系统安全

沦陷的互联网:安全投入不足1%

2011年的岁末,一场不断升级的密码泄露事件,让2011年的互联网“永不寂寞”。从12月21日到12月29日,短短几天,绝大部分知名网站全部沦陷,无一幸免。CSDN、多玩、178游戏、17173、天涯、当当、京东、卓越…… 这是黑客引起的、网站领导的网民更改密码“运动”,让全体网民又有了一次自嘲式的狂欢。 用户信息在互联网上快速传递,好事者更是更改了他人的用户密码,让一些人永远无法再取回自己的账号,有的老网民甚至被抹去了互联网的最初记忆。   这一次,互联网企业的安全短板暴露无遗。互联网公司中有3人来专职负责网站安全的规模都是一种奢侈,5人以上算是豪华配制,10人的安全团队只有3家。   一份来自知名券商的报告显示,目前,国内互联网公司的安全支出仅占IT支出的1%,而目前,欧美国家的安全支出占到整个IT支出的8%~10%。   面对大规模的用户信息泄露,企业责无旁贷。但“脆弱”的它们根本无法抵抗“黑客”来袭,甚至是无意识的“缴械投降”。   问责,问责。在这样的风口浪尖,它们几乎都选择沉默,无一企业坦承自己的安全支出明细。内部,各大互联网公司开始了“自查、自究”风暴,希望能够在2012年来临时,获得那张通往安全的船票。    集体沦陷   本次黑客公布了约有1亿个用户账号及密码相关信息   2011年12月21日,金山毒霸产品经理韩正奇在一个网络安全相关的QQ群内下载了一份CSDN用户账号密码文件。同时,他把QQ群内要用迅雷专用工具下载的链接,转换成迅雷快传的下载链接,发到一个朋友圈内的QQ群。   仅仅几分钟,韩正奇传的文件就在专业安全网站“乌云”(wooyun.org)上出现了截图。迅雷不及掩耳,一份包含了600万用户信息的CSDN用户库在互联网上迅速流传。   无论是黑客之间出于“互相炫耀”的心理,还是传说某个商业组织的背后推动,许多原本被装在“安全盒子”里、处于隐秘地方的用户数据库一一被暴晒在阳光下。   2011年12月23日,多玩、梦幻西游通过木马泄露。此后,7K7K、178游戏、人人、猫扑、世纪佳缘等等,全国各大知名网站几乎全部沦陷。   2011年12月25日,天涯被爆其4000万用户数据泄露,这占到其总体6000万用户的60%。   同月26日,当当、京东、凡客等一线电商被推上了风口浪尖。它们爆出用户信息泄露,这其中包括真实姓名、电话号码和收货地址。   同月29日,中国工商银行、交通银行、民生银行被爆出客户信息泄露。就连,通往全球的广东省出入境也有444万用户信息疑被泄露。   “每个互联网公司的用户和密码都有泄露,只是规模大小。”采访中,一位在安全行业多年的工程师告诉记者,大网站、大公司在安全这件事上也不可信。   在密码门事件期间,中国黑客教父goodwell接受媒体采访时称,本次黑客公布了约有1亿个用户账号及密码相关信息,预计“地下黑客”已经掌握了更多的互联网用户账号信息。   在使用“密码泄露查询工具”后,不少网民在微博上坦露心声,自己不止一家网站的用户名与密码泄露。出于方便易记,许多网民将用户名与密码统一起来,或者互相关联。有的使用邮箱进行互相关联。    一位不愿意透露名字的CSDN用户更是苦不堪言,她的CSDN账户信息被泄露,通过一连串关联,搜狐、Gmai、网易、雅虎等邮箱全部无法登录。这些邮 箱是她登录论坛、SNS、支付宝,以及各种购物网站的方式,“绑定”了她所有的互联网生活。由于各个邮箱之间错综复杂的关联,她无法通过密码取回的方式来 取回这些邮箱。于是,“一门攻破,全城皆失”。   危险,并不止于此。智能手机闯入生活,手机开始逐步成为大众互联网生活的主要载体。 “手机上的信息泄露将会更严重,除了泄露用户名和密码,还可以泄露位置。”云计算安全厂商星云融创CEO马杰告诉记者。   目前,PC上的操作系统比较集中(win90%、MAC接近10%、linux是0.1%)。由于操作系统的“独霸天下”,杀毒软件也会比较完善。但是,手机操作系统种类较多,各种APP应用纷繁杂陈。由于安全软件的不完善,许多黑客就盯上了这一有利时机。    “目前,手机上的安全问题并没有全面爆发,但是一旦上网资费大幅下降,手机用户可以‘随时在线’,那么手机黑客产业链也会迅速成熟。”马杰告诉记者,现 在智能手机的CPU统一到ARM架构上,芯片有高通、联发科等厂商,操作系统是iOS、Andriod、 Windows ,它们都在快速融合,这给黑客节省 了“逐个攻破”的成本。   “手机扣费、扣流量都是SP时代玩的花样,智能手机还会带来更多的‘黑客’玩法,如查询用户常去的区域、GPS跟踪、手机购物等等。”星云融创营销总监孙大伟告诉记者。   “我们会生活在一个透明、没有隐私的世界里。”就像电影《楚门的世界》里那样,我们都生活在他人的“监视”之下,只要别人有这样的想法。    企业问责   提供互联网服务的公司无论免费,还是付费,在法律上都有责任保护用户信息   此次暴露出来的CSDN、天涯等网站的用户信息都采用“明文密码”的方式编写。黑客可以轻而易举地攻击网站,拿到用户数据,而“明文密码”根本用不着破解,用户名和密码可以直接读取出来。   “明文方式是极不负责任的做法,企业应该对用户负全责。。”知名IT律师赵占领认为,如果企业对密码进行加密,并设有防火墙,在黑客进行攻击时给予了“抵抗”。如果做到了这些,才算尽到了基本的责任。   不仅如此,“这些企业没有采取有效的补救措施。”赵占领说,修改密码、取回账户的措施还是用户自己来做的。   本报记者采访了10多位密码被泄露的用户,有的“改密码改到手软”;有的冻结了网银,以及一切有过网上交易的银行卡、信用卡;有的“处变不惊”,逢人便说:“改密码有何用,改了还会泄露”;有的更是掷出豪言,“哥我不改了,裸奔就裸奔吧”。   据记者了解,泄露的网站主要通过站内信、公告、邮箱等方式来通知用户。但公告通知的范围有限,活跃用户会看到公告,但是不活跃的用户,甚至连自己的用户名与密码都忘记了。   对于已经是“公开库”的CSDN与天涯来说,由于用户名与密码已经泄露,会使得许多邮箱无故被盗,往邮箱里发邮件,真正的收件人是黑客,或者好事者。   CSDN总裁蒋涛坦承,泄露之后,补救工作不容易。信息泄露后,他立刻找到网易、QQ、263、新浪等邮件服务商进行邮箱通知,争取让真正的用户能够收到修改密码的通知。   马杰告诉记者,机器无法识别登录的用户是被盗用户,还是黑客。虽然可以通过访问行为的对比,来判断这个用户是不是之前那个用户,以此来追踪可疑的行为,但操作起来费时费力、可行性不大。   “在法律上,网站的密码是被黑客窃取,虽然企业不必担负刑事责任,但也需要担负民事责任,或者受到行政处罚。”赵占领指出,用户只需要证明自己的用户名与密码被盗,并且还是网站的过错,就能够进行民事诉讼,即便密码泄露没有造成经济损失。   但有的用户觉得自己使用的是“免费”产品,从道德上,没有理由将这些网站对簿公堂。有的网站甚至在“注册协议”中更是借用“免费”的旗号,将一些基本的法律义务推脱干净。   “免费也是一种‘服务合同’关系,QQ、MSN是‘授权使用’的关系,在法律上都存在合约。”赵占领指出,提供互联网服务的公司无论免费,还是付费,在法律上都有责任保护用户信息。   但现实是,绝大多数网民都自认倒霉,无意维权。“用户往往损失了几十元,但如果要维权,则需要花费几百元,甚至上千元的成本。”赵占领说,这其中还不包括时间成本。   目前,欧美、日本对个人隐私的立法比较完备。无论是“被动”,还是“主动”,一旦网站泄漏了用户信息,网站将面临重额的经济处罚。   2011年4月,索尼PS3有7700万用户信息遭窃,后来索尼正式道歉并对用户做出补偿。有预计称,索尼将赔偿245亿美元。   2004年,日本雅虎约有460万用户的个人信息外漏,日本雅虎向每位用户“赔偿”6美元的购物券,这才息事宁人。   “安全厂商应该加强对员工的管理。”马杰告诉记者,一般,安全公司与员工签订合约时都有个协议,保证在任职期间,不从事任何有违反公众安全的事情,不从事黑客的行为。    安全支出不足1%   “国内公司在安全上的投入的确比较少。”一位在国内知名互联网公司负责安全的技术总监坦承。   