中国互联网十余年的发展中,快速扩张的互联网企业不知不觉地为自己埋下了安全隐患的种子。对安全投放的不重视,透露出这些企业没有把用户数据放在一个正常的位置,而这无疑是对用户信息安全的公然漠视。这样的现状为黑客提供了良好的获利环境,助长了一次次的黑客行动。而网企欠下的账,在未来必定要陆续埋单。 【IT时代周刊讯】(记者 张淇人)数亿的用户信息遭泄露,凸显了中国互联网公司的安全机制如同一道纸糊的墙。
1月11日,“泄密门”发生的20天后,作为第一个被公开报道的受害者,中国软件开发联盟(以下简称CSDN)在北京宣布,将携手阿里云迈出建立网络安全体系的第一步——为开发者打造安全可信的平台,从隔离核心数据开始。同时,CSDN公开承认包括自己在内的国内诸多网站的安全意识薄弱问题是导致用户信息密集泄露的关键。
CSDN所做的一切被业内看作是其挽回不利影响的重要行动。
2011年12月21日,业界传出国内最大程序员网站CSDN被黑客“成功击败”的消息,其超过640万个注册用户的信息在网上公开。随后的一周内,天涯社区、人人网、开心网和多玩网等十余家国内知名网站近5000万用户的信息在网上被黑客公布。
由于遭泄露的网站覆盖社交、电子商务甚至个别政府部门的官网,一夜之间,“泄密门”成为互联网上一个引发广泛恐慌的“大事件”。
截至2011年12月29日,根据国家互联网应急中心(CNCERT)统计,CNCERT通过公开渠道获得疑似泄露的数据库有26个,涉及帐号、密码2.78亿条。其中,含有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据 1.42亿条。
有分析指出,中国互联网十余年的发展中,快速扩张的互联网企业不知不觉地为自己埋下了安全隐患的种子。对安全投放的不重视,透露出这些企业没有把用户数据放在一个正常的位置,而这无疑是对用户信息安全的公然漠视。这样的现状为黑客提供了良好的获利环境,助长了一次次的黑客行动。而网企欠下的账,在未来必定要陆续埋单。
扩张种下毒瘤
泄密事件发生后,CSDN创始人、公司总裁蒋涛公开坦承此前并没有想到数据泄露会如此严重。在CSDN拥有不到100台服务器,注册信息只包括邮箱和密码的情况下,蒋涛一度认为,这些注册信息并不具备太大的隐私性,也不会引起黑客的兴趣。
但是,蒋涛和其他“中招”的所有网站都忽略了一个重要问题——黑客会将盗来的信息用于用户数据更为敏感的网站(如支付宝)进行密码刷库比对,如果密码是同一个,则意味着黑客们能够轻而易举地攻入这些网站,从而获取用户的敏感资料。
对于这种可能出现的后遗症,深圳大成天下公司网络安全技术专家吴鲁加认为,互联网用户的隐私短板,已经不再取决于单一企业,而是取决于所有这些握有大量用户信息的企业中的最短板。也就是说,网络信息的安全牵系每一个企业与个人。
而据蒋涛介绍,目前80%以上的互联网公司都存在安全漏洞,70%以上的加密算法密码库都可以通过高频碰撞破解,60%以上有安全策略的公司同样存在着漏洞。
根据杭州安恒信息技术公司给CSDN提供的审计报告显示,由于CSDN网站开源系统等第三方系统存在漏洞、应用程序存在跨站脚本漏洞等四大问题,使其网站存在安全风险,泄露了大量信息。
“不止CSDN一家网站这样”资深安全顾问张百川表示,许多网站设计之初就只考虑业务而不考虑安全性。在试运行期间只要功能满足就验收通过。在网站的规划、设计、实施、运维和废弃等五个阶段都没有一个安全保护的考虑。这样“凑合”用的系统,其安全性之低显而易见。
根据CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿,占24.9%。而卡巴斯基亚太区产品部经理高祎玮对《IT时代周刊》表示,尽管近年来针对互联网的安全保护技术有了很大的提升,但是很多企业没有及时调整或升级后台系统。
有业内安全专家向本刊记者透露,国内大部分电子商务网站还停留在防护墙等传统的防御技术层面,对账户、密码等机密数据也没有明确的访问规定监控,甚至还采用明文存储或不安全的加密存储手段。
