國內最大的程序員社區CSDN上600萬用戶資料被公開,同時黑客公布的文件中包含有用戶的郵箱賬號和密碼,信息安全黑洞巨大。CFP
在迎接2012的最后幾天里,中國的互聯網世界上演了一出史上規模最大的泄密事件。
從CSDN、天涯等論壇社區,到人人網、開心網、多玩網等多個社交、游戲網站,再到京東商城、當當網、淘寶網等電子商務網站,均牽涉其中。傳聞還波及支付寶、工商銀行、民生銀行及交通銀行等支付和金融機構。政府網站也未能幸免,廣東省出入境政務服務網站的444萬條用戶信息,在2011年12月30日被證實泄露。
一時間,各大網站及互聯網用戶人人自危,“今天你密碼泄露了嗎”成為流行網絡的問候語。創新工場旗下安全寶公司推出的用戶密碼查詢框,在短短幾天內查詢數就超過了180萬人次。
國家互聯網應急中心(CNCERT)發布的數據顯示,截至2011年12月29日,國家互聯網應急中心通過公開渠道獲得疑似泄露數據庫26個,涉及賬號、密碼2.78億條。其中具有與網站、論壇相關聯信息的數據庫有12個,涉及數據1.36億條;無法判斷網站、論壇關聯性的數據庫有14個,涉及數據1.42億條。
財新《新世紀》了解到,泄密事件發生后,國家工業和信息化部已經啟動應急預案,組織通信管理局、國家互聯網應急中心及相關互聯網企業和網絡安全專家,了解核實事件情況,評估事件影響和危害,研究提出應對措施。
但事實上,CSDN、天涯等多家網站的用戶數據庫被盜,已經不是最近才發生的事件,大爆發只是黑客集中的披露行為而引發——這些被拋出來的,只是幾乎榨干了所有價值的過期數據庫。
大泄密
“我們深表歉意,建議修改密碼”
引爆整個事件的導火索,是CSDN用戶數據庫的“意外”曝光。2011年12月21日,有網友在微博上爆料稱,CSDN網站的安全系統遭到黑客攻擊,包括600萬條用戶名和密碼泄露——數據庫正在網上快速擴散。
CSDN的創始人蔣濤,也是當天在微博上看到了這條信息。“第一反應就是確認是不是真的。”蔣濤對財新《新世紀》記者回憶稱,工程師從網上找到那個文件,“和我們的數據庫比對下來,很不幸,確實大部分都是。”
12月21日晚間,CSDN在其網站及官方微博上確認了數據庫泄露一事:“近日發生了CSDN部分用戶數據泄露事件,對此我們深表歉意,同時懇切地建議2010年9月之前的注冊用戶和沒有修改過密碼的用戶,盡快修改密碼。”
通知用戶的同時,CSDN緊急對下載源進行封堵。“微博擴散的速度太快了,這么多的賬號在里面,如果數據庫擴散到了幾萬、幾十萬人的手上,你都不敢想象它能被利用成什么樣子。”蔣濤很快聯系上了騰訊和迅雷,要求關閉和重置下載源。騰訊和迅雷也快速做出了響應。
蔣濤承認:“到那個時候已經很難擋住了,雖然關掉了下載點,但是文件已經出去了,在點對點的傳輸上,就很難控制住了。”
隨后的幾天,CSDN的數據庫與其他后續爆出的數據庫一道,依然在網上被瘋傳。在這期間,CSDN聯系了郵件廠商,一同發送郵件給用戶提醒修改密碼。“我們自己發送了200多萬封,郵件廠商幫忙發了300多萬封。”
然而,潘多拉魔盒已經打開,CSDN數據庫的泄露僅僅是個開始。“沒想到后面的事情越來越大,已經到了不可收拾的程度。”蔣濤說。
12月22日,知名IT博客“月光博客”披露,多玩網數據庫泄露超過800萬條信息,有大量用戶名、明文密碼、郵箱及部分加密密碼。“經過驗證,使用該數據庫中的用戶名和密碼可以正常登錄多玩網。”
同日,標注為“人人網500萬用戶資料”的文件開始在網上流傳,嘟嘟牛、7k7k、178游戲網、CSDN等多家網站數據庫文件的截圖也出現在微博上,涉及的用戶信息總量超過5000萬條。但人人網否認用戶數據遭到泄露,他們在官方微博上提醒稱,“如果您的人人網賬號密碼和CSDN或其他網站一致,建議您馬上修改密碼,以免賬號被盜。”人人網相關人員在接受采訪時表示,提醒用戶只是出于安全考慮。
