当前位置:首页 > 新闻资讯 > IT业界 > 新闻
揭秘乌云网:中国最大的黑客培训基地?
  • 2013-11-30 12:34:29
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:黄旭
  • 作者:
【电脑报在线】10月10日,如家等酒店开房信息泄露;10月29日,来往被指存漏洞波及支付宝;11月5日,搜狗浏览器被曝存在重大安全漏洞;11月20日,腾讯7000万QQ群用户数据被指泄露;11月26日,360出现任意用户修改密码漏洞;甚至连相关部门网站漏洞也被公布......

   
      根据《乌云网漏洞审核机制改进公告》,普通漏洞披露流程为5天厂商确认期,10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开,45天向公众公开其细节。“超过周期厂商无回应,或者在期间内否认漏洞的真实性,乌云网一般都会公开其细节。”“老K”说。
  来自乌云网官方的数据显示,目前有500多家厂商与乌云网有合作或被公布漏洞。对于乌云网、厂商、白帽子而言,三者间亦是一个不为公众所知的暗战江湖。
   “厂商是否应该给予乌云网上的白帽子奖励?”10月26日,在京东安全沙龙上,一位参会者提出了一个引起热议的问题。1个月后的11月20日,乌云网公布了一个“不太听话”的厂商――称腾讯7000多万QQ群关系数据被泄露,在迅雷快传很轻易就能找到数据下载链接。根据QQ号,可以查询到备注姓名、年龄、社交关系网甚至从业经历等大量个人隐私。
   一位业内人士还对记者举了一个例子:10月29日,乌云网公布了一个白帽子提交的漏洞,其标题为《“来往”致淘宝账号被破解 波及余额宝支付宝》的漏洞消息,称该漏洞处于等待厂商处理状态,也就是说,用户选择通过淘宝帐户登陆来往后,看到消息时仍可波及到支付宝余额宝的安全问题。“据我了解,这位白帽子先把漏洞提交给了阿里官方,但阿里官方没有理睬,后来这位白帽子气不过,又提交到了乌云网,乌云网则对其进行了公布。”
  这个漏洞消息带来的后果之一是——在声讨支付宝安全漏洞的热议中,根据媒体报道,在三元里做服装生意的杨先生,其银行账号通过支付宝莫名其妙转走了5万元。随后一名“黑客”发来短信自称在测试支付宝漏洞时所为。
   去年2月14日,一位网名为“zazaz”的黑客在国内安全问题反馈平台乌云上提交漏洞,称中国联通客服系统存安全隐患,该漏洞在乌云平台公布后,有部分用户用于娱乐。而如家等酒店的开房信息泄露,更是在全国引起了疯狂的下载、查询开房信息风波。
  这引发了人们的追问:乌云网是否应该将漏洞公布于众?根据孟德的说法,在厂商未确认或驳回前,公众不会看到漏洞的具体细节,黑客很难根据这些消息进行违法行为。但一位互联网人士也对记者称:“如果黑客对此有兴趣,那么只要知道企业名字和大概漏洞消息源头,侵入这个企业并不是难事。”该人士表示,从他的观察来看,乌云网上的众多待确认和刚提交的漏洞,甚至涉及到各个政府部门的安全问题,虽然没有具体细节,但仍然让外界用户感到吃惊。
  “厂商前方百计要把影响降到最低,要么否认、驳回其漏洞,要么乖乖和乌云网进行合作。而乌云网则千方百计想要炒作自己,亏大自己的影响。”“老K”说,而白帽子,也有自己的诉求,或为了名,或为了利,因此如果提交给厂商被驳回,一般都会提交到乌云网。
   对此,一位不愿透露姓名的某互联网企业高层人士对记者称,对于乌云网,他们也是颇为无奈。一方面,企业有自己的安全数据中心,随时在对企业网站进行测试;另一方面,乌云网亦不时公布些耸人听闻的消息,炒作自己在业界的权威,不理睬也不行——但事实上,那些引起热议的泄露事件,其漏洞早在几个月前就已修复。
