開放社會及其敵人

陳慶春

2011年12月4日，一個名叫“臭小子”的網民在烏云平臺上發布了“中國各大站點數據庫漏洞”，其中包括CSDN、騰訊、當當、天涯、多玩等知名站點名字。但對于一個只有500多名核心注冊用戶的烏云平臺來說，傳播效率并不高。事態進一步擴大化的推手還在于迅雷。

12月21日，金山毒霸產品經理韓正奇用“迅雷快傳”工具將已被泄露的CSDN數據庫，上傳到QQ群內。隨后幾分鐘內，該數據庫便成為網上人盡皆知的信息。韓正奇在公開聲明中稱，“我下載前就已有分享地址。”也就是說，很有可能黑客在交換“黑”來的數據時用的便是迅雷下載工具。

更要命的是，當其他用戶使用迅雷下載軟件時，會看到旁邊的“相關推薦”，比如說“使用了此鏈接的用戶還使用了如下鏈接”，而推薦的這個鏈接便是被泄露的數據庫。所以，即使韓正奇稱自己及時刪除了分享地址，但數據早已被迅雷服務保存下來，并大面積地“相關推薦”下去。

信息安全成為主要矛盾

我們總在暢想一種生活：智能電網能讓我用到最便宜的電，幫我在波谷期購得電量、在波峰期賣出去；我們希望自己接觸到的每一個屏都是智能終端，它適時聯網、幫我們安排生活，下班前家里的電飯煲已經開始為你準備晚餐，你想看的每一場時裝秀都能近在眼前……

我們考慮到了很多美好的未來，似乎唯獨沒有考慮安全，或許有人正在利用智能電網在偷你的電，也或許小偷早已竊取了你的密碼，走進了你的家里，提前幫你享用了晚餐。要知道，一切便利并非憑空而來，從現在可以設想的技術來看，它來自于云計算、物聯網和移動互聯網。而這些是否安全？

國家物聯網基礎標準工作組信息安全項目組負責人陳星說，物聯網至少有三個不安全：其一，物聯網的控制器電量很低，很容易就消耗掉，便不起作用；其二，偷盜者很容易便把RFID標簽扯下來貼上假標簽；其三，如果沒有統一的安全認證標志，接收端任一接收器便可實現接收。正是基于不安全的考慮，國家物聯網基礎標準工作組去年10月份成立了信息安全項目組，只是目前對安全漏洞還處于梳理階段。

人們希望“云”可以監管我們在現實中產生的所有數據，并便捷地應用它。僅以移動醫療為例，一個小小的設備就可遠程監測用戶的健康狀況，但是如果這個設備被黑客控制，監測到用戶有生命危險時也不及時發出通知，那么用戶也許就會因此喪命。“云”的安全系數有多高？

奇虎360副總裁石曉虹列舉了“云”所獨有的安全隱患：“云計算所依賴的虛擬技術，可以讓黑客從一個虛擬機入侵到另一個用戶的虛擬機里面，進而拿走數據；云服務商能否對內部人士做嚴格的權限控制，以防監守自盜，也是一個潛在的安全問題；云端的服務器宕機或者硬盤損壞也是一大安全隱患。”2011年亞馬遜的云平臺便發生了兩次宕機事件，給諸多網站帶來損失。

“1.053億人次網民遭釣魚網站侵襲，給中國網民造成的直接經濟損失在百億元元上下。假淘寶網站、假騰訊網站、假工商銀行網站、假中國銀行網站，占據了釣魚網站的前四位。”《瑞星2011上半年互聯網安全報告》中提到“云攻擊”已成為現實，“云”端安全正在成為防護重點。

CSDN密碼泄露事件的發生，多少是因為我們在享受互聯網的開放和便利時卻忽視了信息的安全。CSDN總裁蔣濤曾說：“原來對安全的認識還停留在相對低的水平上，覺得自己的數據不是什么關鍵數據，別人拿去也沒什么用。” 但他忽視了互聯網上各個站點并非孤立存在這個問題，比如用戶的郵箱就可能成為其他網站的注冊賬號，密碼也可能全部一致，一個網站的賬號和密碼被泄露，有可能會讓該用戶在互聯網上所有的賬號被泄。

而且，互聯網早已不只是提供內容，人們的購物、支付和社交全部都在網上。或許你不是一個重要人物，但與你有關系的朋友可能被發現是一個重要人物，通過你獲知此人的信息就變得有價值了。烏云平臺創建人劍心分析了CSDN數據庫的價值所在，“CSDN是全國程序員聚集的社區論壇，這些人大多是各網站的核心運維人員，知道他們的信息，就等于獲知了該程序員所任職網站的部分技術信息，甚至管理員權限，再去拿該網站的數據庫，也是輕而易舉的事情。”所以，安全界有一部分人認為，其他網站數據庫的泄露可能與“撞庫”并無關系，而是直接入侵獲取。入侵者從發起攻擊,到獲得經濟收益,大致可以分三個步驟：1拖庫:把目標系統的用 戶數據導入或者下載到本地;2洗庫:對數據庫進行層層利用,獲取經濟收益;3撞庫:以大量的用戶數據為基礎,利用用戶相同的注冊密碼習慣,嘗試登錄其他目標網站。（以上是“拖庫—洗庫—撞庫”的示意流程圖。）

