Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31404

資安周報第34期:從烏雲升級事件看中國政府對網路的箝制

$
0
0

專門負責通報各種企業與產品資安漏洞的中國漏洞通報平臺烏雲(WooYun),自從在今年7月19日晚上無預警的無法連網、提供服務,並在7月20日凌晨貼出烏雲服務正在升級的公告外,迄今也沒有宣布後續的消息。

而由烏雲自主推出的唐朝安全巡航(TangScan)的資安SaaS服務網站,主要是把烏雲所有的漏洞資訊,都以政策派送的方式作為一種資安雲端服務提供給中國企業,同樣的,也在7月23日無預警的無法繼續提供服務,並同時公告相關的服務也在升級中。

有許多中國媒體對於此事的後續發展都自行噤聲,根據記者和中國BAT資安研究員親自詢問此事的觀點時,相關的資安研究員都直說「烏雲採到中國政府紅線了。」要問後續觀點,便都說此事不宜高調、不宜過問,也結束相關的訪談。

從這種種的推論,至少可以確認,烏雲和唐朝安全巡航對外宣稱因為要升級而暫時關站的作法,一定和中國政府有密不可分的關係;卻也同時點出,中國政府對於網路的箝制,並沒有有所鬆綁,「只要讓中國政府不爽,沒有什麼他們做不出來的,即便前一刻,烏雲還是中國資安圈的當紅炸子雞。」

說法一:烏雲上的白帽駭客通報漏洞反遭業者報警逮捕

但是,所有的廠商都知道,不管任何的新服務或者是升級服務,都一定有一個可以參考的時程表和期限,沒有連帶公布恢復服務時間的升級公告,只會讓人產生各種不必要的懷疑外,往往也意謂著,這樣的「升級」基本上是遙遙無期了。

而在過去兩個多星期來,對於烏雲為什麼關站的推論眾說紛紜,有一說,此事和烏雲上面的白帽駭客袁煒,在去年底揭露網路婚友社世紀佳緣的網站漏洞後,後來又繼續提報相關的網站漏洞,爾後反遭世紀佳緣報警捉拿有關係。

主要的癥結在於,世紀佳緣已經是烏雲註冊的廠商,對於先前烏雲提報的漏洞也都曾經表達感激之意,但後來袁煒提報漏洞時,剛開始世紀佳緣也表達感謝會進行修復;只不過,後來世紀佳緣報警指出,因為同時間有多個嘗試SQL Injection的攻擊IP來源,為了確保使用者個資的安全,便報警處理。而袁煒後來也被警方逮捕,世紀佳緣則指出,沒想到通報者和攻擊者會是同一個人。

這件事情也渲染頗久,尤其袁煒的父親在中國網路大會上寫信陳情,也讓此事事件甚囂塵上。當時也有許多資安圈的人士質疑,烏雲只是一個通報平臺,面對平臺上通報漏洞的成員,卻反過來受到廠商報警對待時,烏雲甚至無法提供相關的法律支援,對於烏雲上的白帽駭客並不夠有道義。

不過,這樣的事件其實從事件爆發、到駭客被抓,到駭客父親寫信陳情,整個過程延燒大約半年,若要說是因為世紀佳緣和袁煒的事件,造成烏雲關站,未免有些牽強。

說法二:烏雲白帽駭客揭露統戰部系統漏洞,採到地雷

另有一說或許更為可信,那就是有烏雲上的白帽駭客誤觸地雷,導致烏雲最終必須面臨關站的處境。

時間發生在7月18日,烏雲白帽駭客在網站上公開揭露了,中國統戰部行動客戶端的網站接口有SQL Injection的漏洞,危害等級是中級,這個漏洞會導致許多敏感性個資的外洩,而烏雲也已經通報給中國國家互聯網緊急應變中心CNCERT通報相關的細節給受駭單位。

