>科技>>正文

乌云wooyun.org的何去何从?

原标题:乌云wooyun.org的何去何从?

QQ被盗、网站被挂黑页、数据库被脱库、肉鸡、DDOS这些都是做为网络安全头疼的问题,因为很可能是黑客行为,最早都统一称为黑客,后来演变出来骇客、红客、白帽子。骇客是危害计算机网络安全的一个群体统称;红客是一群爱国的计算机爱好者,维护国家网络安全为已任,也是后来白帽子的演变,譬如“中国红客联盟”;白帽子可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,把系统漏洞提交给漏洞平台,让漏洞平台及时修复漏洞从而保护用户信息。两者有一个共同点,他们都能够发现计算机和网络系统上的漏洞。但国内黑客和白帽子还没有一个完整的界定,这一共同点也让两者的界限显得有点模糊。

中国最早的黑客,都是潜心研究国外的技术,或者在群里面讨论技术,“黑客”被公众认知,是中美撞机事件发生后,发生的中美黑客大战,美国黑客组织不断袭击中国网站。对此,我国的网络安全人员积极防备美方黑客的攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战”!至此黑客被很多人所崇拜,以至于后来出现了骇客,但大多数骇客都是脚本小子,脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶意破坏他人系统。通常的刻板印象为一位没有专科经验的少年,破坏无辜网站企图使得他的朋友感到惊讶。最著名的功击事件就是“熊猫烧香”、“灰鸽子”等。黑客一直都是一个灰色地带,譬如贩售漏洞和数据库,做着黑产的买卖。白帽子是一群技术爱好者,做安全检测,会把漏洞提交到漏洞平台。国内比较出名的漏洞平台:乌云、漏洞盒子、补天等。

乌云网的成名战发生在2011年年底。当年11月,乌云网根据白帽子提供的各种材料,连续披露京东商城、支付宝、网易等互联网巨头存在高危漏洞,12月29日更是指出支付宝1500万至2500万用户资料泄露,以及一家政务网444万用户信息泄露。其实行内为都明白,这些漏洞可能已经挖掘出来很久了,只是没有被公布,只是乌云网为了让公众认知,选择一个节点一起抛出,博人眼球一种推广手段。

2016年5月20日,乌云网首页变成升级页面,“互联网那点事”随后在微博发出乌云网出大事了,此番乌云网被查事件在业界造成震荡,再次引发了一场网络伦理的讨论。

“服务器被拔网线了”

“乌云网管理层被带走”

“不好猜测,但肯定出事了”

“世纪佳缘泄漏事件有关”

20号截至今剑心的QQ就一直没有在线。

以网络ID“剑心”为身份,在互联网黑客江湖小有名气的方小顿,联合几位同道者,成立了乌云网。其宗旨是成为“自由平等”的漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。

一般而言,白帽子先将自己发现的漏洞提交至漏洞报告平台,审核通过后会粗略发布漏洞情况,并等待涉事单位认领。如若几十天后仍没有机构联络平台,将进一步公布漏洞细节内容。一直以来,乌云网以这种方式公布信息,敦促企业加强安全意识。

“往往不是黑帽子或者白帽子,而是斑马,白天黑,晚上又洗白。漏洞提交前,黑帽子与白帽子的身份界定模糊,提交后公布环节的流程不规范,造成乌云网模式自诞生起,乌云网争议的焦点是,有没有权利检测别人的漏洞,以及有没有权利公开漏洞——即便有着高尚的出发点。

直到2015年12月,在乌云网上提交漏洞的“白帽子”第一次“出事”。2015年12月,杭州的IT人士袁炜,在乌云提交了他发现的世纪佳缘网站系统漏洞。

在世纪佳缘确认、修复了漏洞,并按乌云平台惯例向漏洞提交者致谢后,事态竟急转直下,世纪佳缘不久后以“网站数据被非法窃取”为由报警。2016年4月份,袁炜被司法机关逮捕。

有人将此次乌云网停摆与世纪佳缘漏洞相联系,认为是上次事件的发酵。但是业内人士予以否认。

“探地雷”与“撬保险箱”

根据此前发布的《乌云网漏洞审核机制改进公告》,白帽子黑客发现某处漏洞后,向乌云网提交漏洞,乌云网审核确认后,会把漏洞的概况在乌云平台上公布。

其中,普通漏洞披露流程为5天厂商确认期,10天向核心白帽子公开其漏洞细节,20天向普通白帽子公开,30天向实习白帽子公开。直到45天之后,企业仍未主动认领漏洞,则会向公众公开其细节。

有相应技术的黑客们,“黑”进一家企业的系统并发现漏洞,相当于一个江洋大盗撬开了银行的保险柜。按照白帽子、黑帽子约定俗成的分野,黑帽子黑客会直接将保险柜中的财宝席卷一空;但是白帽子黑客的做法,是并不偷拿保险柜中的“一针一线”,而是好心好意告诉银行,保险柜的锁不够安全,应该及时加固,更有甚者,会告诉银行加固的方法。

理论上看,即便银行大门敞开,外人也没有权利贸然闯入。

退一步讲,如果银行的保险柜失窃,丢没丢东西,只要清点一下数目即可。但是数字化的系统对于“闯入者”性质认定就极为复杂,因为数据有着极其容易复制的特性,偷看数据、复制数据都可以非常隐蔽地进行。“数据没有丢失,但不代表没有被偷看、复制。

“白帽子黑客说,我只是发现了漏洞,没有偷看,更没有复制,这在技术上比较难以界定。电子取证在技术上极为困难,因为类似于截屏这样的行为,很难去追查。

于是,黑客们将一家企业的漏洞提交给乌云网平台之前,可操作的空间便已经很大。“说不定已经把数据卖了个遍,转了几手之后,再提交的。”在提交漏洞第一个环节发生之前,很难将白帽子与黑帽子的性质区分开来。

CNVD(国家信息安全漏洞共享平台)已经悄然撤去乌云网的成员单位工作贡献排名,乌云这次可能真的摊上大事了,跟据以往,乌云网再次运营的可能性很小,比如2014年“快播”网也是挂出公告页面:

希望企业能更重视安全,更多人了解安全关注安全,从而营造出更好的安全生态!返回搜狐,查看更多

责任编辑:

声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。
阅读 ()
投诉
免费获取
今日搜狐热点
今日推荐