网络泄密背后脆弱的网站和法律防火墙

在迎接2012的最后几天里,中国的互联网世界上演了一出史上规模最大的泄密事件。

从CSDN、天涯等论坛社区,到人人网、开心网、多玩网等多个社交、游戏网站,再到京东商城、当当网、淘宝网等电子商务网站,均牵涉其中。传闻还波及支付宝、工商银行、民生银行及交通银行等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在2011年12月30日被证实泄露。

一时间,各大网站及互联网用户人人自危,“今天你密码泄露了吗”成为流行网络的问候语。创新工场旗下安全宝公司推出的用户密码查询框,在短短几天内查询数就超过了180万人次。

国家互联网应急中心(CNCERT)发布的数据显示,截至2011年12月29日,国家互联网应急中心通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42 亿条。

财新《新世纪》了解到,泄密事件发生后,国家工业和信息化部已经启动应急预案,组织通信管理局、国家互联网应急中心及相关互联网企业和网络安全专家,了解核实事件情况,评估事件影响和危害,研究提出应对措施。

但事实上,CSDN、天涯等多家网站的用户数据库被盗,已经不是最近才发生的事件,大爆发只是黑客集中的披露行为而引发——这些被抛出来的,只是几乎榨干了所有价值的过期数据库。

大泄密

“我们深表歉意,建议修改密码”

引爆整个事件的导火索,是CSDN用户数据库的“意外”曝光。2011年12月21日,有网友在微博上爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露——数据库正在网上快速扩散。

CSDN的创始人蒋涛,也是当天在微博上看到了这条信息。“第一反应就是确认是不是真的。”蒋涛对财新《新世纪》记者回忆称,工程师从网上找到那个文件,“和我们的数据库比对下来,很不幸,确实大部分都是。”

12月21日晚间,CSDN在其网站及官方微博上确认了数据库泄露一事:“近日发生了CSDN部分用户数据泄露事件,对此我们深表歉意,同时恳切地建议2010年9月之前的注册用户和没有修改过密码的用户,尽快修改密码。”

通知用户的同时,CSDN紧急对下载源进行封堵。“微博扩散的速度太快了,这么多的账号在里面,如果数据库扩散到了几万、几十万人的手上,你都不敢想象它能被利用成什么样子。”蒋涛很快联系上了腾讯和迅雷,要求关闭和重置下载源。腾讯和迅雷也快速做出了响应。

蒋涛承认:“到那个时候已经很难挡住了,虽然关掉了下载点,但是文件已经出去了,在点对点的传输上,就很难控制住了。”

随后的几天,CSDN的数据库与其他后续爆出的数据库一道,依然在网上被疯传。在这期间,CSDN联系了邮件厂商,一同发送邮件给用户提醒修改密码。“我们自己发送了200多万封,邮件厂商帮忙发了300多万封。”

然而,潘多拉魔盒已经打开,CSDN数据库的泄露仅仅是个开始。“没想到后面的事情越来越大,已经到了不可收拾的程度。”蒋涛说。

12月22日,知名IT博客“月光博客”披露,多玩网数据库泄露超过800万条信息,有大量用户名、明文密码、邮箱及部分加密密码。“经过验证,使用该数据库中的用户名和密码可以正常登录多玩网。”

同日,标注为“人人网500万用户资料”的文件开始在网上流传,嘟嘟牛、7k7k、178游戏网、CSDN等多家网站数据库文件的截图也出现在微博上,涉及的用户信息总量超过5000万条。但人人网否认用户数据遭到泄露,他们在官方微博上提醒称,“如果您的人人网账号密码和CSDN或其他网站一致,建议您马上修改密码,以免账号被盗。”人人网相关人员在接受采访时表示,提醒用户只是出于安全考虑。

12 月25日,泄密规模进一步扩大,网络上开始流传天涯论坛的用户数据库,信息总量超过4000万条。随后,这一新闻被天涯社区官方致歉信证实:由于历史原因,天涯社区早期使用明文密码,在2009年11月改成加密密码,但是部分老的明文密码库未被清理,黑客泄露的正是2009年11月升级密码保存方式之前所注册的用户。不过天涯社区并未在公告中对泄露的用户规模进行确认。天涯社区公关经理初蒙在接受财新《新世纪》记者采访时表示,确认用户信息遭泄露后,已经向海南省公安厅、海口市公安局报案,案件目前正在侦查之中。

