陳慶春

2011年12月4日，一個(gè)名叫“臭小子”的網(wǎng)民在烏云平臺(tái)上發(fā)布了“中國(guó)各大站點(diǎn)數(shù)據(jù)庫(kù)漏洞”，其中包括CSDN、騰訊、當(dāng)當(dāng)、天涯、多玩等知名站點(diǎn)名字。但對(duì)于一個(gè)只有500多名核心注冊(cè)用戶(hù)的烏云平臺(tái)來(lái)說(shuō)，傳播效率并不高。事態(tài)進(jìn)一步擴(kuò)大化的推手還在于迅雷。

12月21日，金山毒霸產(chǎn)品經(jīng)理韓正奇用“迅雷快傳”工具將已被泄露的CSDN數(shù)據(jù)庫(kù)，上傳到QQ群內(nèi)。隨后幾分鐘內(nèi)，該數(shù)據(jù)庫(kù)便成為網(wǎng)上人盡皆知的信息。韓正奇在公開(kāi)聲明中稱(chēng)，“我下載前就已有分享地址?！币簿褪钦f(shuō)，很有可能黑客在交換“黑”來(lái)的數(shù)據(jù)時(shí)用的便是迅雷下載工具。

更要命的是，當(dāng)其他用戶(hù)使用迅雷下載軟件時(shí)，會(huì)看到旁邊的“相關(guān)推薦”，比如說(shuō)“使用了此鏈接的用戶(hù)還使用了如下鏈接”，而推薦的這個(gè)鏈接便是被泄露的數(shù)據(jù)庫(kù)。所以，即使韓正奇稱(chēng)自己及時(shí)刪除了分享地址，但數(shù)據(jù)早已被迅雷服務(wù)保存下來(lái)，并大面積地“相關(guān)推薦”下去。

信息安全成為主要矛盾

我們總在暢想一種生活：智能電網(wǎng)能讓我用到最便宜的電，幫我在波谷期購(gòu)得電量、在波峰期賣(mài)出去；我們希望自己接觸到的每一個(gè)屏都是智能終端，它適時(shí)聯(lián)網(wǎng)、幫我們安排生活，下班前家里的電飯煲已經(jīng)開(kāi)始為你準(zhǔn)備晚餐，你想看的每一場(chǎng)時(shí)裝秀都能近在眼前……

我們考慮到了很多美好的未來(lái)，似乎唯獨(dú)沒(méi)有考慮安全，或許有人正在利用智能電網(wǎng)在偷你的電，也或許小偷早已竊取了你的密碼，走進(jìn)了你的家里，提前幫你享用了晚餐。要知道，一切便利并非憑空而來(lái)，從現(xiàn)在可以設(shè)想的技術(shù)來(lái)看，它來(lái)自于云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)。而這些是否安全？

國(guó)家物聯(lián)網(wǎng)基礎(chǔ)標(biāo)準(zhǔn)工作組信息安全項(xiàng)目組負(fù)責(zé)人陳星說(shuō)，物聯(lián)網(wǎng)至少有三個(gè)不安全：其一，物聯(lián)網(wǎng)的控制器電量很低，很容易就消耗掉，便不起作用；其二，偷盜者很容易便把RFID標(biāo)簽扯下來(lái)貼上假標(biāo)簽；其三，如果沒(méi)有統(tǒng)一的安全認(rèn)證標(biāo)志，接收端任一接收器便可實(shí)現(xiàn)接收。正是基于不安全的考慮，國(guó)家物聯(lián)網(wǎng)基礎(chǔ)標(biāo)準(zhǔn)工作組去年10月份成立了信息安全項(xiàng)目組，只是目前對(duì)安全漏洞還處于梳理階段。

人們希望“云”可以監(jiān)管我們?cè)诂F(xiàn)實(shí)中產(chǎn)生的所有數(shù)據(jù)，并便捷地應(yīng)用它。僅以移動(dòng)醫(yī)療為例，一個(gè)小小的設(shè)備就可遠(yuǎn)程監(jiān)測(cè)用戶(hù)的健康狀況，但是如果這個(gè)設(shè)備被黑客控制，監(jiān)測(cè)到用戶(hù)有生命危險(xiǎn)時(shí)也不及時(shí)發(fā)出通知，那么用戶(hù)也許就會(huì)因此喪命。“云”的安全系數(shù)有多高？

