乌云的“暧昧地带”
2014年3月23日晚6点,乌云漏洞平台(乌云网)曝出携程安全支付服务器接口存在调试功能,可将用户的支付记录保存下来,包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露,引发了社会各界的强烈关注,人民日报、央视网、新浪科技、财经网等媒体争相报道,众说纷纭。
携程日志中存储用户敏感信息无疑是错误和愚蠢的,在舆论将携程推向风头浪尖之时,笔者对乌云网产生了强烈的好奇。翻看乌云网的漏洞爆料历史记录,令人震惊:
2013年10月10日,如家等酒店开房信息泄露;
11月20日,腾讯7000万QQ群用户数据被指泄露;
11月26日,360出现任意用户修改密码漏洞;
2014年2月17日支付宝/余额宝任意登录漏洞,网民账号面临风险;
2014年2月26日,微信敏感信息泄露漏洞,造成海量用户视频泄露,影响堪比XX门……
一系列泄密事件让乌云网,让这个原本默默无闻的网站声名鹊起。人们在质疑相关企业不负责任表现的同时,也对乌云网充满疑问:这究竟是怎样的一个平台,为何能连环曝出各大公司的漏洞?乌云网背后,究竟有多少秘密?
乌云背后的“月之眼”
乌云网(WooYun)成立于2010年5月,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,2010年2月和李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为“自由平等的”的漏洞报告平台。
在百度百科中,乌云是这样描述自己的:一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。
尽管乌云将自己的形象打造为公益的第三方组织,以获取白帽子与社会的信任。但经过查证,乌云网并非一个公立第三方机构,而是纯粹的民营公司,其收入来源于其漏洞披露规则。
对于一般漏洞而言,乌云网规则如下:
1、 白帽子提交漏洞并通过审核后,乌云网会公布漏洞概要,内容包括漏洞标题、涉及厂商、漏洞类型与简要描述;
2、厂商有5天的确认周期(5天内未确认视为忽略,但不公开,直接进入3);
3、确认3天后对安全合作伙伴公开;
4、10天后向核心及相关领域专家公开;
5、20天后向普通白帽子公开;
6、40天后向实习白帽子公开;
7、90天后向公众公开。
据了解,当某些安全服务公司向乌云网支付一定费用之后,就可以提前看到其服务客户的所有漏洞,在未经客户允许的情况下,将漏洞信息泄露给服务公司是否合法?值得一提的是,乌云网所公布的漏洞标题完全来源于白帽子提交,并没有任何审核与修改,“可导致千余服务器沦陷”“近千万的用户数据存在泄露风险”等夸张标题比比皆是,随意一个漏洞经媒体传播皆可以引起大众恐慌。
笔者向一位在安全行业从事多年的朋友了解到乌云一些故事:
1、从最初乌云的存在意义是为了引起各类甲方对安全的重视,这一点毋庸置疑;
2、在发展过程中乌云有了一定的分歧,这种分歧可能源自于内部人的价值取向不一致;或有图名、或有图利、或有图名利双收;
3、这种分歧使得其漏洞披露成了一种变相的挟持手段(筹码),甚至成为了互相PK的斗兽场;
4、从2到3的过程中,相应的行业主管(监管)部门或多或少默许(支持)了乌云的存在。
漏洞披露,更是一场狂欢
在普通公众心中,神秘和危险是黑客的代名词。但在黑客界,所有黑客主要被归为两种类型:白帽子与黑帽子,愿意向企业公布漏洞、不恶意利用漏洞的就是白帽子,而黑帽子则是以盗取信息牟利为生。
“虽说乌云对漏洞的披露有保密期,但事实上我并不需要看什么漏洞详情。任何有经验的黑客,只要看下漏洞标题和简述,就能针对性的去测试,因此在大多情况下漏洞一旦公布,第一时间拿到漏洞细节并非难事。”黑客圈人士、曾在乌云提交过数十个漏洞的Z告诉笔者,“其实你们看到的,都是我们玩剩下的。”
此次携程漏洞的发现者“猪猪侠”是乌云排名最高的白帽子,发布漏洞高达125个。3月22日晚,猪猪侠连续发布了两枚关于携程的严重安全漏洞,而在猪猪侠之前的战绩中,曾发布腾讯、阿里、网易、优酷、联想在内的多家知名企业漏洞,是一位名副其实的黑客高手。关于“猪猪侠”是何许人也,Z并不愿多说,只向笔者透露猪猪侠其实是乌云网内部人士。
乌云:黑客们的乌托邦
“因为未授权的黑盒安全测试是违法的,所以圈内流行这样一种做法:黑客们入侵网站盗取信息,最后只要在乌云网向厂商提交漏洞,就可以洗白。”
Z还向笔者展示了乌云网的一个非公开论坛,该论坛只有获得审核的白帽子才能进入。笔者在这个隐秘论坛中发现,黑色产业、网赚、网络战争等话题都有专门的讨论版块。在2013年12月新浪科技发布的《揭秘乌云网》一文中,乌云网被质疑为“中国最大的黑客培训基地”,如下图:
类似的话题在该论坛中比比皆是,众多白帽子摇身一变,在这个温室中讨论着漏洞利用技术,如何利用这些漏洞去做黑产,游走在法律的灰色地带。
安全漏洞会成为互联网时代最强大的公关武器?
伴随着互联网的飞速发展,国内地下黑色产业链也在日益庞大,安全漏洞真在威胁到每个人的实际利益。
2014年2月17日爆出支付宝/余额宝任意登录漏洞后,阿里公关迅速出击,拿出现金500万奖励白帽子盖过舆论。在此之后,关于微信支付与支付宝的互相职责安全性差的公关稿连绵不绝。以安全为名,背后实为互联网商业之战的封杀与反封杀、黑公关与反黑事件,正愈演愈烈,而乌云网在其中扮演了推波助澜的作用。
鉴于乌云网连续披露的安全事件引发了前所未有的社会关注,于是最近有专家开始质疑乌云网的漏洞披露规则是否合法:媒体根据乌云所公布的漏洞标题和简述疯狂报道。那么如果有人蓄意发布虚假漏洞,势必企业造成非常恶劣的影响,这个责任谁来承担?一家民营公司,掌握如此多的安全漏洞,并以漏洞披露作为商业模式,其本身又是否踩在法律的灰色地带?
互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到,“报告者应确保漏洞是真实的。”但当漏洞在乌云网发布之后、企业确认之前,漏洞的真实性与准确性无从知晓。负责任的安全漏洞披露应该是严谨的,任何发现漏洞的技术工作者,应说清楚漏洞的影响范围,以免引起不必要的大众恐慌,比如这次携程信用卡门,即便乌云网因自身需求,急待媒体曝光和炒作,但也理应说明泄露的信息是否经加密,影响的范围是怎样,而不是成为所谓的“标题党”,以安全为名挟持企业。
安全漏洞的公开是必要的,这不仅是对用户的负责,更是对企业安全的监督,但如何真正做到负责任的漏洞披露,是否需要一个更合理的漏洞处理机制,这些问题值得我们深思。