从论坛、BBS到SNS、电商,各个网站对安全的IT支出都很少。在给本报的书面回复中,天涯相关负责人透露,天涯的安全支出是100万。京东、当当、多玩、CSDN等公司都对自己的安全支出讳莫如深。   据一家券商TMT研究部门的调研数据,目前中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,欧美的比例是8%~10%。而国内,对安全性要求比较高的金融行业,其安全支出在整个IT支出中占到10%。   互联网行业的安全投入“囊中羞涩”,甚至无法跟上业务的发展步伐。据一位行业人士透露,目前大型B2C购物网站每年的安全投入不过几百万,有的甚至只有几十万。但实际上,这些公司每年的安全运维投入需要达到千万元级别,小一点的网站也需要几百万。   一位互联网安全工程师告诉记者:“大多数互联网网站通过外部的扫描工具就可以发现有明显的漏洞。”他戏谑道,百度这样的网站都被“黑”过,其他网站自然是惨不忍睹。   来自360的报告也印证了这一点。360网站安全检测平台的分析显示,“国内83%以上的网站存在各种安全漏洞,大部分网站基础防护能力薄弱;国内中小型网站普遍没有专职的安全工程师维护,光靠服务器配置防火墙和入侵检测设备,无法有效防御黑客的入侵。”   “目前,只有腾讯、阿里、百度有10位专职安全工程师,安全防护能力较强。其他的互联网上市公司也只有3位~5位专职工程师,有的甚至没有。”前文所述的互联网工程师告诉记者,在互联网企业有5位安全工程师,都算是豪华阵容,相当奢侈。   具体来看,“目前,国内只有几家网站有中高级别的专业安全防护能力、只有浏览量在前100的网站有自己专业的初级安全、运维人员,前1000的网站有安全产品或服务的采购,大部分网站都没有专业的安全团队。”这位互联网安全工程师说道。   “不少网站有着侥幸心理。”一位安全企业技术总监告诉记者,IT技术人才基本集中在IT圈,IT圈觉得自己不去攻击别的行业就不错了,根本没想过自己会被攻击。   出于这样自信的“潜意识”,在规模快速扩张的直接驱动下,网站往往将IT支出放在系统扩容上,在电商类网站尤其如此。在IT支出的硬件、软件、服务/人员三项中,目前,绝大部分支出还集中于硬件,其他两项支出比较少,有的甚至比例更低。    从另一方面来看,建立自己的安全运维团队,需要很大的投入,这也让互联网公司望而却步。马杰告诉记者,企业级的安全防护设备价格高,一台设备一般需要几 十万,甚至几百万。并且,这些网站需要闲置出90%的资源,才能保证峰值时能够访问正常。为此投入的金钱就像个“无底洞”。此外,维护的费用支出也相当 高,这其中主要人力成本,一般一位工程师年薪需要十几万元到二十万元不等,一个网站至少需要3位专业安全工程师。   “互联网公司对自身的 安全内部结构认识有缺陷。”马杰认为,安全最基本的原则应该是假设网站被黑,黑客侵入进来,那么如何控制受损的范围。网站也应知道,哪一个区域不能放明 文,而应该放到与网站服务器之外,进行物理隔离。但实际上,不少网站做安全并没有从“这个假设”出发。   “现在,很多网站的运维工程师也 做着一部分初级安全维护的事情,但远远不够。”马杰认为,安全与运维并不相同。安全是动态的,面对的不是正常的访问、攻击、资料的窃取等活动。而运维的目 的是保证服务器能够被正常访问。许多互联网公司将运维人员当作安全人员来使用,孰不知,安全需要专业团队。   IT支出“薄如蝉翼”,使得网站的安全性大打折扣,这才让用户信息的大规模泄漏成为可能。   “这一次互联网公司可以侥幸逃过,未来则不一定。”赵占领告诉记者,目前,工业和信息化部正在起草个人信息保护条例,未来从法律、法规上来保护用户的权利。事发之后,政府还可以进行行政处罚。   2011年12月28日,工业和信息化部发布通告称,用户信息泄露事件严重侵害了互联网用户的合法权益,危害互联网安全。工信部对窃取和泄露用户信息的行为表示强烈谴责。同时,要求各互联网站要开展全面的安全自查。 《经济观察报》 0 顶一下 RSSリーダーで読むために変換しています まるごとRSS

阅读更多

黑客or侠客:LulzSec值得我们感激_

LulzSec在最近一段时间成为了头条新闻中的字眼。该黑客团体损坏了多个服务器并暴露了一些目标对象的敏感信息,这些受害者包括索尼,PBS,FBI等。 该组织甚至设立了一个热线电话来征询攻击目标。当LulzSec攻击PBS网站的时候在上面放上了一条已故明星Tupac仍在世的假消息。PBS播放过不利于“维基解密”的纪录片,而LulzSec的报复性攻击行为也是对“维基解密”的一种支持。 当LulzSec将矛头指向索尼的时候,似乎与另一桩黑客行为有着微妙联系。George Hotz,一位名不见经传的黑客拿下了索尼PS3游戏控制台,而索尼对其提起诉讼的时候采取了强硬的手段。虽然索尼和Hotz最终达成庭外和解,但是这一结果却无法令黑客组织满意,遂将其作为攻击目标。   尽管笔者并不支持LulzSec或其他黑客组织的肆意攻击行为,但是其较早的攻击行为还较容易为人所接受,因为它似乎彰显了一种“侠义”精神。另一种推断则是这些攻击本身具有复杂性,需要有一种献身精神,同时需要大量时间和人力的投入。   笔者认为自己此前过高估计了这些被攻击对象的网络安全和服务器安全。LulzSec如此轻松地将这些网站拿下说明这些机构对此类攻击缺乏防御能力。   在这种情况下,无论这些攻击是否与一些黑客事件相联系或者仅仅是简单的报复行为,我们都应该感谢LulzSec。为什么?因为这些攻击提高了我们在安全方面的意识,让我们注意到大多数企业的网络和服务器安全工作都不到位。   笔者找过一些安全专家,从他们那里了解到的情况是,大多数人都有些担心自己的服务器成为LulzSec的攻击目标。如果LulzSec渗入安全供应商的网络并将其客户数据曝光,那这些平时教别人如何保护网络和数据安全的供应商似乎更加难以辩解。   事实上,更准确些说是因为安全供应商和研究人员也知道安全缺陷在哪里,或者他们明白世上没有什么安全方案是坚不可摧的,也不存在牢不可破的网络,所以他们不想以身试险。   虽然LulzSec高调拿下这些网站,但他们如此轻而易举地得手也意味着自己很容易成为别人的目标。别仅仅因为自己未曾耳闻这些攻击,就以为这种事情没有发生或不可能发生。LulzSec的攻击应该提高我们在网络安全和数据安全方面的意识,而整个互联网都应该以此为契机在安全方面有所改进,变得更强大。从这一点看,我们要感谢LulzSec。 原文地址/ http://security.networksasia.net/content/lulzsec-deserves-our-gratitude 编译/IT168 0 顶一下 RSSリーダーで見るために変換しています まるごとRSS