奇虎360副總裁石曉虹列舉了“云”所獨(dú)有的安全隱患：“云計(jì)算所依賴(lài)的虛擬技術(shù)，可以讓黑客從一個(gè)虛擬機(jī)入侵到另一個(gè)用戶(hù)的虛擬機(jī)里面，進(jìn)而拿走數(shù)據(jù)；云服務(wù)商能否對(duì)內(nèi)部人士做嚴(yán)格的權(quán)限控制，以防監(jiān)守自盜，也是一個(gè)潛在的安全問(wèn)題；云端的服務(wù)器宕機(jī)或者硬盤(pán)損壞也是一大安全隱患。”2011年亞馬遜的云平臺(tái)便發(fā)生了兩次宕機(jī)事件，給諸多網(wǎng)站帶來(lái)?yè)p失。

“1.053億人次網(wǎng)民遭釣魚(yú)網(wǎng)站侵襲，給中國(guó)網(wǎng)民造成的直接經(jīng)濟(jì)損失在百億元元上下。假淘寶網(wǎng)站、假騰訊網(wǎng)站、假工商銀行網(wǎng)站、假中國(guó)銀行網(wǎng)站，占據(jù)了釣魚(yú)網(wǎng)站的前四位。”《瑞星2011上半年互聯(lián)網(wǎng)安全報(bào)告》中提到“云攻擊”已成為現(xiàn)實(shí)，“云”端安全正在成為防護(hù)重點(diǎn)。

CSDN密碼泄露事件的發(fā)生，多少是因?yàn)槲覀冊(cè)谙硎芑ヂ?lián)網(wǎng)的開(kāi)放和便利時(shí)卻忽視了信息的安全。CSDN總裁蔣濤曾說(shuō)：“原來(lái)對(duì)安全的認(rèn)識(shí)還停留在相對(duì)低的水平上，覺(jué)得自己的數(shù)據(jù)不是什么關(guān)鍵數(shù)據(jù)，別人拿去也沒(méi)什么用?！?但他忽視了互聯(lián)網(wǎng)上各個(gè)站點(diǎn)并非孤立存在這個(gè)問(wèn)題，比如用戶(hù)的郵箱就可能成為其他網(wǎng)站的注冊(cè)賬號(hào)，密碼也可能全部一致，一個(gè)網(wǎng)站的賬號(hào)和密碼被泄露，有可能會(huì)讓該用戶(hù)在互聯(lián)網(wǎng)上所有的賬號(hào)被泄。

而且，互聯(lián)網(wǎng)早已不只是提供內(nèi)容，人們的購(gòu)物、支付和社交全部都在網(wǎng)上?；蛟S你不是一個(gè)重要人物，但與你有關(guān)系的朋友可能被發(fā)現(xiàn)是一個(gè)重要人物，通過(guò)你獲知此人的信息就變得有價(jià)值了。烏云平臺(tái)創(chuàng)建人劍心分析了CSDN數(shù)據(jù)庫(kù)的價(jià)值所在，“CSDN是全國(guó)程序員聚集的社區(qū)論壇，這些人大多是各網(wǎng)站的核心運(yùn)維人員，知道他們的信息，就等于獲知了該程序員所任職網(wǎng)站的部分技術(shù)信息，甚至管理員權(quán)限，再去拿該網(wǎng)站的數(shù)據(jù)庫(kù)，也是輕而易舉的事情。”所以，安全界有一部分人認(rèn)為，其他網(wǎng)站數(shù)據(jù)庫(kù)的泄露可能與“撞庫(kù)”并無(wú)關(guān)系，而是直接入侵獲取。入侵者從發(fā)起攻擊,到獲得經(jīng)濟(jì)收益,大致可以分三個(gè)步驟：1拖庫(kù):把目標(biāo)系統(tǒng)的用 戶(hù)數(shù)據(jù)導(dǎo)入或者下載到本地;2洗庫(kù):對(duì)數(shù)據(jù)庫(kù)進(jìn)行層層利用,獲取經(jīng)濟(jì)收益;3撞庫(kù):以大量的用戶(hù)數(shù)據(jù)為基礎(chǔ),利用用戶(hù)相同的注冊(cè)密碼習(xí)慣,嘗試登錄其他目標(biāo)網(wǎng)站。（以上是“拖庫(kù)—洗庫(kù)—撞庫(kù)”的示意流程圖。）

