版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
互聯網泄密背后的一場公民信息攻防戰(zhàn)
黑客的隱秘世界去年12月4日,網民“壞小子”在烏云網發(fā)帖,稱CSDN等網站數據、密碼被泄露。不久,天涯、人人等網站也被爆出信息泄露?!靶姑荛T”來勢洶洶,引發(fā)軒然大波。元月10日,國家互聯網信息辦通報系列“泄密門”調查情況時表示,CSDN論壇、天涯泄密其實發(fā)生在兩年前。誰是始作俑者,相關部門正在追查,但能夠確認的是,不論這個人是誰,他一定屬于那個隱秘而強大的存在:黑客。關聯的平行世界要向普通人準確描述黑客世界,似乎是一件難事。這就好像你如果沒有進入“九又四分之三”號站臺,就永遠不知道霍格沃茲學院,而只會用麻瓜(不會也不相信有魔法的人)思維覺得魔法難以理解。同樣,黑客世界的哈利波特們會“照顧”著麻瓜,不讓他們知道神秘世界的另一面。黑客與公眾,就像兩個互相關聯的平行世界,大多數時候,后者對前者一無所知。對此最有力的證明,就來自去年底頻繁曝出的“泄密門”。多名互聯網業(yè)內人士介紹,CSDN論壇泄密文件其實在黑客世界流傳已久?!拔覀€人所知,最早是2007年被拿過一次,之后是前年9月和去年7月?!碧票笫荖ST網絡安全小組創(chuàng)始人之一,他說,CSDN論壇“泄密門”在黑客世界已是公開的秘密。這一說法,和國家互聯網信息辦調查的結論一致?!昂诳汀币辉~,來自英文“hacker”,是指那些沉迷于技術的電腦高手,帶有褒義色彩。到了現在,黑客的榮光時代早已一去不返,從事網絡破壞的“駭客”占據了人們視野。就像巫師的世界,袍子的顏色代表著正邪。黑客習慣用白帽、灰帽、黑帽進行群體劃分。白帽黑客,測試網絡和系統(tǒng)性能,來判定它們承受入侵的強弱程度。通常,研究網絡技術防御的人,學術研究人員和專職安全顧問屬于白帽黑客。黑帽黑客正好相反,他們可以被稱為“駭客”。“這些人基本上為了金錢什么都可以做?!碧票笳f?;颐焙诳徒橛趦烧咧g,他們對技術有研究,既懂得防御,又知曉破壞,只是一般情況下不會去破壞。去年9月22日,被譽為“中國黑帽子大會”的COG信息安全論壇召開,公布的《中國黑客背景分析》從技術層面將黑客分為三類:編程代碼類,滲透入侵類和廣大信息安全技術愛好者。不論頭戴哪種顏色的帽子,還是屬于哪一類別,有一點是確定的:黑客與公眾始終是不同的兩個世界。黑客與黑金產業(yè)時過境遷,推動黑客帝國的已經不是綠色代碼,而是龐大的利益。2007年,著名的“熊貓燒香”病毒肆虐,一條網絡黑色產業(yè)鏈也浮出水面。涉案人員曾表示,電腦病毒獲利已經是一個“比房地產獲利更快、更容易的新型產業(yè)”。唐斌說,他在2007年時就已是湖南黑客聯盟核心成員,2008年后逐漸淡出了這個圈子,轉做正規(guī)網站?,F在,他仍然有身處其中的朋友,“有人能夠日進十萬?!?0后網民KiSSinGGer,是一名前白帽黑客,在他眼中,黑客世界中最大的誘惑來自于金錢。“很多初學者,對此沒有考慮到后果,一個木馬,一個外掛,能有多難?順手而為。也有做得有名望的人,被人誘騙,但不論怎樣,一踏足就很難脫手。”2007年,互聯網安全公司瑞星發(fā)布報告稱:“隨著互聯網的不斷發(fā)展,黑客和病毒制造者也逐漸形成了龐大、完整的集團和產業(yè)鏈,他們分工明確、無孔不入,不斷地尋找各種漏洞并設計入侵/攻擊流程?!痹谶@條產業(yè)鏈上,最上端是黑客入侵者,他們入侵各種網站或者編寫病毒,傳播之后,盜取各種網絡游戲賬號、即時通訊工具、網上銀行賬號以及各類虛擬財產,最終將這些信息出售。值得關注的是,這條產業(yè)鏈隨著中文互聯網的發(fā)展,也悄然發(fā)生著產業(yè)轉移。