尽管“动摇了互联网基础”,但那些当事网站对这次密码泄露事件的反应仍然低于外界的预期,不管是CSDN还是天涯,都没有就用户资料数据库泄露发表更多的意见,只是草草道歉了事,而12月28日工信部发表的《关于近期部分互联网站信息泄露事件的通告》,看上去也更多是表达一种姿态——其中除了“对盗窃用户信息表示了‘强烈谴责’”外,外界并没有读到更多的相关信息。如何修补中国互联网的脆弱一面?现在没有人能给出答案,法律上的空白和互联网企业的意识缺位,让用户资料的安全问题完全被忽视了。
互联网企业的安全短板
如同多米诺骨牌,CSDN是第一个倒下的棋子,接着,天涯、世纪佳缘、猫扑等知名网站一个个倒下,到了最后,传闻居然还有银行牵扯其中。虽然“银行密码泄露”最终被证明是子虚乌有,但却已经造成最大的恐慌。其中最具讽刺意义的,毫无疑问是以程序员为核心用户的CSDN的数据库被泄露出来——人们发现CSDN早期的密码都是明文密码,拿到密码的人,可以直接登入网站。CSDN的创始人蒋涛后来解释说:“(CSDN)这样一个程序员讨论技术问题的网站,对黑客来说没有太多的商业利益可以挖掘,所以(我们)并没有高度重视网站的安全问题,直到此次用户资料被泄露。”
对于互联网企业在安全方面的淡漠,金山反病毒工程师李铁军已经见怪不怪,“很多互联网企业疏于管理,网站做完之后,就放在那里,只是维持产品的功能,而没有考虑安全的功能,最终导致的结果就是现在这样”。这背后,很大程度是因为成本的关系,“因为安全的投入还真是一个长期的投入,一般的互联网企业为了快速发展,在安全方面投入的力量也不太够”。
这些互联网企业在安全方面的短板,给黑客创造了机会——互联网企业和其它企业不同之处在于,黑客可以随时攻击,它们没有一劳永逸的解决办法。李铁军说:“安全维护的团队要不断跟进最前沿的安全防御的知识,这样,一出现攻击,他们才能做出反应。而且,互联网服务不可能中止,不能出现问题就把它关闭掉,必须保证用户24小时能够正常访问。他要解决产品中间的一个漏洞,这需要一个时间。这个时间差就是黑客的机会。”
其实,和几年前相比,黑客的攻击方式已经有了很大的变化。以前是用户端被攻击,黑客通过各种手段在用户的电脑上盗取账号和密码等,但最近数年,用户的安全意识已经让这种攻击越来越难。黑客转向攻击那些在安全上偷懒的网站——通过攻击服务器,拥有数百万用户资料的数据库就被一锅端了。一些后知后觉的网站,可能要直到资料泄露到网上,才明白自己出了问题。更加糟糕的是,一些网络管理人员知道网站的数据库泄露,却因顾及面子而保持沉默,到最后,完全由用户为网站的漏洞买单。
用户资料的价值
当互联网对人们的生活价值越来越大时,各类作为互联网通行证的账号和密码对黑客的吸引力也越来越大。在泄露事件之后,李铁军在自己的博客上放出了一张“密码泄露的次生灾害与网民对策”图,这张图里所展现出来的“灾害”场景,足以让人心惊胆战——最简单的是,相关登录数据被盗用,黑客根据你的信息盗取游戏账号和装备;如果这个账号和你的各类社交服务相关,那么你的隐私可能会完全暴露;如果这个账号就是你的支付宝账号,那么你可能需要担心你的财务问题。
相应,对于黑客而言,以何种方式卖出用户信息也有学问。把数据库卖给发送垃圾信息的人,只是最简单的手法。精明的黑客会详细分析数据库,把各类用户的信息分门别类,以更为精准的方式卖给需要者,这样的数据,价钱相对而言更贵。至于怎么使用数据,则完全依赖人们的想象力。
不同类型网站的数据库价格也完全不同。李铁军分析,网络游戏和电子商务类网站的用户资料的价值相对更高,因为前者的资料可以直接变现,而电子商务类网站的用户资料则蕴含潜在的消费价值。此外,数据库的价格涉及到数据库的容量,以及与数据库相关联的应用价值的多少。当然,这些数据的价值也跟时间相关——新鲜出炉的数据库总是比那些老的数据库更贵。
和很多人的想法一致,李铁军认为这次密码泄露事件纯粹就是一个意外——如果不是迅雷的数据挖掘,这些私下交易已久的数据库不会这么明目张胆地出现在用户面前,并引发如此大的反响。这件事情的另一个结果是,人们把其与目前正热烈讨论的实名制联系在一起,李铁军认为这高估了黑客的能量,不过他也承认,大家都会因为此次密码泄露事件而思考,“实名制之后是不是更加不安全?大家都有这种担心在里面”。
怎么做更安全?
从目前来看,互联网企业是否重视安全,和其业务本身有直接的关系。当腾讯期待QQ号成为其进入互联网的重要通道时,自然而然会重视用户的资料安全。当支付宝期待其用户把其当作互联网上的通用支付工具时,也不得不把安全摆在第一位。一个很清晰的局面是,腾讯、支付宝以及网易等企业格外重视安全——因为它们的整个业务与用户资料安全有核心联系。
一位知情人士对《新周刊》表示,腾讯内部现在有数千人从事安全方面的业务,“腾讯的投入比其他企业庞大,经验也相当丰富,他们内部的观点是,将来某一天唯一能让企业倒闭的,只有黑客攻击这一点。他们的企业理念就是这样”。事实上,腾讯的产品也并非一开始就如此安全,几年前的各类盗号新闻曾经让腾讯不胜其扰,在逐步改进了安全对策之后,腾讯才摆脱了不安全的名声,“产品在成长过程中,安全威胁是随着攻击的变化而变化的,互联网企业刚开始起步的时候,未必对安全的规划做得很好,他们也是在管理的过程中发现各种各样的问题,加以解决,然后才积累经验的”。
李铁军认为,网站被攻击一定会发生,只是程度不同而已,“安全是一个动态维护的过程,企业如果由一支专业的团队来做维护,那么用户端的损失会最小,因为系统本身会侦测到攻击,然后做出反应,不会使其扩大化”。
密码泄露事件之后,一家名为“乌云”的网站浮出水面。这个在厂商和安全研究者之间的安全问题反馈平台,拥有一大批安全技术人员,并经常提交漏洞和风险报告给互联网公司。针对中国互联网公司在安全方面的短板,他们给出的建议是“将安全落实到公司的流程制度规范以及基础技术架构里去,形成完善的安全体系,并且持续更新换代。如果以前没有这方面制度,就从现在开始建设;如果没有团队,就可以先找一些公司或者外部顾问。但是记住,不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链”。
评论
下载新周刊APP参与讨论