用戶隱私保護(hù)機(jī)制形同虛設(shè)網(wǎng)絡(luò)安全在危機(jī)中鳴響警報(bào)

張淇人

數(shù)億的用戶信息遭泄露，凸顯了中國互聯(lián)網(wǎng)公司的安全機(jī)制如同一道紙糊的墻。

1月11日，“泄密門”發(fā)生的20天后，作為第一個(gè)被公開報(bào)道的受害者，中國軟件開發(fā)聯(lián)盟（以下簡稱CSDN）在北京宣布，將攜手阿里云邁出建立網(wǎng)絡(luò)安全體系的第一步——為開發(fā)者打造安全可信的平臺，從隔離核心數(shù)據(jù)開始。同時(shí)，CSDN公開承認(rèn)包括自己在內(nèi)的國內(nèi)諸多網(wǎng)站的安全意識薄弱問題是導(dǎo)致用戶信息密集泄露的關(guān)鍵。

CSDN所做的一切被業(yè)內(nèi)看作是其挽回不利影響的重要行動。

2011年12月21日，業(yè)界傳出國內(nèi)最大程序員網(wǎng)站CSDN被黑客“成功擊敗”的消息，其超過640萬個(gè)注冊用戶的信息在網(wǎng)上公開。隨后的一周內(nèi)，天涯社區(qū)、人人網(wǎng)、開心網(wǎng)和多玩網(wǎng)等十余家國內(nèi)知名網(wǎng)站近5000萬用戶的信息在網(wǎng)上被黑客公布。

由于遭泄露的網(wǎng)站覆蓋社交、電子商務(wù)甚至個(gè)別政府部門的官網(wǎng)，一夜之間，“泄密門”成為互聯(lián)網(wǎng)上一個(gè)引發(fā)廣泛恐慌的“大事件”。

截至2011年12月29日，根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）統(tǒng)計(jì)，CNCERT通過公開渠道獲得疑似泄露的數(shù)據(jù)庫有26個(gè)，涉及帳號、密碼2.78億條。其中，含有與網(wǎng)站、論壇相關(guān)聯(lián)信息的數(shù)據(jù)庫有12個(gè)，涉及數(shù)據(jù)1.36億條；無法判斷網(wǎng)站、論壇關(guān)聯(lián)性的數(shù)據(jù)庫有14個(gè)，涉及數(shù)據(jù)1.42億條。

有分析指出，中國互聯(lián)網(wǎng)十余年的發(fā)展中，快速擴(kuò)張的互聯(lián)網(wǎng)企業(yè)不知不覺地為自己埋下了安全隱患的種子。對安全投放的不重視，透露出這些企業(yè)沒有把用戶數(shù)據(jù)放在一個(gè)正常的位置，而這無疑是對用戶信息安全的公然漠視。這樣的現(xiàn)狀為黑客提供了良好的獲利環(huán)境，助長了一次次的黑客行動。而網(wǎng)企欠下的賬，在未來必定要陸續(xù)埋單。

擴(kuò)張種下毒瘤

泄密事件發(fā)生后，CSDN創(chuàng)始人、公司總裁蔣濤公開坦承此前并沒有想到數(shù)據(jù)泄露會如此嚴(yán)重。在CSDN擁有不到100臺服務(wù)器，注冊信息只包括郵箱和密碼的情況下，蔣濤一度認(rèn)為，這些注冊信息并不具備太大的隱私性，也不會引起黑客的興趣。

但是，蔣濤和其他“中招”的所有網(wǎng)站都忽略了一個(gè)重要問題——黑客會將盜來的信息用于用戶數(shù)據(jù)更為敏感的網(wǎng)站（如支付寶）進(jìn)行密碼刷庫比對，如果密碼是同一個(gè)，則意味著黑客們能夠輕而易舉地攻入這些網(wǎng)站，從而獲取用戶的敏感資料。

對于這種可能出現(xiàn)的后遺癥，深圳大成天下公司網(wǎng)絡(luò)安全技術(shù)專家吳魯加認(rèn)為，互聯(lián)網(wǎng)用戶的隱私短板，已經(jīng)不再取決于單一企業(yè)，而是取決于所有這些握有大量用戶信息的企業(yè)中的最短板。也就是說，網(wǎng)絡(luò)信息的安全牽系每一個(gè)企業(yè)與個(gè)人。

而據(jù)蔣濤介紹，目前80%以上的互聯(lián)網(wǎng)公司都存在安全漏洞，70%以上的加密算法密碼庫都可以通過高頻碰撞破解，60%以上有安全策略的公司同樣存在著漏洞。