業(yè)內人士透露,2008年以前,網絡黑金產業(yè)主要以網游為主,大致步驟是:掛馬入侵,盜取賬號、取得游戲幣、虛擬物品買賣、獲得現金。以2008年為分水嶺,一方面相關部門對掛馬入侵類案件從重打擊,另一方面,互聯網電子商務時代也開始來臨,電子商務信息變得重要起來,與個人信息的聯系也日漸緊密。在產業(yè)鏈上,黑客首先獲得用戶賬戶信息,這被稱為“刷庫”,信息被交易到下線則從事“洗庫”,黑客們會細致地通過這些信息去攻破更多的網站,信息最終會被用到各種終端產業(yè)。各類信息中,最基本的聯絡信息,可被垃圾短信、垃圾廣告商購買;社會關系信息,則可被用于短信詐騙;賬戶信息可賣給網絡水軍;包含有用戶商業(yè)行為分析的數據,則會被商業(yè)咨詢機構買走。[數據]能夠做到高端rootkit(內核級后門/木馬)編寫、漏洞挖掘、深度逆向,根據漏洞細節(jié)進行代碼實現的編程代碼類高級黑客不超過30人;能夠做到手握各種0day(指系統(tǒng)漏洞信息),各種國際出口流量,足以影響互聯網或者獨立滲透各類網站的滲透入侵類高級黑客不超過30人。[密碼]解密和加密的攻防現在,人們可以合理猜測,當哪位黑客打開CSDN的數據庫時,也會同樣發(fā)出不敢相信的驚嘆:“竟然是明文的?!”后來人們知道,這么干的還有天涯,數以千萬計的賬戶因此淪陷。明文密碼,成為了這些網站失陷的第一罪責,然而,采用加密算法就萬無一失了嗎?事實是,“道高一尺,魔高一丈”,在密碼與解密的攻守中,黑客們不會放棄,網絡也沒有絕對安全。密碼是怎樣煉成的明文密碼有點類似我們記憶密碼的方式:當密碼是123時,在大腦中它也被記憶為123。黑客是無法攻進大腦的,所以我們這么干沒問題。但如果面臨危險的網站也這樣干,就好像我們把密碼寫在紙上,然后把紙條放在錢包里。對于網站來說,合理的做法就是對密碼進行加密。“簡單說來,就是用函數對用戶密碼進行加密,得到一個反密文。”專職從事網絡安全的KiSSinGGer舉了一個簡單的例子,如果用戶的密碼是3和5,加密函數采用了加法,那么反密文得出來就是8,最終保存在網站數據庫中的就是8,而不是3和5。不過,加密函數不可能采用加法這么簡單,因為太過簡單的算法極易被逆推。如果黑客看到了反密文是8,同時知道加密函數為加法,那么他很容易窮舉出正確答案?,F有的計算機運算能力已十分強大,一般程度下容易被逆推的函數都是不安全的。因此,加密函數必然要選擇不容易被逆推出的函數,實際運用中,人們選擇了哈希算法來進行加密,而MD5(消息摘要算法第五版)則是目前最為通行的加密算法,同樣的還有SHA(安全散列算法)?!靶枰f明的是,并不是說一旦加密就不可能逆推出來。”KiSSinGGer說,就像只要有足夠的時間,猴子最終會用打字機敲出莎士比亞的戲劇,理論上,只要有足夠的時間,密碼都是可以被破解的,加密的作用就是讓這個時間變得不可接受。同理,破解密碼則必須是在有效的時間里才有意義。2005年,我國女密碼學家王小云教授先后破解了MD5和SHA-1兩大密碼算法,使得密碼破解時間在現有硬件條件下大大加快。不過,這兩大算法在一般情況下安全性仍可接受,此外,還有很多辦法對破解者設置障礙。“比如我們常見的輸入驗證碼?!盞iSSinGGer說,因為目前電腦并沒有很好的圖形識別能力,驗證碼就可以防止程序進行暴力破解,使得解密的時間成本變得不可接受。更為安全的設置,是多種加密手段并行,典型的就是銀行金融系統(tǒng)。一般而言,銀行都會采用U盾等硬件加密措施,同時還有手機驗證消息等手段。“很簡單的一個道理,黑客通過一種方式盜取你信息的幾率是千分之一,現在再開一個驗證通道,這個幾率就變成了千分之一相乘,難度一下子就提升了?!盞iSSinGGer說。將解密進行到底對于黑客來說,入侵網站服務器是第一步。