互聯網和其他企業的不同之處在于,黑客可以隨時發起攻擊,它們沒有一勞永逸的解決辦法。
文/張堅
盡管“動搖了互聯網基礎”,但那些當事網站對這次密碼泄露事件的反應仍然低于外界的預期,不管是CSDN還是天涯,都沒有就用戶資料數據庫泄露發表更多的意見,只是草草道歉了事,而12月28日工信部發表的《關于近期部分互聯網站信息泄露事件的通告》,看上去也更多是表達一種姿態——其中除了“對盜竊用戶信息表示了‘強烈譴責’”外,外界并沒有讀到更多的相關信息。如何修補中國互聯網的脆弱一面?現在沒有人能給出答案,法律上的空白和互聯網企業的意識缺位,讓用戶資料的安全問題完全被忽視了。
互聯網企業的安全短板
如同多米諾骨牌,CSDN是第一個倒下的棋子,接著,天涯、世紀佳緣、貓撲等知名網站一個個倒下,到了最后,傳聞居然還有銀行牽扯其中。雖然“銀行密碼泄露”最終被證明是子虛烏有,但卻已經造成最大的恐慌。其中最具諷刺意義的,毫無疑問是以程序員為核心用戶的CSDN的數據庫被泄露出來——人們發現CSDN早期的密碼都是明文密碼,拿到密碼的人,可以直接登入網站。CSDN的創始人蔣濤后來解釋說:“(CSDN)這樣一個程序員討論技術問題的網站,對黑客來說沒有太多的商業利益可以挖掘,所以(我們)并沒有高度重視網站的安全問題,直到此次用戶資料被泄露。”
對于互聯網企業在安全方面的淡漠,金山反病毒工程師李鐵軍已經見怪不怪,“很多互聯網企業疏于管理,網站做完之后,就放在那里,只是維持產品的功能,而沒有考慮安全的功能,最終導致的結果就是現在這樣”。這背后,很大程度是因為成本的關系,“因為安全的投入還真是一個長期的投入,一般的互聯網企業為了快速發展,在安全方面投入的力量也不太夠”。
這些互聯網企業在安全方面的短板,給黑客創造了機會——互聯網企業和其他企業不同之處在于,黑客可以隨時攻擊,它們沒有一勞永逸的解決辦法。李鐵軍說:“安全維護的團隊要不斷跟進最前沿的安全防御的知識,這樣,一出現攻擊,他們才能做出反應。而且,互聯網服務不可能中止,不能出現問題就把它關閉掉,必須保證用戶24小時能夠正常訪問。他要解決產品中間的一個漏洞,這需要一個時間。這個時間差就是黑客的機會。”
其實,和幾年前相比,黑客的攻擊方式已經有了很大的變化。以前是用戶端被攻擊,黑客通過各種手段在用戶的電腦上盜取賬號和密碼等,但最近數年,用戶的安全意識已經讓這種攻擊越來越難。黑客轉向攻擊那些在安全上偷懶的網站——通過攻擊服務器,擁有數百萬用戶資料的數據庫就被一鍋端了。一些后知后覺的網站,可能要直到資料泄露到網上,才明白自己出了問題。更加糟糕的是,一些網絡管理人員知道網站的數據庫泄露,卻因顧及面子而保持沉默,到最后,完全由用戶為網站的漏洞買單。
用戶資料的價值
當互聯網對人們的生活價值越來越大時,各類作為互聯網通行證的賬號和密碼對黑客的吸引力也越來越大。在泄露事件之后,李鐵軍在自己的博客上放出了一張“密碼泄露的次生災害與網民對策”圖,這張圖里所展現出來的“災害”場景,足以讓人心驚膽戰——最簡單的是,相關登錄數據被盜用,黑客根據你的信息盜取游戲賬號和裝備;如果這個賬號和你的各類社交服務相關,那么你的隱私可能會完全暴露;如果這個賬號就是你的支付寶賬號,那么你可能需要擔心你的財務問題。
