乌云的暧昧地带

2019-03-07 21:01:46 来源: 漯河信息港

2014年3月23日晚6点,乌云漏洞平台(乌云)曝出携程安全支付服务器接口存在调试功能,可将用户的支付记录保存下来,包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露,引发了社会各界的强烈关注,人民、央视、新浪科技、财经等媒体争相报道,众说纷纭。

携程日志中存储用户敏感信息无疑是错误和愚蠢的,

乌云的暧昧地带

在舆论将携程推向风头浪尖之时,笔者对乌云产生了强烈的好奇。翻看乌云的漏洞爆料历史记录,令人震惊:

2013年10月10日,如家等酒店开房信息泄露;

11月20日,腾讯7000万群用户数据被指泄露;

11月26日,360出现任意用户修改密码漏洞;

2014年2月17日支付宝/余额宝任意登录漏洞,民账号面临风险;

2014年2月26日,敏感信息泄露漏洞,造成海量用户视频泄露,影响堪比XX门……

一系列泄密事件让乌云,让这个原本默默无闻的站声名鹊起。人们在质疑相关企业不负表现的同时,也对乌云充满疑问:这究竟是怎样的一个平台,为何能连环曝出各大公司的漏洞?乌云背后,究竟有多少秘密?

乌云背后的“月之眼”

乌云(WooYun)成立于2010年5月,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,2010年2月和李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云,其目标是成为“自由平等的”的漏洞报告平台。

在百度百科中,乌云是这样描述自己的:一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联安全研究者提供一个公益、学习、交流和研究的平台。

尽管乌云将自己的形象打造为公益的第三方组织,以获取白帽子与社会的信任。但经过查证,乌云并非一个公立第三方机构,而是纯粹的民营公司,其收入来源于其漏洞披露规则。

对于一般漏洞而言,乌云规则如下:

1、 白帽子提交漏洞并通过审核后,乌云会公布漏洞概要,内容包括漏洞标题、涉及厂商、漏洞类型与简要描述;

2、厂商有5天的确认周期(5天内未确认视为忽略,但不公开,直接进入3);

3、确认3天后对安全合作伙伴公开;

4、10天后向核心及相关领域专家公开;

5、20天后向普通白帽子公开;

6、40天后向实习白帽子公开;

7、90天后向公众公开。

值得一提的是,乌云所公布的漏洞标题完全来源于白帽子提交,并没有任何审核与修改,“可导致千余服务器沦陷”“近千万的用户数据存在泄露风险”等夸张标题比比皆是,随意一个漏洞经媒体传播皆可以引起大众恐慌。

漏洞披露,更是一场狂欢

在普通公众心中,神秘和危险是黑客的代名词。但在黑客界,所有黑客主要被归为两种类型:白帽子与黑帽子,愿意向企业公布漏洞、不恶意利用漏洞的就是白帽子,而黑帽子则是以盗取信息牟利为生。

此次携程漏洞的发现者“猪猪侠”是乌云排名的白帽子,发布漏洞高达125个。3月22日晚,猪猪侠连续发布了两枚关于携程的严重安全漏洞,而在猪猪侠之前的战绩中,曾发布腾讯、阿里、易、优酷、联想在内的多家知名企业漏洞,是一位名副其实的黑客高手。

乌云:黑客们的乌托邦

“因为未授权的黑盒安全测试是违法的,所以圈内流行这样一种做法:黑客们入侵站盗取信息,只要在乌云向厂商提交漏洞,就可以洗白。”

Z还向笔者展示了乌云的一个非公开论坛,该论坛只有获得审核的白帽子才能进入。笔者在这个隐秘论坛中发现,黑色产业、赚、络战争等话题都有专门的讨论版块。在2013年12月新浪科技发布的《揭秘乌云》一文中,乌云被质疑为“中国的黑客培训基地”,如下图:

类似的话题在该论坛中比比皆是,众多白帽子摇身一变,在这个温室中讨论着漏洞利用技术,如何利用这些漏洞去做黑产,游走在法律的灰色地带。(虎嗅注:乌云方面回应:“这个问题我们内部有过讨论,但是攻击和防御本来就是一体的。”)

安全漏洞会成为互联时代强大的公关武器?

伴随着互联的飞速发展,国内地下黑色产业链也在日益庞大,安全漏洞真在威胁到每个人的实际利益。

2014年2月17日爆出支付宝/余额宝任意登录漏洞后,阿里公关迅速出击,拿出现金500万奖励白帽子盖过舆论。在此之后,关于支付与支付宝的互相职责安全性差的公关稿连绵不绝。以安全为名,背后实为互联商业之战的封杀与反封杀、黑公关与反黑事件,正愈演愈烈,而乌云在其中扮演了推波助澜的作用。

鉴于乌云连续披露的安全事件引发了前所未有的社会关注,于是近有专家开始质疑乌云的漏洞披露规则是否合法:媒体根据乌云所公布的漏洞标题和简述疯狂报道。那么如果有人蓄意发布虚假漏洞,势必企业造成非常恶劣的影响,这个谁来承担?一家民营公司,掌握如此多的安全漏洞,并以漏洞披露作为商业模式,其本身又是否踩在法律的灰色地带?

互联工作组在RFC2026《负的漏洞披露过程》草案中提到,“报告者应确保漏洞是真实的。”但当漏洞在乌云发布之后、企业确认之前,漏洞的真实性与准确性无从知晓。负的安全漏洞披露应该是严谨的,任何发现漏洞的技术工作者,应说清楚漏洞的影响范围,以免引起不必要的大众恐慌,比如这次携程信用卡门,即便乌云因自身需求,急待媒体曝光和炒作,但也理应说明泄露的信息是否经加密,影响的范围是怎样,而不是成为所谓的“标题党”,以安全为名挟持企业。

安全漏洞的公开是必要的,这不仅是对用户的负责,更是对企业安全的监督,但如何真正做到负的漏洞披露,是否需要一个更合理的漏洞处理机制,这些问题值得我们深思。

本文标签: