http://magazine.caixin.com/2012-01-06/100346334.html
偶然中的必然
「這些數據庫在黑客圈幾年前就有了,這一次只不過是個比較集中的爆發」
是誰,在什麼時候,拿走了這些涉及用戶隱私的數據?原本隱秘在黑客圈的數據庫緣何會曝光在公眾面前?互聯網是否還有安全可言?此輪網絡大洩密,讓這些問題成了普通互聯網用戶最自然的追問。
「這些數據庫在黑客圈幾年前就有了,這一次只不過是個比較集中的爆發。」安全寶CEO馬傑對財新《新世紀》記者稱,CSDN數據庫的曝光看似偶然,實則必然。「冰凍三尺非一日之寒,互聯網行業安全問題的累積已經太多了,遲早會爆發。」馬傑在安全行業超過十年,曾任瑞星研發總經理,負責個人和企業的安全產品。
這也是網絡安全行業人員近乎一致的觀點。天融信公司高級安全顧問呂延輝向財新《新世紀》記者證實,最早在2008年時,就曾聽說有一些網站的數據庫在黑客圈流傳。
本次密碼信息最先被公佈的CSDN社區,後來曾組織安全專家進行討論,得知公司的數據庫事實上早就在黑客的手上了。「並不是說這一刻先攻破了CSDN,放出數據庫,然後下一刻攻破了天涯再放出數據庫。而是這些數據他們手上一直都有,只不過拋出來的時間不一樣。」蔣濤說。
天融信成都分公司技術負責人鄒曉波稱,早期的很多網站,都可以通過服務器滲透,取得後台數據庫的權限,直接取得數據。「黑客圈內人都知道誰被盜了,他們不一定公佈,但是會炫耀,在小範圍內流傳,大部分沒有去獲利。」
CSDN社區數據庫的曝光,曾經被指向一名ID為Hzqedison的金山公司員工,他分享數據庫下載地址的截圖最早在網上流傳。12月22日,CSDN數據庫外洩一事被廣泛關注的時候,Hzqedison在新浪微博表示道歉。隨後,金山公司也發表聲明,金山員工並非網絡上傳言的黑客,並非最早對外發佈密碼庫的第一人。
Hzqedison解釋了事情的經過:「12月21日,我在一個聊天群裡看到CSDN數據庫的迅雷下載地址,就離線下載了該文件來檢查自己賬號是否被洩露。為了讓同事們也檢查,才做了分享貼到同事群裡。5分鐘後,該地址截圖被發到了烏云漏洞報告平台上,得知後我立即刪除了迅雷分享地址。因為刪除很及時,該地址只有幾名同事下載過,而且從未將數據庫文件外洩。」
李鐵軍告訴財新《新世紀》記者,據他瞭解,當時該金山員工上傳CSDN數據庫時,是「秒傳」的,說明這個數據庫文件在迅雷下載服務器中早已存在。
「是誰最早上傳了這些數據庫,現在已經很難確定。」李鐵軍說,除了CSDN的數據庫,還有其他網站的數據庫一起在網上流傳。因為CSDN的影響力比較大,所以就傳開了。
事實上,CSDN數據庫曝光之前已有徵兆。李鐵軍告訴財新《新世紀》記者,他在12月14日前後,即洩密事件發生的前一週,就已經注意到有很多網友在新浪微博上反映賬號被盜,「這是黑客在用數據庫去試探新浪的數據庫,有些就撞到了」。
馬傑分析,這次曝光的網站數據庫應該是最近幾年間連續不斷被刷庫的。「安全圈也知道,這幾年地下黑客圈在刷庫,也知道一些數據庫在黑客圈流傳。」
所謂刷庫,是指黑客入侵網站服務器之後竊取用戶數據庫的行為,互聯網業內也稱其為「拖庫」,取其諧音,也形象稱之為「脫褲」(參見輔文「致命的漏洞」)。
看上去,金山員工「偶然」的發現和分享,加上地下黑客累積經年的刷庫行為,以及數據庫在圈子中的一輪輪擴散,最終促成了這次網站數據庫大規模的曝光。
但是,這裡面依然隱藏著兩個問題。第一,金山員工如何能「偶然」發現原本在地下黑客圈流傳的數據庫?第二,僅是CSDN的數據庫曝光,緣何能引發一連串的數據庫浮出水面?
