互聯(lián)網(wǎng)泄密背后的一場公民信息攻防戰(zhàn)

互聯(lián)網(wǎng)泄密背后的一場公民信息攻防戰(zhàn)

黑客的隱秘世界去年12月4日，網(wǎng)民“壞小子”在烏云網(wǎng)發(fā)帖，稱CSDN等網(wǎng)站數(shù)據(jù)、密碼被泄露。不久，天涯、人人等網(wǎng)站也被爆出信息泄露。“泄密門”來勢洶洶，引發(fā)軒然大波。元月10日，國家互聯(lián)網(wǎng)信息辦通報系列“泄密門”調查情況時表示，CSDN論壇、天涯泄密其實發(fā)生在兩年前。誰是始作俑者，相關部門正在追查，但能夠確認的是，不論這個人是誰，他一定屬于那個隱秘而強大的存在：黑客。關聯(lián)的平行世界要向普通人準確描述黑客世界，似乎是一件難事。這就好像你如果沒有進入“九又四分之三”號站臺，就永遠不知道霍格沃茲學院，而只會用麻瓜(不會也不相信有魔法的人)思維覺得魔法難以理解。同樣，黑客世界的哈利波特們會“照顧”著麻瓜，不讓他們知道神秘世界的另一面。黑客與公眾，就像兩個互相關聯(lián)的平行世界，大多數(shù)時候，后者對前者一無所知。對此最有力的證明，就來自去年底頻繁曝出的“泄密門”。多名互聯(lián)網(wǎng)業(yè)內(nèi)人士介紹，CSDN論壇泄密文件其實在黑客世界流傳已久?！拔覀€人所知，最早是2007年被拿過一次，之后是前年9月和去年7月?！碧票笫荖ST網(wǎng)絡安全小組創(chuàng)始人之一，他說，CSDN論壇“泄密門”在黑客世界已是公開的秘密。這一說法，和國家互聯(lián)網(wǎng)信息辦調查的結論一致。“黑客”一詞，來自英文“hacker”，是指那些沉迷于技術的電腦高手，帶有褒義色彩。到了現(xiàn)在，黑客的榮光時代早已一去不返，從事網(wǎng)絡破壞的“駭客”占據(jù)了人們視野。就像巫師的世界，袍子的顏色代表著正邪。黑客習慣用白帽、灰帽、黑帽進行群體劃分。白帽黑客，測試網(wǎng)絡和系統(tǒng)性能，來判定它們承受入侵的強弱程度。通常，研究網(wǎng)絡技術防御的人，學術研究人員和專職安全顧問屬于白帽黑客。黑帽黑客正好相反，他們可以被稱為“駭客”?！斑@些人基本上為了金錢什么都可以做。”唐斌說。灰帽黑客介于兩者之間，他們對技術有研究，既懂得防御，又知曉破壞，只是一般情況下不會去破壞。去年9月22日，被譽為“中國黑帽子大會”的COG信息安全論壇召開，公布的《中國黑客背景分析》從技術層面將黑客分為三類：編程代碼類，滲透入侵類和廣大信息安全技術愛好者。不論頭戴哪種顏色的帽子，還是屬于哪一類別，有一點是確定的：黑客與公眾始終是不同的兩個世界。黑客與黑金產(chǎn)業(yè)時過境遷，推動黑客帝國的已經(jīng)不是綠色代碼，而是龐大的利益。2007年，著名的“熊貓燒香”病毒肆虐，一條網(wǎng)絡黑色產(chǎn)業(yè)鏈也浮出水面。涉案人員曾表示，電腦病毒獲利已經(jīng)是一個“比房地產(chǎn)獲利更快、更容易的新型產(chǎn)業(yè)”。唐斌說，他在2007年時就已是湖南黑客聯(lián)盟核心成員，2008年后逐漸淡出了這個圈子，轉做正規(guī)網(wǎng)站?，F(xiàn)在，他仍然有身處其中的朋友，“有人能夠日進十萬?！?0后網(wǎng)民KiSSinGGer，是一名前白帽黑客，在他眼中，黑客世界中最大的誘惑來自于金錢?！昂芏喑鯇W者，對此沒有考慮到后果，一個木馬，一個外掛，能有多難？順手而為。也有做得有名望的人，被人誘騙，但不論怎樣，一踏足就很難脫手。”2007年，互聯(lián)網(wǎng)安全公司瑞星發(fā)布報告稱：“隨著互聯(lián)網(wǎng)的不斷發(fā)展，黑客和病毒制造者也逐漸形成了龐大、完整的集團和產(chǎn)業(yè)鏈，他們分工明確、無孔不入，不斷地尋找各種漏洞并設計入侵/攻擊流程?！痹谶@條產(chǎn)業(yè)鏈上，最上端是黑客入侵者，他們?nèi)肭指鞣N網(wǎng)站或者編寫病毒，傳播之后，盜取各種網(wǎng)絡游戲賬號、即時通訊工具、網(wǎng)上銀行賬號以及各類虛擬財產(chǎn)，最終將這些信息出售。