12月25日,泄密規模進一步擴大,網絡上開始流傳天涯論壇的用戶數據庫,信息總量超過4000萬條。隨后,這一新聞被天涯社區官方致歉信證實:由于歷史原因,天涯社區早期使用明文密碼,在2009年11月改成加密密碼,但是部分老的明文密碼庫未被清理,黑客泄露的正是2009年11月升級密碼保存方式之前所注冊的用戶。不過天涯社區并未在公告中對泄露的用戶規模進行確認。天涯社區公關經理初蒙在接受財新《新世紀》記者采訪時表示,確認用戶信息遭泄露后,已經向海南省公安廳、海口市公安局報案,案件目前正在偵查之中。
12月26日,網上又傳出某微博的用戶資料疑似被泄露,并公布了某微博數據下載地址。這個疑似數據庫一共有約476萬條賬戶和密碼信息。
此后,泄密事件繼續發酵升級,傳聞開始波及到電子商務及銀行系統。12月27日,烏云漏洞報告平臺披露京東商城的漏洞,“在某些業務上存在用戶權限控制不當的漏洞,導致任意用戶登錄系統后,都可以正常訪問到所有用戶的信息,包括姓名、地址、電話、Email等。”這一漏洞報告得到了京東商城方面的響應。
12月28日,“當當網1200萬用戶信息遭泄露”的說法亦被“小部分”證實。當當網的公告稱:“經核實,網絡公布的信息數據只有極小部分屬實,且均系2011年6月之前的老數據,該部分數據是由于之前遭到網絡黑客攻擊被盜取。”
烏云漏洞報告平臺在12月28日也再次報告稱,“支付寶用戶大量泄露,被用于網絡營銷,泄露總量達1500萬-2500萬之多,泄露事件不明,里面只有支付寶用戶的賬號,沒有密碼”。支付寶隨后回應稱,支付寶賬號不是私密信息,在很多地方都可以搜集到,只有賬號沒有密碼,對用戶資金安全沒有任何威脅,“支付寶采取金融級的信息安全標準去保護用戶信息及資金安全,我們承諾沒有任何人能從支付寶獲得用戶的密碼等私密信息。過去沒有,以后也沒有,請大家放心”。
但12月29日,更嚇人的消息又在網上瘋傳:交通銀行、民生銀行分別泄露用戶資料7000萬和3500萬份,“卡號、姓名、密碼都有”,并配有截圖。當天下午,交通銀行、民生銀行、工商銀行等分別發布公告辟謠,稱“用戶資料外泄的傳聞純屬謠言”。
當日晚間,又有網友披露稱,廣東省公安廳出入境政府服務網網上申請數據泄露,幾乎所有提交網上申請用戶的真實姓名、出生年月、電話、護照號碼、港澳通行證號碼等信息均可查到,泄露的總信息量高達444萬條。這一信息被廣東省公安廳證實:2011年6月24日至2011年12月29日期間,在廣東申請出入境的用戶信息遭到泄露。
僅僅一個星期,泄密已經從CSDN一家網站的危機演化成為了席卷整個互聯網的大事件。一時間,各大網站人人自危,真假數據庫屢屢出現。國家互聯網應急中心對所曝光的數據進行了抽查核實,發現部分數據是有效的,經過與相關網站、論壇聯系后,確認CSDN社區、天涯社區兩家網站發生了用戶數據泄露事件,但泄露原因還有待進一步分析;對于其他網站、論壇,雖然曝光數據中個別條目有效,但不能判定發生了網站、論壇用戶數據泄露事件。
金山網絡反病毒工程師李鐵軍12月30日接受財新《新世紀》記者采訪時則表示,根據他們從網上下載的數據庫,剔除重復信息之后,有超過1億條的用戶信息在此次事件中泄露。
一位不愿具名的網絡安全工程師也向財新《新世紀》記者證實,經過重合度分析、數據庫格式判斷等驗證分析,基本可以斷定“有十幾家網站的數據庫比較靠譜,應該是真實的”。
大規模用戶數據泄密后,各種“渾水摸魚者”也隨之而來。蔣濤告訴財新《新世紀》記者,一些人開始制造假的數據庫來混淆視聽;一些網站通知所有用戶修改密碼,以乘機激活“沉睡”用戶;甚至一些網站把曝光的數據庫直接導入自己的數據庫,然后發通知給用戶修改密碼,不費吹灰之力即獲得上千萬規模的用戶。當然,對用戶影響最直接的是各種垃圾郵件、釣魚郵件多了起來。