12月26日,网上又传出某微博的用户资料疑似被泄露,并公布了某微博数据下载地址。这个疑似数据库一共有约476万条账户和密码信息。

此后,泄密事件继续发酵升级,传闻开始波及到电子商务及银行系统。12月27日,乌云漏洞报告平台披露京东商城的漏洞,“在某些业务上存在用户权限控制不当的漏洞,导致任意用户登录系统后,都可以正常访问到所有用户的信息,包括姓名、地址、电话、Email等。”这一漏洞报告得到了京东商城方面的响应。

12月28日,“当当网1200万用户信息遭泄露”的说法亦被“小部分”证实。当当网的公告称:“经核实,网络公布的信息数据只有极小部分属实,且均系2011年6月之前的老数据,该部分数据是由于之前遭到网络黑客攻击被盗取。”

乌云漏洞报告平台在12月28日也再次报告称,“支付宝用户大量泄露,被用于网络营销,泄露总量达1500万-2500万之多,泄露事件不明,里面只有支付宝用户的账号,没有密码”。支付宝随后回应称,支付宝账号不是私密信息,在很多地方都可以搜集到,只有账号没有密码,对用户资金安全没有任何威胁,“支付宝采取金融级的信息安全标准去保护用户信息及资金安全,我们承诺没有任何人能从支付宝获得用户的密码等私密信息。过去没有,以后也没有,请大家放心”。

但12月29日,更吓人的消息又在网上疯传:交通银行、民生银行分别泄露用户资料7000万和3500万份,“卡号、姓名、密码都有”,并配有截图。当天下午,交通银行、民生银行、工商银行等分别发布公告辟谣,称“用户资料外泄的传闻纯属谣言”。

当日晚间,又有网友披露称,广东省公安厅出入境政府服务网网上申请数据泄露,几乎所有提交网上申请用户的真实姓名、出生年月、电话、护照号码、港澳通行证号码等信息均可查到,泄露的总信息量高达444万条。这一信息被广东省公安厅证实:2011年6月24日至2011年12月29日期间,在广东申请出入境的用户信息遭到泄露。

仅仅一个星期,泄密已经从CSDN一家网站的危机演化成为了席卷整个互联网的大事件。一时间,各大网站人人自危,真假数据库屡屡出现。国家互联网应急中心对所曝光的数据进行了抽查核实,发现部分数据是有效的,经过与相关网站、论坛联系后,确认CSDN社区、天涯社区两家网站发生了用户数据泄露事件,但泄露原因还有待进一步分析;对于其他网站、论坛,虽然曝光数据中个别条目有效,但不能判定发生了网站、论坛用户数据泄露事件。

金山网络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表示,根据他们从网上下载的数据库,剔除重复信息之后,有超过1亿条的用户信息在此次事件中泄露。

一位不愿具名的网络安全工程师也向财新《新世纪》记者证实,经过重合度分析、数据库格式判断等验证分析,基本可以断定“有十几家网站的数据库比较靠谱,应该是真实的”。

大规模用户数据泄密后,各种“浑水摸鱼者”也随之而来。蒋涛告诉财新《新世纪》记者,一些人开始制造假的数据库来混淆视听;一些网站通知所有用户修改密码,以乘机激活“沉睡”用户;甚至一些网站把曝光的数据库直接导入自己的数据库,然后发通知给用户修改密码,不费吹灰之力即获得上千万规模的用户。当然,对用户影响最直接的是各种垃圾邮件、钓鱼邮件多了起来。

真正令人担心的是,或许还有更大规模的数据被地下黑客所掌握,只是没有公布而已。著名网络安全专家龚蔚(goodwell)公开表示,这次曝光的1亿多条用户账号及密码等相关信息,只是黑客所掌握数据的“冰山一角”,预计有将近4亿-6亿的用户账号信息在黑客地下领域流传。

偶然中的必然

“这些数据库在黑客圈几年前就有了,这一次只不过是个比较集中的爆发”

是谁,在什么时候,拿走了这些涉及用户隐私的数据?原本隐秘在黑客圈的数据库缘何会曝光在公众面前?互联网是否还有安全可言?此轮网络大泄密,让这些问题成了普通互联网用户最自然的追问。

“这 些数据库在黑客圈几年前就有了,这一次只不过是个比较集中的爆发。”安全宝CEO马杰对财新《新世纪》记者称,CSDN数据库的曝光看似偶然,实则必然。 “冰冻三尺非一日之寒,互联网行业安全问题的累积已经太多了,迟早会爆发。”马杰在安全行业超过十年,曾任瑞星研发总经理,负责个人和企业的安全产品。

这也是网络安全行业人员近乎一致的观点。天融信公司高级安全顾问吕延辉向财新《新世纪》记者证实,最早在2008年时,就曾听说有一些网站的数据库在黑客圈流传。

本次密码信息最先被公布的CSDN社区,后来曾组织安全专家进行讨论,得知公司的数据库事实上早就在黑客的手上了。“并不是说这一刻先攻破了CSDN,放出数据库,然后下一刻攻破了天涯再放出数据库。而是这些数据他们手上一直都有,只不过抛出来的时间不一样。”蒋涛说。

天融信成都分公司技术负责人邹晓波称,早期的很多网站,都可以通过服务器渗透,取得后台数据库的权限,直接取得数据。“黑客圈内人都知道谁被盗了,他们不一定公布,但是会炫耀,在小范围内流传,大部分没有去获利。”

CSDN 社区数据库的曝光,曾经被指向一名ID为Hzqedison的金山公司员工,他分享数据库下载地址的截图最早在网上流传。12月22日,CSDN数据库外 泄一事被广泛关注的时候,Hzqedison在微博表示道歉。随后,金山公司也发表声明,金山员工并非网络上传言的黑客,并非最早对外发布密码库的第一 人。

Hzqedison 解释了事情的经过:“12月21日,我在一个聊天群里看到CSDN数据库的迅雷下载地址,就离线下载了该文件来检查自己账号是否被泄露。为了让同事们也检 查,才做了分享贴到同事群里。5分钟后,该地址截图被发到了乌云漏洞报告平台上,得知后我立即删除了迅雷分享地址。因为删除很及时,该地址只有几名同事下 载过,而且从未将数据库文件外泄。”

李铁军告诉财新《新世纪》记者,据他了解,当时该金山员工上传CSDN数据库时,是“秒传”的,说明这个数据库文件在迅雷下载服务器中早已存在。

“是谁最早上传了这些数据库,现在已经很难确定。”李铁军说,除了CSDN的数据库,还有其他网站的数据库一起在网上流传。因为CSDN的影响力比较大,所以就传开了。

事实上,CSDN数据库曝光之前已有征兆。李铁军告诉财新《新世纪》记者,他在12月14日前后,即泄密事件发生的前一周,就已经注意到有很多网友在微博上反映账号被盗,“这是黑客在用数据库去试探某微博的数据库,有些就撞到了”。

马杰分析,这次曝光的网站数据库应该是最近几年间连续不断被刷库的。“安全圈也知道,这几年地下黑客圈在刷库,也知道一些数据库在黑客圈流传。”

所谓刷库,是指黑客入侵网站服务器之后窃取用户数据库的行为,互联网业内也称其为“拖库”,取其谐音,也形象称之为“脱裤”(参见辅文“致命的漏洞”)。

看上去,金山员工“偶然”的发现和分享,加上地下黑客累积经年的刷库行为,以及数据库在圈子中的一轮轮扩散,最终促成了这次网站数据库大规模的曝光。

但是,这里面依然隐藏着两个问题。第一,金山员工如何能“偶然”发现原本在地下黑客圈流传的数据库?第二,仅是CSDN的数据库曝光,缘何能引发一连串的数据库浮出水面?

地下黑客圈传输或交换文件,一般都是点对点的传输,有时甚至通过邮寄移动硬盘或光盘来实现。但随着被刷的数据库越来越多,转手的次数越来越多,参与的人数也越来越多,出错和曝光的概率就越来越大。

乌 云漏洞报告平台的创建人剑心分析说,由于不同黑客掌握的数据库各有不同,刷出来的数据库会在黑客圈中交换,这样就会一轮一轮的扩散。很有可能是某个人在转 手传播的过程中,由于文件太大,无法实现网络上点对点的传输,不得不利用迅雷、网盘一类的工具进行上传和下载。在这过程中,工具会把这些文件泄露出来,甚 至会在搜索“数据”等关键词时出现推荐。这样扩散的范围就更大,进入与黑客圈有交流的安全圈也就不足为奇了。

至于网站用户密码连续被报丢失的现象,吕延辉解释说,一些数据库曝光之后,黑客手中那些与之雷同的数据库就没有价值了。并且,引发公众关注后,基本所有网站都会通知用户修改密码,政府相关部门可能还会介入,那么其他的一些非核心数据库的价值也就更低了。

