密码攻防战暴露互联网企业安全短板

尽管“动摇了互联网基础”,但那些当事网站对这次密码泄露事件的反应仍然低于外界的预期,不管是CSDN还是天涯,都没有就用户资料数据库泄露发表更多的意见,只是草草道歉了事,而12月28日工信部发表的《关于近期部分互联网站信息泄露事件的通告》,看上去也更多是表达一种姿态其中除了“对盗窃用户信息表示了‘强烈谴责’”外,外界并没有读到更多的相关信息。如何修补中国互联网的脆弱一面?现在没有人能给出答案,法律上的空白和互联网企业的意识缺位,让用户资料的安全问题完全被忽视了。

互联网企业的安全短板

如同多米诺骨牌,CSDN是第一个倒下的棋子,接着,天涯、世纪佳缘、猫扑等知名网站一个个倒下,到了最后,传闻居然还有银行牵扯其中。虽然 “银行密码泄露”最终被证明是子虚乌有,但却已经造成最大的恐慌。其中最具讽刺意义的,毫无疑问是以程序员为核心用户的CSDN的数据库被泄露出来人们发现CSDN早期的密码都是明文密码,拿到密码的人,可以直接登入网站。CSDN的创始人蒋涛后来解释说:“(CSDN)这样一个程序员讨论技术问题的网站,对黑客来说没有太多的商业利益可以挖掘,所以(我们)并没有高度重视网站的安全问题,直到此次用户资料被泄露。”

对于互联网企业在安全方面的淡漠,金山反病毒工程师李铁军已经见怪不怪,“很多互联网企业疏于管理,网站做完之后,就放在那里,只是维持产品的功能,而没有考虑安全的功能,最终导致的结果就是现在这样”。这背后,很大程度是因为成本的关系,“因为安全的投入还真是一个长期的投入,一般的互联网企业为了快速发展,在安全方面投入的力量也不太够”。

这些互联网企业在安全方面的短板,给黑客创造了机会互联网企业和其他企业不同之处在于,黑客可以随时攻击,它们没有一劳永逸的解决办法。李铁军说:“安全维护的团队要不断跟进最前沿的安全防御的知识,这样,一出现攻击,他们才能做出反应。而且,互联网服务不可能中止,不能出现问题就把它关闭掉,必须保证用户24小时能够正常访问。他要解决产品中间的一个漏洞,这需要一个时间。这个时间差就是黑客的机会。”

其实,和几年前相比,黑客的攻击方式已经有了很大的变化。以前是用户端被攻击,黑客通过各种手段在用户的电脑上盗取账号和密码等,但最近数年,用户的安全意识已经让这种攻击越来越难。黑客转向攻击那些在安全上偷懒的网站通过攻击服务器,拥有数百万用户资料的数据库就被一锅端了。一些后知后觉的网站,可能要直到资料泄露到网上,才明白自己出了问题。更加糟糕的是,一些网络管理人员知道网站的数据库泄露,却因顾及面子而保持沉默,到最后,完全由用户为网站的漏洞买单。

用户资料的价值

当互联网对人们的生活价值越来越大时,各类作为互联网通行证的账号和密码对黑客的吸引力也越来越大。在泄露事件之后,李铁军在自己的博客上放出了一张“密码泄露的次生灾害与网民对策”图,这张图里所展现出来的“灾害”场景,足以让人心惊胆战最简单的是,相关登录数据被盗用,黑客根据你的信息盗取游戏账号和装备;如果这个账号和你的各类社交服务相关,那么你的隐私可能会完全暴露;如果这个账号就是你的支付宝账号,那么你可能需要担心你的财务问题。

相应,对于黑客而言,以何种方式卖出用户信息也有学问。把数据库卖给发送垃圾信息的人,只是最简单的手法。精明的黑客会详细分析数据库,把各类用户的信息分门别类,以更为精准的方式卖给需要者,这样的数据,价钱相对而言更贵。至于怎么使用数据,则完全依赖人们的想象力。

不同类型网站的数据库价格也完全不同。李铁军分析,网络游戏和电子商务类网站的用户资料的价值相对更高,因为前者的资料可以直接变现,而电子商务类网站的用户资料则蕴含潜在的消费价值。此外,数据库的价格涉及到数据库的容量,以及与数据库相关联的应用价值的多少。当然,这些数据的价值也跟时间相关新鲜出炉的数据库总是比那些老的数据库更贵。

和很多人的想法一致,李铁军认为这次密码泄露事件纯粹就是一个意外如果不是迅雷的数据挖掘,这些私下交易已久的数据库不会这么明目张胆地出现在用户面前,并引发如此大的反响。这件事情的另一个结果是,人们把其与目前正热烈讨论的实名制联系在一起,李铁军认为这高估了黑客的能量,不过他也承认,大家都会因为此次密码泄露事件而思考,“实名制之后是不是更加不安全?大家都有这种担心在里面”。

怎么做更安全?

从目前来看,互联网企业是否重视安全,和其业务本身有直接的关系。当腾讯期待QQ号成为其进入互联网的重要通道时,自然而然会重视用户的资料安全。当支付宝期待其用户把其当作互联网上的通用支付工具时,也不得不把安全摆在第一位。一个很清晰的局面是,腾讯、支付宝以及网易等企业格外重视安全因为它们的整个业务与用户资料安全有核心联系。

一位知情人士对《新周刊》表示,腾讯内部现在有数千人从事安全方面的业务,“腾讯的投入比其他企业庞大,经验也相当丰富,他们内部的观点是,将来某一天唯一能让企业倒闭的,只有黑客攻击这一点。他们的企业理念就是这样”。事实上,腾讯的产品也并非一开始就如此安全,几年前的各类盗号新闻曾经让腾讯不胜其扰,在逐步改进了安全对策之后,腾讯才摆脱了不安全的名声,“产品在成长过程中,安全威胁是随着攻击的变化而变化的,互联网企业刚开始起步的时候,未必对安全的规划做得很好,他们也是在管理的过程中发现各种各样的问题,加以解决,然后才积累经验的”。

李铁军认为,网站被攻击一定会发生,只是程度不同而已,“安全是一个动态维护的过程,企业如果由一支专业的团队来做维护,那么用户端的损失会最小,因为系统本身会侦测到攻击,然后做出反应,不会使其扩大化”。

密码泄露事件之后,一家名为“乌云”的网站浮出水面。这个在厂商和安全研究者之间的安全问题反馈平台,拥有一大批安全技术人员,并经常提交漏洞和风险报告给互联网公司。针对中国互联网公司在安全方面的短板,他们给出的建议是“将安全落实到公司的流程制度规范以及基础技术架构里去,形成完善的安全体系,并且持续更新换代。如果以前没有这方面制度,就从现在开始建设;如果没有团队,就可以先找一些公司或者外部顾问。但是记住,不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链”。