真正令人擔心的是,或許還有更大規模的數據被地下黑客所掌握,只是沒有公布而已。著名網絡安全專家龔蔚(goodwell)公開表示,這次曝光的1億多條用戶賬號及密碼等相關信息,只是黑客所掌握數據的“冰山一角”,預計有將近4億-6億的用戶賬號信息在黑客地下領域流傳。
偶然中的必然
“這些數據庫在黑客圈幾年前就有了,這一次只不過是個比較集中的爆發”
是誰,在什么時候,拿走了這些涉及用戶隱私的數據?原本隱秘在黑客圈的數據庫緣何會曝光在公眾面前?互聯網是否還有安全可言?此輪網絡大泄密,讓這些問題成了普通互聯網用戶最自然的追問。
“這些數據庫在黑客圈幾年前就有了,這一次只不過是個比較集中的爆發。”安全寶CEO馬杰對財新《新世紀》記者稱,CSDN數據庫的曝光看似偶然,實則必然。“冰凍三尺非一日之寒,互聯網行業安全問題的累積已經太多了,遲早會爆發。”馬杰在安全行業超過十年,曾任瑞星研發總經理,負責個人和企業的安全產品。
這也是網絡安全行業人員近乎一致的觀點。天融信公司高級安全顧問呂延輝向財新《新世紀》記者證實,最早在2008年時,就曾聽說有一些網站的數據庫在黑客圈流傳。
本次密碼信息最先被公布的CSDN社區,后來曾組織安全專家進行討論,得知公司的數據庫事實上早就在黑客的手上了。“并不是說這一刻先攻破了CSDN,放出數據庫,然后下一刻攻破了天涯再放出數據庫。而是這些數據他們手上一直都有,只不過拋出來的時間不一樣。”蔣濤說。
天融信成都分公司技術負責人鄒曉波稱,早期的很多網站,都可以通過服務器滲透,取得后臺數據庫的權限,直接取得數據。“黑客圈內人都知道誰被盜了,他們不一定公布,但是會炫耀,在小范圍內流傳,大部分沒有去獲利。”
CSDN社區數據庫的曝光,曾經被指向一名ID為Hzqedison的金山公司員工,他分享數據庫下載地址的截圖最早在網上流傳。12月22日,CSDN數據庫外泄一事被廣泛關注的時候,Hzqedison在微博表示道歉。隨后,金山公司也發表聲明,金山員工并非網絡上傳言的黑客,并非最早對外發布密碼庫的第一人。
Hzqedison解釋了事情的經過:“12月21日,我在一個聊天群里看到CSDN數據庫的迅雷下載地址,就離線下載了該文件來檢查自己賬號是否被泄露。為了讓同事們也檢查,才做了分享貼到同事群里。5分鐘后,該地址截圖被發到了烏云漏洞報告平臺上,得知后我立即刪除了迅雷分享地址。因為刪除很及時,該地址只有幾名同事下載過,而且從未將數據庫文件外泄。”
李鐵軍告訴財新《新世紀》記者,據他了解,當時該金山員工上傳CSDN數據庫時,是“秒傳”的,說明這個數據庫文件在迅雷下載服務器中早已存在。
“是誰最早上傳了這些數據庫,現在已經很難確定。”李鐵軍說,除了CSDN的數據庫,還有其他網站的數據庫一起在網上流傳。因為CSDN的影響力比較大,所以就傳開了。
事實上,CSDN數據庫曝光之前已有征兆。李鐵軍告訴財新《新世紀》記者,他在12月14日前后,即泄密事件發生的前一周,就已經注意到有很多網友在微博上反映賬號被盜,“這是黑客在用數據庫去試探某微博的數據庫,有些就撞到了”。
馬杰分析,這次曝光的網站數據庫應該是最近幾年間連續不斷被刷庫的。“安全圈也知道,這幾年地下黑客圈在刷庫,也知道一些數據庫在黑客圈流傳。”
所謂刷庫,是指黑客入侵網站服務器之后竊取用戶數據庫的行為,互聯網業內也稱其為“拖庫”,取其諧音,也形象稱之為“脫褲”(參見輔文“致命的漏洞”)。
看上去,金山員工“偶然”的發現和分享,加上地下黑客累積經年的刷庫行為,以及數據庫在圈子中的一輪輪擴散,最終促成了這次網站數據庫大規模的曝光。
但是,這里面依然隱藏著兩個問題。第一,金山員工如何能“偶然”發現原本在地下黑客圈流傳的數據庫?第二,僅是CSDN的數據庫曝光,緣何能引發一連串的數據庫浮出水面?
