用戶隱私保護(hù)機(jī)制形同虛設(shè)網(wǎng)絡(luò)安全在危機(jī)中鳴響警報(bào)

張淇人

數(shù)億的用戶信息遭泄露，凸顯了中國(guó)互聯(lián)網(wǎng)公司的安全機(jī)制如同一道紙糊的墻。

1月11日，“泄密門”發(fā)生的20天后，作為第一個(gè)被公開(kāi)報(bào)道的受害者，中國(guó)軟件開(kāi)發(fā)聯(lián)盟（以下簡(jiǎn)稱CSDN）在北京宣布，將攜手阿里云邁出建立網(wǎng)絡(luò)安全體系的第一步——為開(kāi)發(fā)者打造安全可信的平臺(tái)，從隔離核心數(shù)據(jù)開(kāi)始。同時(shí)，CSDN公開(kāi)承認(rèn)包括自己在內(nèi)的國(guó)內(nèi)諸多網(wǎng)站的安全意識(shí)薄弱問(wèn)題是導(dǎo)致用戶信息密集泄露的關(guān)鍵。

CSDN所做的一切被業(yè)內(nèi)看作是其挽回不利影響的重要行動(dòng)。

2011年12月21日，業(yè)界傳出國(guó)內(nèi)最大程序員網(wǎng)站CSDN被黑客“成功擊敗”的消息，其超過(guò)640萬(wàn)個(gè)注冊(cè)用戶的信息在網(wǎng)上公開(kāi)。隨后的一周內(nèi)，天涯社區(qū)、人人網(wǎng)、開(kāi)心網(wǎng)和多玩網(wǎng)等十余家國(guó)內(nèi)知名網(wǎng)站近5000萬(wàn)用戶的信息在網(wǎng)上被黑客公布。

由于遭泄露的網(wǎng)站覆蓋社交、電子商務(wù)甚至個(gè)別政府部門的官網(wǎng)，一夜之間，“泄密門”成為互聯(lián)網(wǎng)上一個(gè)引發(fā)廣泛恐慌的“大事件”。

截至2011年12月29日，根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）統(tǒng)計(jì)，CNCERT通過(guò)公開(kāi)渠道獲得疑似泄露的數(shù)據(jù)庫(kù)有26個(gè)，涉及帳號(hào)、密碼2.78億條。其中，含有與網(wǎng)站、論壇相關(guān)聯(lián)信息的數(shù)據(jù)庫(kù)有12個(gè)，涉及數(shù)據(jù)1.36億條；無(wú)法判斷網(wǎng)站、論壇關(guān)聯(lián)性的數(shù)據(jù)庫(kù)有14個(gè)，涉及數(shù)據(jù)1.42億條。

有分析指出，中國(guó)互聯(lián)網(wǎng)十余年的發(fā)展中，快速擴(kuò)張的互聯(lián)網(wǎng)企業(yè)不知不覺(jué)地為自己埋下了安全隱患的種子。對(duì)安全投放的不重視，透露出這些企業(yè)沒(méi)有把用戶數(shù)據(jù)放在一個(gè)正常的位置，而這無(wú)疑是對(duì)用戶信息安全的公然漠視。這樣的現(xiàn)狀為黑客提供了良好的獲利環(huán)境，助長(zhǎng)了一次次的黑客行動(dòng)。而網(wǎng)企欠下的賬，在未來(lái)必定要陸續(xù)埋單。

擴(kuò)張種下毒瘤

泄密事件發(fā)生后，CSDN創(chuàng)始人、公司總裁蔣濤公開(kāi)坦承此前并沒(méi)有想到數(shù)據(jù)泄露會(huì)如此嚴(yán)重。在CSDN擁有不到100臺(tái)服務(wù)器，注冊(cè)信息只包括郵箱和密碼的情況下，蔣濤一度認(rèn)為，這些注冊(cè)信息并不具備太大的隱私性，也不會(huì)引起黑客的興趣。

但是，蔣濤和其他“中招”的所有網(wǎng)站都忽略了一個(gè)重要問(wèn)題——黑客會(huì)將盜來(lái)的信息用于用戶數(shù)據(jù)更為敏感的網(wǎng)站（如支付寶）進(jìn)行密碼刷庫(kù)比對(duì)，如果密碼是同一個(gè)，則意味著黑客們能夠輕而易舉地攻入這些網(wǎng)站，從而獲取用戶的敏感資料。

對(duì)于這種可能出現(xiàn)的后遺癥，深圳大成天下公司網(wǎng)絡(luò)安全技術(shù)專家吳魯加認(rèn)為，互聯(lián)網(wǎng)用戶的隱私短板，已經(jīng)不再取決于單一企業(yè)，而是取決于所有這些握有大量用戶信息的企業(yè)中的最短板。也就是說(shuō)，網(wǎng)絡(luò)信息的安全牽系每一個(gè)企業(yè)與個(gè)人。

而據(jù)蔣濤介紹，目前80%以上的互聯(lián)網(wǎng)公司都存在安全漏洞，70%以上的加密算法密碼庫(kù)都可以通過(guò)高頻碰撞破解，60%以上有安全策略的公司同樣存在著漏洞。

根據(jù)杭州安恒信息技術(shù)公司給CSDN提供的審計(jì)報(bào)告顯示，由于CSDN網(wǎng)站開(kāi)源系統(tǒng)等第三方系統(tǒng)存在漏洞、應(yīng)用程序存在跨站腳本漏洞等四大問(wèn)題，使其網(wǎng)站存在安全風(fēng)險(xiǎn)，泄露了大量信息。

“不止CSDN一家網(wǎng)站這樣”資深安全顧問(wèn)張百川表示，許多網(wǎng)站設(shè)計(jì)之初就只考慮業(yè)務(wù)而不考慮安全性。在試運(yùn)行期間只要功能滿足就驗(yàn)收通過(guò)。在網(wǎng)站的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)維和廢棄等五個(gè)階段都沒(méi)有一個(gè)安全保護(hù)的考慮。這樣“湊合”用的系統(tǒng)，其安全性之低顯而易見(jiàn)。

根據(jù)CNNIC《第28次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，2011年上半年，有過(guò)賬號(hào)或密碼被盜經(jīng)歷的網(wǎng)民達(dá)到1.21億，占24.9%。而卡巴斯基亞太區(qū)產(chǎn)品部經(jīng)理高祎瑋對(duì)《IT時(shí)代周刊》表示，盡管近年來(lái)針對(duì)互聯(lián)網(wǎng)的安全保護(hù)技術(shù)有了很大的提升，但是很多企業(yè)沒(méi)有及時(shí)調(diào)整或升級(jí)后臺(tái)系統(tǒng)。

有業(yè)內(nèi)安全專家向本刊記者透露，國(guó)內(nèi)大部分電子商務(wù)網(wǎng)站還停留在防護(hù)墻等傳統(tǒng)的防御技術(shù)層面，對(duì)賬戶、密碼等機(jī)密數(shù)據(jù)也沒(méi)有明確的訪問(wèn)規(guī)定監(jiān)控，甚至還采用明文存儲(chǔ)或不安全的加密存儲(chǔ)手段。

而某券商TMT研究部門公布的調(diào)研結(jié)果更能說(shuō)明問(wèn)題。該券商的研究數(shù)據(jù)顯示了目前中國(guó)互聯(lián)網(wǎng)公司的信息安全支出在整體IT支出中的比例還不到1%，安全性要求比較高的金融行業(yè)也僅在10%，而歐美互聯(lián)網(wǎng)公司的安全支出普遍占到8%-10%。

在安全支出嚴(yán)重低于歐美同行的情形下，中國(guó)整個(gè)互聯(lián)網(wǎng)的安全現(xiàn)狀當(dāng)然極不樂(lè)觀。而業(yè)內(nèi)人士普遍認(rèn)為“泄密門”最根本的原因正是一些互聯(lián)網(wǎng)企業(yè)沒(méi)有建立完善的安全防護(hù)機(jī)制。同時(shí)，他們也認(rèn)為由于網(wǎng)絡(luò)環(huán)境競(jìng)爭(zhēng)的激烈，互聯(lián)網(wǎng)的發(fā)展一直以擴(kuò)張效率為主導(dǎo)，導(dǎo)致了安全風(fēng)險(xiǎn)或隱患的存在成為一種必然。

國(guó)內(nèi)資深網(wǎng)絡(luò)安全專家肖新光就持有類似觀點(diǎn)。他指出，一家網(wǎng)游企業(yè)投入100萬(wàn)元來(lái)加快游戲的開(kāi)發(fā)速度或增加新的功能，收益就會(huì)提前看到，而如果把這筆錢花在安全防護(hù)上，短期內(nèi)不僅看不到收益，還會(huì)影響開(kāi)發(fā)的效率，甚至可能被對(duì)手甩在身后。

業(yè)內(nèi)安全專家透露，大部分網(wǎng)企缺少安全維護(hù)團(tuán)隊(duì)及投入，更令人擔(dān)憂的是，與網(wǎng)民隱私財(cái)產(chǎn)息息相關(guān)的國(guó)內(nèi)電子商務(wù)網(wǎng)站少有安全部門，設(shè)立了的也不過(guò)1-2人。這樣的現(xiàn)狀，其風(fēng)險(xiǎn)不言而喻。

黑客的微妙之傷

中國(guó)網(wǎng)絡(luò)安全現(xiàn)狀堪憂，除了互聯(lián)網(wǎng)公司對(duì)安全體系建設(shè)的不重視，另一主要原因還在于黑客從中覓到了灰色商機(jī)。于是，一個(gè)似乎可被忽視的問(wèn)題，變得不容忽視。

近年來(lái)，由于金錢利益的驅(qū)動(dòng)及非法地下交易市場(chǎng)不斷擴(kuò)大，黑客攻擊目標(biāo)從普通用戶轉(zhuǎn)向具有更多用戶資料的企業(yè)數(shù)據(jù)庫(kù)。數(shù)據(jù)庫(kù)的安全防護(hù)也一直被列為企業(yè)IT部門的重要工作之一，但由于防范措施形同虛設(shè)，導(dǎo)致黑客經(jīng)常“光臨”。

