互聯(lián)網(wǎng)和其他企業(yè)的不同之處在于,黑客可以隨時(shí)發(fā)起攻擊,它們沒(méi)有一勞永逸的解決辦法。
文/張堅(jiān)
盡管“動(dòng)搖了互聯(lián)網(wǎng)基礎(chǔ)”,但那些當(dāng)事網(wǎng)站對(duì)這次密碼泄露事件的反應(yīng)仍然低于外界的預(yù)期,不管是CSDN還是天涯,都沒(méi)有就用戶資料數(shù)據(jù)庫(kù)泄露發(fā)表更多的意見(jiàn),只是草草道歉了事,而12月28日工信部發(fā)表的《關(guān)于近期部分互聯(lián)網(wǎng)站信息泄露事件的通告》,看上去也更多是表達(dá)一種姿態(tài)——其中除了“對(duì)盜竊用戶信息表示了‘強(qiáng)烈譴責(zé)’”外,外界并沒(méi)有讀到更多的相關(guān)信息。如何修補(bǔ)中國(guó)互聯(lián)網(wǎng)的脆弱一面?現(xiàn)在沒(méi)有人能給出答案,法律上的空白和互聯(lián)網(wǎng)企業(yè)的意識(shí)缺位,讓用戶資料的安全問(wèn)題完全被忽視了。
互聯(lián)網(wǎng)企業(yè)的安全短板
如同多米諾骨牌,CSDN是第一個(gè)倒下的棋子,接著,天涯、世紀(jì)佳緣、貓撲等知名網(wǎng)站一個(gè)個(gè)倒下,到了最后,傳聞居然還有銀行牽扯其中。雖然“銀行密碼泄露”最終被證明是子虛烏有,但卻已經(jīng)造成最大的恐慌。其中最具諷刺意義的,毫無(wú)疑問(wèn)是以程序員為核心用戶的CSDN的數(shù)據(jù)庫(kù)被泄露出來(lái)——人們發(fā)現(xiàn)CSDN早期的密碼都是明文密碼,拿到密碼的人,可以直接登入網(wǎng)站。CSDN的創(chuàng)始人蔣濤后來(lái)解釋說(shuō):“(CSDN)這樣一個(gè)程序員討論技術(shù)問(wèn)題的網(wǎng)站,對(duì)黑客來(lái)說(shuō)沒(méi)有太多的商業(yè)利益可以挖掘,所以(我們)并沒(méi)有高度重視網(wǎng)站的安全問(wèn)題,直到此次用戶資料被泄露。”
對(duì)于互聯(lián)網(wǎng)企業(yè)在安全方面的淡漠,金山反病毒工程師李鐵軍已經(jīng)見(jiàn)怪不怪,“很多互聯(lián)網(wǎng)企業(yè)疏于管理,網(wǎng)站做完之后,就放在那里,只是維持產(chǎn)品的功能,而沒(méi)有考慮安全的功能,最終導(dǎo)致的結(jié)果就是現(xiàn)在這樣”。這背后,很大程度是因?yàn)槌杀镜年P(guān)系,“因?yàn)榘踩耐度脒真是一個(gè)長(zhǎng)期的投入,一般的互聯(lián)網(wǎng)企業(yè)為了快速發(fā)展,在安全方面投入的力量也不太夠”。
這些互聯(lián)網(wǎng)企業(yè)在安全方面的短板,給黑客創(chuàng)造了機(jī)會(huì)——互聯(lián)網(wǎng)企業(yè)和其他企業(yè)不同之處在于,黑客可以隨時(shí)攻擊,它們沒(méi)有一勞永逸的解決辦法。李鐵軍說(shuō):“安全維護(hù)的團(tuán)隊(duì)要不斷跟進(jìn)最前沿的安全防御的知識(shí),這樣,一出現(xiàn)攻擊,他們才能做出反應(yīng)。而且,互聯(lián)網(wǎng)服務(wù)不可能中止,不能出現(xiàn)問(wèn)題就把它關(guān)閉掉,必須保證用戶24小時(shí)能夠正常訪問(wèn)。他要解決產(chǎn)品中間的一個(gè)漏洞,這需要一個(gè)時(shí)間。這個(gè)時(shí)間差就是黑客的機(jī)會(huì)。”
