Ctrip'ten çıkan karanlık bulutların ve diğer sızıntıların kaynağı nedir?

23 Mart 2014 saat 18:00'de Wuyun güvenlik açıklığı platformu (Wuyun.com) ortaya çıktıCtripGüvenli ödeme sunucusu arayüzü, kullanıcının ödeme kayıtlarını kaydedebilen bir hata ayıklama fonksiyonuna sahiptir; kart sahibinin adı, kimlik kartı, banka kartı numarası, kart CVV kodu, 6 haneli kart kutusu ve diğer bilgiler dahildir. Kişisel finansal bilgilerin sızması nedeniyle, her kesimden büyük endişe uyandırdı ve diğer medya kuruluşları bunu bildirmek için acele etti, ayrıca farklı görüşler var.

Ctrip'in kayıtlarında hassas kullanıcı bilgilerini saklamak kesinlikle yanlış ve aptalcadır ve kamuoyu Ctrip'i ön plana çıkardığında, yazar Wuyun.com hakkında güçlü bir merak duydu. Wuyun.com'nin zayıflık açıklamalarının tarihine bakıldığında, şok edici:

10 Ekim 2013,Ev gibive diğer otel odası açılış bilgileri sızdırıldı; 20 Kasım,Tencent70 milyonQQgrup kullanıcı verileri sızdırmakla suçlandı; 26 Kasım,360Keyfi kullanıcıların şifre değiştirmesindeki zafiyetler; 17 Şubat 2014'te Alipay/Yuebao keyfi giriş açığı nedeniyle internet kullanıcılarının hesapları risk altındaydı; 26 Şubat 2014'te WeChat'in hassas bilgileri sızdırılmış bir güvenlik açığı yarattı ve çok sayıda kullanıcı videosu sızdırıldı; bu etki XX gate'e benzer bir etki yarattı......

Bir dizi sızıntı Wuyun.com ve bu başlangıçta bilinmeyen siteyi ünlü yaptı. İnsanlar ilgili şirketlerin sorumsuz performansını sorgulatarken, aynı zamanda Wuyun.com hakkında sorularla doludur: Bu ne tür bir platform ve neden büyük şirketlerin zayıflıklarını bir dizi kez ortaya çıkarabiliyor? Karanlık bulutların arkasında kaç sır var?

Karanlık bulutların arkasında

WooYun Mayıs 2010'da kuruldu ve ana kurucu, Baidu'da eski güvenlik uzmanı, 1987 doğumlu tanınmış yerli hacker "Jianxin" Fang Xiaodun'dur; Şubat 2010'da Robin Li ile Hunan Uydu TV'nin "Every Day Upward" programına katılmış ve kız arkadaşının bir şarkı söylemesiyle tanınmıştır. O zamandan beri, Fang Xiaodun güvenlik camiasında birkaç kişiyle güçlerini birleştirerek Wuyun.com kurdu ve amacı "özgür ve eşit" bir güvenlik açığı bildirim platformu olma hedefidir.

Baidu Ansiklopedisi'nde Wuyun kendini şöyle tanımlıyor: üreticiler ile güvenlik araştırmacıları arasında konumlanan, internet güvenlik araştırmacıları için kamu refahı, öğrenme, iletişim ve araştırma platformu sağlarken, geri bildirim işleme ve güvenlik konularında takip sağlamak.

Yine de Wukun, beyaz şapkalıların ve toplumun güvenini kazanmak için kamu refahı için üçüncü parti bir kuruluş olarak imajını inşa etti. Ancak doğrulamadan sonra, Wuyun.com kamuya açık üçüncü taraf bir kurum değil, tamamen özel bir şirket olmuş ve geliri güvenlik açıklığı açıklama kurallarından gelir.