若要推測烏雲關站的原因,綜合各種事件的合理性和時間的相近性,這個說法比較貼近可能的事實。

根據一些中國媒體報導,烏雲創辦人方小頓(網路暱稱劍心)原本想四處遛達遛達、避避風頭,但最後還是被「抓到」,甚至於,謠傳被抓的對象,包含所有烏雲的高層,隨著相關企業唐朝安全巡航也關站升級中,顯示,即便是關係企業也都未能倖免於難。

許多關注中國資安社群運作的人也發現,劍心的QQ已經被停止使用,完全沒有人可以聯繫到包括劍心在內的烏雲高層,也有一些外國媒體試圖去尋找劍心,似乎也是無功而返。

烏雲可能外洩國家機密,採到中國政府的底線

事情發展迄今,從種種的跡象大致可以推論,烏雲的關站和中國政府脫離不了關係,而最有可能引發關站的導火線,可能和烏雲上的駭客揭露中國統戰部的系統漏洞有關係,畢竟,「統戰部的敏感資料等同國家的機密資料,一旦外洩,就等於是外洩國家機密,這也是中國政府無法忍受的事情。」

但是,為什麼中國政府會有如此大的反彈?烏雲也按照規矩把相關資訊委由CNCERT轉達給統戰部時,統戰部到底在緊張什麼?又或者是害怕什麼呢?

這其實回到烏雲的運作模式,烏雲雖然接受白帽駭客的漏洞通報,但是,整個漏洞通報機制,雖然會在三個月後才真正公開相關的漏洞細節,但其實,依照烏雲的運作模式,只要你已經累積足夠的積分,甚至可以在一剛開始,漏洞資訊還沒有公開時,就看到更多的細部資料。

這其實也是世紀佳緣反控烏雲白帽駭客的一個關鍵作為,「因為,受駭企業覺得,既然烏雲已經通報企業漏洞,企業也著手修復時,為什麼還有其他駭客也利用同樣的手法進行攻擊呢?」

既然公開漏洞資訊在網站,也某種程度公開漏洞攻擊手法給某一群人時,統戰部勢必擔心,在漏洞資訊公開後,到底有多少人曾經試圖入侵過統戰部有漏洞的系統?是否有偷走哪些機敏資料?再更狠一點,甚至是,只要有權力第一時間看到漏洞細節的駭客們,統戰部都可以「發揮實力」,一個個表達關切之意、甚至追查這些人的網路活動足跡也並非不可能。對統戰部而言,駭客到底有沒有外洩機敏資料,是非常重要的關鍵,畢竟,「只許州官放火、不許百姓點燈」,向來是中國政府的行事風格,一點都不令人意外。

從網路言論和思想的洗腦到人身安全的箝制,都是中國政府為了確保其網路集權控管與箝制能力的有效作法。也因此,烏雲事件只會是其中一件,但絕對不會是最後一件。

既然如此,我也不免想到,因為兩岸的頻繁互動,你、我和其他許多人,或多多少要安裝一些中國App,許多認證都必須是真正的手機號碼才能取得認證馬,再加上日前中國法令公布,未來所有App廠商的後臺,使用者都必須提供實名,若有需要,也必須提供中國政府參考使用時,只能說,中國政府對於網路的各種箝制迄今毫不手軟,使用者對於這樣的狀況更是束手無策、無能為力。

 

上週(7/24~7/30)重要資安事件回顧:

DAO遭駭事件打破區塊鏈不可逆神話

駭客過招!公布對手勒索軟體的解密金鑰

IBM要用行為分析找出可能遭駭的內部人員

防範無人機影響空安,空中巴士與新創聯手研發無人機殺手

使用無線鍵盤要小心! 8個品牌鍵盤遭點名含有遠端側錄漏洞

美政府首度發表重大資安攻擊回應準則

Citrix旗下GoTo業務將與LogMeIn整併

英特爾、卡巴斯基與歐洲警方聯手推出免費服務對抗勒贖軟體

甲骨文一次修補276個安全漏洞,寫下新紀錄

美國警方為偵破謀殺案,以3D列印技術複製死者指紋解鎖手機

以簡訊進行雙因子認證有安全疑慮,美政府建議不要採用

 


Viewing all articles
Browse latest Browse all 31404

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>