吕延辉表示,可以看出来,这次曝光的数据库都是在地下黑客圈转手很多次的,本身价值也不大,再加上CSDN数据库的曝光,其他数据库的含金量进一步降低,那些手上有库的人抛出来也不奇怪,这才形成了一连串的规模效应。

脆弱的网站安全

互联网从提供内容为主发展到有很多网上购物与社交,但安全现状停步不前

泄密事件,将众多网站在安全方面的脆弱暴露无遗。知名网络安全专家、安天实验室首席技术架构师江海客直言,这是一个安全崩盘的时代。

安 全圈内资深人士的共识是,被黑客攻击和刷库,各大网站几乎是无一幸免,只是程度和范围的不同。在做安全行业的人看来,目前大部分网站的安全性都不足。“这 一次表面上看是明文密码库的问题,但实际上多数网站从根本上都没有重视自身的信息安全。”天融信公司副总裁刘辉对财新《新世纪》记者表示,网站把绝大部分 资金投入到日常运营中,只有被攻击或吃过教训后,才想起来安全的重要性。

“一些网站之所以容易被‘脱裤’,很大一部分原因就是因为本身就穿得太少了。”刘辉说,很多经营性网站甚至都没有专门的网络安全工程师。

CSDN社区数据库在此次事件中最先曝光。蒋涛也坦言,“原来对安全的认识还停留在相对低的水平上,觉得自己的数据不是什么关键数据,别人拿去也没什么用。”

但 这次一连串的数据库泄密事件证明,互联网存在很大的关联性,特别是拥有大量用户的网站,更不是一个孤立的存在,很多用户的邮箱、账号都与别的系统相关联, 一旦有事,就会造成跨网站的连锁反应。另外,由于安全问题出在了服务器端,普通用户基本没有办法防范,数据库被刷后曝光出来,用户只能被动的修改密码。

马杰则指出,现在互联网从原来提供内容为主,到现在有很多的网上购物与社交,网站的重要性进入了另外一个层面,但安全现状停步不前。“现在网站数据中所包含信息的价值在上升,但安全防护的措施并没有加强。”他说。

另 一方面,专业做网站功能、应用和服务的人,与专业做安全的人,在技术思维上也存在巨大差异。“一个B2C网站的程序员,做了一个系统,花了几个月的功夫, 自己觉得没什么问题,然后请专业做安全的人去找漏洞,结果做不到十分钟就破解了。”李铁军举例说,二者没有高下之分,只是职业的特征决定了思路上的差异。

思 路上的差异,加上安全意识的不到位,导致了网站安全的脆弱。CSDN、天涯社区至今仍未披露数据库外泄的具体原因。马杰告诉财新《新世纪》记者,从技术上 讲,有很多种方法可以刷库,“就像一个很大的房子,可以爬窗户、撬门,或者从烟囱进来,甚至挖个地道进来,就看黑客想花多大的功夫和精力”。

通 常来说,黑客都是通过发现网站或应用软件的漏洞进入服务器,然后想办法提升权限,就可以把数据库下载下来。对一些防护比较弱的网站,甚至都不用进入网站就 能刷库。安全行业资深人士TK说:“只要分两步,第一步找到一个SQL注入点,执行一条备份命令,备份到一个目录去;第二步,从目录把数据下载回来。根本 不需要获得网站的权限,只要有SQL注入的漏洞,就可以爆库了。”

剑心告诉财新《新世纪》记者,决定在12月30日临时关闭乌云平台的其 中一条原因,就是担心后续几天爆出的网站漏洞会越来越多,引起互联网用户的恐慌。乌云漏洞报告平台是由一群互联网安全研究人员自发组织的信息安全沟通平 台,研究人员在上面提交厂商的安全问题,也披露一些通用的安全咨询和安全使用。有超过500个“白帽子” 安全研究人员和120多个厂商参与平台,反馈和处理了接近4000个安全问题。在泄密事件引发大范围关注后,乌云平台因曾多次发布相关安全漏洞预警而被关 注。

剑心也证实说,目前国内除极少数大型网站外,可能都被黑客刷过库,包括一些门户网站,一些漏洞都是在乌云平台上被证实的。此外,近年 来快速膨胀的电子商务网站,在剑心看来,安全性更是糟糕,乌云平台已经多次证实并报告了他们的漏洞。这其中就包括11月10日所报告的当当网漏洞,可以抓 取超过4000万条用户信息。

