互聯(lián)網(wǎng)安全：遠(yuǎn)未結(jié)束的戰(zhàn)爭

何菲

實(shí)現(xiàn)與所有人的連接——這是互聯(lián)網(wǎng)發(fā)展帶來的誘惑，也是威脅的來源。在人們通過社交平臺、電商網(wǎng)站、郵件和網(wǎng)絡(luò)支付等途徑實(shí)現(xiàn)信息與信息、人與信息、人與實(shí)物的交流時，木馬、病毒與黑客也在尋找他們。移動互聯(lián)網(wǎng)時代，后者的隊(duì)伍變得更為復(fù)雜，人類也被暴露在更為脆弱的安全環(huán)境中。

技術(shù)與工具本身無法用道德評判，它們只是在遵循自我發(fā)展規(guī)律的過程中，對人性的善惡提出考驗(yàn)。在人們高估了自己對于技術(shù)的駕馭能力的時候，來自技術(shù)的反噬也會警告人們：戰(zhàn)爭遠(yuǎn)未結(jié)束。

4月8日這一天，網(wǎng)絡(luò)安全專家、奇虎360副總裁兼首席隱私官譚曉生及其團(tuán)隊(duì)就打了兩起重大的互聯(lián)網(wǎng)安全漏洞防御戰(zhàn)。

當(dāng)天是已經(jīng)服役13年的XP系統(tǒng)停止服務(wù)的日子。XP停止安全更新后，XP用戶將面臨更多的漏洞威脅。針對微軟停服后的XP安全保護(hù)，360安全衛(wèi)士推出了XP盾甲，由應(yīng)用加固、隔離防護(hù)、系統(tǒng)加固、補(bǔ)天熱補(bǔ)丁四大引擎組成。其中，應(yīng)用加固引擎是第一道防線，保護(hù)IE、Office等經(jīng)常被漏洞攻擊的應(yīng)用程序，使得惡意代碼無法通過漏洞進(jìn)入用戶電腦運(yùn)行。

4月9日凌晨，微軟向全球用戶發(fā)布了四個安全補(bǔ)丁，修復(fù)了Windows和IE、Office軟件漏洞，這也是微軟最后一次為Windows XP打補(bǔ)丁。在微軟全球官方網(wǎng)站最新發(fā)布的安全軟件推薦名單中，微軟官方共推薦了24家安全企業(yè)的產(chǎn)品。與此同時，360向繼續(xù)使用XP的網(wǎng)民的提出如下安全建議：1、不輕易點(diǎn)擊陌生人發(fā)來的網(wǎng)址鏈接，盡量訪問知名正規(guī)的網(wǎng)站；2、不隨意下載運(yùn)行來源可疑的文件；3、安裝具有漏洞防護(hù)能力的360XP盾甲安全軟件，可以避免系統(tǒng)被黑客入侵控制。

當(dāng)天下午，這起防御戰(zhàn)暫告一段落，譚曉生結(jié)束了360盾甲對外溝通會的主持工作，剛剛回到辦公室，互聯(lián)網(wǎng)安全領(lǐng)域又發(fā)生了另一起重大事件。

OpenSSL（為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議）爆出了本年度最嚴(yán)重的安全漏洞。SSL是一種目前在互聯(lián)網(wǎng)上應(yīng)用最廣泛也最流行的加密技術(shù)，可以保護(hù)用戶通過互聯(lián)網(wǎng)傳輸?shù)碾[私信息。多數(shù)SSL加密的網(wǎng)站都使用名為OpenSSL的開源軟件包，有一種說法認(rèn)為，這算是互聯(lián)網(wǎng)上市場占有率最高的“鎖”。各大網(wǎng)銀、電商網(wǎng)站、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上都在廣泛使用這道鎖。

在正常情況下，有了這道鎖，第三方無法讀取用戶與該網(wǎng)站之間的任何通訊信息，在后臺，通過SSL加密的數(shù)據(jù)只有接收者才能解密。如果不法分子監(jiān)聽了用戶的對話，也只能看到一串隨機(jī)字符串而非具體內(nèi)容。

在黑客社區(qū)中，4月8日爆出的漏洞被命名為“心臟出血”，這是具毀滅性的堪稱網(wǎng)絡(luò)核彈級別的漏洞。利用這一漏洞，黑客只需要在電腦前，就可以實(shí)時獲取到許多以https開頭網(wǎng)址的用戶登錄賬號密碼，涉及大批網(wǎng)銀、知名購物網(wǎng)站、網(wǎng)上支付和電子郵箱等眾多網(wǎng)站。