其實(shí),和幾年前相比,黑客的攻擊方式已經(jīng)有了很大的變化。以前是用戶端被攻擊,黑客通過(guò)各種手段在用戶的電腦上盜取賬號(hào)和密碼等,但最近數(shù)年,用戶的安全意識(shí)已經(jīng)讓這種攻擊越來(lái)越難。黑客轉(zhuǎn)向攻擊那些在安全上偷懶的網(wǎng)站——通過(guò)攻擊服務(wù)器,擁有數(shù)百萬(wàn)用戶資料的數(shù)據(jù)庫(kù)就被一鍋端了。一些后知后覺(jué)的網(wǎng)站,可能要直到資料泄露到網(wǎng)上,才明白自己出了問(wèn)題。更加糟糕的是,一些網(wǎng)絡(luò)管理人員知道網(wǎng)站的數(shù)據(jù)庫(kù)泄露,卻因顧及面子而保持沉默,到最后,完全由用戶為網(wǎng)站的漏洞買(mǎi)單。
用戶資料的價(jià)值
當(dāng)互聯(lián)網(wǎng)對(duì)人們的生活價(jià)值越來(lái)越大時(shí),各類(lèi)作為互聯(lián)網(wǎng)通行證的賬號(hào)和密碼對(duì)黑客的吸引力也越來(lái)越大。在泄露事件之后,李鐵軍在自己的博客上放出了一張“密碼泄露的次生災(zāi)害與網(wǎng)民對(duì)策”圖,這張圖里所展現(xiàn)出來(lái)的“災(zāi)害”場(chǎng)景,足以讓人心驚膽戰(zhàn)——最簡(jiǎn)單的是,相關(guān)登錄數(shù)據(jù)被盜用,黑客根據(jù)你的信息盜取游戲賬號(hào)和裝備;如果這個(gè)賬號(hào)和你的各類(lèi)社交服務(wù)相關(guān),那么你的隱私可能會(huì)完全暴露;如果這個(gè)賬號(hào)就是你的支付寶賬號(hào),那么你可能需要擔(dān)心你的財(cái)務(wù)問(wèn)題。
相應(yīng),對(duì)于黑客而言,以何種方式賣(mài)出用戶信息也有學(xué)問(wèn)。把數(shù)據(jù)庫(kù)賣(mài)給發(fā)送垃圾信息的人,只是最簡(jiǎn)單的手法。精明的黑客會(huì)詳細(xì)分析數(shù)據(jù)庫(kù),把各類(lèi)用戶的信息分門(mén)別類(lèi),以更為精準(zhǔn)的方式賣(mài)給需要者,這樣的數(shù)據(jù),價(jià)錢(qián)相對(duì)而言更貴。至于怎么使用數(shù)據(jù),則完全依賴人們的想象力。
不同類(lèi)型網(wǎng)站的數(shù)據(jù)庫(kù)價(jià)格也完全不同。李鐵軍分析,網(wǎng)絡(luò)游戲和電子商務(wù)類(lèi)網(wǎng)站的用戶資料的價(jià)值相對(duì)更高,因?yàn)榍罢叩馁Y料可以直接變現(xiàn),而電子商務(wù)類(lèi)網(wǎng)站的用戶資料則蘊(yùn)含潛在的消費(fèi)價(jià)值。此外,數(shù)據(jù)庫(kù)的價(jià)格涉及到數(shù)據(jù)庫(kù)的容量,以及與數(shù)據(jù)庫(kù)相關(guān)聯(lián)的應(yīng)用價(jià)值的多少。當(dāng)然,這些數(shù)據(jù)的價(jià)值也跟時(shí)間相關(guān)——新鮮出爐的數(shù)據(jù)庫(kù)總是比那些老的數(shù)據(jù)庫(kù)更貴。
和很多人的想法一致,李鐵軍認(rèn)為這次密碼泄露事件純粹就是一個(gè)意外——如果不是迅雷的數(shù)據(jù)挖掘,這些私下交易已久的數(shù)據(jù)庫(kù)不會(huì)這么明目張膽地出現(xiàn)在用戶面前,并引發(fā)如此大的反響。這件事情的另一個(gè)結(jié)果是,人們把其與目前正熱烈討論的實(shí)名制聯(lián)系在一起,李鐵軍認(rèn)為這高估了黑客的能量,不過(guò)他也承認(rèn),大家都會(huì)因?yàn)榇舜蚊艽a泄露事件而思考,“實(shí)名制之后是不是更加不安全?大家都有這種擔(dān)心在里面”。
怎么做更安全?