僅在2011年7月，黑客對(duì)韓國(guó)SK通信發(fā)起精密攻擊，就致3500萬(wàn)用戶信息外泄，而這個(gè)國(guó)家的人口總數(shù)僅為5000萬(wàn)。另有安全廠商RSA被入侵，直接導(dǎo)致多家工業(yè)巨頭遭遇連鎖攻擊，荷蘭電子認(rèn)證公司DigiNotar被入侵后宣告破產(chǎn)。

讓人稍感慶幸的是，中國(guó)互聯(lián)網(wǎng)僅是遭受了信譽(yù)損失，至今不見(jiàn)有公司聲稱經(jīng)濟(jì)上有所損失。“這一次，黑客是善意的，‘泄密門爆出來(lái)的都是以前的庫(kù)。”一位不愿具名的安全行業(yè)工程師透露，實(shí)際上，他們手里有最新的庫(kù)，但出于對(duì)行業(yè)環(huán)境的考慮，沒(méi)有把這些庫(kù)爆出來(lái)。

而事實(shí)上，對(duì)于這樣善意的“警告”，在事發(fā)前就有提醒，卻并未被有關(guān)方面重視。

在這次事件中，一個(gè)名為“烏云漏洞平臺(tái)”的網(wǎng)站從不為人熟知的專業(yè)平臺(tái)一下躍入大眾視野。該平臺(tái)大批的黑客在發(fā)現(xiàn)企業(yè)漏洞時(shí)，已經(jīng)將漏洞與補(bǔ)丁傳到網(wǎng)上，但后來(lái)出事的多家企業(yè)中居然“無(wú)人問(wèn)津”。

“民間的安全測(cè)試平臺(tái)一直不受企業(yè)待見(jiàn)，他們扮演的黑客角色與企業(yè)之間多年來(lái)形成了微妙關(guān)系。”有業(yè)內(nèi)人士指出，沒(méi)有企業(yè)愿意總被人在國(guó)內(nèi)常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題上“挑錯(cuò)”，也正因?yàn)槿绱耍幸恍┕緲O端地認(rèn)為，如果沒(méi)有黑客，企業(yè)的漏洞在某種程度上來(lái)說(shuō)就不存在，“只要不暴露，就可以視而不見(jiàn)”。

這樣的愿景無(wú)疑是美好的，但部分黑客也有自己的游戲規(guī)則。“眾多的‘黑客潛伏在IT互聯(lián)網(wǎng)公司。”一位不愿透露姓名的黑客表示，這些人可能白天是某企業(yè)的安全工程師，晚上就是黑客。另有傳言，竊取CSDN用戶數(shù)據(jù)也為某網(wǎng)企技術(shù)人員所為。而盜賣公司內(nèi)部信息是公開(kāi)的地下商業(yè)交易，監(jiān)守自盜在中國(guó)互聯(lián)網(wǎng)公司內(nèi)部屢見(jiàn)不鮮。甚至有知情人士透露，一些大的互聯(lián)網(wǎng)企業(yè)甚至直接“招安”黑客，將其納入麾下。有的小網(wǎng)站每月給黑客上交1萬(wàn)元到2萬(wàn)元的“保護(hù)費(fèi)”。

“如果企業(yè)愿意對(duì)黑客指出的漏洞給予相應(yīng)的重視，并采取補(bǔ)救措施，危機(jī)可能還是會(huì)爆發(fā)，但肯定不會(huì)這么嚴(yán)重。”安全行業(yè)工程師表示，對(duì)于這次事件，落后的防護(hù)技術(shù)僅是誘因，本質(zhì)還是對(duì)安全防范投入的態(tài)度問(wèn)題，同樣也是一個(gè)程序員的基本素養(yǎng)。

為此，高祎瑋對(duì)《IT時(shí)代周刊》強(qiáng)調(diào)，名為Anonymous的黑客組織曾在去年7、8月攻擊了美國(guó)多個(gè)警察部門，甚至美國(guó)國(guó)防部的信息安全咨詢公司，所以無(wú)論多高級(jí)的安全設(shè)備，多專業(yè)的安全知識(shí)，如不能在工作中嚴(yán)格應(yīng)用及遵守，企業(yè)網(wǎng)絡(luò)安全都將是空中樓閣。

而就在本刊的截止發(fā)稿日，經(jīng)過(guò)北京網(wǎng)警的調(diào)查，北京市公安局外宣處的工作人員表示，今年1月10日已有兩名涉案黑客被抓，詳情還在調(diào)查中。次日，有接近工信部通信保障局的人士透露，該部門對(duì)泄密事件的調(diào)查工作已經(jīng)“告一段落”。

也正如中國(guó)計(jì)算機(jī)學(xué)會(huì)理事潘柱廷所說(shuō)，熱熱鬧鬧的社會(huì)事件結(jié)束后，應(yīng)當(dāng)是認(rèn)真地在法律、技術(shù)等方面尋找長(zhǎng)效機(jī)制的時(shí)候了。