這個漏洞十分頑固，即使用戶電腦本身是安全的，只要網(wǎng)站使用了存在漏洞的OpenSSL版本，用戶登錄該網(wǎng)站時就可能被黑客實(shí)時監(jiān)控到登錄賬號和密碼。對此，多家安全廠商表示發(fā)布緊急預(yù)警，提醒各大互聯(lián)網(wǎng)服務(wù)商盡快修復(fù)該漏洞，并提示用戶在此漏洞得到修復(fù)前，暫時不要在受到漏洞影響的網(wǎng)站上登錄賬號。其中，360迅速向12萬網(wǎng)站用戶發(fā)送提醒郵件，提醒廣大站長盡快將OpenSSl升級至 1.0.1g 版本，以修復(fù)該漏洞。同時，360網(wǎng)站衛(wèi)士推出OpenSSL漏洞在線檢查工具，輸入相關(guān)網(wǎng)址就能檢測網(wǎng)站是否存在該漏洞。來自360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室的檢測結(jié)果顯示，全球開放443端口的主機(jī)共有40，041，126個，受OpenSSl“心臟出血”漏洞影響的主機(jī)有32，335個。

安全漏洞的嚴(yán)重性遠(yuǎn)非技術(shù)本身所能抗衡。變異的黑客文化及其地下產(chǎn)業(yè)鏈正不斷放大安全風(fēng)險(xiǎn)。2011年12月，中國互聯(lián)網(wǎng)爆出史上最大規(guī)模的用戶信息泄露事件，不到一周的時間內(nèi)，多家大型網(wǎng)站的用戶數(shù)據(jù)庫被泄露，幾千萬用戶賬號和密碼被公開。這還只是黑客交易市場中流傳很久的老舊數(shù)據(jù)庫，不同黑客組織實(shí)際掌握的用戶數(shù)據(jù)庫規(guī)模應(yīng)該遠(yuǎn)大于1億條，中國黑客的黑色產(chǎn)業(yè)鏈規(guī)模價值已達(dá)上百億元。

隨著這幾年電商網(wǎng)站、網(wǎng)銀、社交平臺和網(wǎng)絡(luò)支付等產(chǎn)業(yè)的發(fā)展，上述數(shù)據(jù)正在不斷疊加中。

歡迎來到裸奔時代。通過“掛馬和抓“肉雞”盜賣網(wǎng)游裝備，這是相對簡單的做法。網(wǎng)游產(chǎn)業(yè)營收有相當(dāng)一部分來自于玩家購買高級裝備的收入，一些裝備甚至可以賣到數(shù)千元甚至上萬元，對于普通黑客而言，這簡直就是送錢上門的領(lǐng)域。更高級別的是刷庫，即黑客入侵網(wǎng)站服務(wù)器，盜取數(shù)據(jù)庫內(nèi)的資料。曾有黑客因?yàn)樗煲灰怪g獲利600萬元。

“現(xiàn)在的黑客文化和我們早年所知道的有了很大不同?！弊T曉生感嘆。在他上世紀(jì)九十年代初剛畢業(yè)那會兒，黑客的核心價值觀是“所有信息的傳播應(yīng)該是自由的?！北M管這一說法也存在爭議，但當(dāng)時的黑客們“還頗有點(diǎn)騎士精神?！庇行┖诳蛢H僅是測試某個系統(tǒng)的漏洞，一旦攻入，還會給對方留言，提示你該打補(bǔ)丁了。這類黑客行為的動機(jī)有時候是為了在技術(shù)上獲得成就感。

隨著互聯(lián)網(wǎng)的商業(yè)化以及相關(guān)產(chǎn)業(yè)所呈現(xiàn)出來的誘人的市場規(guī)模和商業(yè)誘惑，黑客價值觀已經(jīng)發(fā)生了變異。“黑客教父、《地球目錄全編》的作者斯圖爾特·布蘭德（Stewart Brand）在首屆黑客大會上表示：“一方面，人們希望以高價出售信息，因?yàn)檫@些信息十分有價值；另一方面，人們希望信息是免費(fèi)的，因?yàn)楂@得信息的成本不斷降低。”

上述威脅一直存在，甚至波及的不僅是商業(yè)領(lǐng)域，還包括政府部門——信息安全一直是大國之間的重要攻防領(lǐng)域。在中國，盡管幾大互聯(lián)網(wǎng)公司都推出了自己的安全防護(hù)產(chǎn)品，但安全專家這一群體仍然有待獲得更多的重視。

“這些年，國內(nèi)安全專家被美國挖走的不在少數(shù)?！弊T曉生說，“有時候我們會開玩笑說實(shí)際上攻防戰(zhàn)雙方的主力都是中國人?！痹谝恍┕纠?，互聯(lián)網(wǎng)安全專家被認(rèn)為是要下決心才能養(yǎng)起來的群體，盡管關(guān)鍵時刻這群人可以挽救數(shù)千萬元甚至上億的損失，但他們的價值并非每天都能被覺察到。人們也習(xí)慣了互聯(lián)網(wǎng)安全防護(hù)的免費(fèi)系統(tǒng)和免費(fèi)服務(wù)，即使在針對企業(yè)用戶的市場，360也是推行的免費(fèi)策略。