Genel açıklıklar için Wuyun.com kuralları şunlardır:

1. Beyaz şapka zayıflığı gönderip incelemeyi geçtikten sonra, Wuyun.com zafiğin başlığı, ilgili tedarikçi, zafiye türü ve kısa açıklama dahil olmak üzere bir özet yayınlayacaktır

2. Üreticinin 5 günlük bir onay süresi vardır (5 gün içinde onaylanmazsa göz ardı edilir, ancak açıklanmaz ve doğrudan 2'ye girilir);

3. Onaydan 3 gün sonra güvenlik ortaklarına açıklama;

4. 10 gün sonra temel ve ilgili alanlardaki uzmanlara açıklama;

5. 20 gün sonra, sıradan beyaz şapkalılara açıklanacak;

6. 40 gün sonra beyaz şapkalı stajyerlere açıklama;

7. 90 gün sonra halka açılır;

Bazı güvenlik hizmeti şirketleri Wuyun.com'ye belirli bir ücret ödediğinde, hizmet müşterilerinin tüm zafiyetlerini önceden görebildikleri anlaşılıyor ve müşteri izni olmadan hizmet şirketine güvenlik açığı bilgisi sızdırmak yasal mı? Wuyun.com tarafından yayımlanan zayıflık başlıklarının tamamen beyaz şapkalı gönderilerden oluştuğunu, herhangi bir inceleme ve değişiklik yapılmadığını ve "1.000'den fazla sunucunun düşmesine yol açabilir" ve "yaklaşık 10 milyon kullanıcı verisi sızma riski altında" gibi korkutucu başlıkların bolca olduğunu belirtmek gerekir.

Yazar, güvenlik sektöründe yıllardır çalışan bir arkadaşından bazı hikayeler öğrendi:

1. Başından beri, karanlık bulutların varlığı tüm tarafların dikkatini çekerek güvenliğe çekilmiş ki bu kesinlikle önemlidir.

2. Gelişim sürecinde, karanlık bulutlarda bazı farklılıklar vardır; bunlar, içeriden olanların değer odaklılığının tutarsızlığından kaynaklanabilir; Bir resimli isim, bir kâr ya da bir resim şöhret ve servet olabilir;

3. Bu anlaşmazlık, zayıflık açıklamasını bir tür yaparGizli zorlama (çipler), ve hatta PK için bir kolezyum oldular;

4. 2'den 3'e kadar olan süreçte, ilgili sektör yetkilileri (denetim) karanlık bulutların varlığına büyük ölçüde kabul etti (destekledi).

Zayıflıkların açığa çıkması ise daha da bir yarışma

Genel halkın zihninde gizem ve tehlike, hackleme ile eşanlamlıdır. Ancak hackleme dünyasında tüm hackerlar esas olarak iki türe ayrılır: beyaz şapkalılar ve siyah şapkalılar; işletmelere açıklıkları bildirmeye istekli olanlar ve zafiyetleri kötü niyetli olarak kullanmayanlar beyaz şapkalılardır; siyah şapkalılar ise kâr için bilgi çalarak geçimlerini sağlarlar.

"Wuyun zayıflıkların açıklanması için gizlilik süresi olsa da, aslında bu açıklığın detaylarına bakmam gerekmiyor. Deneyimli bir hacker, zaficanın başlığını ve açıklamasını okuduğu sürece hedefli bir şekilde test edebilir; bu yüzden çoğu durumda, zafiye duyurulduktan sonra, zaficanın detaylarını mümkün olan en kısa sürede öğrenmek zor olmaz. Wuyun'da onlarca güvenlik açığı gönderen hacker çevresi üyesi Z yazara şöyle dedi: "Aslında, gördüğünüz bizim oynadığımız şey. ”

Ctrip'in zayıflığını keşfeden "Domuz Adam", karanlık buluttaki en yüksek rütbeli beyaz şapka olup, 125'e kadar zafiyetle serbest bırakılmıştır. 22 Mart akşamı Pigman, Ctrip hakkında üst üste iki ciddi güvenlik açığını açıkladı ve önceki albümünde Tencent, Alibaba, NetEase, Youku ve Lenovo gibi birçok tanınmış işletmenin güvenlik açığını açıkladı ve gerçek bir hacker oldu. "Domuz Adam"ın kim olduğu konusunda Z daha fazla söylemek istemedi, sadece yazara Domuz Adam'ın aslında Wuyun.com'ın içinden biri olduğunu açıkladı.

Hackerlar için bir ütopya

"İzinsiz kara kutu güvenlik testi yasa dışı olduğundan, çevrede hackerların web sitelerini hackleyerek bilgi çalması popüler ve nihayetinde Wuyun.com üzerinde üreticilere güvenlik açığı gönderdikleri sürece beyazlaştırılabilir."

