互联网泄密背后的一场公民信息攻防战

互联网泄密背后的一场公民信息攻防战

黑客的隐秘世界去年12月4日，网民“坏小子”在乌云网发帖，称CSDN等网站数据、密码被泄露。不久，天涯、人人等网站也被爆出信息泄露。“泄密门”来势汹汹，引发轩然大波。元月10日，国家互联网信息办通报系列“泄密门”调查情况时表示，CSDN论坛、天涯泄密其实发生在两年前。谁是始作俑者，相关部门正在追查，但能够确认的是，不论这个人是谁，他一定属于那个隐秘而强大的存在：黑客。关联的平行世界要向普通人准确描述黑客世界，似乎是一件难事。这就好像你如果没有进入“九又四分之三”号站台，就永远不知道霍格沃兹学院，而只会用麻瓜(不会也不相信有魔法的人)思维觉得魔法难以理解。同样，黑客世界的哈利波特们会“照顾”着麻瓜，不让他们知道神秘世界的另一面。黑客与公众，就像两个互相关联的平行世界，大多数时候，后者对前者一无所知。对此最有力的证明，就来自去年底频繁曝出的“泄密门”。多名互联网业内人士介绍，CSDN论坛泄密文件其实在黑客世界流传已久。“我个人所知，最早是2007年被拿过一次，之后是前年9月和去年7月。”唐斌是NST网络安全小组创始人之一，他说，CSDN论坛“泄密门”在黑客世界已是公开的秘密。这一说法，和国家互联网信息办调查的结论一致。“黑客”一词，来自英文“hacker”，是指那些沉迷于技术的电脑高手，带有褒义色彩。到了现在，黑客的荣光时代早已一去不返，从事网络破坏的“骇客”占据了人们视野。就像巫师的世界，袍子的颜色代表着正邪。黑客习惯用白帽、灰帽、黑帽进行群体划分。白帽黑客，测试网络和系统性能，来判定它们承受入侵的强弱程度。通常，研究网络技术防御的人，学术研究人员和专职安全顾问属于白帽黑客。黑帽黑客正好相反，他们可以被称为“骇客”。“这些人基本上为了金钱什么都可以做。”唐斌说。灰帽黑客介于两者之间，他们对技术有研究，既懂得防御，又知晓破坏，只是一般情况下不会去破坏。去年9月22日，被誉为“中国黑帽子大会”的COG信息安全论坛召开，公布的《中国黑客背景分析》从技术层面将黑客分为三类：编程代码类，渗透入侵类和广大信息安全技术爱好者。不论头戴哪种颜色的帽子，还是属于哪一类别，有一点是确定的：黑客与公众始终是不同的两个世界。黑客与黑金产业时过境迁，推动黑客帝国的已经不是绿色代码，而是庞大的利益。2007年，著名的“熊猫烧香”病毒肆虐，一条网络黑色产业链也浮出水面。涉案人员曾表示，电脑病毒获利已经是一个“比房地产获利更快、更容易的新型产业”。唐斌说，他在2007年时就已是湖南黑客联盟核心成员，2008年后逐渐淡出了这个圈子，转做正规网站。现在，他仍然有身处其中的朋友，“有人能够日进十万。”80后网民KiSSinGGer，是一名前白帽黑客，在他眼中，黑客世界中最大的诱惑来自于金钱。“很多初学者，对此没有考虑到后果，一个木马，一个外挂，能有多难？顺手而为。也有做得有名望的人，被人诱骗，但不论怎样，一踏足就很难脱手。”2007年，互联网安全公司瑞星发布报告称：“随着互联网的不断发展，黑客和病毒制造者也逐渐形成了庞大、完整的集团和产业链，他们分工明确、无孔不入，不断地寻找各种漏洞并设计入侵/攻击流程。”在这条产业链上，最上端是黑客入侵者，他们入侵各种网站或者编写病毒，传播之后，盗取各种网络游戏账号、即时通讯工具、网上银行账号以及各类虚拟财产，最终将这些信息出售。值得关注的是，这条产业链随着中文互联网的发展，也悄然发生着产业转移。业内人士透露，2008年以前，网络黑金产业主要以网游为主，大致步骤是：挂马入侵，盗取账号、取得游戏币、虚拟物品买卖、获得现金。以2008年为分水岭，一方面相关部门对挂马入侵类案件从重打击，另一方面，互联网电子商务时代也开始来临，电子商务信息变得重要起来，与个人信息的联系也日渐紧密。在产业链上，黑客首先获得用户账户信息，这被称为“刷库”，信息被交易到下线则从事“洗库”，黑客们会细致地通过这些信息去攻破更多的网站，信息最终会被用到各种终端产业。各类信息中，最基本的联络信息，可被垃圾短信、垃圾广告商购买；社会关系信息，则可被用于短信诈骗；账户信息可卖给网络水军；包含有用户商业行为分析的数据，则会被商业咨询机构买走。[数据]能够做到高端rootkit(内核级后门/木马)编写、漏洞挖掘、深度逆向，根据漏洞细节进行代码实现的编程代码类高级黑客不超过30人；能够做到手握各种0day(指系统漏洞信息)，各种国际出口流量，足以影响互联网或者独立渗透各类网站的渗透入侵类高级黑客不超过30人。