不少產(chǎn)品經(jīng)理也對安全防護(hù)缺乏足夠的警惕。為了讓用戶在購物或購買服務(wù)時獲得所謂更好的體驗(yàn)，產(chǎn)品設(shè)計(jì)者會保存用戶的一些數(shù)據(jù)，簡化操作流程，這其中就包括涉及用戶關(guān)鍵信息和隱私的公司。存儲用戶信息、明文保存用戶密碼，便是在追求所謂良好的用戶體驗(yàn)過程中的不規(guī)范行為。

不久前發(fā)生的攜程信用卡安全支付漏洞事件仍然讓人們記憶猶新。3月22日，專業(yè)漏洞報(bào)告平臺烏云網(wǎng)披露，攜程開啟了用戶支付服務(wù)借口的調(diào)試功能，攜程安全支付日志可下載，導(dǎo)致用戶銀行卡信息泄露（包含持卡人姓名、身份證、銀行卡號、卡CVV碼、6位卡Bin）。

事發(fā)之后，攜程在微博道歉，并稱已在兩小時內(nèi)修復(fù)了這個漏洞，攜程用戶信息未受影響。然而人們的疑慮并沒有消除，信息泄露的陰云依然揮之不去。

“保存用戶信用卡CVV碼，用戶可能在享受服務(wù)的過程中覺得很爽很便利?！弊T曉生認(rèn)為，這可能是一些網(wǎng)站在一味追求用戶體驗(yàn)的過程中的行為動機(jī)。然而，攜程保存客戶信息、特別是對用戶的CVV代碼的記錄這一做法違反了銀聯(lián)的規(guī)定。令人感到匪夷所思的是，攜程支付頁面顯示其通過了PCI認(rèn)證，而PCI-DSS（第三方支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）明確規(guī)定了不允許存儲CVV。

在線購物和商旅網(wǎng)站以及網(wǎng)絡(luò)支付這些年獲得了長足的發(fā)展，2013年，互聯(lián)網(wǎng)金融在中國也涌現(xiàn)出許多突破邊界的創(chuàng)新，堪稱中國互聯(lián)網(wǎng)金融元年。攜程這起嚴(yán)重的信用卡信息泄露事件，無疑是一次警告：在任何一個高速發(fā)展的領(lǐng)域，即使行業(yè)可能呈現(xiàn)野蠻生長的態(tài)勢，但互聯(lián)網(wǎng)安全技術(shù)與危險(xiǎn)防范意識、相關(guān)產(chǎn)品設(shè)計(jì)和監(jiān)管機(jī)制卻充當(dāng)了守門人的角色之一。安全問題可能危及的不止是一家公司，而是一個行業(yè)。

這需要產(chǎn)品設(shè)計(jì)人員和相關(guān)公司具有一定的黑客思維?！霸诖蟛糠秩搜劾?，會覺得網(wǎng)絡(luò)是有一堵墻的，哪兒出現(xiàn)了漏洞比如上面的磚塊松動或掉了，就把哪兒補(bǔ)上。”譚曉生打了一個比方，“但在網(wǎng)絡(luò)安全專家眼里，根本就沒有墻，只有那么幾塊磚，整個網(wǎng)絡(luò)就是一個遍布漏洞的大篩子?！边@意味著，攻防是相長的，做安全防御的人必須了解攻者的思維，才能進(jìn)行有效的防御。

在這么一個巨大的篩子面前，除了不斷筑墻，進(jìn)行安全隔離之外，互聯(lián)網(wǎng)安全公司還試圖通過提高網(wǎng)絡(luò)詐騙犯罪成本來降低網(wǎng)絡(luò)詐騙發(fā)生率，防止用戶被頻頻釣魚。

目前，360就針對XP用戶推出了網(wǎng)購先賠計(jì)劃，從4月8日起，360網(wǎng)購先賠在原有賠付條件下，將翻倍提升XP用戶的保障金額度，開啟“XP盾甲”的用戶，若因360安全衛(wèi)士未防住釣魚或木馬而遭受損失，即可享受360單筆最高6000元的現(xiàn)金賠償。“這意味著用戶的交易過程將被記錄下來，因?yàn)榫W(wǎng)絡(luò)詐騙案件的一個調(diào)查難點(diǎn)就是保存犯罪現(xiàn)場和數(shù)據(jù)。”譚曉生說。這一過程將被記錄在用戶本地電腦上，一旦被釣魚，用戶可以上傳這些數(shù)據(jù)便于公司展開調(diào)查。

同時兼任公司首席隱私官的譚曉生認(rèn)為，用戶也需要提高防范意識，因?yàn)橐粋€不可逆轉(zhuǎn)的趨勢是：人們會為了獲得更多的便利與服務(wù)而讓渡自己的隱私權(quán)利。