另一部分觀點則認為，那么多數據庫可能就是通過“撞庫”而得。盜得游戲網站和支付相關的賬號，便可直接拿來賣錢，根據游戲等級不同所兜售的價值也各不相同，這已經不是秘密；社交網站的賬號，則直接拿來開展營銷、加粉等行為，也可借此獲得更多的聯系人信息；電子商務網站上的賬號信息更加豐富，包括姓名、郵箱、身份、一個或多個住址、手機號、支付信息等。被盜號后最常見的行為是，截獲用戶的訂單信息，代替電子商務網站先送貨給用戶，這可能導致用戶收到假冒偽劣產品，也間接造成電子商務網站退單率的上升。

2月6日，廣州李某在拆快遞包裹時被炸傷。這起案件讓我們重新思考信息的重要性。試想，如果一個人想肆意報復你，只要獲得你在線交易的信息，然后代替網站快遞人員給你送去一顆炸彈便可。當然，電子商務網站的信息還只是冰山一角，那些掌握了數百家電商用戶信息的快遞公司們又會有多大的安全威脅？

毋庸置疑，將現實生活平移到虛擬的互聯網上，會帶來更多的便利。但如果虛擬社會不具備現實生活中的安全系數，那么我們的虛擬生活就變得危機四伏。就像騰訊安全GM楊勇所認為的，隨著虛擬社會現實化程度的提高，網民對安全的定義正在發生變化，“以前講安全是講防病毒，現在要談的是業務安全，防信息泄露、防財產損失，而維系這個安全我們沒有成熟的方法論，每一個互聯網應用都有各自不同的安全特點。所以未來很長一段時間內，信息安全將是這個社會的主要矛盾。”

開放平臺及其敵人

1981年出生的楊勇從2003年開始從事安全工作，2005年開始在騰訊安全部門任職，但經歷過諸多安全事件（比如騰訊曾遭盜號團隊攻擊、去年微博域名曾遭更改等）之后，他只有一個感受，“安全需要日積月累、腳踏實地的工作，我們每上一個應用就需要投入相應的安全人員。”據他介紹，今年視頻將會成為一大熱門應用，騰訊相應地投入應對視頻安全的人員。

騰訊從簡單的IM開始，發展至今已是一個開放平臺，在其上運行的應用正在快速膨脹，騰訊在安全方面的投入也漸次增長，以前做安全的只是幾個運維人員，目前則擁有兩支獨立的安全團隊，一支負責騰訊內網的安全體系維護，另外一支則負責外網。

“多一個應用就多一份風險，安全工作永無止境。”就像楊勇所說，Facebook在安全體系上已經算搭建得比較完善成熟的開放平臺了，但是仍然存在問題。去年5月，賽門鐵克曾質疑，Facebook可能約有10萬個應用程序將用戶信息泄露給第三方機構。通過這些泄露信息的程序，廣告商等機構可以查看用戶個人簡介、照片和聊天記錄等私人資料，并能在用戶頁面上發布信息。賽門鐵克表示，這些程序平均每日安裝次數達2000萬次，而Facebook超過5億用戶的信息都有可能被泄露。目前Facebook上活躍的應用程序超過55萬個，近10億個用戶，它所面臨的安全風險是巨大的。此前，還爆出Facebook所授權的第三方照片分享軟件，需要安裝插件，而這個插件存在安全漏洞，創始人扎克伯格的私密照片還因此被公之于眾。

與Facebook類似的大平臺還有蘋果、Android系統，與Facebook不同的是，它們是中國網民能時刻接觸到的平臺。不過，就算是半開放半封閉的蘋果平臺，也在不斷地遭遇安全漏洞的調整。2月初，蘋果平臺上的一款反社交應用程序——Path（僅限50個好友分享的社交應用），被質疑可以隨時上傳用戶通訊錄，泄露用戶隱私。在質疑聲中，Path只好暫時下架，但與此同時人們也開始在質疑蘋果的審查機制，“因為Path是一款熱門的應用，被人們廣泛接受，而讓蘋果放松審查。”

“平臺越開放，短期內的風險也會更大。”360公司的石曉虹舉了一個例子，開放平臺會開放出API接口，如果平臺審查機制不完善，就會有人做一個程序、植入木馬，放到平臺上（或者把現有的程序下載下來、解包再植入木馬放上去），一旦有人下載便中招。中招的機器便如“肉雞”，做惡人在控制端可以對“肉雞”為所欲為，然后再把“戰場”清理得了無痕跡。 據360公布的安全報告稱，2011年上半年平均每秒出現29個新木馬，是2010年同期的4.46倍，受攻擊的電腦數量日均則達到452.5萬臺。這個數量仍在攀升。