相对而言,金融系统的安全性较强。银行通常会采用硬加密的技术,既不仅依靠登录密码和交易密码,还需有一个 外在于密码系统的物理密钥,比如发送到手机的动态口令或U盾密钥,其安全性要高于单靠密码的“软加密”方式。但是,随着第三方支付、代收费、代缴费等业务 的展开,银行系统需要开放的接口也越来越多,对银行系统的安全提出了更高的要求。

除网站的安全性差外,本次泄密事件中备受诟病的还有明文密码库。所谓明文密码库,即在对用户密码信息存储时未进行加密处理,黑客获得数据库后,所有的用户名、密码一目了然,更加容易利用。

蒋涛解释称,各家网站的明文密码库都有复杂的历史原因,CSDN是在2010年9月之后才采用了密文存储。“这不是一家的问题,而是行业性的问题。”

但是,加密存储也并不一定意味着安全。多位受访的网络安全专家告诉财新《新世纪》记者,现在相对简单的MD5加密方法已经不安全,黑客圈建立了庞大的MD5值的“字典库”,通过“查字典”的方式很快就能破解还原。

马杰建议,在进行密文存储时,还需要对加密算法做一些改变,或多次加密,安全性能才会有所提升。尽管通过“彩虹表”碰撞等方法不存在破解不了的情况,但至少会大大增加破解的成本和时间,降低数据库对黑客的吸引力。

乌云平台撰文称,最好的安全应该是自始至终就有人为安全负责,将安全落实到公司的流程制度规范以及基础技术架构里去,形成完善的安全体系,并且持续更新迭代,“如果以前没有这方面制度,就从现在开始建设;如果没有团队,就可以先找一些公司或者外部顾问。但是记住,不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链”。

黑色产业链

有人负责发掘漏洞,有人负责根据漏洞开发利用工具,有人负责漏洞利用工具的销售,有人负责刷库,有人负责洗库,有人负责销售,还有人利用数据库钓鱼、诈骗、发送垃圾邮件

大规模的泄密事件,也使得互联网江湖中最为隐秘的黑色产业链再度引人关注。“熊猫烧香”病毒让公众知道了病毒黑色产业链,而此次的泄密事件则指向了数据交易的黑色产业链。

马杰告诉财新《新世纪》记者,最近几年,“黑帽子”黑客圈内的盈利模式发生了一些变化。最早是“挂马”比较挣钱,通过发现漏洞SQL注入,然后想办法获得网站权限,在网页上挂上木马程序,中了木马程序的机器就成为“肉鸡”,通过木马控制“肉鸡”来赚钱。比如说盗号、弹窗、导流量等。

“早几年木马猖獗的时候,一个服务器能控制几万台的‘肉鸡’。即使只是IE自动跳转到某一页面,每年也能带来可观的流量和收入。”李铁军说,还有黑客利用系统漏洞和木马进行“钓鱼诈骗”,从个人客户一端入侵网银系统,进行非法转账等。

后来,“挂马”和“钓鱼”被各大安全公司打击得非常厉害,特别是免费杀毒软件在个人终端的普及。而这个时候,地下黑客发现,刷库是个更快、更直接的赚钱方法。

最近几年,围绕数据交易的黑色产业链正在逐步形成。在地下黑客圈内,一些大型网站的数据库被明码标价,一个数据库整个端下来,价值数百万元到上千万元不等。

拖库成功后,到手的数据库可以有很多用途,比如直接卖给被刷库网站的竞争对手。黑客还可以利用部分互联网用户“多家网站一个用户名一个密码”的习惯,去试探别的网站数据库。这叫“撞库”,技术上也很容易实现,只需要编写一个脚本,自动不断用已盗取数据库里的信息去请求登录。由于都是正常请求,被撞的网站也很难防范,所以也会有网站“躺着中枪”。

安全业内人士称,刷库之后,黑客拿着数据库去“撞”有虚拟币系统的游戏网站、腾讯,以及网上银行、支付宝及电子商务网站,都是必然会发生的事情。如果撞到了重合用户,将其账号内虚拟资产、网银洗劫一空都是再自然不过了。

经过多次倒卖和“洗库”之后,数据库还能被卖给价值链的末梢买家——利用账号信息来发送广告、垃圾邮件、垃圾短信的推销公司。通常情况下,数据库的价格越卖越便宜,流传的范围也就越广,距离曝光也就越近。