根據(jù)杭州安恒信息技術(shù)公司給CSDN提供的審計(jì)報(bào)告顯示，由于CSDN網(wǎng)站開源系統(tǒng)等第三方系統(tǒng)存在漏洞、應(yīng)用程序存在跨站腳本漏洞等四大問題，使其網(wǎng)站存在安全風(fēng)險(xiǎn)，泄露了大量信息。

“不止CSDN一家網(wǎng)站這樣”資深安全顧問張百川表示，許多網(wǎng)站設(shè)計(jì)之初就只考慮業(yè)務(wù)而不考慮安全性。在試運(yùn)行期間只要功能滿足就驗(yàn)收通過。在網(wǎng)站的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄等五個(gè)階段都沒有一個(gè)安全保護(hù)的考慮。這樣“湊合”用的系統(tǒng)，其安全性之低顯而易見。

根據(jù)CNNIC《第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，2011年上半年，有過賬號或密碼被盜經(jīng)歷的網(wǎng)民達(dá)到1.21億，占24.9%。而卡巴斯基亞太區(qū)產(chǎn)品部經(jīng)理高祎瑋對《IT時(shí)代周刊》表示，盡管近年來針對互聯(lián)網(wǎng)的安全保護(hù)技術(shù)有了很大的提升，但是很多企業(yè)沒有及時(shí)調(diào)整或升級后臺系統(tǒng)。

有業(yè)內(nèi)安全專家向本刊記者透露，國內(nèi)大部分電子商務(wù)網(wǎng)站還停留在防護(hù)墻等傳統(tǒng)的防御技術(shù)層面，對賬戶、密碼等機(jī)密數(shù)據(jù)也沒有明確的訪問規(guī)定監(jiān)控，甚至還采用明文存儲或不安全的加密存儲手段。

而某券商TMT研究部門公布的調(diào)研結(jié)果更能說明問題。該券商的研究數(shù)據(jù)顯示了目前中國互聯(lián)網(wǎng)公司的信息安全支出在整體IT支出中的比例還不到1%，安全性要求比較高的金融行業(yè)也僅在10%，而歐美互聯(lián)網(wǎng)公司的安全支出普遍占到8%-10%。

在安全支出嚴(yán)重低于歐美同行的情形下，中國整個(gè)互聯(lián)網(wǎng)的安全現(xiàn)狀當(dāng)然極不樂觀。而業(yè)內(nèi)人士普遍認(rèn)為“泄密門”最根本的原因正是一些互聯(lián)網(wǎng)企業(yè)沒有建立完善的安全防護(hù)機(jī)制。同時(shí)，他們也認(rèn)為由于網(wǎng)絡(luò)環(huán)境競爭的激烈，互聯(lián)網(wǎng)的發(fā)展一直以擴(kuò)張效率為主導(dǎo)，導(dǎo)致了安全風(fēng)險(xiǎn)或隱患的存在成為一種必然。

國內(nèi)資深網(wǎng)絡(luò)安全專家肖新光就持有類似觀點(diǎn)。他指出，一家網(wǎng)游企業(yè)投入100萬元來加快游戲的開發(fā)速度或增加新的功能，收益就會提前看到，而如果把這筆錢花在安全防護(hù)上，短期內(nèi)不僅看不到收益，還會影響開發(fā)的效率，甚至可能被對手甩在身后。

業(yè)內(nèi)安全專家透露，大部分網(wǎng)企缺少安全維護(hù)團(tuán)隊(duì)及投入，更令人擔(dān)憂的是，與網(wǎng)民隱私財(cái)產(chǎn)息息相關(guān)的國內(nèi)電子商務(wù)網(wǎng)站少有安全部門，設(shè)立了的也不過1-2人。這樣的現(xiàn)狀，其風(fēng)險(xiǎn)不言而喻。

黑客的微妙之傷

中國網(wǎng)絡(luò)安全現(xiàn)狀堪憂，除了互聯(lián)網(wǎng)公司對安全體系建設(shè)的不重視，另一主要原因還在于黑客從中覓到了灰色商機(jī)。于是，一個(gè)似乎可被忽視的問題，變得不容忽視。

近年來，由于金錢利益的驅(qū)動及非法地下交易市場不斷擴(kuò)大，黑客攻擊目標(biāo)從普通用戶轉(zhuǎn)向具有更多用戶資料的企業(yè)數(shù)據(jù)庫。數(shù)據(jù)庫的安全防護(hù)也一直被列為企業(yè)IT部門的重要工作之一，但由于防范措施形同虛設(shè)，導(dǎo)致黑客經(jīng)?！肮馀R”。