  对于是否炒作的说法,孟德对此并不否认。“这其实是国内互联网舆论的一个怪圈 ,只要是曝光率比较高, 或因为什么比较热门了 ,就可能会被认为是自我炒作 ,乌云现在也在经历这个怪圈而已。”
    按照乌云联合创始人,原百度安全架构师“剑心”在知乎的说法,乌云网得到“除了腾讯这样的封闭企业的认可。”对此一位知情人士对记者称,腾讯是唯一不对乌云网上的白帽子送礼物或奖励的厂商,相对应的,乌云网上公布问题最多的企业也是腾讯——根据记者不完全统计,乌云网公不的腾讯各种安全问题多达数百个。
    送礼物或奖励,是厂商给予提交漏洞的白帽子一种报酬。这种模式在美国很常见,去年,微软还设立了一项20万美元的奖项,悬赏能够解决Windows操作系统中存在的内存漏洞的人;Google、Mozilla、Facebook等则向发现本公司产品安全漏洞的研究人员,提供最低500美元的奖金。
   但在国内,由于厂商对提交漏洞者的轻视或偏见,向第三方漏洞平台给予丰厚奖励的比较少(360、腾讯、新浪等企业对自己漏洞收集平台则有奖励规定),大多是T恤衫、笔、水杯等等纪念礼物。乌云网一名“白帽子”、在纽约证券交易所一家美国上市公司就职的一位企业架构师由于在乌云网发布了一条小米网的安全漏洞,小米公司赠送了他一部小米手机以示谢意就让他深感满意。孟德认为,实际上,在相对“白帽子”花费不少精力找到的漏洞来说,这点激励也算不上什么。
   但是厂商也有自己的委屈。“一是担心漏洞信息给自己带来负面影响,二是各家企业漏洞都不少,开了奖励先河后,成千上万名黑客都盯着自己的漏洞。”上述互联网高层人士对记者称。 
  
一次提交,就是一次侵入
白帽子的反思:黑亦白,白亦黑。乌云上的白帽子,真的是白帽子?




     “客观来说,乌云网解决了许多问题,如黑客与厂商之间的信任问题,减少了沟通上的时间成本,降低了终端客户可能面临的安全风险。”一位互联网安全观察人士对记者称,但一个重要问题是,数千名白帽子是如何发现各个行业、各大企业网站漏洞的?即便漏洞真实存在,获得漏洞的过程是否合法?
     11月18日,某科技公司人士“yuange1975”的一条微博引起热议:这些人胆子比较大哈,这种事情不要拿自己的命来成就别人。虽然我不赞成厂商因此抓这些人,但是如果真要抓人分分钟钟的事情。
     这条引起众多业内人士关注的消息是——11月17日,名为“NILIU"的白帽子在乌云网上提交了一个名为“某银行某分行管理系统命令执行导致服务器沦陷”的漏洞,尽管该漏洞并未公布详细细节,但还是引起业内的关注与担心。
  “谁给你授权测试该网站漏洞了?你是通过什么方式得到的该漏洞?如果要根据该漏洞抓你,那也是有根有据。”网友“网路游侠”如此评论,悄悄的黑站,吆喝的不要。发现漏洞的过程,很多时候也是违法的过程。
  “黑亦白,白亦黑。乌云的白帽子,真的是白帽子?很多白帽子的测试渗透过程,完全就是一系列的入侵、破坏和信息盗取行为。”在腾讯微博,认证为“乌云平台白帽子成员”的于小葵发微博进行反思。
  “自己所提交到乌云网的漏洞,和黑帽子捕捉漏洞的方式差不多,都是私下悄悄攻击进行的,根本不可能提前通知相关部门和厂商。”“老K”对此承认,这其实也是一种违法行为。“所谓的白帽子,本质就是黑客,只是黑客不好听,谁都不愿意承认。”
  “老K”不愿详细透露自己采用了哪些手段渗透进企业内网,获得了企业的漏洞,但他表示很多入侵思路都来自乌云网——实际上,乌云网除了是第三方漏洞提交平台,还是一个获取漏洞学习交流研究平台。这些攻略一部分只有白帽子可见,另一部分则对公众公开。比如在2013年11月22日,乌云网就公布了一份《我是这样搞定全省万象网吧的(网吧渗透测试实例,超详细)》,万象网吧原为盛大旗下子公司,后被盛大出售给杭州顺网科技,尽管该漏洞测试时间是今年2月,但其中攻击步骤、方式、操作手段都无比详细,从中可以看出该漏洞的获得本身就是一次违法入侵行为。
