央視網|中國網絡電視臺|網站地圖
客服設為首頁
登錄

中國網絡電視臺 > 經濟臺 > 財經資訊 >

淪陷的互聯網:安全投入不足1%

發佈時間:2011年12月31日 10:17 | 進入復興論壇 | 來源:21世紀經濟報道 | 手機看視頻


評分
意見反饋 意見反饋 頂 踩 收藏 收藏
channelId 1 1 1

  湯潯芳

  2011年的歲末,一場不斷升級的密碼洩露事件,讓2011年的互聯網“永不寂寞”。從12月21日到12月29日,短短幾天,絕大部分知名網站全部淪陷,無一倖免。CSDN、多玩、178遊戲、17173、天涯、噹噹、京東、卓越……

  這是黑客引起的、網站領導的網民更改密碼“運動”,讓全體網民又有了一次自嘲式的狂歡。

  用戶信息在互聯網上快速傳遞,好事者更是更改了他人的用戶密碼,讓一些人永遠無法再取回自己的賬號,有的老網民甚至被抹去了互聯網的最初記憶。

  這一次,互聯網企業的安全短板暴露無遺。互聯網公司中有3人來專職負責網站安全的規模都是一種奢侈,5人以上算是豪華配製,10人的安全團隊只有3家。

  一份來自知名券商的報告顯示,目前,國內互聯網公司的安全支出僅佔IT支出的1%,而目前,歐美國家的安全支出佔到整個IT支出的8%~10%。

  面對大規模的用戶信息洩露,企業責無旁貸。但“脆弱”的它們根本無法抵抗“黑客”來襲,甚至是無意識的“繳械投降”。

  問責,問責。在這樣的風口浪尖,它們幾乎都選擇沉默,無一企業坦承自己的安全支出明細。內部,各大互聯網公司開始了“自查、自究”風暴,希望能夠在2012年來臨時,獲得那張通往安全的船票。

  集體淪陷

  本次黑客公佈了約有1億個用戶賬號及密碼相關信息

  2011年12月21日,金山毒霸産品經理韓正奇在一個網絡安全相關的QQ群內下載了一份CSDN用戶賬號密碼文件。同時,他把QQ群內要用迅雷專用工具下載的鏈結,轉換成迅雷快傳的下載鏈結,發到一個朋友圈內的QQ群。

  僅僅幾分鐘,韓正奇傳的文件就在專業安全網站“烏雲”(wooyun.org)上出現了截圖。迅雷不及掩耳,一份包含了600萬用戶信息的CSDN用戶庫在互聯網上迅速流傳。

  無論是黑客之間出於“互相炫耀”的心理,還是傳説某個商業組織的背後推動,許多原本被裝在“安全盒子”裏、處於隱秘地方的用戶數據庫一一被暴曬在陽光下。

  2011年12月23日,多玩、夢幻西遊通過木馬洩露。此後,7K7K、178遊戲、人人、貓撲、世紀佳緣等等,全國各大知名網站幾乎全部淪陷。

  2011年12月25日,天涯被爆其4000萬用戶數據洩露,這佔到其總體6000萬用戶的60%。

  同月26日,噹噹、京東、凡客等一線電商被推上了風口浪尖。它們爆出用戶信息洩露,這其中包括真實姓名、電話號碼和收貨地址。

  同月29日,中國工商銀行、交通銀行、民生銀行被爆出客戶信息洩露。就連,通往全球的廣東省出入境也有444萬用戶信息疑被洩露。

  “每個互聯網公司的用戶和密碼都有洩露,只是規模大小。”採訪中,一位在安全行業多年的工程師告訴記者,大網站、大公司在安全這件事上也不可信。

  在密碼門事件期間,中國黑客教父goodwell接受媒體採訪時稱,本次黑客公佈了約有1億個用戶賬號及密碼相關信息,預計“地下黑客”已經掌握了更多的互聯網用戶賬號信息。

  在使用“密碼洩露查詢工具”後,不少網民在微博上坦露心聲,自己不止一家網站的用戶名與密碼洩露。出於方便易記,許多網民將用戶名與密碼統一起來,或者互相關聯。有的使用郵箱進行互相關聯。

  一位不願意透露名字的CSDN用戶更是苦不堪言,她的CSDN賬戶信息被洩露,通過一連串關聯,搜狐、Gmai、網易、雅虎等郵箱全部無法登錄。這些郵箱是她登錄論壇、SNS、支付寶,以及各種購物網站的方式,“綁定”了她所有的互聯網生活。由於各個郵箱之間錯綜複雜的關聯,她無法通過密碼取回的方式來取回這些郵箱。於是,“一門攻破,全城皆失”。

  危險,並不止於此。智慧手機闖入生活,手機開始逐步成為大眾互聯網生活的主要載體。 “手機上的信息洩露將會更嚴重,除了洩露用戶名和密碼,還可以洩露位置。”雲計算安全廠商星雲融創CEO馬傑告訴記者。