[密码]解密和加密的攻防现在，人们可以合理猜测，当哪位黑客打开CSDN的数据库时，也会同样发出不敢相信的惊叹：“竟然是明文的？！”后来人们知道，这么干的还有天涯，数以千万计的账户因此沦陷。明文密码，成为了这些网站失陷的第一罪责，然而，采用加密算法就万无一失了吗？事实是，“道高一尺，魔高一丈”，在密码与解密的攻守中，黑客们不会放弃，网络也没有绝对安全。密码是怎样炼成的明文密码有点类似我们记忆密码的方式：当密码是123时，在大脑中它也被记忆为123。黑客是无法攻进大脑的，所以我们这么干没问题。但如果面临危险的网站也这样干，就好像我们把密码写在纸上，然后把纸条放在钱包里。对于网站来说，合理的做法就是对密码进行加密。“简单说来，就是用函数对用户密码进行加密，得到一个反密文。”专职从事网络安全的KiSSinGGer举了一个简单的例子，如果用户的密码是3和5，加密函数采用了加法，那么反密文得出来就是8，最终保存在网站数据库中的就是8，而不是3和5。不过，加密函数不可能采用加法这么简单，因为太过简单的算法极易被逆推。如果黑客看到了反密文是8，同时知道加密函数为加法，那么他很容易穷举出正确答案。现有的计算机运算能力已十分强大，一般程度下容易被逆推的函数都是不安全的。因此，加密函数必然要选择不容易被逆推出的函数，实际运用中，人们选择了哈希算法来进行加密，而MD5(消息摘要算法第五版)则是目前最为通行的加密算法，同样的还有SHA(安全散列算法)。“需要说明的是，并不是说一旦加密就不可能逆推出来。”KiSSinGGer说，就像只要有足够的时间，猴子最终会用打字机敲出莎士比亚的戏剧，理论上，只要有足够的时间，密码都是可以被破解的，加密的作用就是让这个时间变得不可接受。同理，破解密码则必须是在有效的时间里才有意义。2005年，我国女密码学家王小云教授先后破解了MD5和SHA-1两大密码算法，使得密码破解时间在现有硬件条件下大大加快。不过，这两大算法在一般情况下安全性仍可接受，此外，还有很多办法对破解者设置障碍。“比如我们常见的输入验证码。”KiSSinGGer说，因为目前电脑并没有很好的图形识别能力，验证码就可以防止程序进行暴力破解，使得解密的时间成本变得不可接受。更为安全的设置，是多种加密手段并行，典型的就是银行金融系统。一般而言，银行都会采用U盾等硬件加密措施，同时还有手机验证消息等手段。“很简单的一个道理，黑客通过一种方式盗取你信息的几率是千分之一，现在再开一个验证通道，这个几率就变成了千分之一相乘，难度一下子就提升了。”KiSSinGGer说。将解密进行到底对于黑客来说，入侵网站服务器是第一步。从原理上来讲，我们平常见到的网页是动态的，每当用户有需求时，网页都会从数据库中取出数据，数据库则存在于服务器中。这就要求服务器对过滤用户指令，而不是接受任何指令，一旦过滤器没有严格过滤，服务器就可以返回黑客想要的数据。国内众多网站，直接通过网页就可以进入后台页面，用唐斌的话来讲：“知道了你的后台就知道了你的保险柜在哪里，迟早都会被撬开。黑客们一般都会针对数据库服务器的漏洞进行攻击，一旦攻破，取得整个库也不是难事。然而明文密码毕竟不是主流，取出的密码很可能是加密的。对此，黑客们也并不是没有办法。首先，如果密码不复杂，就可以像加法一样进行逆推。比如黑客发现上面提到的“7a57a5a743894a0e”，就会毫不犹豫地输入“admin”。在网络中，还存在着专门的解密网站，提供解密服务，对于一些简单的密码破解，成功率可达90%以上。而这背后的原理，则被称为“碰撞”，即预先针对各种可能的字母组合，生成一个哈希值(一段数据唯一且极其紧凑的数值表示形式)的数据库，再用获取的密码和数据库产生“碰撞”，最终破解原始密码。“牛人都是拿几百个G的彩虹表来跑的。”唐斌提到的彩虹表，就是一种庞大的，包含多种算法的预先计算好的数据集合。这种工具名字虽然美丽，却是一种相对“笨拙”的破解方法，理论上越是复杂的密码，需要的彩虹表也就越大，数据量一般都在上百G。事实上，“笨”办法却也是非常管用的办法，而随着计算机硬件设备的提升，现有的加密方法对黑客来说，终将不成为难题。届时，新的加密方法和解密方法，又将展开新一轮搏杀。密码如何设置才安全密码的安全强度取决于密码的长度和复杂度。