近日,CSDN用户密码泄露事件震惊整个互联网。12月21日,360安全卫士官方微博发布了一条紧急通知,称CSDN网站600余万用户数据库泄密。紧接着密码危机开始升级,微博、天涯、人人网、新网、京东商城等著名网站均被爆出发生用户资料泄露事件。
一时间,业界一片哗然,发生泄密的网站均为中国的领军网站或门户网站,竟然会发生如此严重的敏感信息泄露事件,其他网站的安全状况更是不可想象。互联网和电子商务业界普遍存在的安全状况低下和网站管理者的安全意识淡薄令人震惊。
大量密码泄露,网络安全岌岌可危
此次密码危机事件中最早发生泄露的CSDN网为中国最大的软件开发社区,但出乎大家意料的是其用户数据库的密码全部为明文保存,同时,数据库中还记录了用户名和邮箱的信息。根据调查,大量的用户使用相同的密码访问网络上的不同服务,这些服务可能不仅仅是论坛和邮箱,更可能是商城甚至网银。毕竟,随着互联网的发展,人们使用的互联网服务越来越多,如果每个网站的密码都不同,会带来很大的记忆难题。但使用相同的密码就相当于手持万能钥匙,这又带来了严重的安全问题,一旦一个网站的密码失窃,其他网站的服务也都会面临威胁。有人曾经做过实验,使用一个泄露的密码,成功的登录该用户的邮箱,发现邮箱中有大量的其他网站注册信息和个人消费记录(信用卡账单、网上购物确认邮件等),经测试,发现在这些注册网站中,大部分也使用这个密码。
同时,根据邮箱地址或其他信息推断出其QQ号码和社交网络的账号,从而进一步获取了其真实身份信息。甚至有一次曾经通过数据库中的最后登录IP直接登录到了计算机系统中,并且使用的是管理员账号,也就是说,可以随意浏览其硬盘上的所有文件并且可以下载到本地。如果网上银行或者支付宝等涉及个人财产的账号也使用相同的密码,那很可能会发生资金被盗用的严重事件。自己的账号信息还可能被黑客卖给垃圾邮件商,从而使自己今后饱受垃圾邮件之苦,更有不法分子可能利用获取的账号到处张贴不良言论,对个人声誉和社会都造成恶劣的影响。
可见,密码泄露不仅仅会危害到个人隐私,更可能导致个人经济损失甚至危害到社会公共安全,可想而知,如果数据库落入不法分子之手,会造成多大么的社会危害。
加强网络安全建设刻不容缓
此次事件的讨论焦点集中在CSDN网站使用明文保存密码这件事情上。因多数人都使用相同的密码访问不同的网络服务,数据库泄露之后,黑客可以轻易的使用数据库文件中的密码登录对应账号的其他网络服务,这导致了一系列的严重安全问题。明文保存密码确实是一个严重的由于安全意识缺乏导致的设计缺陷,但实际上,如果合理的部署一些网络安全审计产品,即使使用明文密码,也可以防范此类泄露事件的发生。
网络安全审计产品是针对业务环境下的网络操作行为进行审计的合规性管理系统。它通过对网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管、促进核心资产(数据库、服务器、网络设备等)的正常运营。
分析此次密码泄露事件,黑客获取数据无非两种途径:入侵系统,非法获取数据库内容;内部员工备份数据库的时候无意泄露。
如果黑客来自网络外部,入侵系统后,需要访问数据库系统,通过SQL语句查询并获取用户数据信息。这个时候,网络安全审计产品就会发现有人在对核心数据库进行敏感操作从而进行报警甚至阻断。以启明星辰公司的天玥审计系统为例,系统能够根据访问数据库的源程序名、登录数据库的账号、数据库命令、数据库名、数据库表名、数据库字段名、数据库字段值、数据库返回码等作为条件,对用户关心的违规行为进行响应,特别是针对重要表、重要字段的各种操作,能够通过简单的规则定义,实现精确审计。不管黑客是直接连接的数据库,还是使用第三方程序通过JDBC或者ODBC方式连接数据库,天玥审计系统都可以发现对核心数据库的敏感操作并报警。举例来说,从此次泄露的数据量来看,黑客很可能是对数据库执行了类似“select user,passwd,email from 用户表”的方式获取了用户数据,天玥审计系统可以随时监控对核心用户表的所有select操作并报警,并且还可以根据需要配合使用select返回结果集数量的策略发现或阻断黑客分多次分段下载用户数据的行为。同时,由于审计过程对黑客是隐形的,所以如果部署了天玥审计系统,很可能黑客还在得意洋洋的分段下载用户数据的时候,警察已经在敲自己家的门了(分段下载600万数据是个耗时的工作,从天玥审计到的IP地址进行回溯追查便可获取用户的真实地址)
根据CSDN的官方声明推测,黑客还可能是通过终端直接下载了以文件方式保存的备份的数据库文件。天玥审计系统的运维审计功能提供了常见的终端如telnet、ssh、Windows远程桌面的审计能力,还提供ftp、sftp、scp等文件传输协议的审计能力。黑客通过此种方式接触数据库文件的时候,天玥审计系统不但可以及时报警,甚至可以立刻阻断黑客的行为,让黑客无法得逞,保障了核心数据的安全。
除了这两种情况,也不排除是企业内部员工违规操作导致泄露的可能性。有权限的员工很可能出于个人的兴趣等原因,非法备份核心用户数据并最终导致了泄露。天玥审计系统提供完善的用户认证功能,可以实现自然人和数据库账号的绑定,实现只有授权的用户才可以对核心数据库进行操作,并对操作过程全程审计,同时提供事后回放和取证功能,为事后追查提供了电子证据和手段。
可以看出,天玥覆盖了所有黑客可能访问数据库的途径,不管用什么方式窃取数据库资料,都可以被天玥审计系统发现并报警,让黑客的行为无处遁形。
CSDN创始人蒋涛在新浪微博上称,“非常惨痛的安全教训,向所有用户深深致歉”。从CSDN官方的公告来看,截止本文发稿,CSDN也一直没有查出来数据库到底是通过什么途径泄露的。这都是由于CSDN内部缺少网络安全审计系统造成的,如果部署了审计系统,黑客或者企业内部员工对核心数据库的所有敏感操作都会被记录和审计,管理员可以通过审计系统的会话回放和事后取证功能,重现事发现场,提取关键证据,通过天玥的深层监测能力实现精确溯源,追查导致安全问题的账号和相关人员,最终为企业避免经济损失和社会声誉损失。