值得關注的是，這條產(chǎn)業(yè)鏈隨著中文互聯(lián)網(wǎng)的發(fā)展，也悄然發(fā)生著產(chǎn)業(yè)轉移。業(yè)內(nèi)人士透露，2008年以前，網(wǎng)絡黑金產(chǎn)業(yè)主要以網(wǎng)游為主，大致步驟是：掛馬入侵，盜取賬號、取得游戲幣、虛擬物品買賣、獲得現(xiàn)金。以2008年為分水嶺，一方面相關部門對掛馬入侵類案件從重打擊，另一方面，互聯(lián)網(wǎng)電子商務時代也開始來臨，電子商務信息變得重要起來，與個人信息的聯(lián)系也日漸緊密。在產(chǎn)業(yè)鏈上，黑客首先獲得用戶賬戶信息，這被稱為“刷庫”，信息被交易到下線則從事“洗庫”，黑客們會細致地通過這些信息去攻破更多的網(wǎng)站，信息最終會被用到各種終端產(chǎn)業(yè)。各類信息中，最基本的聯(lián)絡信息，可被垃圾短信、垃圾廣告商購買；社會關系信息，則可被用于短信詐騙；賬戶信息可賣給網(wǎng)絡水軍；包含有用戶商業(yè)行為分析的數(shù)據(jù)，則會被商業(yè)咨詢機構買走。[數(shù)據(jù)]能夠做到高端rootkit(內(nèi)核級后門/木馬)編寫、漏洞挖掘、深度逆向，根據(jù)漏洞細節(jié)進行代碼實現(xiàn)的編程代碼類高級黑客不超過30人；能夠做到手握各種0day(指系統(tǒng)漏洞信息)，各種國際出口流量，足以影響互聯(lián)網(wǎng)或者獨立滲透各類網(wǎng)站的滲透入侵類高級黑客不超過30人。[密碼]解密和加密的攻防現(xiàn)在，人們可以合理猜測，當哪位黑客打開CSDN的數(shù)據(jù)庫時，也會同樣發(fā)出不敢相信的驚嘆：“竟然是明文的？！”后來人們知道，這么干的還有天涯，數(shù)以千萬計的賬戶因此淪陷。明文密碼，成為了這些網(wǎng)站失陷的第一罪責，然而，采用加密算法就萬無一失了嗎？事實是，“道高一尺，魔高一丈”，在密碼與解密的攻守中，黑客們不會放棄，網(wǎng)絡也沒有絕對安全。密碼是怎樣煉成的明文密碼有點類似我們記憶密碼的方式：當密碼是123時，在大腦中它也被記憶為123。黑客是無法攻進大腦的，所以我們這么干沒問題。但如果面臨危險的網(wǎng)站也這樣干，就好像我們把密碼寫在紙上，然后把紙條放在錢包里。對于網(wǎng)站來說，合理的做法就是對密碼進行加密?！昂唵握f來，就是用函數(shù)對用戶密碼進行加密，得到一個反密文?！睂Ｂ殢氖戮W(wǎng)絡安全的KiSSinGGer舉了一個簡單的例子，如果用戶的密碼是3和5，加密函數(shù)采用了加法，那么反密文得出來就是8，最終保存在網(wǎng)站數(shù)據(jù)庫中的就是8，而不是3和5。不過，加密函數(shù)不可能采用加法這么簡單，因為太過簡單的算法極易被逆推。如果黑客看到了反密文是8，同時知道加密函數(shù)為加法，那么他很容易窮舉出正確答案?，F(xiàn)有的計算機運算能力已十分強大，一般程度下容易被逆推的函數(shù)都是不安全的。因此，加密函數(shù)必然要選擇不容易被逆推出的函數(shù)，實際運用中，人們選擇了哈希算法來進行加密，而MD5(消息摘要算法第五版)則是目前最為通行的加密算法，同樣的還有SHA(安全散列算法)。“需要說明的是，并不是說一旦加密就不可能逆推出來?！盞iSSinGGer說，就像只要有足夠的時間，猴子最終會用打字機敲出莎士比亞的戲劇，理論上，只要有足夠的時間，密碼都是可以被破解的，加密的作用就是讓這個時間變得不可接受。同理，破解密碼則必須是在有效的時間里才有意義。2005年，我國女密碼學家王小云教授先后破解了MD5和SHA-1兩大密碼算法，使得密碼破解時間在現(xiàn)有硬件條件下大大加快。不過，這兩大算法在一般情況下安全性仍可接受，此外，還有很多辦法對破解者設置障礙?！氨热缥覀兂Ｒ姷妮斎腧炞C碼?！