收到署名為公司技術(shù)部的郵件,說因網(wǎng)站受到攻擊,多數(shù)員工用戶名密碼泄露,讓你點擊鏈接重置密碼,你照做嗎?使用中移動的手機(jī)號,10086發(fā)來短信“尊敬的用戶,您當(dāng)前手機(jī)積分已滿足兌換188元現(xiàn)金禮包,請點擊網(wǎng)址鏈接登錄移動商城按提示安裝領(lǐng)取”,你點不點?老板在QQ或微信里跟你聊完工作項目,喊你幫他轉(zhuǎn)賬,幫不幫?在飯店咖啡廳或機(jī)場火車站,你會打開手機(jī)Wi-Fi,毫不猶豫地連上免費Wi-Fi熱點嗎?

如果你對這些問題的回答都是肯定的,那么,和很多因此中招、遭受損失的人一樣,你也是信息時代里一個身處危險而不自知的網(wǎng)民——技術(shù)部的郵件是假的,你的賬戶和密碼將被騙走；10086短信是通過偽基站模擬的,你點入了偽裝成移動官網(wǎng)的釣魚網(wǎng)站,領(lǐng)取“禮包”過程中,姓名、身份證號、銀行卡號及密碼統(tǒng)統(tǒng)被套取。同時,植入手機(jī)的木馬病毒將攔截并轉(zhuǎn)發(fā)手機(jī)收到的支付驗證碼和支付通知短信,你的銀行卡被輕松盜刷；老板是冒充的,騙子研究了他的說話語氣和社交往來,用各種方式實施詐騙,例如盜號,又或在被你隨意地加為好友后,把自己的昵稱改成你老板的；一些名字像運營商或商家提供的免費公共熱點也許是黑客所設(shè),你在手機(jī)上的操作被一覽無遺……

2014年是業(yè)內(nèi)人士口中的“中國網(wǎng)絡(luò)安全元年”。這年年初,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,從國家到個人,網(wǎng)絡(luò)安全正受到前所未有的重視。那么,2015年網(wǎng)絡(luò)安全的情況將會如何?

你沒有想象的那么安全

“想玩?zhèn)€游戲嗎?告訴我你的郵箱,我可以寫出你的密碼。”360公司網(wǎng)站安全檢測部門總監(jiān)趙武說。拿到《新華每日電訊》記者郵箱3分鐘后,他遞過來一張紙,上面寫著兩條記者曾用過的密碼,并說出了它們分別對應(yīng)的網(wǎng)站。“你算很安全了,只有兩條記錄還是已經(jīng)不用的,過去我做這個測試,找到的密碼都還在用,如果你這郵箱在很多網(wǎng)站上注冊過,我甚至可能找到十幾條密碼,畫出你平時都訪問哪些網(wǎng)站。”

這些信息是通過社工庫找到的。所謂“社工庫”是指黑客們?nèi)肭指鞣N網(wǎng)站,盜走用戶數(shù)據(jù)庫——用行話講就是“拖庫”,之后將所得數(shù)據(jù)加以處理,整合搭建而成的數(shù)據(jù)庫查詢平臺。有多少網(wǎng)站曾被拖庫?用360副總裁譚曉生的話,“行業(yè)內(nèi)開會,我?guī)状螁栠^同一個問題:誰敢舉手說自家網(wǎng)站從來沒被拖庫?臺下那么多做互聯(lián)網(wǎng)的人,從沒有一個人舉手。中國網(wǎng)絡(luò)用戶數(shù)據(jù)泄露的情況比大家了解到的要嚴(yán)重得多。”

拖庫之后,黑客們還會嘗試拿已獲取的用戶名和密碼登錄其他網(wǎng)站,即“撞庫”,此前12306泄露的13萬用戶數(shù)據(jù)就是撞庫所致。愛用同一套用戶名和密碼的網(wǎng)民最得黑客歡心,哪怕只知道他們在某個小論壇所用的密碼,也能成功登錄他們的支付寶。去年8月,江蘇的一位網(wǎng)民就是這樣被人從支付寶分批轉(zhuǎn)走了32萬元。

趙武所負(fù)責(zé)的補天漏洞響應(yīng)平臺上,每天都有上百個網(wǎng)站漏洞被提交上來,等待提請相關(guān)方注意和修補。“我們的任何信息都在泄露,我說的是任何。”趙武說這并非危言聳聽,在互聯(lián)網(wǎng)逐步與人們生活融合的近20年里,很多網(wǎng)站和應(yīng)用程序搭建時沒充分考慮安全問題,致使黑客利用漏洞獲取信息的成本非常低。“你一結(jié)婚,戶籍信息就被泄露出去了；一有小孩,新生兒信息就被人知道；孩子打了疫苗,打針的信息被泄露……這些不是想象,是已經(jīng)發(fā)生過、現(xiàn)在還在發(fā)生的事實,背后有很多血淋淋的案例。有些事你自己能避免,但這些你沒辦法控制,因為你必須結(jié)婚必須買房必須體檢必須生小孩。”　

2014年9月,一名網(wǎng)絡(luò)工程師因故意殺人罪被判死刑。因女友旅游缺錢,該男子從網(wǎng)上購買了某銀行的客戶信息,隨機(jī)選取目標(biāo),冒充快遞員入室劫殺了一位七旬老人。騰訊玄武安全實驗室負(fù)責(zé)人、有“TK教主”之稱的知名安全專家于旸不無憤慨地在微博上寫道:“殺人者是抓了、判了,但出售客戶信息的人呢?信息是誰拿出去賣的?按現(xiàn)行法律能怎么處理?如果這樣一個惡性案件還不能促成相關(guān)立法,談什么國家信息安全?”