地下黑客圈傳輸或交換文件,一般都是點對點的傳輸,有時甚至通過郵寄移動硬盤或光盤來實現。但隨著被刷的數據庫越來越多,轉手的次數越來越多,參與的人數也越來越多,出錯和曝光的概率就越來越大。
烏云漏洞報告平台的創建人劍心分析說,由於不同黑客掌握的數據庫各有不同,刷出來的數據庫會在黑客圈中交換,這樣就會一輪一輪的擴散。很有可能是某個人在轉手傳播的過程中,由於文件太大,無法實現網絡上點對點的傳輸,不得不利用迅雷、網盤一類的工具進行上傳和下載。在這過程中,工具會把這些文件洩露出來,甚至會在搜索「數據」等關鍵詞時出現推薦。這樣擴散的範圍就更大,進入與黑客圈有交流的安全圈也就不足為奇了。
至於網站用戶密碼連續被報丟失的現象,呂延輝解釋說,一些數據庫曝光之後,黑客手中那些與之雷同的數據庫就沒有價值了。並且,引發公眾關注後,基本所有網站都會通知用戶修改密碼,政府相關部門可能還會介入,那麼其他的一些非核心數據庫的價值也就更低了。
呂延輝表示,可以看出來,這次曝光的數據庫都是在地下黑客圈轉手很多次的,本身價值也不大,再加上CSDN數據庫的曝光,其他數據庫的含金量進一步降低,那些手上有庫的人拋出來也不奇怪,這才形成了一連串的規模效應。
脆弱的網站安全
互聯網從提供內容為主發展到有很多網上購物與社交,但安全現狀停步不前
洩密事件,將眾多網站在安全方面的脆弱暴露無遺。知名網絡安全專家、安天實驗室首席技術架構師江海客直言,這是一個安全崩盤的時代。
安全圈內資深人士的共識是,被黑客攻擊和刷庫,各大網站幾乎是無一倖免,只是程度和範圍的不同。在做安全行業的人看來,目前大部分網站的安全性都不足。「這一次表面上看是明文密碼庫的問題,但實際上多數網站從根本上都沒有重視自身的信息安全。」天融信公司副總裁劉輝對財新《新世紀》記者表示,網站把絕大部分資金投入到日常運營中,只有被攻擊或吃過教訓後,才想起來安全的重要性。
「一些網站之所以容易被『脫褲』,很大一部分原因就是因為本身就穿得太少了。」劉輝說,很多經營性網站甚至都沒有專門的網絡安全工程師。
CSDN社區數據庫在此次事件中最先曝光。蔣濤也坦言,「原來對安全的認識還停留在相對低的水平上,覺得自己的數據不是什麼關鍵數據,別人拿去也沒什麼用。」
但這次一連串的數據庫洩密事件證明,互聯網存在很大的關聯性,特別是擁有大量用戶的網站,更不是一個孤立的存在,很多用戶的郵箱、賬號都與別的系統相關聯,一旦有事,就會造成跨網站的連鎖反應。另外,由於安全問題出在了服務器端,普通用戶基本沒有辦法防範,數據庫被刷後曝光出來,用戶只能被動的修改密碼。
馬傑則指出,現在互聯網從原來提供內容為主,到現在有很多的網上購物與社交,網站的重要性進入了另外一個層面,但安全現狀停步不前。「現在網站數據中所包含信息的價值在上升,但安全防護的措施並沒有加強。」他說。
另一方面,專業做網站功能、應用和服務的人,與專業做安全的人,在技術思維上也存在巨大差異。「一個B2C網站的程序員,做了一個系統,花了幾個月的功夫,自己覺得沒什麼問題,然後請專業做安全的人去找漏洞,結果做不到十分鐘就破解了。」李鐵軍舉例說,二者沒有高下之分,只是職業的特徵決定了思路上的差異。
思路上的差異,加上安全意識的不到位,導致了網站安全的脆弱。CSDN、天涯社區至今仍未披露數據庫外洩的具體原因。馬傑告訴財新《新世紀》記者,從技術上講,有很多種方法可以刷庫,「就像一個很大的房子,可以爬窗戶、撬門,或者從煙囪進來,甚至挖個地道進來,就看黑客想花多大的功夫和精力」。
通常來說,黑客都是通過發現網站或應用軟件的漏洞進入服務器,然後想辦法提升權限,就可以把數據庫下載下來。對一些防護比較弱的網站,甚至都不用進入網站就能刷庫。安全行業資深人士TK說:「只要分兩步,第一步找到一個SQL注入點,執行一條備份命令,備份到一個目錄去;第二步,從目錄把數據下載回來。根本不需要獲得網站的權限,只要有SQL注入的漏洞,就可以爆庫了。」
