februari 2014, attackerade Alibaba PR snabbt och utfärdade en kontant belöning på 5 miljoner yuan för att täcka opinionen. Sedan dess har det varit oändliga PR-utkast om den dåliga säkerheten i WeChat Pay och Alipays gemensamma ansvar. I säkerhetens namn ligger bakom detta förbud och anti-förbud mot internetkriget, svart PR och anti-svarta incidenter, som intensifieras, och Wuyun.com har spelat en roll i att elda på det.

Med tanke på den aldrig tidigare skådade sociala oro som orsakats av de ständiga säkerhetsincidenter som Wuyun.com avslöjat, har vissa experter nyligen börjat ifrågasätta om Wuyun.com regler för sårbarhetsinformation är lagliga: medierna rapporterar galet baserat på sårbarhetstitlarna och korta beskrivningar som publicerats av Wuyun. Så om någon medvetet publicerar falska kryphål är det oundvikligt att det får en mycket dålig påverkan på verksamheten, vem ska då bära detta ansvar? Är ett privat företag som har så många säkerhetssårbarheter och använder sårbarhetsavslöjande som sin affärsmodell, själv att trampa på lagens gråzon?

I sitt utkast RFC2026 Responsible Vulnerability Disclosure Process nämner Internet Working Group att "reportrar bör säkerställa att sårbarheter är äkta." "Men när sårbarheten släpps på Wuyun.com och bekräftas av Enterprise kan sårbarhetens äkthet och noggrannhet inte fastställas. Ansvarsfull avslöjande av säkerhetssårbarheter bör vara rigorös, och varje teknisk arbetare som hittar en sårbarhet bör tydligt ange omfattningen av sårbarhetens påverkan, för att undvika onödig allmän panik, som denna Ctrip-kreditkortsdörr, även om Wuyun.com är angelägen om medieexponering och hype på grund av sina egna behov, men det bör också förklara om den läckta informationen är krypterad och vad omfattningen av påverkan är, snarare än att bli en så kallad "rubrikfest" och hålla företag som gisslan i säkerhets namn.

Avslöjandet av säkerhetssårbarheter är nödvändigt, vilket inte bara är ansvarigt för användarna utan också för övervakningen av företagssäkerhet, men hur man verkligen uppnår ansvarsfull avslöjande av sårbarheter är värt att fundera över.