网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


游侠接受《财经》杂志采访:解码“泄密门”

2012-01-19 16:24 推荐: 浏览: 29 views 字号:

摘要: 2011年已经过去,在这一年的最后几天,一场被媒体称为“中国互联网史上规模最大的泄密事件”突如其来。 自2011年12月21日开始,中国最大开发者技术社区CSDN的600万用户数据被泄露,其中包含极为敏感的用户名、明文密码;次日,垂直游戏网站多玩网被传泄露80...

2011年已经过去,在这一年的最后几天,一场被媒体称为“中国互联网史上规模最大的泄密事件”突如其来。

自2011年12月21日开始,中国最大开发者技术社区CSDN的600万用户数据被泄露,其中包含极为敏感的用户名、明文密码;次日,垂直游戏网站多玩网被传泄露800万用户数据;25日,号称“最有影响力华人论坛”天涯社区4000万用户数据包被疯传;51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等相继被卷入用户数据泄露风波;支付宝、当当网以及京东商城等电子商务网站亦未幸免;29日,网络传言交通银行7000万及民生银行3500万用户卡号、姓名及密码泄露,恐慌感被推至高点,“泄密门”达到高潮。

一时间,各种消息真假难辨,人人自危。

2011年12月28日,国家工业和信息化部(下称工信部)发表声明称,已经启动应急预案。其下属国家互联网应急中心(CNCERT)30日发布数据显示,截至2011年12月29日,已通过公开渠道获得疑似泄露数据库26个,涉及账号、密码2.78亿条。其中具有与网站、论坛相关联信息的数据库有12个,涉及数据1.36亿条;无法判断网站、论坛关联性的数据库有14个,涉及数据1.42亿条。

2012年开年后,中国正式进入“5亿网民”时代,网络又传出新浪7000多万用户信息可被攻破,网络信息安全显现出前所未有的脆弱。

2012年1月10日晚间,国家互联网信息办(下称国信办)就连环泄密事件所做的情况调查通报,却显得风平浪静。通报披露,近期查处的五起信息泄露事件中,最终确认被黑客入侵并遭泄露者仅CSDN和天涯社区两家网站,被入侵均为2009年前的陈年往事;其余数据泄露或为公司内部职员监守自盗,或是“一些人编造或炒作网站用户信息被大规模泄露的消息”。

国信办称,“其中既有出于个人进行炫耀或骗取钱财的目的,也有一些网络安全公司销售人员想以此提高知名度、推销自己的产品,还有个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。”

1月11日,“泄密门”中第一个登场的CSDN在北京召开媒体发布会称,将与阿里云计算有限公司合作,联手为开发者打造一个安全可信的服务平台。闪光灯频照,频受泄密诘问的CSDN以“受害者”形象出现。其余相关信息被泄露的网站亦作出类似反应。

同日,一位接近工信部通信保障局的人士向《财经》记者表示,该部门对泄密事件的调查工作已经“告一段落”。

泄密风暴来得迅猛,淡化也快,在这背后,国内网络信息安全现状仍然脆弱,这意味着反思不够却刻不容缓:黑客产业链如何存在、当如何应对,用户信息泄露如何追责,互联网法制建设仍待健全。

哪些信息丢了:“泄密”实与虚

依据国信办2012年1月10日的通告,此次泄密事件中,最终被判定确实发生了网站、论坛用户数据泄露事件的,仅有CSDN、天涯社区以及广东“YY”语音聊天网站三起。其中除后者属公司员工利用职务之便监守自盗外,前二者皆因2009年以前被黑客入侵致信息泄露。

事件最早披露是在2011年12月4日,黑客“臭小子”(网名)在乌云网上发帖称CSDN等网站数据密码被泄露,并公布泄露的数据包截图。

2010年5月上线的乌云网,定位为“自由平等的”漏洞报告平台,为计算机厂商和安全研究者提供技术上的各种参考以及漏洞bug的修复。截至2011年11月,已有接近4000个安全问题得到反馈和处理。

随后半个多月内,事情并未引发公众关注。直到2011年12月21日,金山毒霸产品经理韩正奇在微博爆料称,CSDN网站的安全系统遭到黑客攻击,包括600万条用户名和密码泄露。一份名为 “CSDN-中文IT社区-600万.rar”的文件在网上疯传。

四天后,12月25日,一份大小为386M的泄露文件“天涯数据.kz”让“泄密门”升级,该文件保存了天涯社区的用户名、密码、邮箱三个数据。经网友验证,大部分数据可登录成功。

事后,CSDN与天涯的回应时机、措辞如出一辙,均称被盗并遭泄露的明文密码数据系2009年前的备份数据,升级后已采取加密保护措施,但并未对泄露规模予以确认。两者亦已在第一时间向当地公安局报案。不过,有用户质疑,2009年后注册的账号也被泄露。

“此次信息泄露并无任何商业目的。”天涯市场部公关经理初蒙向《财经》记者表示不解。据了解,数据为何泄露,为何在年底集中爆发,是公安机关侦查的重点。CSDN董事长蒋涛则告诉《财经》记者,北京市公安局已抓获涉嫌入侵CSDN的黑客。据了解,这两名黑客或为互联网公司的技术人员。