阅读更多

伤不起!亚马逊史前最大宕机事件的启示

由于亚马逊在弗吉尼亚州(Virginia)北部的云计算中心宕机,包括回答服务Quora、新闻服务Reddit、Hootsuite和位置跟踪服务FourSquare在内的一些网站受到了影响。这些网站都依靠亚马逊的这个云计算中心提供服务。 亚马逊服务页面显示Virginia北部的数据中心中断。具体如下:

阅读更多

物理内存”说出”网络犯罪证据 山东填补国内空白

随着网络的普及,计算机网络犯罪已成为新的重大社会隐患,人们不知不觉就有可能成为网络犯罪的受害者。 省科学院计算中心的一项技术突破有望改 变这个局面,其自主研发的计算机取证产品“计算机数字证据安全备份与搜索系统”,以计算机物理内存分析为突破口,填补了国内空白。 基于该技术,项目组正在研发的应用系统通用安全监测模块,更有望成为一道公司和个人电脑的“防盗门”,为正加速到来的物联时代网络安全护航。   根据诺顿最新的研究报告,全球65%的互联网用户都遭受过计算机病毒、在线信用卡诈骗、身份信息窃取等犯罪的侵害,而中国则有超过83%的网民在调查中声称自己遭受过上述犯罪活动的侵扰。与传统的犯罪相比,计算机网络犯罪最大的特点是隐蔽性更强、追查十分困难,而传统的在线取证由于很可能改变目标计算机的状态,其效力受到质疑。   项目负责人、省网络重点实验室总工程师、省科学院计算机取证与鉴定实验室主任王连海告诉记者,项目组创新性的以计算机物理内存分析为突破口,通过获取分析目标计算机的物理内存镜像,可以得到计算机上的大量信息,如获取系统进程、系统驱动信息、网络信息、登陆信息、注册表信息以及网络链接等,包括对电子邮件和即时通讯工具、网络提交表单等敏感信息的提取,通过内存分析和回写技术还可进行一些特殊取证。   鉴定专家组认为,该技术通过硬件取证,最大限度地减少了在线取证对目标系统的影响,提高了在线证据的可信性,解决了计算机取证的难题。在多个领域填补了国内空白,核心的物理内存分析技术达到国际领先。   据介绍,项目得到省科技攻关项目、国家自然科学基金等支持,在试点应用过程中创造了良好的经济社会效益。帮助警方侦破了多起重大特大案件,尤其是在侦破窃密、民分、邪教等危害国家安全重大案件的过程中发挥了关键的作用。   目前,省科学院计算中心正与山东正中计算机网络技术咨询有限公司合作,积极开展该技术成果的深化、转化工作,将大大改观我国计算机取证技术落后、产品大量依赖进口的局面。 《大众日报》

阅读更多

CDT/CDS今日重点

十月之声(2024)

【404文库】“再找演员的话,请放过未成年”(外二篇)

【404媒体】“等帘子拉开,模特已经换上了新衣”(外二篇)


更多文章总汇……

CDT专题

支持中国数字时代

蓝灯·无界计划

现在,你可以用一种新的方式对抗互联网审查:在浏览中国数字时代网站时,按下下面这个开关按钮,为全世界想要自由获取信息的人提供一个安全的“桥梁”。这个开源项目由蓝灯(lantern)提供,了解详情

CDT 新闻简报

读者投稿

漫游数字空间