資安周報第34期：從烏雲升級事件看中國政府對網路的箝制

william77

中國漏洞通報平臺烏雲及其子公司唐朝安全巡航，分別在7月20日及23日無預警宣布關站並且做升級服務，由於恢復時間遙遙無期，加上烏雲創辦人劍心連QQ都已經停用，種種跡象都可以推測，烏雲關站和中國政府脫離不了關係。

包括中國漏洞通報平臺烏雲及其子公司唐朝安全巡航，都出現無預警的關站升級公告，據推測，背後原因都與中國政府對於網路箝制脫離不了關係。

專門負責通報各種企業與產品資安漏洞的中國漏洞通報平臺烏雲（WooYun），自從在今年7月19日晚上無預警的無法連網、提供服務，並在7月20日凌晨貼出烏雲服務正在升級的公告外，迄今也沒有宣布後續的消息。
而由烏雲自主推出的唐朝安全巡航（TangScan）的資安SaaS服務網站，主要是把烏雲所有的漏洞資訊，都以政策派送的方式作為一種資安雲端服務提供給中國企業，同樣的，也在7月23日無預警的無法繼續提供服務，並同時公告相關的服務也在升級中。
有許多中國媒體對於此事的後續發展都自行噤聲，根據記者和中國BAT資安研究員親自詢問此事的觀點時，相關的資安研究員都直說「烏雲採到中國政府紅線了。」要問後續觀點，便都說此事不宜高調、不宜過問，也結束相關的訪談。
從這種種的推論，至少可以確認，烏雲和唐朝安全巡航對外宣稱因為要升級而暫時關站的作法，一定和中國政府有密不可分的關係；卻也同時點出，中國政府對於網路的箝制，並沒有有所鬆綁，「只要讓中國政府不爽，沒有什麼他們做不出來的，即便前一刻，烏雲還是中國資安圈的當紅炸子雞。」
說法一：烏雲上的白帽駭客通報漏洞反遭業者報警逮捕
但是，所有的廠商都知道，不管任何的新服務或者是升級服務，都一定有一個可以參考的時程表和期限，沒有連帶公布恢復服務時間的升級公告，只會讓人產生各種不必要的懷疑外，往往也意謂著，這樣的「升級」基本上是遙遙無期了。
而在過去兩個多星期來，對於烏雲為什麼關站的推論眾說紛紜，有一說，此事和烏雲上面的白帽駭客袁煒，在去年底揭露網路婚友社世紀佳緣的網站漏洞後，後來又繼續提報相關的網站漏洞，爾後反遭世紀佳緣報警捉拿有關係。
主要的癥結在於，世紀佳緣已經是烏雲註冊的廠商，對於先前烏雲提報的漏洞也都曾經表達感激之意，但後來袁煒提報漏洞時，剛開始世紀佳緣也表達感謝會進行修復；只不過，後來世紀佳緣報警指出，因為同時間有多個嘗試SQL Injection的攻擊IP來源，為了確保使用者個資的安全，便報警處理。而袁煒後來也被警方逮捕，世紀佳緣則指出，沒想到通報者和攻擊者會是同一個人。
這件事情也渲染頗久，尤其袁煒的父親在中國網路大會上寫信陳情，也讓此事事件甚囂塵上。當時也有許多資安圈的人士質疑，烏雲只是一個通報平臺，面對平臺上通報漏洞的成員，卻反過來受到廠商報警對待時，烏雲甚至無法提供相關的法律支援，對於烏雲上的白帽駭客並不夠有道義。
不過，這樣的事件其實從事件爆發、到駭客被抓，到駭客父親寫信陳情，整個過程延燒大約半年，若要說是因為世紀佳緣和袁煒的事件，造成烏雲關站，未免有些牽強。
說法二：烏雲白帽駭客揭露統戰部系統漏洞，採到地雷
另有一說或許更為可信，那就是有烏雲上的白帽駭客誤觸地雷，導致烏雲最終必須面臨關站的處境。
時間發生在7月18日，烏雲白帽駭客在網站上公開揭露了，中國統戰部行動客戶端的網站接口有SQL Injection的漏洞，危害等級是中級，這個漏洞會導致許多敏感性個資的外洩，而烏雲也已經通報給中國國家互聯網緊急應變中心CNCERT通報相關的細節給受駭單位。
若要推測烏雲關站的原因，綜合各種事件的合理性和時間的相近性，這個說法比較貼近可能的事實。
根據一些中國媒體報導，烏雲創辦人方小頓（網路暱稱劍心）原本想四處遛達遛達、避避風頭，但最後還是被「抓到」，甚至於，謠傳被抓的對象，包含所有烏雲的高層，隨著相關企業唐朝安全巡航也關站升級中，顯示，即便是關係企業也都未能倖免於難。
許多關注中國資安社群運作的人也發現，劍心的QQ已經被停止使用，完全沒有人可以聯繫到包括劍心在內的烏雲高層，也有一些外國媒體試圖去尋找劍心，似乎也是無功而返。
烏雲可能外洩國家機密，採到中國政府的底線
事情發展迄今，從種種的跡象大致可以推論，烏雲的關站和中國政府脫離不了關係，而最有可能引發關站的導火線，可能和烏雲上的駭客揭露中國統戰部的系統漏洞有關係，畢竟，「統戰部的敏感資料等同國家的機密資料，一旦外洩，就等於是外洩國家機密，這也是中國政府無法忍受的事情。」
但是，為什麼中國政府會有如此大的反彈？烏雲也按照規矩把相關資訊委由CNCERT轉達給統戰部時，統戰部到底在緊張什麼？又或者是害怕什麼呢？
這其實回到烏雲的運作模式，烏雲雖然接受白帽駭客的漏洞通報，但是，整個漏洞通報機制，雖然會在三個月後才真正公開相關的漏洞細節，但其實，依照烏雲的運作模式，只要你已經累積足夠的積分，甚至可以在一剛開始，漏洞資訊還沒有公開時，就看到更多的細部資料。
這其實也是世紀佳緣反控烏雲白帽駭客的一個關鍵作為，「因為，受駭企業覺得，既然烏雲已經通報企業漏洞，企業也著手修復時，為什麼還有其他駭客也利用同樣的手法進行攻擊呢？」
既然公開漏洞資訊在網站，也某種程度公開漏洞攻擊手法給某一群人時，統戰部勢必擔心，在漏洞資訊公開後，到底有多少人曾經試圖入侵過統戰部有漏洞的系統？是否有偷走哪些機敏資料？再更狠一點，甚至是，只要有權力第一時間看到漏洞細節的駭客們，統戰部都可以「發揮實力」，一個個表達關切之意、甚至追查這些人的網路活動足跡也並非不可能。對統戰部而言，駭客到底有沒有外洩機敏資料，是非常重要的關鍵，畢竟，「只許州官放火、不許百姓點燈」，向來是中國政府的行事風格，一點都不令人意外。
從網路言論和思想的洗腦到人身安全的箝制，都是中國政府為了確保其網路集權控管與箝制能力的有效作法。也因此，烏雲事件只會是其中一件，但絕對不會是最後一件。
既然如此，我也不免想到，因為兩岸的頻繁互動，你、我和其他許多人，或多多少要安裝一些中國App，許多認證都必須是真正的手機號碼才能取得認證馬，再加上日前中國法令公布，未來所有App廠商的後臺，使用者都必須提供實名，若有需要，也必須提供中國政府參考使用時，只能說，中國政府對於網路的各種箝制迄今毫不手軟，使用者對於這樣的狀況更是束手無策、無能為力。