  目前,PC上的操作系統比較集中(win90%、MAC接近10%、linux是0.1%)。由於操作系統的“獨霸天下”,殺毒軟體也會比較完善。但是,手機操作系統種類較多,各種APP應用紛繁雜陳。由於安全軟體的不完善,許多黑客就盯上了這一有利時機。

  “目前,手機上的安全問題並沒有全面爆發,但是一旦上網資費大幅下降,手機用戶可以‘隨時在線’,那麼手機黑客産業鏈也會迅速成熟。”馬傑告訴記者,現在智慧手機的CPU統一到ARM架構上,芯片有高通、聯發科等廠商,操作系統是iOS、Andriod、Windows,它們都在快速融合,這給黑客節省了“逐個攻破”的成本。

  “手機扣費、扣流量都是SP時代玩的花樣,智慧手機還會帶來更多的‘黑客’玩法,如查詢用戶常去的區域、GPS跟蹤、手機購物等等。”星雲融創營銷總監孫大偉告訴記者。

  “我們會生活在一個透明、沒有隱私的世界裏。”就像電影《楚門的世界》裏那樣,我們都生活在他人的“監視”之下,只要別人有這樣的想法。

  企業問責

  提供互聯網服務的公司無論免費,還是付費,在法律上都有責任保護用戶信息

  此次暴露出來的CSDN、天涯等網站的用戶信息都採用“明文密碼”的方式編寫。黑客可以輕而易舉地攻擊網站,拿到用戶數據,而“明文密碼”根本用不著破解,用戶名和密碼可以直接讀取出來。

  “明文方式是極不負責任的做法,企業應該對用戶負全責。。”知名IT律師趙佔領認為,如果企業對密碼進行加密,並設有防火墻,在黑客進行攻擊時給予了“抵抗”。如果做到了這些,才算盡到了基本的責任。

  不僅如此,“這些企業沒有採取有效的補救措施。”趙佔領説,修改密碼、取回賬戶的措施還是用戶自己來做的。

  本報記者採訪了10多位密碼被洩露的用戶,有的“改密碼改到手軟”;有的凍結了網銀,以及一切有過網上交易的銀行卡、信用卡;有的“處變不驚”,逢人便説:“改密碼有何用,改了還會洩露”;有的更是擲出豪言,“哥我不改了,裸奔就裸奔吧”。

  據記者了解,洩露的網站主要通過站內信、公告、郵箱等方式來通知用戶。但公告通知的範圍有限,活躍用戶會看到公告,但是不活躍的用戶,甚至連自己的用戶名與密碼都忘記了。

  對於已經是“公開庫”的CSDN與天涯來説,由於用戶名與密碼已經洩露,會使得許多郵箱無故被盜,往郵箱裏發郵件,真正的收件人是黑客,或者好事者。

  CSDN總裁蔣濤坦承,洩露之後,補救工作不容易。信息洩露後,他立刻找到網易、QQ、263、新浪等郵件服務商進行郵箱通知,爭取讓真正的用戶能夠收到修改密碼的通知。

  馬傑告訴記者,機器無法識別登錄的用戶是被盜用戶,還是黑客。雖然可以通過訪問行為的對比,來判斷這個用戶是不是之前那個用戶,以此來追蹤可疑的行為,但操作起來費時費力、可行性不大。

  “在法律上,網站的密碼是被黑客竊取,雖然企業不必擔負刑事責任,但也需要擔負民事責任,或者受到行政處罰。”趙佔領指出,用戶只需要證明自己的用戶名與密碼被盜,並且還是網站的過錯,就能夠進行民事訴訟,即便密碼洩露沒有造成經濟損失。

  但有的用戶覺得自己使用的是“免費”産品,從道德上,沒有理由將這些網站對簿公堂。有的網站甚至在“註冊協議”中更是借用“免費”的旗號,將一些基本的法律義務推脫乾淨。

  “免費也是一種‘服務合同’關係,QQ、MSN是‘授權使用’的關係,在法律上都存在合約。”趙佔領指出,提供互聯網服務的公司無論免費,還是付費,在法律上都有責任保護用戶信息。

  但現實是,絕大多數網民都自認倒楣,無意維權。“用戶往往損失了幾十元,但如果要維權,則需要花費幾百元,甚至上千元的成本。”趙佔領説,這其中還不包括時間成本。

  目前,歐美、日本對個人隱私的立法比較完備。無論是“被動”,還是“主動”,一旦網站泄漏了用戶信息,網站將面臨重額的經濟處罰。

  2011年4月,索尼PS3有7700萬用戶信息遭竊,後來索尼正式道歉並對用戶做出補償。有預計稱,索尼將賠償245億美元。

  2004年,日本雅虎約有460萬用戶的個人信息外漏,日本雅虎向每位用戶“賠償”6美元的購物券,這才息事寧人。

  “安全廠商應該加強對員工的管理。”馬傑告訴記者,一般,安全公司與員工簽訂合約時都有個協議,保證在任職期間,不從事任何有違反公眾安全的事情,不從事黑客的行為。

  安全支出不足1%

  “國內公司在安全上的投入的確比較少。”一位在國內知名互聯網公司負責安全的技術總監坦承。

  從論壇、BBS到SNS、電商,各個網站對安全的IT支出都很少。在給本報的書面回復中,天涯相關負責人透露,天涯的安全支出是100萬。京東、噹噹、多玩、CSDN等公司都對自己的安全支出諱莫如深。