不过，两者兼备的密码，无疑会加大我们的记忆难度。这里推荐一个来自“果壳网”的设置策略：用统一规则记住多个不同密码。基本原理是设置一个“基本密码+规则叠加元素”的密码组合。基本密码可以用一首歌或者诗的首字母来设置，而规则叠加元素则可以根据服务类别的不同，设置为如网站名称、日期等。[安全]成本和安全的纠结截至2011年12月，我国网民规模约为5.05亿人，这是世界上最大的网民群体，占据着我国人口37%的比重。毋庸置疑的是，互联网世界的安全，对于现实社会的重要性越来越重要。然而，泄密门给我国的互联网安全打上一个大大的问号。失控边缘的网络元月6日这天，消费者权益保护网站“12315”被黑掉了。名为“疯狂小强”的网络安全小组，在被黑的网页上模仿唐伯虎的《桃花庵歌》留下了一首程序员之歌，结结实实玩了把黑色幽默。类似的事情并不鲜见——几天前，蒙牛公司官网也一度被黑。网上名为“中国被黑网站统计系统”的网站显示，每天都有50个左右的中文网页被黑掉，而从事这些的，大多是刚接触黑客技术，又急于炫耀的人。他们的技术不算有多精湛，但黑掉的网页每天都在增长。这些网站多不知名。不过，即便是业内翘楚，其安全情况也不容乐观。唐斌说，早在去年7月份，他就发现某微博开放平台被侵，他向客服发送了私信，却一直没有回音，11月，他的微博账号出现了十多次异地登录。泄密门愈演愈烈，引发的是人们对于互联网安全投入的担忧。据媒体报道，我国互联网安全方面的投入不足1%，而欧美则可以达到8%以上。一边是对于安全的投入不足，另一边却是黑客的猖獗——这将互联网推向了失控边缘。来自某安全厂商的数据说明了这一情况：仅2011年上半年，国内新增木马病毒样本4.48亿个(以恶意程序的文件指纹数量计算)，平均每秒出现29个新木马，是去年同期的4.46倍，受攻击的电脑数量日均则达到452.5万台；钓鱼网站继挂马后成最大的危害，共有1亿零53万人次网民遭钓鱼网站侵袭，按照此类诈骗的平均金额计算，直接经济损失至少在百亿以上。成本与安全博弈一边是互联网风险，一边是安全投入，众多的企业面临一个纠结的博弈问题。以CSDN和天涯广爱诟病的明文密码保存方式为例，KiSSinGGer认为问题并不是简单的网络平台不用心。“明文密码是个遗留问题，当技术进步时，必然是在之前的基础上改进，而这往往不那么容易。”KiSSinGGer说，以天涯来说，要对大量用户进行密保升级，一步到位就需要关闭网站一段时间，这对于平台来说是一个难下的决定，所以必然是分批进行，这中间就会有数据遗留，最终导致了数据流出。”在长沙开办网络安全公司的申仁贤则认为，在安全服务市场，两极分化严重，公司越大越重视安全，越小则越不在乎，这种心态类似于“光脚不怕穿鞋的”。大公司对此的投入则非常到位，处于尴尬地位的是中间的企业。“网络安全一分钱一分货，而且价格曲线还不是线性的，越是做到高端，成本增长就越快。”KiSSinGGer说，对于一般的企业，安全项目包括渗透测试，漏洞挖掘等，而外包安全业务，购买系统的安全解决方案每年花费在百万元级别，安全成本就成为企业不得不考虑的问题了。在具体的安全问题上，企业仍然要考虑自己需要防范的是什么。在泄密门中，网民“盛开”所在的一家成都网页游戏公司也榜上有名，然而公司并没有采取什么特别的措施，只是在游戏中通知玩家改密。“对于游戏公司来说，首先要防范的是外挂产业。”盛开说，与其花大力气在密码上，公司还不如投入精力在玩家被盗后的处理上。隐私保护忧患“这次泄密，其实是对实名制的一种抗议。”网民“点点”说，CSDN数据库流传已久，选择在这个时候放出来，是有目的的。国家互联网信息办通报系列“泄密门”调查情况时也表示：个别人借机企图干扰和贬损北京等城市正在开展的微博用户用真实身份信息注册工作。在法律界人士看来，在相关法律存在漏洞的情况下，实行实名制会产生一些问题。现在，如果有人留意各大网站的用户协议，不难发现其中天然就存在着“免责条款”，如CSDN论坛就表示用户对自己的账户和密码负完全责任。于国富说，网络固然不存在绝对安全，但此类免责条款，在用户因泄密遭受实际的人身和财产损害时，并不能绝对有效。然而，问题是如果要追究网站责任，用户需要在网站存在过失和个人遭受损害两方面进行举证，这都具有一定困难。打击互联网犯罪方面，我国已经有相关法规。但遗憾的是，我国现行法律并没有对网站泄露密码的责任做过多规定，对个人信息保护也无相关立法。