资安周报第34期：从乌云升级事件看中国政府对网路的箝制

2016-08-02 19:24:47 | 来源：ithome | 投稿：乐乐 | 编辑：dations

原标题：资安周报第34期：从乌云升级事件看中国政府对网路的箝制

包括中国漏洞通报平台乌云及其子公司唐朝安全巡航，都出现无预警的关站升级公告，据推测，背后原因都与中国政府对于网路箝制脱离不了关係。

专门负责通报各种企业与产品资安漏洞的中国漏洞通报平台乌云（WooYun），自从在今年7月19日晚上无预警的无法连网、提供服务，并在7月20日凌晨贴出乌云服务正在升级的公告外，迄今也没有宣布后续的消息。

而由乌云自主推出的唐朝安全巡航（TangScan）的资安SaaS服务网站，主要是把乌云所有的漏洞资讯，都以政策派送的方式作为一种资安云端服务提供给中国企业，同样的，也在7月23日无预警的无法继续提供服务，并同时公告相关的服务也在升级中。

有许多中国媒体对于此事的后续发展都自行噤声，根据记者和中国BAT资安研究员亲自询问此事的观点时，相关的资安研究员都直说「乌云採到中国政府红线了。」要问后续观点，便都说此事不宜高调、不宜过问，也结束相关的访谈。

从这种种的推论，至少可以确认，乌云和唐朝安全巡航对外宣称因为要升级而暂时关站的作法，一定和中国政府有密不可分的关係；却也同时点出，中国政府对于网路的箝制，并没有有所鬆绑，「只要让中国政府不爽，没有什幺他们做不出来的，即便前一刻，乌云还是中国资安圈的当红炸子鸡。」

说法一：乌云上的白帽骇客通报漏洞反遭业者报警逮捕

但是，所有的厂商都知道，不管任何的新服务或者是升级服务，都一定有一个可以参考的时程表和期限，没有连带公布恢复服务时间的升级公告，只会让人产生各种不必要的怀疑外，往往也意谓着，这样的「升级」基本上是遥遥无期了。

而在过去两个多星期来，对于乌云为什幺关站的推论众说纷纭，有一说，此事和乌云上面的白帽骇客袁炜，在去年底揭露网路婚友社世纪佳缘的网站漏洞后，后来又继续提报相关的网站漏洞，尔后反遭世纪佳缘报警捉拿有关係。

主要的癥结在于，世纪佳缘已经是乌云注册的厂商，对于先前乌云提报的漏洞也都曾经表达感激之意，但后来袁炜提报漏洞时，刚开始世纪佳缘也表达感谢会进行修复；只不过，后来世纪佳缘报警指出，因为同时间有多个尝试SQL Injection的攻击IP来源，为了确保使用者个资的安全，便报警处理。而袁炜后来也被警方逮捕，世纪佳缘则指出，没想到通报者和攻击者会是同一个人。

这件事情也渲染颇久，尤其袁炜的父亲在中国网路大会上写信陈情，也让此事事件甚嚣尘上。当时也有许多资安圈的人士质疑，乌云只是一个通报平台，面对平台上通报漏洞的成员，却反过来受到厂商报警对待时，乌云甚至无法提供相关的法律支援，对于乌云上的白帽骇客并不够有道义。

不过，这样的事件其实从事件爆发、到骇客被抓，到骇客父亲写信陈情，整个过程延烧大约半年，若要说是因为世纪佳缘和袁炜的事件，造成乌云关站，未免有些牵强。

说法二：乌云白帽骇客揭露统战部系统漏洞，採到地雷

另有一说或许更为可信，那就是有乌云上的白帽骇客误触地雷，导致乌云最终必须面临关站的处境。

时间发生在7月18日，乌云白帽骇客在网站上公开揭露了，中国统战部行动客户端的网站接口有SQL Injection的漏洞，危害等级事中及，这个漏洞会导致许多敏感性个资的外洩，而乌云也已经通报给中国国家互联网紧急应变中心CNCERT通报相关的细节给受骇单位。

