自從3月18日263集團宣佈終止所有免費郵件服務以來,除了在互聯網界引發了一場"地震"以外,263此舉招徠最多的恐怕是聲聲責難和官司纏身以及客戶流失數字的報告,然而,最近又有觀眾打來電話説,263郵箱存在重大的安全隱患,這無疑是對263郵箱所謂的高速度、高可靠性、高安全性的極大挑戰,到底263郵箱存在什麼樣的安全隱患呢。
在某網絡公司技術部擔任系統工程師的陳正平98年底就開始使用263電子郵箱,可以説對263天下郵情有獨鍾,但在使用過程中發現了一個經過簡單操作就能進入別人郵箱方法。
263郵箱用戶:只要會操作計算機的人都能做到這一點,而且太簡單不過了。
電子郵件從誕生到現在已經有三十年的歷史,方便快捷安全可靠是近幾年電子郵箱使用人群迅速增加的主要原因,陳正平説的如此簡單,到底是什麼方法呢?
陳正平:比如説我現在打開我的郵箱,你看,這個地址欄裏邊這個記錄,等我把這個窗口關掉過後它就會保留在計算機裏面,我把郵箱關掉過後,等我離開以後,別人就可以根據把這個記錄給調出來,然後就直接進入到我的郵箱裏去,這個記錄它會存在於計算機的硬盤裏面,有一個歷史記錄。
如果按照陳正平所説,無論263郵箱免費用戶還是收費用戶,只要在公用電腦上瀏覽信件,別人可以通過歷史紀錄輕鬆進入,私人信箱就很有可能成了一個公用信箱。那麼這種情況是否普遍存在是否屬於正常現象呢?我們走訪了中科院信息安全專家卿斯漢。
中科院信息安全技術工程研究中心 卿斯漢 主任:我們覺得這個問題很早就提出來了,這個我們從專業術語上講叫重放攻擊,重新播放一下你過去的一些內容,通過這個手段來進入別人的機器,或進入別人的網站,這個問題很早以前就提出來了。那麼重放攻擊我們要防止它,在技術上也很成熟,我們的辦法就是加一個時間戳,第一次進入和第二次進入的時間是不一樣的,通過時間來分隔它。
其實早在兩年前陳正平就發現了這個漏洞,直到263要對電子郵箱實行全面收費之際,他認為是到了非説不可的時候了,陳正平曾經致電263,卻沒有得到滿意的答覆。
他不用我的密碼就能進入我的郵箱,這就是你們升級後的郵件系統,不可能它不可能出現這種情況。
這不可能是嗎?
對。
正是這個263認為不可能發生的低級漏洞,當我們在採訪過程中向被採訪者進行演示後,人們的表情除了驚訝還是驚訝,主要原因大概是幾乎沒有人在公共場所用完計算機後會想到刪除歷史紀錄。
網吧技術人員:很少,可以説是寥寥無幾。
網民:我在家裏或公司裏上網的時候,我從來沒有對歷史記錄什麼的,我從來不動它,我現在就開始想我又沒有在網吧裏。
的確如此,作為中國最早的免費郵件服務提供商263已經擁有數千萬郵件用戶,出現這樣情況是大家不願意看到的,就在記者將要聯絡263了解此事時,事情發生了變化,4月5日也就是記者開始調查此事的第三天,263突然宣佈,安全隱患已經消除。
263網絡集團市場總監 毛新:昨天下午大概三四點鐘,有一個用戶打電話過來,説它可以用上面那樣的一個方法,他可以重復進入他的信箱,我們這邊技術人員就開始測試,測試之後發現是這個問題,發現這是一個安全隱患,於是就連夜組織技術人員開始制定解決方案,並且連夜進行處理,到今天早晨,這個安全隱患就排除了。
據毛新介紹,263天下郵用戶目前使用的郵件系統是5年前開發研製的,這套系統的使用也是一個不斷優化不斷更新的過程,現在人們可能最為關心的是,真正到了5月21日,263用戶還要使用現在這個補丁套補丁的郵箱嗎!
263網絡集團市場總監 毛新:現在用的這套免費郵件系統是我們購買的,到5月21號之後,263要全面的升級,升級以後所用的那套系統是我們開發的系統,就不是這套系統了。
漏洞已經彌補,用戶的擔心也可消除,但這件事情卻給我們留下了很多問題值得思考。
中科院信息安全技術工程研究中心 卿斯漢 主任:網絡時代安全是有著非常非常重要的地位,共享和安全是一對矛盾,怎麼解決這個矛盾一定要提到議事日程上來。263現在及早解決這個問題比今後晚了在糾正,出了問題在糾正要好得多。其它一些網站也要重視這個問題。另外,也引起我們國家一些主管部門的重視,琢磨將來怎麼樣對網站進行安全認證。
中科院研究生院網絡經濟學專家 呂本富:這個整個問題可以叫作信息系統的監理與審計問題,這是個大問題,就是説不僅是硬體産品需要監理審計,那麼軟體工程包括這種服務過程它也需要監理和審計。那麼目前在國內確實還沒有做這樣的工作,或者説做得比較少。
收費不收費也許並不是主要問題,用戶選擇交錢使用收費郵箱,除了更改聯絡方式帶來的麻煩以及習慣外,可能安全、快捷也是重要的原因。現在令人欣慰的是263的這一漏洞得到了及時的彌補,但軟體系統在使用過程中總會發現一些bug,如何建立一個對網站服務進行監測評估的機制,讓網民不必在擔心中享受服務應是我們今後共同努力的目標。
信息鏈結:
互聯網研究室首席分析師 方興東:讓客戶認為有價值的時候在收費才自然而然。
中科院研究生院網絡經濟學專家 呂本富:郵件安全是今後競爭的焦點。
|