Z ayrıca yazara Wuyun.com hakkında özel bir forum gösterdi; bu foruma yalnızca onaylanmış beyaz şapkalılar erişebilir. Yazar, bu gizli forumda siyah sanayi, çevrimiçi kazanç ve siber savaşlar gibi konularda özel tartışma bölümleri olduğunu buldu. Sina Technology tarafından Aralık 2013'te yayımlanan "Revealing Wuyun.com" makalesinde, Wuyun.com aşağıdaki şekilde gösterildiği gibi "Çin'in en büyük hacker eğitim üssü" olarak sorgulandı:

Forumda benzer konular bolca yer alıyor ve birçok beyaz şapkalı sömürü tekniklerini, bu boşlukları siyah sanayide nasıl kullanacağını tartışmak ve hukukun gri alanında dolaşmak için bir seraya dönüştü.

Güvenlik ihlalleri İnternet çağının en güçlü halkla ilişkiler silahı mı olacak?

İnternetin hızlı gelişimiyle birlikte, yeraltı kara sanayi zinciri de giderek büyüyor ve güvenlik açıkları herkesin gerçek çıkarlarını tehdit ediyor.

Alipay/Yuebao keyfi giriş açığı 17 Şubat 2014'te ortaya çıktıktan sonra, Alibaba PR hızla saldırıya geçti ve kamuoyu haberinde 5 milyon yuan nakit ödül aldı. O zamandan beri, WeChat Pay'in ve Alipay'in karşılıklı sorumluluklarının zayıf güvenliği hakkında sonsuz halkla ilişkiler taslakları yayınlandı. Güvenlik adına, arkasında internet iş savaşı, siyahi halkla ilişkiler ve siyah karşıtı olayların yasaklanması ve yasaklanması yer alıyor; bunlar yoğunlaşıyor ve Wuyun.com bunu körüklemede rol oynadı.

Wuyun.com tarafından açıklanan sürekli güvenlik olaylarında ortaya çıkan eşi benzeri görülmemiş sosyal endişe göz önüne alındığında, bazı uzmanlar son zamanlarda Wuyun.com'nin güvenlik açığı açıklama kurallarının yasal olup olmadığını sorgulamaya başladı: medya, Wuyun tarafından yayımlanan güvenlik açıklığı başlıkları ve kısa açıklamalara dayanarak çılgınca rapor veriyor. Yani biri kasıtlı olarak yanlış boşluklar yayımlarsa, bu girişim üzerinde çok kötü bir etki yaratır, bu sorumluluğu kim taşıyacak? Bu kadar çok güvenlik açığı olan ve iş modeli olarak güvenlik açığı açıklamasını kullanan özel bir şirket, kendisi de yasanın gri alanına mı basıyor?

Sorumlu Güvenlik Açığı Açıklama Süreci RFC2026 taslağında İnternet Çalışma Grubu, "muhabirlerin zafiyetlerin gerçek olduğundan emin olmalı" olduğunu belirtiyor. "Ancak, Wuyun.com üzerinde açıklık verildiğinde ve işletme tarafından doğrulandığında, zafiyetin gerçekliği ve doğruluğu bilinemez. Sorumlu güvenlik açığı açıklaması titiz olmalı ve bir güvenlik açığı bulan herhangi bir teknik çalışan, bu zayıflığın etkisini açıkça belirtmelidir; böylece Wuyun.com kendi ihtiyaçları nedeniyle medyaya maruz kalma ve abartı için endişeli olsa bile, gereksiz kamu paniğine yol açmamalıdır; ayrıca sızdırılan bilgilerin şifreli olup olmadığını ve etkinin kapsamını açıklamalı; sözde "başlık parti" olup şirketleri güvenlik adına rehin tutmamak yerine.

Güvenlik açıklarının açıklanması gereklidir; bu sadece kullanıcılar için değil, aynı zamanda kurumsal güvenliğin denetiminden de sorumludur; ancak gerçekten sorumlu güvenlik açığı açıklamasının nasıl sağlanacağı düşünülmeye değerdir.