地下黑客圈傳輸或交換文件,一般都是點對點的傳輸,有時甚至通過郵寄移動硬盤或光盤來實現。但隨著被刷的數據庫越來越多,轉手的次數越來越多,參與的人數也越來越多,出錯和曝光的概率就越來越大。
烏云漏洞報告平臺的創建人劍心分析說,由于不同黑客掌握的數據庫各有不同,刷出來的數據庫會在黑客圈中交換,這樣就會一輪一輪的擴散。很有可能是某個人在轉手傳播的過程中,由于文件太大,無法實現網絡上點對點的傳輸,不得不利用迅雷、網盤一類的工具進行上傳和下載。在這過程中,工具會把這些文件泄露出來,甚至會在搜索“數據”等關鍵詞時出現推薦。這樣擴散的范圍就更大,進入與黑客圈有交流的安全圈也就不足為奇了。
至于網站用戶密碼連續被報丟失的現象,呂延輝解釋說,一些數據庫曝光之后,黑客手中那些與之雷同的數據庫就沒有價值了。并且,引發公眾關注后,基本所有網站都會通知用戶修改密碼,政府相關部門可能還會介入,那么其他的一些非核心數據庫的價值也就更低了。
呂延輝表示,可以看出來,這次曝光的數據庫都是在地下黑客圈轉手很多次的,本身價值也不大,再加上CSDN數據庫的曝光,其他數據庫的含金量進一步降低,那些手上有庫的人拋出來也不奇怪,這才形成了一連串的規模效應。
脆弱的網站安全
互聯網從提供內容為主發展到有很多網上購物與社交,但安全現狀停步不前
泄密事件,將眾多網站在安全方面的脆弱暴露無遺。知名網絡安全專家、安天實驗室首席技術架構師江海客直言,這是一個安全崩盤的時代。
安全圈內資深人士的共識是,被黑客攻擊和刷庫,各大網站幾乎是無一幸免,只是程度和范圍的不同。在做安全行業的人看來,目前大部分網站的安全性都不足。“這一次表面上看是明文密碼庫的問題,但實際上多數網站從根本上都沒有重視自身的信息安全。”天融信公司副總裁劉輝對財新《新世紀》記者表示,網站把絕大部分資金投入到日常運營中,只有被攻擊或吃過教訓后,才想起來安全的重要性。
“一些網站之所以容易被‘脫褲’,很大一部分原因就是因為本身就穿得太少了。”劉輝說,很多經營性網站甚至都沒有專門的網絡安全工程師。
CSDN社區數據庫在此次事件中最先曝光。蔣濤也坦言,“原來對安全的認識還停留在相對低的水平上,覺得自己的數據不是什么關鍵數據,別人拿去也沒什么用。”
但這次一連串的數據庫泄密事件證明,互聯網存在很大的關聯性,特別是擁有大量用戶的網站,更不是一個孤立的存在,很多用戶的郵箱、賬號都與別的系統相關聯,一旦有事,就會造成跨網站的連鎖反應。另外,由于安全問題出在了服務器端,普通用戶基本沒有辦法防范,數據庫被刷后曝光出來,用戶只能被動的修改密碼。
馬杰則指出,現在互聯網從原來提供內容為主,到現在有很多的網上購物與社交,網站的重要性進入了另外一個層面,但安全現狀停步不前。“現在網站數據中所包含信息的價值在上升,但安全防護的措施并沒有加強。”他說。
另一方面,專業做網站功能、應用和服務的人,與專業做安全的人,在技術思維上也存在巨大差異。“一個B2C網站的程序員,做了一個系統,花了幾個月的功夫,自己覺得沒什么問題,然后請專業做安全的人去找漏洞,結果做不到十分鐘就破解了。”李鐵軍舉例說,二者沒有高下之分,只是職業的特征決定了思路上的差異。
思路上的差異,加上安全意識的不到位,導致了網站安全的脆弱。CSDN、天涯社區至今仍未披露數據庫外泄的具體原因。馬杰告訴財新《新世紀》記者,從技術上講,有很多種方法可以刷庫,“就像一個很大的房子,可以爬窗戶、撬門,或者從煙囪進來,甚至挖個地道進來,就看黑客想花多大的功夫和精力”。
通常來說,黑客都是通過發現網站或應用軟件的漏洞進入服務器,然后想辦法提升權限,就可以把數據庫下載下來。對一些防護比較弱的網站,甚至都不用進入網站就能刷庫。安全行業資深人士TK說:“只要分兩步,第一步找到一個SQL注入點,執行一條備份命令,備份到一個目錄去;第二步,從目錄把數據下載回來。根本不需要獲得網站的權限,只要有SQL注入的漏洞,就可以爆庫了。”
劍心告訴財新《新世紀》記者,決定在12月30日臨時關閉烏云平臺的其中一條原因,就是擔心后續幾天爆出的網站漏洞會越來越多,引起互聯網用戶的恐慌。烏云漏洞報告平臺是由一群互聯網安全研究人員自發組織的信息安全溝通平臺,研究人員在上面提交廠商的安全問題,也披露一些通用的安全咨詢和安全使用。有超過500個“白帽子”安全研究人員和120多個廠商參與平臺,反饋和處理了接近4000個安全問題。在泄密事件引發大范圍關注后,烏云平臺因曾多次發布相關安全漏洞預警而被關注。