而在整条黑色产业链中,分工也比较明确。最核心和最难的是发掘漏洞,这对技术的要求最高,能发掘漏洞的黑客也比较少。吕延辉介绍,在地下黑客中,有人专门负责发掘漏洞,有人专门负责根据漏洞开发利用工具,有人负责漏洞利用工具的销售,有人负责刷库,有人负责洗库,有人负责数据库的销售,最后端,还有人利用数据库钓鱼、诈骗、发送垃圾邮件。

有网络安全人士估算,目前互联网的地下黑色产业链规模已经达到上千亿元,而安全行业的规模目前还只有几百亿元,“就像毒品的市场规模反而大于麻醉药的市场规模”。

失能的法律防火墙

周汉华表示,“当网站的资料和个人信息紧密相连,安全却没有保障,这种情况下,实名制是相当危险的”

刘辉判断,这次泄密事件将注定会是互联网发展历史上一件大事。一方面是对互联网业务发展模式的影响;另一方面,则是互联网行业安全规范机制的建立已势在必行。

“短期内,互联网行业的发展会受到一定的影响。”刘辉说,例如近两年兴起的云计算服务,现在提供云服务的互联网公司必须要重新建立用户的信息,并说服用户上传至云端的资料是安全的。要说服用户,就需要相应的安全承诺及安全认证机制。

蒋涛也表示,这次泄密事件相当于给整个互联网业上了一课。“CSDN也是专业的IT社区平台,我们会利用这个平台来加强安全的教育和普及,提升互联网行业的安全意识。”他说,除了加强自身的安全性,这是CSDN在2012年要去做的重要事情,“互联网上各大网站的关联度越来越高,安全已经不是一家两家的问题,而是全行业的问题”。

在全世界,身份的盗用和密码的泄露每天都会出现,但与发达国家不同的是,这次密码泄露事件发生后,各方几乎束手无策。“大家都不知道怎么去保护自己的权利,大家就只能看着发生,等着下一次什么时候发生。”中国社会科学院研究员周汉华对财新《新世纪》记者说,“我们的问题是没有有效的管理手段,没有可以适用的法律。”

在亚太网络法律研究中心主任刘德良教授看来,个人信息在网络时代越来越具有商业价值,这也是目前非法收集、加工、买卖和商业性滥用个人信息行为日益泛滥的内在驱动力。针对如此严重的网络的个人信息安全威胁,法律的“防火墙”为何失能以及如何重构,成为一个急需解决的问题。

上海一位经侦人员对财新《新世纪》记者介绍,他们曾经侦办过一个利用个人信息实施犯罪的案子。有人发现几百万元银行存款莫名消失,于是报案。此案涉及几百万条的车主信息数据库,这些信息有黑客攻击得到的,也有银行、保险业的内部人泄露出来的。犯罪分子的作案手法是,通过内部泄露或者黑客攻击得到包括车主姓名和身份证号码的用户信息库,找银行的人查开户信息,这个行话叫“包行”,几百块就能做。得到卡号后,然后猜密码,利用黑客软件和银行卡进行比对。

从刑事法律来看,2009年《刑法》修正案增加了“非法侵入计算机信息系统罪”的条款,“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。

同年,全国人大常委会还出台《侵权责任法》,规定网络服务提供者和网络用户利用网络侵害他人民事权益的,应当承担侵权责任;网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。2000年,全国人大常委会又专门制定了《关于维护互联网安全的决定》,重申各种互联网违法的刑事责任和民事责任。

在行政监管层面,除了国务院在1994年制定的《计算机信息系统安全保护条例》,作为全国计算机系统安全保护工作主管部门的公安部,也制定了《信息安全等级保护管理办法》以及《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》等30多个标准。

多重的法律规定,为何实施效果不佳?周汉华认为,《刑法》的适用门槛比较高,需要“违反国家规定”和“情节严重”的条件,何况这两个条件目前都缺乏相应的标准。而《侵权责任法》的适用,在网络环境下,当事人举证非常困难,而且存在成本投入和收益不对称的情况。

周汉华认为,《刑法》和《侵权责任法》都属于事后救济,在网络时代,由于损害的发生是系统性的、不可复原的,所以对网络安全以及个人信息进行全流程的监管才更为有效。目前对于这种全流程的监管,中国既缺乏专门的法律,也没有专门的执法机关,搜集个人资料的企业所应承担的相应的安全责任以及相应的信息流管理行为规范都缺失。“这就是为什么要制定《个人信息保护法》的原因。”周汉华称。