盞iSSinGGer說，因為目前電腦并沒有很好的圖形識別能力，驗證碼就可以防止程序進行暴力破解，使得解密的時間成本變得不可接受。更為安全的設置，是多種加密手段并行，典型的就是銀行金融系統(tǒng)。一般而言，銀行都會采用U盾等硬件加密措施，同時還有手機驗證消息等手段?！昂芎唵蔚囊粋€道理，黑客通過一種方式盜取你信息的幾率是千分之一，現(xiàn)在再開一個驗證通道，這個幾率就變成了千分之一相乘，難度一下子就提升了。”KiSSinGGer說。將解密進行到底對于黑客來說，入侵網(wǎng)站服務器是第一步。從原理上來講，我們平常見到的網(wǎng)頁是動態(tài)的，每當用戶有需求時，網(wǎng)頁都會從數(shù)據(jù)庫中取出數(shù)據(jù)，數(shù)據(jù)庫則存在于服務器中。這就要求服務器對過濾用戶指令，而不是接受任何指令，一旦過濾器沒有嚴格過濾，服務器就可以返回黑客想要的數(shù)據(jù)。國內(nèi)眾多網(wǎng)站，直接通過網(wǎng)頁就可以進入后臺頁面，用唐斌的話來講：“知道了你的后臺就知道了你的保險柜在哪里，遲早都會被撬開。黑客們一般都會針對數(shù)據(jù)庫服務器的漏洞進行攻擊，一旦攻破，取得整個庫也不是難事。然而明文密碼畢竟不是主流，取出的密碼很可能是加密的。對此，黑客們也并不是沒有辦法。首先，如果密碼不復雜，就可以像加法一樣進行逆推。比如黑客發(fā)現(xiàn)上面提到的“7a57a5a743894a0e”，就會毫不猶豫地輸入“admin”。在網(wǎng)絡中，還存在著專門的解密網(wǎng)站，提供解密服務，對于一些簡單的密碼破解，成功率可達90%以上。而這背后的原理，則被稱為“碰撞”，即預先針對各種可能的字母組合，生成一個哈希值(一段數(shù)據(jù)唯一且極其緊湊的數(shù)值表示形式)的數(shù)據(jù)庫，再用獲取的密碼和數(shù)據(jù)庫產(chǎn)生“碰撞”，最終破解原始密碼?！芭Ｈ硕际悄脦装賯€G的彩虹表來跑的?！碧票筇岬降牟屎绫?，就是一種龐大的，包含多種算法的預先計算好的數(shù)據(jù)集合。這種工具名字雖然美麗，卻是一種相對“笨拙”的破解方法，理論上越是復雜的密碼，需要的彩虹表也就越大，數(shù)據(jù)量一般都在上百G。事實上，“笨”辦法卻也是非常管用的辦法，而隨著計算機硬件設備的提升，現(xiàn)有的加密方法對黑客來說，終將不成為難題。屆時，新的加密方法和解密方法，又將展開新一輪搏殺。密碼如何設置才安全密碼的安全強度取決于密碼的長度和復雜度。不過，兩者兼?zhèn)涞拿艽a，無疑會加大我們的記憶難度。這里推薦一個來自“果殼網(wǎng)”的設置策略：用統(tǒng)一規(guī)則記住多個不同密碼。基本原理是設置一個“基本密碼+規(guī)則疊加元素”的密碼組合?；久艽a可以用一首歌或者詩的首字母來設置，而規(guī)則疊加元素則可以根據(jù)服務類別的不同，設置為如網(wǎng)站名稱、日期等。[安全]成本和安全的糾結截至2011年12月，我國網(wǎng)民規(guī)模約為5.05億人，這是世界上最大的網(wǎng)民群體，占據(jù)著我國人口37%的比重。毋庸置疑的是，互聯(lián)網(wǎng)世界的安全，對于現(xiàn)實社會的重要性越來越重要。然而，泄密門給我國的互聯(lián)網(wǎng)安全打上一個大大的問號。失控邊緣的網(wǎng)絡元月6日這天，消費者權益保護網(wǎng)站“12315”被黑掉了。名為“瘋狂小強”的網(wǎng)絡安全小組，在被黑的網(wǎng)頁上模仿唐伯虎的《桃花庵歌》留下了一首程序員之歌，結結實實玩了把黑色幽默。類似的事情并不鮮見——幾天前，蒙牛公司官網(wǎng)也一度被黑。網(wǎng)上名為“中國被黑網(wǎng)站統(tǒng)計系統(tǒng)”的網(wǎng)站顯示，每天都有50個左右的中文網(wǎng)頁被黑掉，而從事這些的，大多是剛接觸黑客技術，又急于炫耀的人。他們的技術不算有多精湛，但黑掉的網(wǎng)頁每天都在增長。