僅在2011年7月，黑客對韓國SK通信發(fā)起精密攻擊，就致3500萬用戶信息外泄，而這個(gè)國家的人口總數(shù)僅為5000萬。另有安全廠商RSA被入侵，直接導(dǎo)致多家工業(yè)巨頭遭遇連鎖攻擊，荷蘭電子認(rèn)證公司DigiNotar被入侵后宣告破產(chǎn)。

讓人稍感慶幸的是，中國互聯(lián)網(wǎng)僅是遭受了信譽(yù)損失，至今不見有公司聲稱經(jīng)濟(jì)上有所損失?！斑@一次，黑客是善意的，‘泄密門爆出來的都是以前的庫?！币晃徊辉妇呙陌踩袠I(yè)工程師透露，實(shí)際上，他們手里有最新的庫，但出于對行業(yè)環(huán)境的考慮，沒有把這些庫爆出來。

而事實(shí)上，對于這樣善意的“警告”，在事發(fā)前就有提醒，卻并未被有關(guān)方面重視。

在這次事件中，一個(gè)名為“烏云漏洞平臺”的網(wǎng)站從不為人熟知的專業(yè)平臺一下躍入大眾視野。該平臺大批的黑客在發(fā)現(xiàn)企業(yè)漏洞時(shí)，已經(jīng)將漏洞與補(bǔ)丁傳到網(wǎng)上，但后來出事的多家企業(yè)中居然“無人問津”。

“民間的安全測試平臺一直不受企業(yè)待見，他們扮演的黑客角色與企業(yè)之間多年來形成了微妙關(guān)系。”有業(yè)內(nèi)人士指出，沒有企業(yè)愿意總被人在國內(nèi)常見的網(wǎng)絡(luò)安全問題上“挑錯”，也正因?yàn)槿绱?，更有一些公司極端地認(rèn)為，如果沒有黑客，企業(yè)的漏洞在某種程度上來說就不存在，“只要不暴露，就可以視而不見”。

這樣的愿景無疑是美好的，但部分黑客也有自己的游戲規(guī)則?！氨姸嗟摹诳蜐摲贗T互聯(lián)網(wǎng)公司。”一位不愿透露姓名的黑客表示，這些人可能白天是某企業(yè)的安全工程師，晚上就是黑客。另有傳言，竊取CSDN用戶數(shù)據(jù)也為某網(wǎng)企技術(shù)人員所為。而盜賣公司內(nèi)部信息是公開的地下商業(yè)交易，監(jiān)守自盜在中國互聯(lián)網(wǎng)公司內(nèi)部屢見不鮮。甚至有知情人士透露，一些大的互聯(lián)網(wǎng)企業(yè)甚至直接“招安”黑客，將其納入麾下。有的小網(wǎng)站每月給黑客上交1萬元到2萬元的“保護(hù)費(fèi)”。

“如果企業(yè)愿意對黑客指出的漏洞給予相應(yīng)的重視，并采取補(bǔ)救措施，危機(jī)可能還是會爆發(fā)，但肯定不會這么嚴(yán)重?！卑踩袠I(yè)工程師表示，對于這次事件，落后的防護(hù)技術(shù)僅是誘因，本質(zhì)還是對安全防范投入的態(tài)度問題，同樣也是一個(gè)程序員的基本素養(yǎng)。

為此，高祎瑋對《IT時(shí)代周刊》強(qiáng)調(diào)，名為Anonymous的黑客組織曾在去年7、8月攻擊了美國多個(gè)警察部門，甚至美國國防部的信息安全咨詢公司，所以無論多高級的安全設(shè)備，多專業(yè)的安全知識，如不能在工作中嚴(yán)格應(yīng)用及遵守，企業(yè)網(wǎng)絡(luò)安全都將是空中樓閣。

而就在本刊的截止發(fā)稿日，經(jīng)過北京網(wǎng)警的調(diào)查，北京市公安局外宣處的工作人員表示，今年1月10日已有兩名涉案黑客被抓，詳情還在調(diào)查中。次日，有接近工信部通信保障局的人士透露，該部門對泄密事件的調(diào)查工作已經(jīng)“告一段落”。

也正如中國計(jì)算機(jī)學(xué)會理事潘柱廷所說，熱熱鬧鬧的社會事件結(jié)束后，應(yīng)當(dāng)是認(rèn)真地在法律、技術(shù)等方面尋找長效機(jī)制的時(shí)候了。