劍心也證實說,目前國內除極少數大型網站外,可能都被黑客刷過庫,包括一些門戶網站,一些漏洞都是在烏云平臺上被證實的。此外,近年來快速膨脹的電子商務網站,在劍心看來,安全性更是糟糕,烏云平臺已經多次證實并報告了他們的漏洞。這其中就包括11月10日所報告的當當網漏洞,可以抓取超過4000萬條用戶信息。
相對而言,金融系統的安全性較強。銀行通常會采用硬加密的技術,既不僅依靠登錄密碼和交易密碼,還需有一個外在于密碼系統的物理密鑰,比如發送到手機的動態口令或U盾密鑰,其安全性要高于單靠密碼的“軟加密”方式。但是,隨著第三方支付、代收費、代繳費等業務的展開,銀行系統需要開放的接口也越來越多,對銀行系統的安全提出了更高的要求。
蔣濤解釋稱,各家網站的明文密碼庫都有復雜的歷史原因,CSDN是在2010年9月之后才采用了密文存儲。“這不是一家的問題,而是行業性的問題。”
但是,加密存儲也并不一定意味著安全。多位受訪的網絡安全專家告訴財新《新世紀》記者,現在相對簡單的MD5加密方法已經不安全,黑客圈建立了龐大的MD5值的“字典庫”,通過“查字典”的方式很快就能破解還原。
馬杰建議,在進行密文存儲時,還需要對加密算法做一些改變,或多次加密,安全性能才會有所提升。盡管通過“彩虹表”碰撞等方法不存在破解不了的情況,但至少會大大增加破解的成本和時間,降低數據庫對黑客的吸引力。
烏云平臺撰文稱,最好的安全應該是自始至終就有人為安全負責,將安全落實到公司的流程制度規范以及基礎技術架構里去,形成完善的安全體系,并且持續更新迭代,“如果以前沒有這方面制度,就從現在開始建設;如果沒有團隊,就可以先找一些公司或者外部顧問。但是記住,不要幻想一次性的投入就可以抵抗利益驅動長久進化的黑色產業鏈”。
黑色產業鏈
有人負責發掘漏洞,有人負責根據漏洞開發利用工具,有人負責漏洞利用工具的銷售,有人負責刷庫,有人負責洗庫,有人負責銷售,還有人利用數據庫釣魚、詐騙、發送垃圾郵件
大規模的泄密事件,也使得互聯網江湖中最為隱秘的黑色產業鏈再度引人關注。“熊貓燒香”病毒讓公眾知道了病毒黑色產業鏈,而此次的泄密事件則指向了數據交易的黑色產業鏈。
馬杰告訴財新《新世紀》記者,最近幾年,“黑帽子”黑客圈內的盈利模式發生了一些變化。最早是“掛馬”比較掙錢,通過發現漏洞SQL注入,然后想辦法獲得網站權限,在網頁上掛上木馬程序,中了木馬程序的機器就成為“肉雞”,通過木馬控制“肉雞”來賺錢。比如說盜號、彈窗、導流量等。
“早幾年木馬猖獗的時候,一個服務器能控制幾萬臺的‘肉雞’。即使只是IE自動跳轉到某一頁面,每年也能帶來可觀的流量和收入。”李鐵軍說,還有黑客利用系統漏洞和木馬進行“釣魚詐騙”,從個人客戶一端入侵網銀系統,進行非法轉賬等。
后來,“掛馬”和“釣魚”被各大安全公司打擊得非常厲害,特別是免費殺毒軟件在個人終端的普及。而這個時候,地下黑客發現,刷庫是個更快、更直接的賺錢方法。
最近幾年,圍繞數據交易的黑色產業鏈正在逐步形成。在地下黑客圈內,一些大型網站的數據庫被明碼標價,一個數據庫整個端下來,價值數百萬元到上千萬元不等。
拖庫成功后,到手的數據庫可以有很多用途,比如直接賣給被刷庫網站的競爭對手。黑客還可以利用部分互聯網用戶“多家網站一個用戶名一個密碼”的習慣,去試探別的網站數據庫。這叫“撞庫”,技術上也很容易實現,只需要編寫一個腳本,自動不斷用已盜取數據庫里的信息去請求登錄。由于都是正常請求,被撞的網站也很難防范,所以也會有網站“躺著中槍”。
安全業內人士稱,刷庫之后,黑客拿著數據庫去“撞”有虛擬幣系統的游戲網站、騰訊,以及網上銀行、支付寶及電子商務網站,都是必然會發生的事情。如果撞到了重合用戶,將其賬號內虛擬資產、網銀洗劫一空都是再自然不過了。
經過多次倒賣和“洗庫”之后,數據庫還能被賣給價值鏈的末梢買家——利用賬號信息來發送廣告、垃圾郵件、垃圾短信的推銷公司。通常情況下,數據庫的價格越賣越便宜,流傳的范圍也就越廣,距離曝光也就越近。
而在整條黑色產業鏈中,分工也比較明確。最核心和最難的是發掘漏洞,這對技術的要求最高,能發掘漏洞的黑客也比較少。呂延輝介紹,在地下黑客中,有人專門負責發掘漏洞,有人專門負責根據漏洞開發利用工具,有人負責漏洞利用工具的銷售,有人負責刷庫,有人負責洗庫,有人負責數據庫的銷售,最后端,還有人利用數據庫釣魚、詐騙、發送垃圾郵件。