從原理上來講,我們平常見到的網頁是動態(tài)的,每當用戶有需求時,網頁都會從數據庫中取出數據,數據庫則存在于服務器中。這就要求服務器對過濾用戶指令,而不是接受任何指令,一旦過濾器沒有嚴格過濾,服務器就可以返回黑客想要的數據。國內眾多網站,直接通過網頁就可以進入后臺頁面,用唐斌的話來講:“知道了你的后臺就知道了你的保險柜在哪里,遲早都會被撬開。黑客們一般都會針對數據庫服務器的漏洞進行攻擊,一旦攻破,取得整個庫也不是難事。然而明文密碼畢竟不是主流,取出的密碼很可能是加密的。對此,黑客們也并不是沒有辦法。首先,如果密碼不復雜,就可以像加法一樣進行逆推。比如黑客發(fā)現上面提到的“7a57a5a743894a0e”,就會毫不猶豫地輸入“admin”。在網絡中,還存在著專門的解密網站,提供解密服務,對于一些簡單的密碼破解,成功率可達90%以上。而這背后的原理,則被稱為“碰撞”,即預先針對各種可能的字母組合,生成一個哈希值(一段數據唯一且極其緊湊的數值表示形式)的數據庫,再用獲取的密碼和數據庫產生“碰撞”,最終破解原始密碼。“牛人都是拿幾百個G的彩虹表來跑的?!碧票筇岬降牟屎绫?,就是一種龐大的,包含多種算法的預先計算好的數據集合。這種工具名字雖然美麗,卻是一種相對“笨拙”的破解方法,理論上越是復雜的密碼,需要的彩虹表也就越大,數據量一般都在上百G。事實上,“笨”辦法卻也是非常管用的辦法,而隨著計算機硬件設備的提升,現有的加密方法對黑客來說,終將不成為難題。屆時,新的加密方法和解密方法,又將展開新一輪搏殺。密碼如何設置才安全密碼的安全強度取決于密碼的長度和復雜度。不過,兩者兼?zhèn)涞拿艽a,無疑會加大我們的記憶難度。這里推薦一個來自“果殼網”的設置策略:用統(tǒng)一規(guī)則記住多個不同密碼?;驹硎窃O置一個“基本密碼+規(guī)則疊加元素”的密碼組合?;久艽a可以用一首歌或者詩的首字母來設置,而規(guī)則疊加元素則可以根據服務類別的不同,設置為如網站名稱、日期等。[安全]成本和安全的糾結截至2011年12月,我國網民規(guī)模約為5.05億人,這是世界上最大的網民群體,占據著我國人口37%的比重。毋庸置疑的是,互聯網世界的安全,對于現實社會的重要性越來越重要。然而,泄密門給我國的互聯網安全打上一個大大的問號。失控邊緣的網絡元月6日這天,消費者權益保護網站“12315”被黑掉了。名為“瘋狂小強”的網絡安全小組,在被黑的網頁上模仿唐伯虎的《桃花庵歌》留下了一首程序員之歌,結結實實玩了把黑色幽默。類似的事情并不鮮見——幾天前,蒙牛公司官網也一度被黑。網上名為“中國被黑網站統(tǒng)計系統(tǒng)”的網站顯示,每天都有50個左右的中文網頁被黑掉,而從事這些的,大多是剛接觸黑客技術,又急于炫耀的人。他們的技術不算有多精湛,但黑掉的網頁每天都在增長。這些網站多不知名。不過,即便是業(yè)內翹楚,其安全情況也不容樂觀。唐斌說,早在去年7月份,他就發(fā)現某微博開放平臺被侵,他向客服發(fā)送了私信,卻一直沒有回音,11月,他的微博賬號出現了十多次異地登錄。泄密門愈演愈烈,引發(fā)的是人們對于互聯網安全投入的擔憂。據媒體報道,我國互聯網安全方面的投入不足1%,而歐美則可以達到8%以上。一邊是對于安全的投入不足,另一邊卻是黑客的猖獗——這將互聯網推向了失控邊緣。來自某安全廠商的數據說明了這一情況:僅2011年上半年,國內新增木馬病毒樣本4.48億個(以惡意程序的文件指紋數量計算),平均每秒出現29個新木馬,是去年同期的4.46倍,受攻擊的電腦數量日均則達到452.5萬臺;釣魚網站繼掛馬后成最大的危害,共有1億零53萬人次網民遭釣魚網站侵襲,按照此類詐騙的平均金額計算,直接經濟損失至少在百億以上。