另一部分觀(guān)點(diǎn)則認(rèn)為，那么多數(shù)據(jù)庫(kù)可能就是通過(guò)“撞庫(kù)”而得。盜得游戲網(wǎng)站和支付相關(guān)的賬號(hào)，便可直接拿來(lái)賣(mài)錢(qián)，根據(jù)游戲等級(jí)不同所兜售的價(jià)值也各不相同，這已經(jīng)不是秘密；社交網(wǎng)站的賬號(hào)，則直接拿來(lái)開(kāi)展?fàn)I銷(xiāo)、加粉等行為，也可借此獲得更多的聯(lián)系人信息；電子商務(wù)網(wǎng)站上的賬號(hào)信息更加豐富，包括姓名、郵箱、身份、一個(gè)或多個(gè)住址、手機(jī)號(hào)、支付信息等。被盜號(hào)后最常見(jiàn)的行為是，截獲用戶(hù)的訂單信息，代替電子商務(wù)網(wǎng)站先送貨給用戶(hù)，這可能導(dǎo)致用戶(hù)收到假冒偽劣產(chǎn)品，也間接造成電子商務(wù)網(wǎng)站退單率的上升。

2月6日，廣州李某在拆快遞包裹時(shí)被炸傷。這起案件讓我們重新思考信息的重要性。試想，如果一個(gè)人想肆意報(bào)復(fù)你，只要獲得你在線(xiàn)交易的信息，然后代替網(wǎng)站快遞人員給你送去一顆炸彈便可。當(dāng)然，電子商務(wù)網(wǎng)站的信息還只是冰山一角，那些掌握了數(shù)百家電商用戶(hù)信息的快遞公司們又會(huì)有多大的安全威脅？

毋庸置疑，將現(xiàn)實(shí)生活平移到虛擬的互聯(lián)網(wǎng)上，會(huì)帶來(lái)更多的便利。但如果虛擬社會(huì)不具備現(xiàn)實(shí)生活中的安全系數(shù)，那么我們的虛擬生活就變得危機(jī)四伏。就像騰訊安全GM楊勇所認(rèn)為的，隨著虛擬社會(huì)現(xiàn)實(shí)化程度的提高，網(wǎng)民對(duì)安全的定義正在發(fā)生變化，“以前講安全是講防病毒，現(xiàn)在要談的是業(yè)務(wù)安全，防信息泄露、防財(cái)產(chǎn)損失，而維系這個(gè)安全我們沒(méi)有成熟的方法論，每一個(gè)互聯(lián)網(wǎng)應(yīng)用都有各自不同的安全特點(diǎn)。所以未來(lái)很長(zhǎng)一段時(shí)間內(nèi)，信息安全將是這個(gè)社會(huì)的主要矛盾?！?/p>

開(kāi)放平臺(tái)及其敵人

1981年出生的楊勇從2003年開(kāi)始從事安全工作，2005年開(kāi)始在騰訊安全部門(mén)任職，但經(jīng)歷過(guò)諸多安全事件（比如騰訊曾遭盜號(hào)團(tuán)隊(duì)攻擊、去年微博域名曾遭更改等）之后，他只有一個(gè)感受，“安全需要日積月累、腳踏實(shí)地的工作，我們每上一個(gè)應(yīng)用就需要投入相應(yīng)的安全人員。”據(jù)他介紹，今年視頻將會(huì)成為一大熱門(mén)應(yīng)用，騰訊相應(yīng)地投入應(yīng)對(duì)視頻安全的人員。