若要推测乌云关站的原因，综合各种事件的合理性和时间的相近性，这个说法比较贴近可能的事实。

根据一些中国媒体报导，乌云创办人方小顿（网路暱称剑心）原本想四处遛达遛达、避避风头，但最后还是被「抓到」，甚至于，谣传被抓的对象，包含所有乌云的高层，随着相关企业唐朝安全巡航也关站升级中，显示，即便是关係企业也都未能倖免于难。

许多关注中国资安社群运作的人也发现，剑心的QQ已经被停止使用，完全没有人可以联繫到包括剑心在内的乌云高层，也有一些外国媒体试图去寻找剑心，似乎也是无功而返。

乌云可能外洩国家机密，採到中国政府的底线

事情发展迄今，从种种的迹象大致可以推论，乌云的关站和中国政府脱离不了关係，而最有可能引发关站的导火线，可能和乌云上的骇客揭露中国统战部的系统漏洞有关係，毕竟，「统战部的敏感资料等同国家的机密资料，一旦外洩，就等于是外洩国家机密，这也是中国政府无法忍受的事情。」

但是，为什幺中国政府会有如此大的反弹？乌云也按照规矩把相关资讯委由CNCERT转达给统战部时，统战部到底在紧张什幺？又或者是害怕什幺呢？

这其实回到乌云的运作模式，乌云虽然接受白帽骇客的漏洞通报，但是，整个漏洞通报机制，虽然会在三个月后才真正公开相关的漏洞细节，但其实，依照乌云的运作模式，只要你已经累积足够的积分，甚至可以在一刚开始，漏洞资讯还没有公开时，就看到更多的细部资料。

这其实也世纪佳缘反控乌云白帽骇客的一个关键作为，「因为，受骇企业觉得，既然乌云已经通报企业漏洞，企业也着手修复时，为什幺还有其他骇客也利用同样的手法进行攻击呢？」

既然公开漏洞资讯在网站，也某种程度公开漏洞攻击手法给某一群人时，统战部势必担心，在漏洞资讯公开后，到底有多少人曾经试图入侵过统战部有漏洞的系统？是否有偷走哪些机敏资料？再更狠一点，甚至是，只要有权力第一时间看到漏洞细节的骇客们，统战部都可以「发挥实力」，一个个表达关切之意、甚至追查这些人的网路活动足迹也并非不可能。对统战部而言，骇客到底有没有外洩机敏资料，是非常重要的关键，毕竟，「只许州官放火、不许百姓点灯」，向来是中国政府的形式风格，一点都不令人意外。

从网路言论和思想的洗脑到人身安全的箝制，都是中国政府为了确保其网路集权控管与箝制能力的有效作法。也因此，乌云事件只会是其中一件，但绝对不会是最后一件。

既然如此，我也不免想到，因为两岸的频繁互动，你、我和其他许多人，或多多少要安装一些中国App，许多认证都必须是真正的手机号码才能取得认证马，再加上日前中国法令公布，未来所有App厂商的后台，使用者都必须提供实名，若有需要，也必须提供中国政府参考使用时，只能说，中国政府对于网路的各种箝制迄今毫不手软，使用者对于这样的状况更是束手无策、无能为力。

上週（7/24～7/30）重要资安事件回顾：

※DAO遭骇事件打破区块链不可逆神话

※骇客过招！公布对手勒索软体的解密金钥

※IBM要用行为分析找出可能遭骇的内部人员

※防範无人机影响空安，空中巴士与新创联手研发无人机杀手

※使用无线键盘要小心! 8个品牌键盘遭点名含有远端侧录漏洞

※美政府首度发表重大资安攻击回应準则

※Citrix旗下GoTo业务将与LogMeIn整併

※英特尔、卡巴斯基与欧洲警方联手推出免费服务对抗勒赎软体

※甲骨文一次修补276个安全漏洞，写下新纪录

※美国警方为侦破谋杀案，以3D列印技术複製死者指纹解锁手机

※以简讯进行双因子认证有安全疑虑，美政府建议不要採用