成本與安全博弈一邊是互聯網風險,一邊是安全投入,眾多的企業(yè)面臨一個糾結的博弈問題。以CSDN和天涯廣愛詬病的明文密碼保存方式為例,KiSSinGGer認為問題并不是簡單的網絡平臺不用心?!懊魑拿艽a是個遺留問題,當技術進步時,必然是在之前的基礎上改進,而這往往不那么容易。”KiSSinGGer說,以天涯來說,要對大量用戶進行密保升級,一步到位就需要關閉網站一段時間,這對于平臺來說是一個難下的決定,所以必然是分批進行,這中間就會有數據遺留,最終導致了數據流出?!痹陂L沙開辦網絡安全公司的申仁賢則認為,在安全服務市場,兩極分化嚴重,公司越大越重視安全,越小則越不在乎,這種心態(tài)類似于“光腳不怕穿鞋的”。大公司對此的投入則非常到位,處于尷尬地位的是中間的企業(yè)。“網絡安全一分錢一分貨,而且價格曲線還不是線性的,越是做到高端,成本增長就越快?!盞iSSinGGer說,對于一般的企業(yè),安全項目包括滲透測試,漏洞挖掘等,而外包安全業(yè)務,購買系統(tǒng)的安全解決方案每年花費在百萬元級別,安全成本就成為企業(yè)不得不考慮的問題了。在具體的安全問題上,企業(yè)仍然要考慮自己需要防范的是什么。在泄密門中,網民“盛開”所在的一家成都網頁游戲公司也榜上有名,然而公司并沒有采取什么特別的措施,只是在游戲中通知玩家改密?!皩τ谟螒蚬緛碚f,首先要防范的是外掛產業(yè)。”盛開說,與其花大力氣在密碼上,公司還不如投入精力在玩家被盜后的處理上。隱私保護憂患“這次泄密,其實是對實名制的一種抗議?!本W民“點點”說,CSDN數據庫流傳已久,選擇在這個時候放出來,是有目的的。國家互聯網信息辦通報系列“泄密門”調查情況時也表示:個別人借機企圖干擾和貶損北京等城市正在開展的微博用戶用真實身份信息注冊工作。在法律界人士看來,在相關法律存在漏洞的情況下,實行實名制會產生一些問題?,F在,如果有人留意各大網站的用戶協(xié)議,不難發(fā)現其中天然就存在著“免責條款”,如CSDN論壇就表示用戶對自己的賬戶和密碼負完全責任。于國富說,網絡固然不存在絕對安全,但此類免責條款,在用戶因泄密遭受實際的人身和財產損害時,并不能絕對有效。然而,問題是如果要追究網站責任,用戶需要在網站存在過失和個人遭受損害兩方面進行舉證,這都具有一定困難。打擊互聯網犯罪方面,我國已經有相關法規(guī)。但遺憾的是,我國現行法律并沒有對網站泄露密碼的責任做過多規(guī)定,對個人信息保護也無相關立法。
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 環(huán)保無害油菜籽訂購合同
- 2024的區(qū)域代理合同范文
- 工廠房屋租賃合同談判技巧
- 基金交易服務協(xié)議書模板
- 城市婚姻登記處離婚協(xié)議樣本
- 機動車維修技術培訓協(xié)議
- 個人承包水利工程協(xié)議
- 貨車租賃協(xié)議書
- 2024廣告公司工程合同范本
- 2024深圳市工程施工合同
- 議論文寫作技巧
- 教科版五年級科學上冊(風的作用) 教學課件
- 二年級下冊語文試題 -“詩詞大會”題庫二 (word版有答案) 人教部編版
- GB/T 7702.20-2008煤質顆粒活性炭試驗方法孔容積和比表面積的測定
- 新歷史主義文藝思潮
- GB/T 40120-2021農業(yè)灌溉設備灌溉用熱塑性可折疊軟管技術規(guī)范和試驗方法
- GB/T 3903.2-1994鞋類通用檢驗方法耐磨試驗方法
- GB/T 10801.2-2018絕熱用擠塑聚苯乙烯泡沫塑料(XPS)
- 12J5-1 平屋面建筑標準設計圖
- 中印邊境爭端
- 《墨梅》課件(省一等獎)
評論
0/150
提交評論