這些網(wǎng)站多不知名。不過，即便是業(yè)內(nèi)翹楚，其安全情況也不容樂觀。唐斌說，早在去年7月份，他就發(fā)現(xiàn)某微博開放平臺被侵，他向客服發(fā)送了私信，卻一直沒有回音，11月，他的微博賬號出現(xiàn)了十多次異地登錄。泄密門愈演愈烈，引發(fā)的是人們對于互聯(lián)網(wǎng)安全投入的擔憂。據(jù)媒體報道，我國互聯(lián)網(wǎng)安全方面的投入不足1%，而歐美則可以達到8%以上。一邊是對于安全的投入不足，另一邊卻是黑客的猖獗——這將互聯(lián)網(wǎng)推向了失控邊緣。來自某安全廠商的數(shù)據(jù)說明了這一情況：僅2011年上半年，國內(nèi)新增木馬病毒樣本4.48億個(以惡意程序的文件指紋數(shù)量計算)，平均每秒出現(xiàn)29個新木馬，是去年同期的4.46倍，受攻擊的電腦數(shù)量日均則達到452.5萬臺；釣魚網(wǎng)站繼掛馬后成最大的危害，共有1億零53萬人次網(wǎng)民遭釣魚網(wǎng)站侵襲，按照此類詐騙的平均金額計算，直接經(jīng)濟損失至少在百億以上。成本與安全博弈一邊是互聯(lián)網(wǎng)風險，一邊是安全投入，眾多的企業(yè)面臨一個糾結的博弈問題。以CSDN和天涯廣愛詬病的明文密碼保存方式為例，KiSSinGGer認為問題并不是簡單的網(wǎng)絡平臺不用心。“明文密碼是個遺留問題，當技術進步時，必然是在之前的基礎上改進，而這往往不那么容易?！盞iSSinGGer說，以天涯來說，要對大量用戶進行密保升級，一步到位就需要關閉網(wǎng)站一段時間，這對于平臺來說是一個難下的決定，所以必然是分批進行，這中間就會有數(shù)據(jù)遺留，最終導致了數(shù)據(jù)流出?！痹陂L沙開辦網(wǎng)絡安全公司的申仁賢則認為，在安全服務市場，兩極分化嚴重，公司越大越重視安全，越小則越不在乎，這種心態(tài)類似于“光腳不怕穿鞋的”。大公司對此的投入則非常到位，處于尷尬地位的是中間的企業(yè)?！熬W(wǎng)絡安全一分錢一分貨，而且價格曲線還不是線性的，越是做到高端，成本增長就越快?！盞iSSinGGer說，對于一般的企業(yè)，安全項目包括滲透測試，漏洞挖掘等，而外包安全業(yè)務，購買系統(tǒng)的安全解決方案每年花費在百萬元級別，安全成本就成為企業(yè)不得不考慮的問題了。在具體的安全問題上，企業(yè)仍然要考慮自己需要防范的是什么。在泄密門中，網(wǎng)民“盛開”所在的一家成都網(wǎng)頁游戲公司也榜上有名，然而公司并沒有采取什么特別的措施，只是在游戲中通知玩家改密?！皩τ谟螒蚬緛碚f，首先要防范的是外掛產(chǎn)業(yè)。”盛開說，與其花大力氣在密碼上，公司還不如投入精力在玩家被盜后的處理上。隱私保護憂患“這次泄密，其實是對實名制的一種抗議?！本W(wǎng)民“點點”說，CSDN數(shù)據(jù)庫流傳已久，選擇在這個時候放出來，是有目的的。國家互聯(lián)網(wǎng)信息辦通報系列“泄密門”調查情況時也表示：個別人借機企圖干擾和貶損北京等城市正在開展的微博用戶用真實身份信息注冊工作。在法律界人士看來，在相關法律存在漏洞的情況下，實行實名制會產(chǎn)生一些問題?，F(xiàn)在，如果有人留意各大網(wǎng)站的用戶協(xié)議，不難發(fā)現(xiàn)其中天然就存在著“免責條款”，如CSDN論壇就表示用戶對自己的賬戶和密碼負完全責任。于國富說，網(wǎng)絡固然不存在絕對安全，但此類免責條款，在用戶因泄密遭受實際的人身和財產(chǎn)損害時，并不能絕對有效。然而，問題是如果要追究網(wǎng)站責任，用戶需要在網(wǎng)站存在過失和個人遭受損害兩方面進行舉證，這都具有一定困難。打擊互聯(lián)網(wǎng)犯罪方面，我國已經(jīng)有相關法規(guī)。但遺憾的是，我國現(xiàn)行法律并沒有對網(wǎng)站泄露密碼的責任做過多規(guī)定，對個人信息保護也無相關立法。