騰訊從簡(jiǎn)單的IM開(kāi)始，發(fā)展至今已是一個(gè)開(kāi)放平臺(tái)，在其上運(yùn)行的應(yīng)用正在快速膨脹，騰訊在安全方面的投入也漸次增長(zhǎng)，以前做安全的只是幾個(gè)運(yùn)維人員，目前則擁有兩支獨(dú)立的安全團(tuán)隊(duì)，一支負(fù)責(zé)騰訊內(nèi)網(wǎng)的安全體系維護(hù)，另外一支則負(fù)責(zé)外網(wǎng)。

“多一個(gè)應(yīng)用就多一份風(fēng)險(xiǎn)，安全工作永無(wú)止境。”就像楊勇所說(shuō)，F(xiàn)acebook在安全體系上已經(jīng)算搭建得比較完善成熟的開(kāi)放平臺(tái)了，但是仍然存在問(wèn)題。去年5月，賽門(mén)鐵克曾質(zhì)疑，F(xiàn)acebook可能約有10萬(wàn)個(gè)應(yīng)用程序?qū)⒂脩?hù)信息泄露給第三方機(jī)構(gòu)。通過(guò)這些泄露信息的程序，廣告商等機(jī)構(gòu)可以查看用戶(hù)個(gè)人簡(jiǎn)介、照片和聊天記錄等私人資料，并能在用戶(hù)頁(yè)面上發(fā)布信息。賽門(mén)鐵克表示，這些程序平均每日安裝次數(shù)達(dá)2000萬(wàn)次，而Facebook超過(guò)5億用戶(hù)的信息都有可能被泄露。目前Facebook上活躍的應(yīng)用程序超過(guò)55萬(wàn)個(gè)，近10億個(gè)用戶(hù)，它所面臨的安全風(fēng)險(xiǎn)是巨大的。此前，還爆出Facebook所授權(quán)的第三方照片分享軟件，需要安裝插件，而這個(gè)插件存在安全漏洞，創(chuàng)始人扎克伯格的私密照片還因此被公之于眾。

與Facebook類(lèi)似的大平臺(tái)還有蘋(píng)果、Android系統(tǒng)，與Facebook不同的是，它們是中國(guó)網(wǎng)民能時(shí)刻接觸到的平臺(tái)。不過(guò)，就算是半開(kāi)放半封閉的蘋(píng)果平臺(tái)，也在不斷地遭遇安全漏洞的調(diào)整。2月初，蘋(píng)果平臺(tái)上的一款反社交應(yīng)用程序——Path（僅限50個(gè)好友分享的社交應(yīng)用），被質(zhì)疑可以隨時(shí)上傳用戶(hù)通訊錄，泄露用戶(hù)隱私。在質(zhì)疑聲中，Path只好暫時(shí)下架，但與此同時(shí)人們也開(kāi)始在質(zhì)疑蘋(píng)果的審查機(jī)制，“因?yàn)镻ath是一款熱門(mén)的應(yīng)用，被人們廣泛接受，而讓蘋(píng)果放松審查?！?/p>

“平臺(tái)越開(kāi)放，短期內(nèi)的風(fēng)險(xiǎn)也會(huì)更大。”360公司的石曉虹舉了一個(gè)例子，開(kāi)放平臺(tái)會(huì)開(kāi)放出API接口，如果平臺(tái)審查機(jī)制不完善，就會(huì)有人做一個(gè)程序、植入木馬，放到平臺(tái)上（或者把現(xiàn)有的程序下載下來(lái)、解包再植入木馬放上去），一旦有人下載便中招。中招的機(jī)器便如“肉雞”，做惡人在控制端可以對(duì)“肉雞”為所欲為，然后再把“戰(zhàn)場(chǎng)”清理得了無(wú)痕跡。 據(jù)360公布的安全報(bào)告稱(chēng)，2011年上半年平均每秒出現(xiàn)29個(gè)新木馬，是2010年同期的4.46倍，受攻擊的電腦數(shù)量日均則達(dá)到452.5萬(wàn)臺(tái)。這個(gè)數(shù)量仍在攀升。