根據(jù)騰訊發(fā)布的《網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈年度報告》,2014年下半年,大量冒充熟人詐騙、利用被泄露的銀行卡信息進(jìn)行盜刷等網(wǎng)絡(luò)黑產(chǎn)犯罪案件層出不窮,矛頭直指用戶個人隱私泄漏問題,互聯(lián)網(wǎng)企業(yè)應(yīng)對用戶隱私數(shù)據(jù)被盜的防御措施和用戶的自我保護(hù)意識都仍然較弱。

于旸這樣感嘆:“到底有多少信息泄露了?一言難盡,但用‘無人幸免’形容,應(yīng)該不會錯太多。”

意識非常非常重要,現(xiàn)在很低很低很低

“每天看到大量這種情景,對公眾可以做什么、國家可以做什么,我會思考很多。”讓趙武感觸頗深的是現(xiàn)階段公眾網(wǎng)絡(luò)安全意識的薄弱,比如12306的撞庫主要基于被泄露已久的17173、7k7k等游戲網(wǎng)站的數(shù)據(jù)庫,但距當(dāng)時曝出這些網(wǎng)站信息泄露的新聞已隔數(shù)載,仍有十幾萬用戶繼續(xù)用著他們早被人獲取的密碼,直到此次中招,“意識非常非常重要,現(xiàn)在很低很低很低”。

“網(wǎng)絡(luò)安全的一個難題是大部分人在災(zāi)難沒發(fā)生到自己身上時,都僅僅在口頭上葉公好龍地表示重視安全,沒有付諸實際行動,就好像系安全帶,人們知道應(yīng)該系,但總相信自己沒那么倒霉。”360副總裁譚曉生說。

直接遭遇網(wǎng)絡(luò)安全攻擊、成為網(wǎng)絡(luò)犯罪受害者始終是件小概率的事,但這并不意味著可以因此僥幸,大量數(shù)據(jù)都沉睡在黑客的數(shù)據(jù)庫里,走在即將被利用的路上。

譚曉生認(rèn)為,在網(wǎng)絡(luò)安全問題中存在便利與安全間的矛盾,人們有時并不真的在意自己的信息。世界著名研究機(jī)構(gòu)高德納于2014年初發(fā)布的一份研究報告中預(yù)測,到2017年,將有80%的用戶愿意讓服務(wù)商收集、跟蹤和交換自己的個人信息以換取優(yōu)惠、方便和個性化的服務(wù),“安全和便利便宜的天平上,永遠(yuǎn)是便利便宜這頭更重。”

網(wǎng)絡(luò)安全意識不足并不只體現(xiàn)在作為用戶的網(wǎng)民身上,公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全指出,一些重點部門、大型服務(wù)網(wǎng)站和互聯(lián)網(wǎng)服務(wù)商也因為安全防范意識差,沒有按國家有關(guān)要求落實安全管理措施和技術(shù)保護(hù)措施,導(dǎo)致公民信息大量被竊取、販賣,嚴(yán)重危害社會公共安全和公民財產(chǎn)安全。

出了網(wǎng)絡(luò)安全事件,沒人埋單也就沒人重視

2011年索尼因PS3的7700萬用戶信息遭竊,向用戶賠償245億美元；2014年,美國零售業(yè)巨頭塔吉特因4000萬條客戶信用卡信息及7000萬條其他信息失竊,為公司服務(wù)35年的CEO引咎辭職。

“即使這樣,他們也還是受到很多批評。在美國,出了網(wǎng)絡(luò)安全事件,股價下跌、負(fù)責(zé)人辭職等等很正常,但我們還沒有這種意識,即使發(fā)生大規(guī)模數(shù)據(jù)泄露,往往也不了了之,企業(yè)也不會有什么處罰。”趙武說。

騰訊玄武安全實驗室負(fù)責(zé)人于旸認(rèn)為這或許是國內(nèi)企業(yè)不愿在網(wǎng)絡(luò)安全上投錢的根本原因,“既然出了事情沒有那么大的影響,可能投入的欲望就不那么強烈。根據(jù)數(shù)字,美國網(wǎng)絡(luò)安全投入占整個IT投入的比例是國內(nèi)的兩三倍,就是說投在信息技術(shù)上的每100塊錢里,他們有10塊錢是投在安全上,我們只有3塊。”

趙武對公司免責(zé)條款普遍存在的“由于黑客攻擊等不可抗原因?qū)е滦畔⑿孤?本站不負(fù)任何責(zé)任”一條非常不滿,“就好像銀行說你來辦卡存錢我很歡迎,但你卡要是被盜了我不管。這些聲明讓人很無奈,完全是毫不負(fù)責(zé)、站不住腳的霸王條款。”

“應(yīng)該呼吁國家立法,從法律上形成威懾力量。”譚曉生說。由于國內(nèi)相關(guān)法律還不完善、舉證困難且維權(quán)成本高昂,很多人問責(zé)無門,只能自認(rèn)倒霉。

十八屆四中全會通過了《中共中央關(guān)于全面推進(jìn)依法治國若干重大問題的決定》。《決定》明確提出,要加強互聯(lián)網(wǎng)領(lǐng)域立法,完善網(wǎng)絡(luò)信息服務(wù)、網(wǎng)絡(luò)安全保護(hù)、網(wǎng)絡(luò)社會管理等方面的法律法規(guī)。

據(jù)網(wǎng)信辦最新消息,網(wǎng)信辦、工信部、公安部等有關(guān)部門將加快推動個人信息保護(hù)等相關(guān)法律的研究制定,加強對網(wǎng)絡(luò)服務(wù)提供者的監(jiān)管,加大對非法收集、泄露、出售個人信息行為的打擊力度,今后5到7年,較為完善的互聯(lián)網(wǎng)法律體系將逐步形成。