從目前來(lái)看,互聯(lián)網(wǎng)企業(yè)是否重視安全,和其業(yè)務(wù)本身有直接的關(guān)系。當(dāng)騰訊期待QQ號(hào)成為其進(jìn)入互聯(lián)網(wǎng)的重要通道時(shí),自然而然會(huì)重視用戶的資料安全。當(dāng)支付寶期待其用戶把其當(dāng)作互聯(lián)網(wǎng)上的通用支付工具時(shí),也不得不把安全擺在第一位。一個(gè)很清晰的局面是,騰訊、支付寶以及網(wǎng)易等企業(yè)格外重視安全——因?yàn)樗鼈兊恼麄(gè)業(yè)務(wù)與用戶資料安全有核心聯(lián)系。
一位知情人士對(duì)《新周刊》表示,騰訊內(nèi)部現(xiàn)在有數(shù)千人從事安全方面的業(yè)務(wù),“騰訊的投入比其他企業(yè)龐大,經(jīng)驗(yàn)也相當(dāng)豐富,他們內(nèi)部的觀點(diǎn)是,將來(lái)某一天唯一能讓企業(yè)倒閉的,只有黑客攻擊這一點(diǎn)。他們的企業(yè)理念就是這樣”。事實(shí)上,騰訊的產(chǎn)品也并非一開(kāi)始就如此安全,幾年前的各類(lèi)盜號(hào)新聞曾經(jīng)讓騰訊不勝其擾,在逐步改進(jìn)了安全對(duì)策之后,騰訊才擺脫了不安全的名聲,“產(chǎn)品在成長(zhǎng)過(guò)程中,安全威脅是隨著攻擊的變化而變化的,互聯(lián)網(wǎng)企業(yè)剛開(kāi)始起步的時(shí)候,未必對(duì)安全的規(guī)劃做得很好,他們也是在管理的過(guò)程中發(fā)現(xiàn)各種各樣的問(wèn)題,加以解決,然后才積累經(jīng)驗(yàn)的”。
李鐵軍認(rèn)為,網(wǎng)站被攻擊一定會(huì)發(fā)生,只是程度不同而已,“安全是一個(gè)動(dòng)態(tài)維護(hù)的過(guò)程,企業(yè)如果由一支專(zhuān)業(yè)的團(tuán)隊(duì)來(lái)做維護(hù),那么用戶端的損失會(huì)最小,因?yàn)橄到y(tǒng)本身會(huì)偵測(cè)到攻擊,然后做出反應(yīng),不會(huì)使其擴(kuò)大化”。
密碼泄露事件之后,一家名為“烏云”的網(wǎng)站浮出水面。這個(gè)在廠商和安全研究者之間的安全問(wèn)題反饋平臺(tái),擁有一大批安全技術(shù)人員,并經(jīng)常提交漏洞和風(fēng)險(xiǎn)報(bào)告給互聯(lián)網(wǎng)公司。針對(duì)中國(guó)互聯(lián)網(wǎng)公司在安全方面的短板,他們給出的建議是“將安全落實(shí)到公司的流程制度規(guī)范以及基礎(chǔ)技術(shù)架構(gòu)里去,形成完善的安全體系,并且持續(xù)更新?lián)Q代。如果以前沒(méi)有這方面制度,就從現(xiàn)在開(kāi)始建設(shè);如果沒(méi)有團(tuán)隊(duì),就可以先找一些公司或者外部顧問(wèn)。但是記住,不要幻想一次性的投入就可以抵抗利益驅(qū)動(dòng)長(zhǎng)久進(jìn)化的黑色產(chǎn)業(yè)鏈”。
推薦閱讀
谷歌等組建可信郵件生態(tài)系統(tǒng) 標(biāo)識(shí)過(guò)濾釣魚(yú)郵件
谷歌等組建可信郵件生態(tài)系統(tǒng) 標(biāo)識(shí)過(guò)濾釣魚(yú)郵件>>>詳細(xì)閱讀
本文標(biāo)題:密碼攻防戰(zhàn)暴露互聯(lián)網(wǎng)企業(yè)安全短板
地址:http://www.geekbao.cn/a/11/20120131/27164.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示