中國(guó)的各大社交和開(kāi)放平臺(tái)剛剛開(kāi)始建立，還談不上大規(guī)模應(yīng)用，卻已經(jīng)存在各類(lèi)問(wèn)題，比如去年底爆出的新浪微博安全漏洞事件。1月4日，一位名叫“網(wǎng)路游俠”的“白帽黑客”在自己的博客上發(fā)布了新浪的漏洞：新浪iask站點(diǎn)（愛(ài)問(wèn)搜索應(yīng)用）存在SQL注入漏洞，利用漏洞可以讀取iask數(shù)據(jù)庫(kù)內(nèi)容，包括明文密碼在內(nèi)的7000多萬(wàn)新浪用戶(hù)信息。由于新浪實(shí)行“全站一號(hào)登錄”，黑客利用這個(gè)漏洞還可以獲得新浪微博的相關(guān)賬號(hào)信息。

有意思的是，“網(wǎng)路游俠”以知名魔術(shù)師劉謙的微博為例，通過(guò)構(gòu)造數(shù)據(jù)庫(kù)查詢(xún)語(yǔ)句就輕松獲得了劉謙的賬號(hào)及密碼信息，并成功登錄。當(dāng)天晚間，劉謙在微博上轉(zhuǎn)發(fā)該博客，證實(shí)此事。不過(guò)慶幸的是，“網(wǎng)路游俠”稱(chēng)，這個(gè)漏洞他是在1月1日發(fā)現(xiàn)，已及時(shí)通知新浪官方，并在新浪修復(fù)了該漏洞后才在博客上公布文章，供參考學(xué)習(xí)之用。

這就是一項(xiàng)應(yīng)用帶來(lái)的安全隱患。我們常常驚喜于互聯(lián)網(wǎng)的應(yīng)用程序正在顛覆從前的各項(xiàng)體驗(yàn)，卻忽視了0101數(shù)字體驗(yàn)的脆弱性。未來(lái)應(yīng)用勢(shì)必?zé)o限增多，平臺(tái)也勢(shì)必?zé)o限擴(kuò)大，而安全隱患則更加難以預(yù)料。

手機(jī)，貼身的間諜

李濤辦公室的電腦和手機(jī)屏幕一塵不染，桌子整潔得讓人無(wú)所適從，喝水的茶壺和杯子沒(méi)有一絲茶垢，這個(gè)有著生活和安全潔癖的人對(duì)CSDN數(shù)據(jù)庫(kù)泄露及其連鎖反應(yīng)并不感到驚訝，他認(rèn)為未來(lái)更大的安全隱患是手機(jī)，“互聯(lián)網(wǎng)上有的安全隱患，手機(jī)全都有，而手機(jī)更具隱私性、強(qiáng)關(guān)聯(lián)性，一旦被入侵后果不堪設(shè)想，只是現(xiàn)在還未到爆發(fā)的時(shí)候。”

去年12月份，國(guó)外運(yùn)營(yíng)商內(nèi)置在蘋(píng)果、三星、HTC手機(jī)內(nèi)的Carrier IQ（簡(jiǎn)稱(chēng)CIQ）卻意外變成了國(guó)際間諜軟件。CIQ是一款內(nèi)核級(jí)別的監(jiān)測(cè)應(yīng)用，是固化在手機(jī)Rom（一種只能讀出事先所存數(shù)據(jù)的固態(tài)半導(dǎo)體存儲(chǔ)器）里面卸載不掉的應(yīng)用，起初該功能意在幫助國(guó)外運(yùn)營(yíng)商收集用戶(hù)使用行為以便提高用戶(hù)服務(wù)質(zhì)量和水平，但結(jié)果卻是無(wú)需經(jīng)過(guò)用戶(hù)的允許且沒(méi)有任何的提示就可以自動(dòng)上傳個(gè)人短信、電話(huà)、通訊錄、瀏覽器歷史記錄、密碼、鍵盤(pán)使用軌跡等多項(xiàng)用戶(hù)隱私記錄。

該軟件目前已被預(yù)裝在全球約1.41億部手機(jī)中。好在未涉及中國(guó)運(yùn)營(yíng)商，中國(guó)境內(nèi)有此軟件的是為數(shù)不多的水貨手機(jī)。但去年6月初鬧得沸沸揚(yáng)揚(yáng)的“X臥底”軟件著實(shí)讓國(guó)內(nèi)手機(jī)用戶(hù)大驚失色。