而某券商TMT研究部门公布的调研结果更能说明问题。该券商的研究数据显示了目前中国互联网公司的信息安全支出在整体IT支出中的比例还不到1%,安全性要求比较高的金融行业也仅在10%,而欧美互联网公司的安全支出普遍占到8%-10%。
在安全支出严重低于欧美同行的情形下,中国整个互联网的安全现状当然极不乐观。而业内人士普遍认为“泄密门”最根本的原因正是一些互联网企业没有建立完善的安全防护机制。同时,他们也认为由于网络环境竞争的激烈,互联网的发展一直以扩张效率为主导,导致了安全风险或隐患的存在成为一种必然。
国内资深网络安全专家肖新光就持有类似观点。他指出,一家网游企业投入100万元来加快游戏的开发速度或增加新的功能,收益就会提前看到,而如果把这笔钱花在安全防护上,短期内不仅看不到收益,还会影响开发的效率,甚至可能被对手甩在身后。
业内安全专家透露,大部分网企缺少安全维护团队及投入,更令人担忧的是,与网民隐私财产息息相关的国内电子商务网站少有安全部门,设立了的也不过1-2人。这样的现状,其风险不言而喻。
黑客的微妙之伤
中国网络安全现状堪忧,除了互联网公司对安全体系建设的不重视,另一主要原因还在于黑客从中觅到了灰色商机。于是,一个似乎可被忽视的问题,变得不容忽视。
近年来,由于金钱利益的驱动及非法地下交易市场不断扩大,黑客攻击目标从普通用户转向具有更多用户资料的企业数据库。数据库的安全防护也一直被列为企业IT部门的重要工作之一,但由于防范措施形同虚设,导致黑客经常“光临”。
仅在2011年7月,黑客对韩国SK通信发起精密攻击,就致3500万用户信息外泄,而这个国家的人口总数仅为5000万。另有安全厂商RSA被入侵,直接导致多家工业巨头遭遇连锁攻击,荷兰电子认证公司DigiNotar被入侵后宣告破产。
让人稍感庆幸的是,中国互联网仅是遭受了信誉损失,至今不见有公司声称经济上有所损失。“这一次,黑客是善意的,‘泄密门’爆出来的都是以前的库。”一位不愿具名的安全行业工程师透露,实际上,他们手里有最新的库,但出于对行业环境的考虑,没有把这些库爆出来。
而事实上,对于这样善意的“警告”,在事发前就有提醒,却并未被有关方面重视。
在这次事件中,一个名为“乌云漏洞平台”的网站从不为人熟知的专业平台一下跃入大众视野。该平台大批的黑客在发现企业漏洞时,已经将漏洞与补丁传到网上,但后来出事的多家企业中居然“无人问津”。
“民间的安全测试平台一直不受企业待见,他们扮演的黑客角色与企业之间多年来形成了微妙关系。”有业内人士指出,没有企业愿意总被人在国内常见的网络安全问题上“挑错”,也正因为如此,更有一些公司极端地认为,如果没有黑客,企业的漏洞在某种程度上来说就不存在,“只要不暴露,就可以视而不见”。
这样的愿景无疑是美好的,但部分黑客也有自己的游戏规则。“众多的‘黑客’潜伏在IT互联网公司。”一位不愿透露姓名的黑客表示,这些人可能白天是某企业的安全工程师,晚上就是黑客。另有传言,窃取CSDN用户数据也为某网企技术人员所为。而盗卖公司内部信息是公开的地下商业交易,监守自盗在中国互联网公司内部屡见不鲜。甚至有知情人士透露,一些大的互联网企业甚至直接“招安”黑客,将其纳入麾下。有的小网站每月给黑客上交1万元到2万元的“保护费”。
“如果企业愿意对黑客指出的漏洞给予相应的重视,并采取补救措施,危机可能还是会爆发,但肯定不会这么严重。”安全行业工程师表示,对于这次事件,落后的防护技术仅是诱因,本质还是对安全防范投入的态度问题,同样也是一个程序员的基本素养。
为此,高祎玮对《IT时代周刊》强调,名为Anonymous的黑客组织曾在去年7、8月攻击了美国多个警察部门,甚至美国国防部的信息安全咨询公司,所以无论多高级的安全设备,多专业的安全知识,如不能在工作中严格应用及遵守,企业网络安全都将是空中楼阁。
而就在本刊的截止发稿日,经过北京网警的调查,北京市公安局外宣处的工作人员表示,今年1月10日已有两名涉案黑客被抓,详情还在调查中。次日,有接近工信部通信保障局的人士透露,该部门对泄密事件的调查工作已经“告一段落”。
也正如中国计算机学会理事潘柱廷所说,热热闹闹的社会事件结束后,应当是认真地在法律、技术等方面寻找长效机制的时候了。