有網絡安全人士估算,目前互聯網的地下黑色產業鏈規模已經達到上千億元,而安全行業的規模目前還只有幾百億元,“就像毒品的市場規模反而大于麻醉藥的市場規模”。
失能的法律防火墻
周漢華表示,“當網站的資料和個人信息緊密相連,安全卻沒有保障,這種情況下,實名制是相當危險的”
劉輝判斷,這次泄密事件將注定會是互聯網發展歷史上一件大事。一方面是對互聯網業務發展模式的影響;另一方面,則是互聯網行業安全規范機制的建立已勢在必行。
“短期內,互聯網行業的發展會受到一定的影響。”劉輝說,例如近兩年興起的云計算服務,現在提供云服務的互聯網公司必須要重新建立用戶的信息,并說服用戶上傳至云端的資料是安全的。要說服用戶,就需要相應的安全承諾及安全認證機制。
蔣濤也表示,這次泄密事件相當于給整個互聯網業上了一課。“CSDN也是專業的IT社區平臺,我們會利用這個平臺來加強安全的教育和普及,提升互聯網行業的安全意識。”他說,除了加強自身的安全性,這是CSDN在2012年要去做的重要事情,“互聯網上各大網站的關聯度越來越高,安全已經不是一家兩家的問題,而是全行業的問題”。
在全世界,身份的盜用和密碼的泄露每天都會出現,但與發達國家不同的是,這次密碼泄露事件發生后,各方幾乎束手無策。“大家都不知道怎么去保護自己的權利,大家就只能看著發生,等著下一次什么時候發生。”中國社會科學院研究員周漢華對財新《新世紀》記者說,“我們的問題是沒有有效的管理手段,沒有可以適用的法律。”
在亞太網絡法律研究中心主任劉德良教授看來,個人信息在網絡時代越來越具有商業價值,這也是目前非法收集、加工、買賣和商業性濫用個人信息行為日益泛濫的內在驅動力。針對如此嚴重的網絡的個人信息安全威脅,法律的“防火墻”為何失能以及如何重構,成為一個急需解決的問題。
上海一位經偵人員對財新《新世紀》記者介紹,他們曾經偵辦過一個利用個人信息實施犯罪的案子。有人發現幾百萬元銀行存款莫名消失,于是報案。此案涉及幾百萬條的車主信息數據庫,這些信息有黑客攻擊得到的,也有銀行、保險業的內部人泄露出來的。犯罪分子的作案手法是,通過內部泄露或者黑客攻擊得到包括車主姓名和身份證號碼的用戶信息庫,找銀行的人查開戶信息,這個行話叫“包行”,幾百塊就能做。得到卡號后,然后猜密碼,利用黑客軟件和銀行卡進行比對。
從刑事法律來看,2009年《刑法》修正案增加了“非法侵入計算機信息系統罪”的條款,“違反國家規定,侵入計算機信息系統或者采用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金”。
同年,全國人大常委會還出臺《侵權責任法》,規定網絡服務提供者和網絡用戶利用網絡侵害他人民事權益的,應當承擔侵權責任;網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益,未采取必要措施的,與該網絡用戶承擔連帶責任。2000年,全國人大常委會又專門制定了《關于維護互聯網安全的決定》,重申各種互聯網違法的刑事責任和民事責任。
在行政監管層面,除了國務院在1994年制定的《計算機信息系統安全保護條例》,作為全國計算機系統安全保護工作主管部門的公安部,也制定了《信息安全等級保護管理辦法》以及《計算機信息系統安全保護等級劃分準則》《信息系統安全等級保護基本要求》《信息系統安全等級保護測評要求》等30多個標準。
多重的法律規定,為何實施效果不佳?周漢華認為,《刑法》的適用門檻比較高,需要“違反國家規定”和“情節嚴重”的條件,何況這兩個條件目前都缺乏相應的標準。而《侵權責任法》的適用,在網絡環境下,當事人舉證非常困難,而且存在成本投入和收益不對稱的情況。
周漢華認為,《刑法》和《侵權責任法》都屬于事后救濟,在網絡時代,由于損害的發生是系統性的、不可復原的,所以對網絡安全以及個人信息進行全流程的監管才更為有效。目前對于這種全流程的監管,中國既缺乏專門的法律,也沒有專門的執法機關,搜集個人資料的企業所應承擔的相應的安全責任以及相應的信息流管理行為規范都缺失。“這就是為什么要制定《個人信息保護法》的原因。”周漢華稱。