依据国信办通报,其他多起网络传播的社交网站及电子商务网站泄密事件,公众不必多虑:新浪微博、开心网、7K7K网站、当当网、凡客诚品等网站均未被入侵,网上公布的上述网站部分账号密码系有人利用网络远程大规模猜测密码所破解,实施密码破解的人员身份目前已被锁定,公安机关正在实施抓捕。

但与上述说法矛盾的是,在2011年12月28日时,当当网官方已就“当当网1200万用户信息遭泄露”发出公告称,该数据系2011年6月之前的老数据,是由于之前遭到网络黑客攻击被盗取;2012年1月4日,游侠安全网创始人张百川在其网站上发布了新浪微博的漏洞:新浪iask站点存在SQL注入漏洞,利用该漏洞可以读取iask数据库内容,并利用该漏洞成功登录魔术师刘谦的微博进行验证。该帖子称,这涉及到包括明文密码在内的7000多万新浪用户信息。新浪iask官方微博对此回应,在发现该漏洞后已立即进行紧急修复,受影响的账号在30万左右。

国信办通报还称,犯罪嫌疑人要某(网名“我心飞翔”)入侵京东商城网站后,在乌云网发帖称掌握京东商城漏洞,后以公布该安全漏洞要挟京东商城支付270万元。但要某并未窃取、泄露该网站相关数据,因涉嫌敲诈勒索,现被刑事拘留。

而对于“泄密门”高潮,交通银行、民生银行被传泄露数以千万计的用户信息,及卡号、密码、姓名的截图传播,国信办表示,这纯属24岁青年王鹏辉(网名“挨踢客”)凭空捏造,是为提高所在网站知名度的自我炒作,公安机关已对其予以训诫。

通报发布当晚,王鹏辉向《财经》记者表达了委屈,他坚持自己并非捏造者,只是从一个IT交流QQ群里看到信息,出于善意提醒发布到个人网站,并非信息源头。

此外,包括支付宝账户信息在内的更多在网络流传的数据包问题,国信办并未提及。

被“忽略”的还包括广东省公安厅出入境政务服务网网上申请数据泄露问题:2011年6月24日至12月29日期间,在广东申请出入境的用户信息包括真实姓名、出生年月、电话、护照号码、港澳通行证号码等在内的个人信息遭到泄露。该事件已为广东省公安厅证实。网友估计泄露总信息量超过444万条。

令人担忧的是,即便如通报所言,仅有CSDN与天涯社区发生大规模数据泄露,这些账号信息也会对用户关联账户产生巨大危害,并为恶意黑客用做建设密码破解数据库。<br/

>

有网民由此认为:“CSDN明文储存密码,不是技术问题,而是道德问题。”

“整个事件最不可思议的地方在于,像CSDN这样的以程序员和开发为核心的大型网站,居然采用明文存储密码。”专业IT博客“月光博客”撰文表示,“稍微懂一点编程的程序员都知道,为了用户的安全,应该在数据库里保存用户密码的加密信息,最简单的MD5(密码+随机字符串),一般类似UCenter这样的论坛还会将这个信息再MD5一次,这样黑客即使下载了数据库,破解用户密码也不是一件容易的事情。”

对此质疑,CSDN与天涯社区的官方回应表示,早就放弃明文密码这种不负责任的存储方式,所泄露部分只是网站早期账号密码数据库,因历史原因并未及时清理。

蒋涛承认,过去安全意识薄弱:“从来没想过在安全上要做一些什么样的工作。”他回忆,早在2005年,CSDN与国外一家公司谈投资合作,对方的第一个问题就让他大吃一惊,“你的数据是怎么保存的,谁能获得它?”

“因为自认为CSDN是以论坛用户为主的社区,数据并不属于敏感数据,技术网站可能也没有太多商业利益给黑客挖掘。”蒋涛解释。

用户信息泄露后,CSDN请杭州安恒信息技术有限公司对其进行安全审计,结果表明主要有四方面问题:第三方系统漏洞;已停用的老系统;应用程序漏洞;系统后台认证。蒋涛对此表示,“我们有100台服务器,但是只有三名运维人员。”

窃密者为什么:“黑产业”演进

在网络安全圈内,CSDN和天涯网站被“拖库”的消息早有流传。“一年前就听说过了。”张百川告诉《财经》记者。

“拖库”在业内被戏称为“脱裤”,即黑客入侵有价值的网络社区,把会员资料数据库全部盗走,之后再利用这些数据库信息,或开展定点攻击,或利用用户在不同网站通用一套账号和密码的特点来“撞库”,扩大战果。

“拖库”成功后,可以直接将数据整库出售,如卖给被“脱裤”网站的竞争对手,也可以按照数据所蕴含的价值进行“洗库”,即将各种含有虚拟货币、游戏装备和QQ号等账户洗出来,直接或间接变现,几番“洗库”之后,数据库还能卖给产业链的下游——利用账号信息来发送广告、垃圾短信和垃圾邮件的推销公司。