    一些高调的白帽子则现身说事。去年10月19日,一位叫“only_guest”的知名白帽子在乌云网发《微信任意用户密码修改漏洞》的技术帖,称通过利用微信账号安全的设置漏洞,成功地破解了多位名人的微信账号和手机号,并公布为证。
     截图显示该名白帽子在成功破解柳岩、马化腾的微信账号前,选择修改了两个人微信账号密码,一个是明星柳岩的经纪人,一个是腾讯的某位高管,并通过这两位的微信账号获取了柳岩和马化腾的微信号或QQ号,甚至用该名腾讯高管的号码给马化腾发了消息。
     因此,获取漏洞本身就是一次黑客的入侵过程。“我们经常可以看到,乌云网上一些白帽子为了提交漏洞,而经常渗透进企业内网的过程。挖个漏洞需要上传真实的shell,进入内网转一圈吗?你看到别人家房门没有关,然后你就跑进去给熟睡的女主人拍了几张裸照,然后发到她的邮箱里面说,你家门没有关,你看这个照片就是证明,然后你还评论了一下,女主人的屁股还挺白。你让人家情以何堪?”XMD5解密网站长汪利辉在《白帽子看过来,漏洞平台那点事》中表示,白帽子测试的目标网站谁给你授权了?真出了问题,没有人给担着的。如果乌云如不能正确引导这些白帽子,估计会有某些白帽子哭的一天。
      “不处理好授权问题,提交到乌云的漏洞报告就可能成为入侵证据。”武汉大学计算机学院副教授、信息安全博士彭国军说。
  “对此乌云网也心知肚明,因此在声明上做了风险规避,提交漏洞的事情和乌云没有任何关系。”“老K”说。根据乌云网的信息安全和保护声明,白帽子注册必须通过邮件验证,对于提交虚假漏洞信息的用户在证实后,乌云网将根据情况扣除用户的Rank甚至直接删除用户。同时,乌云网也强调,对于白帽子研究漏洞的方法、方式、工具及手段的合法性,乌云网对此不承担任何法律责任。
    11月19日,或许是基于业界的议论,或许是基于其他担心,提交该漏洞的白帽子“NILIU”在乌云网该漏洞下发布声明表示:“此次测试未对系统做任何破坏,未窃取任何数据,只是截图证明。”
     但在律师看来,乌云网的声明并不能免责。“假如乌云网是一名‘善意的黑客’,其目的仅是为帮助企业修补漏洞,那么乌云网应该私下就找出的漏洞与企业沟通,而不是公之于众。要知道酒店登记入住涉及个人隐私和资料,一旦信息被泄露不仅涉嫌对企业侵权,也涉嫌对个人侵权,假如客人因此状告酒店而酒店再以侵权状告乌云网,那么乌云网就会很麻烦。”上海袁圆律师事务所陈军律师分析。
     或许,更为严重的是,由于乌云网对“白帽子”真实身份难以确定,像“老K”这样的“白帽子”,神秘身份背后到底是什么?是否竞争对手的恶意攻击行为?是否会发布虚假漏洞消息?对于心怀叵测的黑客来说,是否伪装成白帽子潜伏其中,伺机而动?
  这并非杞人忧天。2011年12月29日,乌云网宣布暂停服务,对系统做短暂的升级,原因是“频繁披露的安全事件及带来的影响——根据国家互联网信息办披露,CSDN、天涯网站被入侵事件也同样是因为网友的个人行为,调查发现,网名 “臭小子”的许某某出于个人炫耀的目的,于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。此外,一些白帽子甚至以信息泄露相要挟索要利益,乌云网白帽子“我心飞翔”就因涉嫌敲诈勒索京东商城被刑事拘留。
 
本文出自2013-12-02出版的《电脑报》2013年第47期 A.新闻周刊
(网站编辑:pcw2013)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交
读者活动
48小时点击排行
论坛热帖