揭秘乌云网:中国最大的黑客培训基地?(3)
“老K”不愿详细透露自己采用了哪些手段渗透进企业内网,获得了企业的漏洞,但他表示很多入侵思路都来自乌云网——实际上,乌云网除了是第三方漏洞提交平台,还是一个获取漏洞学习交流研究平台。这些攻略一部分只有白帽子可见,另一部分则对公众公开。比如在2013年11月22日,乌云网就公布了一份《我是这样搞定全省万象网吧的(网吧渗透测试实例,超详细)》,万象网吧原为盛大旗下子公司,后被盛大出售给杭州顺网科技,尽管该漏洞测试时间是今年2月,但其中攻击步骤、方式、操作手段都无比详细,从中可以看出该漏洞的获得本身就是一次违法入侵行为。
一些高调的白帽子则现身说事。去年10月19日,一位叫“only_guest”的知名白帽子在乌云网发《微信任意用户密码修改漏洞》的技术帖,称通过利用微信账号安全的设置漏洞,成功地破解了多位名人的微信账号和手机号,并公布为证。
截图显示该名白帽子在成功破解柳岩、马化腾的微信账号前,选择修改了两个人微信账号密码,一个是明星柳岩的经纪人,一个是腾讯的某位高管,并通过这两位的微信账号获取了柳岩和马化腾的微信号或QQ号,甚至用该名腾讯高管的号码给马化腾发了消息。
因此,获取漏洞本身就是一次黑客的入侵过程。“我们经常可以看到,乌云网上一些白帽子为了提交漏洞,而经常渗透进企业内网的过程。挖个漏洞需要上传真实的shell,进入内网转一圈吗?你看到别人家房门没有关,然后你就跑进去给熟睡的女主人拍了几张裸照,然后发到她的邮箱里面说,你家门没有关,你看这个照片就是证明,然后你还评论了一下,女主人的屁股还挺白。你让人家情以何堪?”XMD5解密网站长汪利辉在《白帽子看过来,漏洞平台那点事》中表示,白帽子测试的目标网站谁给你授权了?真出了问题,没有人给担着的。如果乌云如不能正确引导这些白帽子,估计会有某些白帽子哭的一天。
“不处理好授权问题,提交到乌云的漏洞报告就可能成为入侵证据。”武汉大学计算机学院副教授、信息安全博士彭国军说。
“对此乌云网也心知肚明,因此在声明上做了风险规避,提交漏洞的事情和乌云没有任何关系。”“老K”说。根据乌云网的信息安全和保护声明,白帽子注册必须通过邮件验证,对于提交虚假漏洞信息的用户在证实后,乌云网将根据情况扣除用户的Rank甚至直接删除用户。同时,乌云网也强调,对于白帽子研究漏洞的方法、方式、工具及手段的合法性,乌云网对此不承担任何法律责任。
11月19日,或许是基于业界的议论,或许是基于其他担心,提交该漏洞的白帽子“NILIU”在乌云网该漏洞下发布声明表示:“此次测试未对系统做任何破坏,未窃取任何数据,只是截图证明。”
但在律师看来,乌云网的声明并不能免责。“假如乌云网是一名‘善意的黑客’,其目的仅是为帮助企业修补漏洞,那么乌云网应该私下就找出的漏洞与企业沟通,而不是公之于众。要知道酒店登记入住涉及个人隐私和资料,一旦信息被泄露不仅涉嫌对企业侵权,也涉嫌对个人侵权,假如客人因此状告酒店而酒店再以侵权状告乌云网,那么乌云网就会很麻烦。”上海袁圆律师事务所陈军律师分析。
或许,更为严重的是,由于乌云网对“白帽子”真实身份难以确定,像“老K”这样的“白帽子”,神秘身份背后到底是什么?是否竞争对手的恶意攻击行为?是否会发布虚假漏洞消息?对于心怀叵测的黑客来说,是否伪装成白帽子潜伏其中,伺机而动?
这并非杞人忧天。2011年12月29日,乌云网宣布暂停服务,对系统做短暂的升级,原因是“频繁披露的安全事件及带来的影响——根据国家互联网信息办披露,CSDN、天涯网站被入侵事件也同样是因为网友的个人行为,调查发现,网名 “臭小子”的许某某出于个人炫耀的目的,于去年12月4日在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。此外,一些白帽子甚至以信息泄露相要挟索要利益,乌云网白帽子“我心飞翔”就因涉嫌敲诈勒索京东商城被刑事拘留。
(责任编辑:韩杰)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。