据财新《新世纪》记者了解,早在2003年之时,周汉华曾经受当时的国务院信息化办公室委托,主持《个人信息保护法》的立法研究,并且在2005年形成了一份专家意见稿。但时隔多年,这部法律的立法工作迟迟未被启动。

刘德良教授认为,在当前中国的法律框架下,把个人信息都纳入人格权的范畴,而不承认个人信息的商业价值也是个人的财产;人格权受到侵害后,原则上也不能要求财产损害赔偿。因此他提出,对于个人信息的法律保护,应该包括隐私上的人格利益和个人信息的商业价值这双方面,将个人信息的商业价值视为个人的财产,未经允许擅自收集和商业性利用个人隐私,既是一种侵犯人格权的行为,也是一种侵害财产权的行为。

财新《新世纪》记者张宇哲对此文亦有贡献

致命的漏洞

2011年的最后一周,风声鹤唳、人人自危,改密码改到手软,从社交网站、门户网站乃至电子商务网站,其庞大的客户信息数据库都在黑客面前不堪一击。

这只是黑客产业链的冰山一角。现在所公布出来的数据库,也只是被几乎榨干了所有价值的过期数据库,无从得知哪些更重要的信息已经被黑客掌握。

网络虚拟世界与现实世界的界限正在模糊,当虚拟空间能够体现越来越多现实世界利益时,虚拟世界中的漏洞,就成为黑客攫取价值的源泉。

拖库攻击

专门针对网站数据库中的账户进行窃取,可以追溯到2001年。从事数据库安全服务的安恒信息技术有限公司(下称安恒信息)一位技术负责人介绍,随着 网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏账号攻击的逐步兴起,并发展成庞 大的虚拟资产交易市场。

这种针对数据库记录的窃取,被一些攻击者称为“拖库”。在成为黑客专有名词之前,拖库(Drag)一词多用于数据库程序员从数据库导出数据。如今,“要致富,先拖库”已经成为黑客圈内的流行语。

2004年-2007年,相对于通过木马传播方式获得的用户数据,攻击者采用入侵目标信息系统获得数据库信息,其针对性与攻击效率都有显著提高。在巨额利益驱动下,网络游戏服务端成为黑客“拖库”的主要目标。

2008 年-2009年,国内信息安全立法和追踪手段升级,攻击者针对中国境内网络游戏的攻击日趋收敛,残余攻击者的操作手法愈加精细和隐蔽,攻击目标也随着电子 交易系统的发展扩散至电子商务、彩票、境外赌博等主题网站,并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业价值, 成为攻击者的“拖库”的目标。

2010年,攻防双方经历了多年的博弈,通过收集分析管理员、用户信息等一系列被称作“社会工程学”手段的攻击效果被广大黑客认可。

由于获得更多的用户信息数据有利于提高攻击的实际效率,攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站,并在地下建立起“人肉搜索库”,只要获知某用户常用ID或电子邮件,可以直接搜索出其密码或常用密码密文。

一家国际安全公司中国区总裁对财新《新世纪》记者说,天涯、人人网这类站点的账号信息主要通过后台庞大的数据库进行存储,通过前台页面交互和数据库接口进行数据访问。由于信息需要通过网络传输,到达操作系统中的数据库文件,因此在传输、调用和存储等环节都会被黑客利用。

防不胜防

各大网站为自己设置的保护方式包括防火墙、杀毒软件以及入侵预防系统,但黑客依然如入无人之境。传统的网络安全设备对于应用层的攻击防范,作用十分有限。

防火墙的工作方式,是根据数据包的IP地址或服务端口(Ports)过滤数据包,而不会深入数据包检查内容。因此,它对于利用合法网址和端口却从事破坏的活动无能为力。

每种攻击代码都具有只属于它自己的特征,病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒,但这意味着它无法应对新“研发”出来的病毒。

作为防火墙和杀毒软件的补充,入侵侦查系统(Intrusion Detection System,IDS)或入侵预防系统(Intrusion Prevention System,IPS),可以同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据。

