乌云平台是安全专家还是网络黑社会?
近期网络流传的纷纷扬扬的用户密码泄露事件大部分来自于这个所谓的安全平台-乌云系统http://www.wooyun.org/,一瞬间,此网站可谓是挣足了眼球和面子,赢得了不少流量和关注,可是细细一想,总觉得有点猫腻。
(1)此网站实为一个松散的虚拟组织,任何人都可以在上面发布漏洞,我也看到过认识的人的影子。上面还有PPC的会员的影子。试问,这么混乱,质量能得到保证不?只要提交漏洞就能得到邀请码,成为其会员,也就跻身于安全研究人员的行业。
(2)就从其近日发布的密码泄露来看,一次比一次不靠谱,什么支付宝密码泄露,银行密码泄露,一次比一次夸张,一次比一次规模庞大,动辄几千万,上亿,但是就从其给出的数据看,却经不起推敲。首先这些泄漏事件越来越让人不相信,其次已有相关企业出来辟谣,指出其泄露的银行卡号都是废卡。另外,从其泄露的数据来看,字段项也显得不够专业,更像是凭空臆想出来的。再者从我所了解到的大企业数据中心的情况来看,也不可能拿到这么多数据。很多企业的安全系统可谓是固若金汤,都是硬件级别的安全,经得起推敲的,是国际上引进的军方级别的安全系统,有这么容易破解?很多大公司的办公电脑都是硬件加密,没有U盘无法启动,系统一旦有被入侵和破坏倾向,立刻自动销毁数据。
(3)此网站惯用虚虚实实的招数,先弄一些比较小的不起眼的,容易得到的漏洞来垫底,然后就是五花八门的泄露,其泄露的数据也时虚虚实实,很多是比较老旧的数据再加上一堆捏造的数据。其所展示的数据和技术也不够专业。
最后,虽然不太清楚这个所谓的乌云系统的数据来自哪里(此网站官方已宣布关闭),是否是第一数据源,但是就其近期所发布的事件而言,是越来越让人不信任。在我眼里,更愿意把其看做网络黑社会,幕后黑手。根据目前所找到的资料,知其是80sec团队制作的网站,但是我对这个团队的性质表示不大信任。
(1)此网站实为一个松散的虚拟组织,任何人都可以在上面发布漏洞,我也看到过认识的人的影子。上面还有PPC的会员的影子。试问,这么混乱,质量能得到保证不?只要提交漏洞就能得到邀请码,成为其会员,也就跻身于安全研究人员的行业。
(2)就从其近日发布的密码泄露来看,一次比一次不靠谱,什么支付宝密码泄露,银行密码泄露,一次比一次夸张,一次比一次规模庞大,动辄几千万,上亿,但是就从其给出的数据看,却经不起推敲。首先这些泄漏事件越来越让人不相信,其次已有相关企业出来辟谣,指出其泄露的银行卡号都是废卡。另外,从其泄露的数据来看,字段项也显得不够专业,更像是凭空臆想出来的。再者从我所了解到的大企业数据中心的情况来看,也不可能拿到这么多数据。很多企业的安全系统可谓是固若金汤,都是硬件级别的安全,经得起推敲的,是国际上引进的军方级别的安全系统,有这么容易破解?很多大公司的办公电脑都是硬件加密,没有U盘无法启动,系统一旦有被入侵和破坏倾向,立刻自动销毁数据。
(3)此网站惯用虚虚实实的招数,先弄一些比较小的不起眼的,容易得到的漏洞来垫底,然后就是五花八门的泄露,其泄露的数据也时虚虚实实,很多是比较老旧的数据再加上一堆捏造的数据。其所展示的数据和技术也不够专业。
最后,虽然不太清楚这个所谓的乌云系统的数据来自哪里(此网站官方已宣布关闭),是否是第一数据源,但是就其近期所发布的事件而言,是越来越让人不信任。在我眼里,更愿意把其看做网络黑社会,幕后黑手。根据目前所找到的资料,知其是80sec团队制作的网站,但是我对这个团队的性质表示不大信任。
http://www.cert.org.cn/articles/activities/common/2011110425621.shtml 中文