中國的各大社交和開放平臺剛剛開始建立，還談不上大規模應用，卻已經存在各類問題，比如去年底爆出的新浪微博安全漏洞事件。1月4日，一位名叫“網路游俠”的“白帽黑客”在自己的博客上發布了新浪的漏洞：新浪iask站點（愛問搜索應用）存在SQL注入漏洞，利用漏洞可以讀取iask數據庫內容，包括明文密碼在內的7000多萬新浪用戶信息。由于新浪實行“全站一號登錄”，黑客利用這個漏洞還可以獲得新浪微博的相關賬號信息。

有意思的是，“網路游俠”以知名魔術師劉謙的微博為例，通過構造數據庫查詢語句就輕松獲得了劉謙的賬號及密碼信息，并成功登錄。當天晚間，劉謙在微博上轉發該博客，證實此事。不過慶幸的是，“網路游俠”稱，這個漏洞他是在1月1日發現，已及時通知新浪官方，并在新浪修復了該漏洞后才在博客上公布文章，供參考學習之用。

這就是一項應用帶來的安全隱患。我們常常驚喜于互聯網的應用程序正在顛覆從前的各項體驗，卻忽視了0101數字體驗的脆弱性。未來應用勢必無限增多，平臺也勢必無限擴大，而安全隱患則更加難以預料。

手機，貼身的間諜

李濤辦公室的電腦和手機屏幕一塵不染，桌子整潔得讓人無所適從，喝水的茶壺和杯子沒有一絲茶垢，這個有著生活和安全潔癖的人對CSDN數據庫泄露及其連鎖反應并不感到驚訝，他認為未來更大的安全隱患是手機，“互聯網上有的安全隱患，手機全都有，而手機更具隱私性、強關聯性，一旦被入侵后果不堪設想，只是現在還未到爆發的時候。”

去年12月份，國外運營商內置在蘋果、三星、HTC手機內的Carrier IQ（簡稱CIQ）卻意外變成了國際間諜軟件。CIQ是一款內核級別的監測應用，是固化在手機Rom（一種只能讀出事先所存數據的固態半導體存儲器）里面卸載不掉的應用，起初該功能意在幫助國外運營商收集用戶使用行為以便提高用戶服務質量和水平，但結果卻是無需經過用戶的允許且沒有任何的提示就可以自動上傳個人短信、電話、通訊錄、瀏覽器歷史記錄、密碼、鍵盤使用軌跡等多項用戶隱私記錄。

該軟件目前已被預裝在全球約1.41億部手機中。好在未涉及中國運營商，中國境內有此軟件的是為數不多的水貨手機。但去年6月初鬧得沸沸揚揚的“X臥底”軟件著實讓國內手機用戶大驚失色。

“X臥底”安裝后不會啟動任何圖標，也不會給用戶任何提示，一切監聽行為都在后臺自動完成，用戶根本無法感知。“X臥底”軟件實質上就是一種木馬病毒，主要傳播方式便是通過互聯網下載軟件安裝在手機上，或發送短/彩信，誘導用戶點擊后自動安裝。另一種方式則是通過存儲卡拷貝，直接在手機上安裝軟件。

2010年的電影《竊聽風云》中曾有一句這樣的臺詞：“每個人的手機都是一部竊聽器，都能被竊聽。”手機的貼身性和強關系鏈特點，讓其安全性有了更加鮮明的不同之處。但從基本上來說，每臺智能手機都能瀏覽互聯網頁面，它與PC已無二致。正如中國移動安全所所長楊光華所說，“移動互聯網是移動通信網絡和互聯網的結合體，但是由于互聯網的引入，打破了原有移動通信網絡的封閉性，業務復雜多樣，電子商務等方便的付費形式擁有了大量的使用者，這就使得移動互聯網的攻擊更易獲利。”他認為，移動智能終端、移動業務和云計算虛擬化環境等方面成為了主要攻擊目標。

去年12月底發生的一起手機WIFI漏洞事件，正好說明了手機接入互聯網之后增加的另一個新的安全隱患。這起事件涉及360手機精靈、QQ應用助手、豌豆莢守護精靈等3款應用軟件，它們是用于手機與電腦同步的軟件，用戶在手機上安裝上述軟件后，可以把手機連到電腦上以同步數據。但3款軟件在設計上都存在一個缺陷，即沒有嚴格限制手機只能連接用戶個人指定的電腦，導致在手機WIFI打開情況下，有可能遭到來自同一公共WiFi局域網內的黑客攻擊，在某些特殊條件下存在泄露手機信息的可能。

流量扣費、吸費短信、上載通訊錄、植入木馬、竊聽通話等等，手機里面的老問題尚且沒有解決，新問題卻還在層出不窮。手機，這個離我們最近、離錢最近的設備，它的安全防線究竟在哪兒？按照黑客對信息泄露的2年一個周期運作的邏輯來看，安全專家認為，如果說去年是智能手機普及的第一年，那么手機領域的信息泄露爆發時間可能就在今年底或明年初。

也許，專家們這樣的推斷，可以讓你對未來的信息泄露事件有充分的心里準備。