以前在网络安全公司做技术负责人、现在一家证券公司做IT维护主管的邬晓磊告诉财新《新世纪》记者,一般来说,网站都要加防火墙和检测设备,但是光 设备也不一定完全有用,还要看服务器中的设置是否有问题,应用程序上是否有漏洞。服务器漏洞多数是操作系统本身的问题,应用程序的漏洞则是编程严谨性的问 题。他认为,程序员写程序以完成功能为主,一般不会太注意安全性。由于Web 应用的登录入口表明了与用户数据表之间的关联性,通过入侵Web网站获得数据库信息,是针对网站数据库攻击的主要入手点。

常见的攻击手法包括,寻找目标网站程序中存在的SQL注入、非法上传、后台管理权限等漏洞。这些漏洞均是应用层或者说是代理层面的安全问题。如果程 序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患,黑客可以提交一段数据库查询代码,根据程序返回的结果,获得某些他 想得知的数据。

SQL注入是从正常的Web端口访问,而且看起来跟一般的Web访问没什么区别,所以防火墙不会对SQL注入发出警报。如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。

在找到漏洞后,攻击者通过漏洞添加一个以网页脚本方式控制网站服务器的后门,而后通过这一后门提升权限,获得对服务器主机操作系统的控制权,并通过 查看网站数据库链接文件,获得数据库的链接密码;通过在服务器上镜像数据库连接,将目标数据库中的信息导入至攻击者本地数据库,完成拖库。

一台计算机有65535个端口,如果把计算机看做一间屋子,65535个端口就可以看做与外界连接所开的65535扇门。有的门是主人特地打开迎接 客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)。理论上,剩下的其他门都该是关闭着的,但偏偏由于各种原因,很多门都是开启 的。于是就有好事者进入,这扇悄然被开启的门——就是“后门”。

各类Web应用攻击包括注入攻击、跨站脚本、钓鱼攻击、信息泄漏、恶意编码、表单绕过、缓冲区溢出等。安恒信息负责人指出,许多政府和企业的关键业 务活动越来越多依赖于Web应用,而现阶段的安全解决方案无一例外把重点放在网络安全层面,致使面临应用层攻击发生时,传统的网络防火墙、IDS/IPS 等安全产品几乎不起作用。

据安恒信息的实际调研,大部分企业都把业务系统及服务器托管至IDC机房,应用服务器和数据库服务器在网络层面和应用层面均没有采取任何的防护措施,所有服务器的安全防护方面属于在“裸奔”状态下运行。

国内多数网站都以明文方式存储客户信息,并无加密,即便有加密的也只限于对密码进行MD5加密,很少会看到其他更高级的加密形式,及除密码信息外的 信息也被加密的情况。而且,不同等级用户,差别就是用户表上等级列标识的区别,如果这个标识被篡改,那就没什么保护可言。普通用户只有修改自己信息的权 限,网站管理员能查看除密码之外的用户信息,系统管理员能对服务器上的所有用户信息进行操作,直接查询数据库。一旦管理员个人电脑被操控而没被发现,黑客 就可以获取数据。

广州易城信息技术公司总经理陈三堰说,黑客的强大在于他能找到网站的弱点,并能通过此弱点攻破网站;电子商务网站本身的防护相对一般网站都高,最大的问题出现在管理者身上。

需要补课

根据熊猫安全公司防病毒实验室的最新报告,隐私侵犯和数据窃取将成为明年安全机构关注的焦点,网络间谍和社交网络攻击将成为潮流。预测在2012年,公司和政府部门将成为网络间谍的主要目标,而手机和平板电脑将成为重要的攻击对象。

近几年国外安全事件的特点是:目的性强,组织性强,趋利性强,范围广,难定位,大多利用僵尸网络发起攻击行为。而这些被攻击的网站,在黑客面前显然是落伍了。

邹晓波告诉财新《新世纪》记者,很多大黑客有自己的0day,就是没有公布的漏洞,公众不知道,管理员也不一定知道,攻击方式层出不穷,法律上很难取证。

“我们在明处、他们在暗处。必须接受这个现实。”他说,“被攻击是常态,但可以增加黑客攻击的难度,即使被得手了,也要让他获得的数据库可用价值不大。”

安天实验室首席架构师肖新光说,过去十余年,中国的Web应用甩开安全飞速狂奔,开发者们凭借自身的勤奋和冲击力奠定了现有的格局,但也因快速地奔跑遗落了一些东西,比如安全。也许现在是拾起这些弃物的时间了。

中国的安全界则因保守、敏感和很多自身原因,与应用的距离越拉越远,“在我们还在幻想某些完美的安全图景时,发现我们已经望不到应用的脊背了。”肖新光说。