“X臥底”安裝后不會(huì)啟動(dòng)任何圖標(biāo)，也不會(huì)給用戶(hù)任何提示，一切監(jiān)聽(tīng)行為都在后臺(tái)自動(dòng)完成，用戶(hù)根本無(wú)法感知?！癤臥底”軟件實(shí)質(zhì)上就是一種木馬病毒，主要傳播方式便是通過(guò)互聯(lián)網(wǎng)下載軟件安裝在手機(jī)上，或發(fā)送短/彩信，誘導(dǎo)用戶(hù)點(diǎn)擊后自動(dòng)安裝。另一種方式則是通過(guò)存儲(chǔ)卡拷貝，直接在手機(jī)上安裝軟件。

2010年的電影《竊聽(tīng)風(fēng)云》中曾有一句這樣的臺(tái)詞：“每個(gè)人的手機(jī)都是一部竊聽(tīng)器，都能被竊聽(tīng)?！笔謾C(jī)的貼身性和強(qiáng)關(guān)系鏈特點(diǎn)，讓其安全性有了更加鮮明的不同之處。但從基本上來(lái)說(shuō)，每臺(tái)智能手機(jī)都能瀏覽互聯(lián)網(wǎng)頁(yè)面，它與PC已無(wú)二致。正如中國(guó)移動(dòng)安全所所長(zhǎng)楊光華所說(shuō)，“移動(dòng)互聯(lián)網(wǎng)是移動(dòng)通信網(wǎng)絡(luò)和互聯(lián)網(wǎng)的結(jié)合體，但是由于互聯(lián)網(wǎng)的引入，打破了原有移動(dòng)通信網(wǎng)絡(luò)的封閉性，業(yè)務(wù)復(fù)雜多樣，電子商務(wù)等方便的付費(fèi)形式擁有了大量的使用者，這就使得移動(dòng)互聯(lián)網(wǎng)的攻擊更易獲利。”他認(rèn)為，移動(dòng)智能終端、移動(dòng)業(yè)務(wù)和云計(jì)算虛擬化環(huán)境等方面成為了主要攻擊目標(biāo)。

去年12月底發(fā)生的一起手機(jī)WIFI漏洞事件，正好說(shuō)明了手機(jī)接入互聯(lián)網(wǎng)之后增加的另一個(gè)新的安全隱患。這起事件涉及360手機(jī)精靈、QQ應(yīng)用助手、豌豆莢守護(hù)精靈等3款應(yīng)用軟件，它們是用于手機(jī)與電腦同步的軟件，用戶(hù)在手機(jī)上安裝上述軟件后，可以把手機(jī)連到電腦上以同步數(shù)據(jù)。但3款軟件在設(shè)計(jì)上都存在一個(gè)缺陷，即沒(méi)有嚴(yán)格限制手機(jī)只能連接用戶(hù)個(gè)人指定的電腦，導(dǎo)致在手機(jī)WIFI打開(kāi)情況下，有可能遭到來(lái)自同一公共WiFi局域網(wǎng)內(nèi)的黑客攻擊，在某些特殊條件下存在泄露手機(jī)信息的可能。

流量扣費(fèi)、吸費(fèi)短信、上載通訊錄、植入木馬、竊聽(tīng)通話(huà)等等，手機(jī)里面的老問(wèn)題尚且沒(méi)有解決，新問(wèn)題卻還在層出不窮。手機(jī)，這個(gè)離我們最近、離錢(qián)最近的設(shè)備，它的安全防線(xiàn)究竟在哪兒？按照黑客對(duì)信息泄露的2年一個(gè)周期運(yùn)作的邏輯來(lái)看，安全專(zhuān)家認(rèn)為，如果說(shuō)去年是智能手機(jī)普及的第一年，那么手機(jī)領(lǐng)域的信息泄露爆發(fā)時(shí)間可能就在今年底或明年初。

也許，專(zhuān)家們這樣的推斷，可以讓你對(duì)未來(lái)的信息泄露事件有充分的心里準(zhǔn)備。