  據一家券商TMT研究部門的調研數據,目前中國互聯網公司的信息安全支出,在整體IT支出中的比例不到1%,歐美的比例是8%~10%。而國內,對安全性要求比較高的金融行業,其安全支出在整個IT支出中佔到10%。

  互聯網行業的安全投入“囊中羞澀”,甚至無法跟上業務的發展步伐。據一位行業人士透露,目前大型B2C購物網站每年的安全投入不過幾百萬,有的甚至只有幾十萬。但實際上,這些公司每年的安全運維投入需要達到千萬元級別,小一點的網站也需要幾百萬。

  一位互聯網安全工程師告訴記者:“大多數互聯網網站通過外部的掃描工具就可以發現有明顯的漏洞。”他戲謔道,百度這樣的網站都被“黑”過,其他網站自然是慘不忍睹。

  來自360的報告也印證了這一點。360網站安全檢測平臺的分析顯示,“國內83%以上的網站存在各種安全漏洞,大部分網站基礎防護能力薄弱;國內中小型網站普遍沒有專職的安全工程師維護,光靠服務器配置防火墻和入侵檢測設備,無法有效防禦黑客的入侵。”

  “目前,只有騰訊、阿裏、百度有10位專職安全工程師,安全防護能力較強。其他的互聯網上市公司也只有3位~5位專職工程師,有的甚至沒有。”前文所述的互聯網工程師告訴記者,在互聯網企業有5位安全工程師,都算是豪華陣容,相當奢侈。

  具體來看,“目前,國內只有幾家網站有中高級別的專業安全防護能力、只有瀏覽量在前100的網站有自己專業的初級安全、運維人員,前1000的網站有安全産品或服務的採購,大部分網站都沒有專業的安全團隊。”這位互聯網安全工程師説道。

  “不少網站有著僥倖心理。”一位安全企業技術總監告訴記者,IT技術人才基本集中在IT圈,IT圈覺得自己不去攻擊別的行業就不錯了,根本沒想過自己會被攻擊。

  出於這樣自信的“潛意識”,在規模快速擴張的直接驅動下,網站往往將IT支出放在系統擴容上,在電商類網站尤其如此。在IT支出的硬體、軟體、服務/人員三項中,目前,絕大部分支出還集中于硬體,其他兩項支出比較少,有的甚至比例更低。

  從另一方面來看,建立自己的安全運維團隊,需要很大的投入,這也讓互聯網公司望而卻步。馬傑告訴記者,企業級的安全防護設備價格高,一台設備一般需要幾十萬,甚至幾百萬。並且,這些網站需要閒置出90%的資源,才能保證峰值時能夠訪問正常。為此投入的金錢就像個“無底洞”。此外,維護的費用支出也相當高,這其中主要人力成本,一般一位工程師年薪需要十幾萬元到二十萬元不等,一個網站至少需要3位專業安全工程師。

  “互聯網公司對自身的安全內部結構認識有缺陷。”馬傑認為,安全最基本的原則應該是假設網站被黑,黑客侵入進來,那麼如何控制受損的範圍。網站也應知道,哪一個區域不能放明文,而應該放到與網站服務器之外,進行物理隔離。但實際上,不少網站做安全並沒有從“這個假設”出發。

  “現在,很多網站的運維工程師也做著一部分初級安全維護的事情,但遠遠不夠。”馬傑認為,安全與運維並不相同。安全是動態的,面對的不是正常的訪問、攻擊、資料的竊取等活動。而運維的目的是保證服務器能夠被正常訪問。許多互聯網公司將運維人員當作安全人員來使用,孰不知,安全需要專業團隊。

  IT支出“薄如蟬翼”,使得網站的安全性大打折扣,這才讓用戶信息的大規模泄漏成為可能。

  “這一次互聯網公司可以僥倖逃過,未來則不一定。”趙佔領告訴記者,目前,工業和信息化部正在起草個人信息保護條例,未來從法律、法規上來保護用戶的權利。事發之後,政府還可以進行行政處罰。

  2011年12月28日,工業和信息化部發佈通告稱,用戶信息洩露事件嚴重侵害了互聯網用戶的合法權益,危害互聯網安全。工信部對竊取和洩露用戶信息的行為表示強烈譴責。同時,要求各互聯網站要開展全面的安全自查。

熱詞:

  • 互聯網公司
  • 支付寶
  • 黑客
  • goodwell
  • 安全投入
  • 安全廠商
  • 互聯網用戶
  • 互聯網服務
  • 安全漏洞
  • 互聯網企業
  •