據財新《新世紀》記者了解,早在2003年之時,周漢華曾經受當時的國務院信息化辦公室委托,主持《個人信息保護法》的立法研究,并且在2005年形成了一份專家意見稿。但時隔多年,這部法律的立法工作遲遲未被啟動。
劉德良教授認為,在當前中國的法律框架下,把個人信息都納入人格權的范疇,而不承認個人信息的商業價值也是個人的財產;人格權受到侵害后,原則上也不能要求財產損害賠償。因此他提出,對于個人信息的法律保護,應該包括隱私上的人格利益和個人信息的商業價值這雙方面,將個人信息的商業價值視為個人的財產,未經允許擅自收集和商業性利用個人隱私,既是一種侵犯人格權的行為,也是一種侵害財產權的行為。
財新《新世紀》記者張宇哲對此文亦有貢獻
致命的漏洞
2011年的最后一周,風聲鶴唳、人人自危,改密碼改到手軟,從社交網站、門戶網站乃至電子商務網站,其龐大的客戶信息數據庫都在黑客面前不堪一擊。
這只是黑客產業鏈的冰山一角。現在所公布出來的數據庫,也只是被幾乎榨干了所有價值的過期數據庫,無從得知哪些更重要的信息已經被黑客掌握。
網絡虛擬世界與現實世界的界限正在模糊,當虛擬空間能夠體現越來越多現實世界利益時,虛擬世界中的漏洞,就成為黑客攫取價值的源泉。
拖庫攻擊
專門針對網站數據庫中的賬戶進行竊取,可以追溯到2001年。從事數據庫安全服務的安恒信息技術有限公司(下稱安恒信息)一位技術負責人介紹,隨著網絡游戲的興起,虛擬物品和虛擬貨幣的價值逐步被人們認可,網絡上出現了多種途徑可以將虛擬財產轉化成現實貨幣,針對游戲賬號攻擊的逐步興起,并發展成龐大的虛擬資產交易市場。
這種針對數據庫記錄的竊取,被一些攻擊者稱為“拖庫”。在成為黑客專有名詞之前,拖庫(Drag)一詞多用于數據庫程序員從數據庫導出數據。如今,“要致富,先拖庫”已經成為黑客圈內的流行語。
2004年-2007年,相對于通過木馬傳播方式獲得的用戶數據,攻擊者采用入侵目標信息系統獲得數據庫信息,其針對性與攻擊效率都有顯著提高。在巨額利益驅動下,網絡游戲服務端成為黑客“拖庫”的主要目標。
2008年-2009年,國內信息安全立法和追蹤手段升級,攻擊者針對中國境內網絡游戲的攻擊日趨收斂,殘余攻擊者的操作手法愈加精細和隱蔽,攻擊目標也隨著電子交易系統的發展擴散至電子商務、彩票、境外賭博等主題網站,并通過黑色產業鏈將權限或數據轉換成為現實貨幣。招商加盟類網站也由于其本身數據的商業價值,成為攻擊者的“拖庫”的目標。
2010年,攻防雙方經歷了多年的博弈,通過收集分析管理員、用戶信息等一系列被稱作“社會工程學”手段的攻擊效果被廣大黑客認可。
由于獲得更多的用戶信息數據有利于提高攻擊的實際效率,攻擊者將目標指向了擁有大量注冊用戶真實詳細信息的社區及社交網站,并在地下建立起“人肉搜索庫”,只要獲知某用戶常用ID或電子郵件,可以直接搜索出其密碼或常用密碼密文。
一家國際安全公司中國區總裁對財新《新世紀》記者說,天涯、人人網這類站點的賬號信息主要通過后臺龐大的數據庫進行存儲,通過前臺頁面交互和數據庫接口進行數據訪問。由于信息需要通過網絡傳輸,到達操作系統中的數據庫文件,因此在傳輸、調用和存儲等環節都會被黑客利用。
防不勝防
各大網站為自己設置的保護方式包括防火墻、殺毒軟件以及入侵預防系統,但黑客依然如入無人之境。傳統的網絡安全設備對于應用層的攻擊防范,作用十分有限。
防火墻的工作方式,是根據數據包的IP地址或服務端口(Ports)過濾數據包,而不會深入數據包檢查內容。因此,它對于利用合法網址和端口卻從事破壞的活動無能為力。
每種攻擊代碼都具有只屬于它自己的特征,病毒之間通過各自不同的特征互相區別,同時也與正常的應用程序代碼相區別。殺毒軟件就是通過儲存所有已知的病毒特征來辨認病毒,但這意味著它無法應對新“研發”出來的病毒。
作為防火墻和殺毒軟件的補充,入侵偵查系統(Intrusion Detection System,IDS)或入侵預防系統(Intrusion Prevention System,IPS),可以同時結合考慮應用程序或網路傳輸中的異常情況,來輔助識別入侵和攻擊。在必要時,它還可以為追究攻擊者的刑事責任而提供法律上有效的證據。