其时,网络信息地下黑色产业链的两大牟利手段“挂马”和“钓鱼”正发生着截然相反的变化。

所谓“挂马”,是指不法分子在网页中嵌入恶意代码,当用户访问这些网页时,会自动下载、激活木马程序,变成受控的“肉鸡”,通过弹出广告、推广流氓软件等方式为远程控制者赚钱;而“钓鱼”则是不法分子模仿银行、购物网站、炒股网站、彩票网站等建立网站,将钓鱼网站和线下诈骗广泛结合,使得诈骗者的犯罪成本急剧下降,跨地区、甚至跨国性犯罪呈上升趋势。

根据瑞星互联网安全报告,2011年上半年截获的“挂马”网站总数目为236万个,比上年同期下降了91.2%,这也是连续第二年以90%以上的幅度下降。原因在于,“挂马”受到各大网络安全公司严重打击,免费杀毒软件在个人终端的普及程度也大幅上升,这种网络攻击手段越来越无利可图。

与之相反,网络“钓鱼”的危害程度达到新高,2011年上半年瑞星截获钓鱼网站218万个,逾1亿零53万人次网民遭钓鱼网站侵袭。按照此类诈骗的平均金额计算,造成直接经济损失至少在百亿元以上。

与此同时,“拖库”作为一种网络犯罪形式日渐流行。在国际上,“拖库”已造成多起重大网络安全事件。例如2011年4月开始,索尼旗下的多个网站陆续被黑客攻陷,约1亿用户个人信息被黑客盗走,该事件导致索尼的直接经济损失超过千万美元,对其声誉和业务的影响更是巨大。

一位不愿具名的某“网络安全俱乐部”组织者透露,在国外一些需要熟人推荐才能加入的地下站点,论坛里会列出求购的网站及相应悬赏报价。“在黑客眼中,库不在大,而在于精。”该组织者对《财经》记者称,曾有个非常小众的国外站点——一个高尔夫球俱乐部社区,“整个库的数据量也就几百M,却卖到了100多万元人民币”。

实际上,“很多人不敢去深度开发,将数据库转手卖掉是最好的获利方式。”游侠安全网创始人张百川说。

根据自2011年9月1日起生效的最高法院、最高检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,获取支付结算、证券交易、期货交易等网络金融服务的账号、口令、密码、数字证书等信息十组以上;获取其他如账号、口令等身份认证信息500组以上;非法控制计算机信息系统20台以上;违法所得5000元以上或者造成经济损失1万元以上,即可判处三年以下有期徒刑等刑罚。如达到上述标准的5倍以上,可处三年以上七年以下有期徒刑。

在纽约证券交易所一家美国上市公司就职的一位企业架构师分析,黑客凭借自身网络技术,找一份体面的工作并不难,大部分人不会去实施犯罪行为,而是游走在边缘地带。从理论上说,黑客的入侵行为都会在网站日志里留下痕迹,一旦犯事,这些蛛丝马迹就会成为破案线索。

然而,数据库所蕴藏的价值极具诱惑,部分黑客依然会实施深度发掘,只不过会主动控制风险。该企业架构师透露,最常见的手法是严格执行对被盗账户的小额操作——即使单个账户中的虚拟货币很多,也只转出一部分,让账户主人很难察觉;即使被发现,由于每个孤立的窃取行为被控制在立案标准以外,账户主人也难以申诉。而且,要立案必然涉及跨地域问题,大大增加了追查成本。

这样,尽管对每个账户攫取的价值不高,但汇集起来就是一个很大的规模。

你安全吗:信息安全家底

安天实验室首席架构师肖新光(网名江海客)告诉《财经》记者,攻击者在此前较长的时间里,获取了大量资源,应是这次泄密事件的前提。而后期的心理跟随效应、一些厂商各有初衷的推动、一些假库和假消息各怀目的的传播,起到了推波助澜的效果,这些影响也会慢慢消散。

然而,“攻击者群体手中还有更多的库是完全有可能的”。肖新光说。

北京神州绿盟信息安全科技股份有限公司(下称绿盟科技)一位网络安全专家甚至称,“几乎所有国内互联网大站都出现过大批量的信息泄露问题”,只是碍于声誉不愿公开。

多位网络安全专家向《财经》记者表示,目前国内网站安全整体现状不容乐观。

这背后的原因,首先是安全意识淡薄。1月6日,在中国计算机学会青年计算机科技论坛上,国家计算机网络应急技术处理协调中心副总工程师杜跃进指出,国内很多网站都是“编程好了就完了,口令写在程序里面,直接在电信运营企业那里跑”,很少有人重视代码安全。

此外,国内网站在信息安全方面的资金投入严重不足,中国的安全市场占全球的比例仅为个位数,安全投入在信息系统建设投入中的比例,与先进国家有太大差距。根据国际数据公司(IDC)数据

联系站长租广告位!

中国首席信息安全官
关闭
关闭