央視網|中國網絡電視臺|網站地圖 |
客服設為首頁 |
安全寶CEO馬傑(騰訊科技攝)
騰訊科技訊(樂天)12月30日消息,中國互聯網最嚴重的一次帳號洩露事件從21日爆發至今,不但沒有降溫反而愈演愈烈。安全寶CEO馬傑在騰訊微論壇上表示,現在網上所公佈出來的數據庫,真正能驗證的只是有限的這幾家。
馬傑指出,通過對數據內容的觀察和分析,很多的數據庫洩露其實是通過已經洩露的數據庫中撞庫撞出來的,還有在網站上貼張圖出來,説有某某某的數據庫有多少萬,通過PS完全可以實現。這並不是説那些網站沒有洩露過,而是很多貼出來的東西有點嘩眾取寵,是渾水摸魚。
馬傑稱,從用戶數據庫這個問題看,在安全行業裏,這早已不是什麼秘密,這些網站安全性在資深安全從業人員看來,幾乎就是皇帝的新衣。幾乎所有網站的安全風險,安全性都有待進一步提高。此次帳號洩露事件是一個災難,也是一個好事,讓互聯網公司意識到安全的重要性。
以下是對話實錄:
騰訊科技:最近關於網絡安全的這個話題也非常熱,包括天涯、支付寶這樣一些網站都牽涉其中了,我們在座的有一位是專門做安全的,馬傑作為安全行業的老從業者,您怎樣去看待目前這個行業裏面出現的網絡安全的問題?
馬傑:剛才周源講到了基本需求問題,我就在想,安全是不是基本需求呢?我想在座所有的男同胞是不是都有一個體會,你女朋友被你要求的最多的是什麼?安全感是不是。我想因此我得一個結論,安全應該也是基本需求吧,只不過大家説安全的時候,都很重視,但是實際要為它花錢的時候又很小氣,是不是這也是一個現狀。
過去這麼多年,我做了很多年安全之後的一個感覺,個人用戶以前很多公司,包括我的前公司瑞星在內的多家公司,做了很多的推動工作,讓用戶逐漸的重視到了安全,並且最後在幾個特定的安全事件裏推波助瀾下,比方説紅色代碼,晚期的熊貓燒香等等這些事件的推動下,用戶認識到安全的重要性。網站本身呢,它是一個發展的過程,前些年應該説網站很重要,現在網站掙錢了,這才真正重要了。
在這個前提之下,大家才能逐漸意識到在這上需要進行安全的投入。我之所以創業來做這個網站安全這塊,也是做了很多年安全之後,我個人的一個感覺就是個人安全這塊打得一塌糊塗了,咱還是不進去了。
企業安全這塊,也有很多領導型的企業在裏面,我所選擇的這塊,網絡安全,網站安全這塊,我認為是一個成長很好,但是現在又沒有領導型的企業的這麼一個地方。並且我們又適時的看到了很多問題,本來我想大家對這個問題的認識過程,可能還需要稍微再長一點這個週期,這次幾家公司在密碼問題上所暴露出來的安全性上的嚴重缺乏,使得這一天稍微早一點的被大家意識到了網站本身安全的重要性,現在是全民改密碼。
在座的各位,我也呼籲一下大家去看看自己密碼有沒有洩露,該改的密碼早點改,最近包括騰訊微博,新浪微博上面很多用戶説,他們的微博帳號不知道為什麼被別人盜用了,其實原理很簡單,就是因為這幾個洩露的大的數據庫跟你微博上用的密碼是一樣的,他來猜,你用的一樣的,他就控制了你的微博帳號,大家也應該去改一改。
通過這個事件體現出來即使像我們這種大型的社區,或者大型的論壇,它們都缺乏很多基礎的安全性的建設工作。我覺得這次這個事件是一個災難,同時也是一個好的事情,讓我們互聯網公司意識到安全的重要性。
騰訊科技:我想接下來問一個問題,現在消息一發出來,比如説噹噹有上千萬的用戶密碼洩露,支付寶有一兩千萬的用戶資料洩露,有一種説法,説這是別人故意放出來的消息,故意就想唯恐天下不亂,也有一些人想從中渾水摸魚,具體從這個事件的背後,您怎樣來看待這個問題,到底是不是真的有人想渾水摸魚,還是這個事情就是真的有這麼嚴重?
馬傑:首先我想説渾水摸魚和事件的嚴重性,這兩者不衝突,在前天下午,蔣濤請了圈內的很多朋友,包括做安全的,以及涉及可能泄密碼的很多公司一起搞了一個小型的座談會,這個會比較封閉,所以大家發言也就比較猛。
安全圈也是很資深的一個朋友,我也非常認同他的説法,他説從用戶數據庫這個問題本身來看,在安全行業裏,這早已經不是什麼秘密了,這些網站的安全性在資深的安全從業人員看來,幾乎就是皇帝的新衣。
有沒有哪家能倖免?幾乎沒有。但是這個幾乎沒有不代表説真的這些庫就大範圍洩露了,而是説在真正的高水平的黑客面前,幾乎無一倖免都可以拿到一定程度的權限或者數據,只是説洩露的範圍有多大,洩露的程度有多大,這是嚴重性問題。
回過頭來説,是不是渾水摸魚呢,現在網上所公佈出來的數據庫,其實真正能驗證的,真的是有限的這幾家,很多的傳聞,對我們來説,我們也不太方便去驗證,這個驗證本身也涉嫌到不太合法。
但是通過對數據內容的觀察和分析,我們覺得有很多庫,比方説通過某一個大庫,再到這個網站上去撞庫撞出來的,這個是一部分。另外還有在網站上貼張圖出來,説有某某某的數據庫有多少萬,這種完全是PS一下都是可以的。
我並不是説那些網站沒有洩露過,或者有洩露過,或者有安全風險,而是説很多貼出來的嘩眾取寵的東西,裏面有很多確實是渾水摸魚的。但是這些幾乎所有網站的安全風險,安全性都有待進一步提高。