相應,對于黑客而言,以何種方式賣出用戶信息也有學問。把數據庫賣給發送垃圾信息的人,只是最簡單的手法。精明的黑客會詳細分析數據庫,把各類用戶的信息分門別類,以更為精準的方式賣給需要者,這樣的數據,價錢相對而言更貴。至于怎么使用數據,則完全依賴人們的想象力。
不同類型網站的數據庫價格也完全不同。李鐵軍分析,網絡游戲和電子商務類網站的用戶資料的價值相對更高,因為前者的資料可以直接變現,而電子商務類網站的用戶資料則蘊含潛在的消費價值。此外,數據庫的價格涉及到數據庫的容量,以及與數據庫相關聯的應用價值的多少。當然,這些數據的價值也跟時間相關——新鮮出爐的數據庫總是比那些老的數據庫更貴。
和很多人的想法一致,李鐵軍認為這次密碼泄露事件純粹就是一個意外——如果不是迅雷的數據挖掘,這些私下交易已久的數據庫不會這么明目張膽地出現在用戶面前,并引發如此大的反響。這件事情的另一個結果是,人們把其與目前正熱烈討論的實名制聯系在一起,李鐵軍認為這高估了黑客的能量,不過他也承認,大家都會因為此次密碼泄露事件而思考,“實名制之后是不是更加不安全?大家都有這種擔心在里面”。
怎么做更安全?
從目前來看,互聯網企業是否重視安全,和其業務本身有直接的關系。當騰訊期待QQ號成為其進入互聯網的重要通道時,自然而然會重視用戶的資料安全。當支付寶期待其用戶把其當作互聯網上的通用支付工具時,也不得不把安全擺在第一位。一個很清晰的局面是,騰訊、支付寶以及網易等企業格外重視安全——因為它們的整個業務與用戶資料安全有核心聯系。
一位知情人士對《新周刊》表示,騰訊內部現在有數千人從事安全方面的業務,“騰訊的投入比其他企業龐大,經驗也相當豐富,他們內部的觀點是,將來某一天唯一能讓企業倒閉的,只有黑客攻擊這一點。他們的企業理念就是這樣”。事實上,騰訊的產品也并非一開始就如此安全,幾年前的各類盜號新聞曾經讓騰訊不勝其擾,在逐步改進了安全對策之后,騰訊才擺脫了不安全的名聲,“產品在成長過程中,安全威脅是隨著攻擊的變化而變化的,互聯網企業剛開始起步的時候,未必對安全的規劃做得很好,他們也是在管理的過程中發現各種各樣的問題,加以解決,然后才積累經驗的”。
李鐵軍認為,網站被攻擊一定會發生,只是程度不同而已,“安全是一個動態維護的過程,企業如果由一支專業的團隊來做維護,那么用戶端的損失會最小,因為系統本身會偵測到攻擊,然后做出反應,不會使其擴大化”。
密碼泄露事件之后,一家名為“烏云”的網站浮出水面。這個在廠商和安全研究者之間的安全問題反饋平臺,擁有一大批安全技術人員,并經常提交漏洞和風險報告給互聯網公司。針對中國互聯網公司在安全方面的短板,他們給出的建議是“將安全落實到公司的流程制度規范以及基礎技術架構里去,形成完善的安全體系,并且持續更新換代。如果以前沒有這方面制度,就從現在開始建設;如果沒有團隊,就可以先找一些公司或者外部顧問。但是記住,不要幻想一次性的投入就可以抵抗利益驅動長久進化的黑色產業鏈”。
推薦閱讀
谷歌等組建可信郵件生態系統 標識過濾釣魚郵件>>>詳細閱讀
本文標題:密碼攻防戰暴露互聯網企業安全短板
地址:http://www.xglongwei.com/a/11/20120131/27164.html
網友點評
精彩導讀
科技快報
品牌展示