以前在網絡安全公司做技術負責人、現在一家證券公司做IT維護主管的鄔曉磊告訴財新《新世紀》記者,一般來說,網站都要加防火墻和檢測設備,但是光設備也不一定完全有用,還要看服務器中的設置是否有問題,應用程序上是否有漏洞。服務器漏洞多數是操作系統本身的問題,應用程序的漏洞則是編程嚴謹性的問題。他認為,程序員寫程序以完成功能為主,一般不會太注意安全性。由于Web應用的登錄入口表明了與用戶數據表之間的關聯性,通過入侵Web網站獲得數據庫信息,是針對網站數據庫攻擊的主要入手點。
常見的攻擊手法包括,尋找目標網站程序中存在的SQL注入、非法上傳、后臺管理權限等漏洞。這些漏洞均是應用層或者說是代理層面的安全問題。如果程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患,黑客可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據。
SQL注入是從正常的Web端口訪問,而且看起來跟一般的Web訪問沒什么區別,所以防火墻不會對SQL注入發出警報。如果管理員沒查看IIS日志的習慣,可能被入侵很長時間都不會發覺。
在找到漏洞后,攻擊者通過漏洞添加一個以網頁腳本方式控制網站服務器的后門,而后通過這一后門提升權限,獲得對服務器主機操作系統的控制權,并通過查看網站數據庫鏈接文件,獲得數據庫的鏈接密碼;通過在服務器上鏡像數據庫連接,將目標數據庫中的信息導入至攻擊者本地數據庫,完成拖庫。
一臺計算機有65535個端口,如果把計算機看做一間屋子,65535個端口就可以看做與外界連接所開的65535扇門。有的門是主人特地打開迎接客人的(提供服務),有的門是主人為了出去訪問客人而開設的(訪問遠程服務)。理論上,剩下的其他門都該是關閉著的,但偏偏由于各種原因,很多門都是開啟的。于是就有好事者進入,這扇悄然被開啟的門——就是“后門”。
各類Web應用攻擊包括注入攻擊、跨站腳本、釣魚攻擊、信息泄漏、惡意編碼、表單繞過、緩沖區溢出等。安恒信息負責人指出,許多政府和企業的關鍵業務活動越來越多依賴于Web應用,而現階段的安全解決方案無一例外把重點放在網絡安全層面,致使面臨應用層攻擊發生時,傳統的網絡防火墻、IDS/IPS等安全產品幾乎不起作用。
據安恒信息的實際調研,大部分企業都把業務系統及服務器托管至IDC機房,應用服務器和數據庫服務器在網絡層面和應用層面均沒有采取任何的防護措施,所有服務器的安全防護方面屬于在“裸奔”狀態下運行。
國內多數網站都以明文方式存儲客戶信息,并無加密,即便有加密的也只限于對密碼進行MD5加密,很少會看到其他更高級的加密形式,及除密碼信息外的信息也被加密的情況。而且,不同等級用戶,差別就是用戶表上等級列標識的區別,如果這個標識被篡改,那就沒什么保護可言。普通用戶只有修改自己信息的權限,網站管理員能查看除密碼之外的用戶信息,系統管理員能對服務器上的所有用戶信息進行操作,直接查詢數據庫。一旦管理員個人電腦被操控而沒被發現,黑客就可以獲取數據。
廣州易城信息技術公司總經理陳三堰說,黑客的強大在于他能找到網站的弱點,并能通過此弱點攻破網站;電子商務網站本身的防護相對一般網站都高,最大的問題出現在管理者身上。
需要補課
根據熊貓安全公司防病毒實驗室的最新報告,隱私侵犯和數據竊取將成為明年安全機構關注的焦點,網絡間諜和社交網絡攻擊將成為潮流。預測在2012年,公司和政府部門將成為網絡間諜的主要目標,而手機和平板電腦將成為重要的攻擊對象。
近幾年國外安全事件的特點是:目的性強,組織性強,趨利性強,范圍廣,難定位,大多利用僵尸網絡發起攻擊行為。而這些被攻擊的網站,在黑客面前顯然是落伍了。
鄒曉波告訴財新《新世紀》記者,很多大黑客有自己的0day,就是沒有公布的漏洞,公眾不知道,管理員也不一定知道,攻擊方式層出不窮,法律上很難取證。
“我們在明處、他們在暗處。必須接受這個現實。”他說,“被攻擊是常態,但可以增加黑客攻擊的難度,即使被得手了,也要讓他獲得的數據庫可用價值不大。”
安天實驗室首席架構師肖新光說,過去十余年,中國的Web應用甩開安全飛速狂奔,開發者們憑借自身的勤奮和沖擊力奠定了現有的格局,但也因快速地奔跑遺落了一些東西,比如安全。也許現在是拾起這些棄物的時間了。
中國的安全界則因保守、敏感和很多自身原因,與應用的距離越拉越遠,“在我們還在幻想某些完美的安全圖景時,發現我們已經望不到應用的脊背了。”肖新光說。
京公網安備 11010502049343號