劍心告訴財新《新世紀》記者,決定在12月30日臨時關閉烏云平台的其中一條原因,就是擔心後續幾天爆出的網站漏洞會越來越多,引起互聯網用戶的恐慌。烏云漏洞報告平台是由一群互聯網安全研究人員自發組織的信息安全溝通平台,研究人員在上面提交廠商的安全問題,也披露一些通用的安全諮詢和安全使用。有超過500個「白帽子」安全研究人員和120多個廠商參與平台,反饋和處理了接近4000個安全問題。在洩密事件引發大範圍關注後,烏云平台因曾多次發佈相關安全漏洞預警而被關注。
劍心也證實說,目前國內除極少數大型網站外,可能都被黑客刷過庫,包括網易、搜狐在內的門戶,一些漏洞都是在烏云平台上被證實的。此外,近年來快速膨脹的電子商務網站,在劍心看來,安全性更是糟糕,烏云平台已經多次證實並報告了他們的漏洞。這其中就包括11月10日所報告的噹噹網漏洞,可以抓取超過4000萬條用戶信息。
相對而言,金融系統的安全性較強。銀行通常會採用硬加密的技術,既不僅依靠登錄密碼和交易密碼,還需有一個外在於密碼系統的物理密鑰,比如發送到手機的動態口令或U盾密鑰,其安全性要高於單靠密碼的「軟加密」方式。但是,隨著第三方支付、代收費、代繳費等業務的展開,銀行系統需要開放的接口也越來越多,對銀行系統的安全提出了更高的要求。
除網站的安全性差外,本次洩密事件中備受詬病的還有明文密碼庫。所謂明文密碼庫,即在對用戶密碼信息存儲時未進行加密處理,黑客獲得數據庫後,所有的用戶名、密碼一目瞭然,更加容易利用。
蔣濤解釋稱,各家網站的明文密碼庫都有複雜的歷史原因,CSDN是在2010年9月之後才採用了密文存儲。「這不是一家的問題,而是行業性的問題。」
但是,加密存儲也並不一定意味著安全。多位受訪的網絡安全專家告訴財新《新世紀》記者,現在相對簡單的MD5加密方法已經不安全,黑客圈建立了龐大的MD5值的「字典庫」,通過「查字典」的方式很快就能破解還原。
馬傑建議,在進行密文存儲時,還需要對加密算法做一些改變,或多次加密,安全性能才會有所提升。儘管通過「彩虹表」碰撞等方法不存在破解不了的情況,但至少會大大增加破解的成本和時間,降低數據庫對黑客的吸引力。
烏云平台撰文稱,最好的安全應該是自始至終就有人為安全負責,將安全落實到公司的流程制度規範以及基礎技術架構裡去,形成完善的安全體系,並且持續更新迭代,「如果以前沒有這方面制度,就從現在開始建設;如果沒有團隊,就可以先找一些公司或者外部顧問。但是記住,不要幻想一次性的投入就可以抵抗利益驅動長久進化的黑色產業鏈」。
黑色產業鏈
有人負責發掘漏洞,有人負責根據漏洞開發利用工具,有人負責漏洞利用工具的銷售,有人負責刷庫,有人負責洗庫,有人負責銷售,還有人利用數據庫釣魚、詐騙、發送垃圾郵件
大規模的洩密事件,也使得互聯網江湖中最為隱秘的黑色產業鏈再度引人關注。「熊貓燒香」病毒讓公眾知道了病毒黑色產業鏈,而此次的洩密事件則指向了數據交易的黑色產業鏈。
馬傑告訴財新《新世紀》記者,最近幾年,「黑帽子」黑客圈內的盈利模式發生了一些變化。最早是「掛馬」比較掙錢,通過發現漏洞SQL注入,然後想辦法獲得網站權限,在網頁上掛上木馬程序,中了木馬程序的機器就成為「肉雞」,通過木馬控制「肉雞」來賺錢。比如說盜號、彈窗、導流量等。
「早幾年木馬猖獗的時候,一個服務器能控制幾萬台的『肉雞』。即使只是IE自動跳轉到某一頁面,每年也能帶來可觀的流量和收入。」李鐵軍說,還有黑客利用系統漏洞和木馬進行「釣魚詐騙」,從個人客戶一端入侵網銀系統,進行非法轉賬等。
後來,「掛馬」和「釣魚」被各大安全公司打擊得非常厲害,特別是免費殺毒軟件在個人終端的普及。而這個時候,地下黑客發現,刷庫是個更快、更直接的賺錢方法。
最近幾年,圍繞數據交易的黑色產業鏈正在逐步形成。在地下黑客圈內,一些大型網站的數據庫被明碼標價,一個數據庫整個端下來,價值數百萬元到上千萬元不等。
拖庫成功後,到手的數據庫可以有很多用途,比如直接賣給被刷庫網站的競爭對手。黑客還可以利用部分互聯網用戶「多家網站一個用戶名一個密碼」的習慣,去試探別的網站數據庫。這叫「撞庫」,技術上也很容易實現,只需要編寫一個腳本,自動不斷用已盜取數據庫裡的信息去請求登錄。由於都是正常請求,被撞的網站也很難防範,所以也會有網站「躺著中槍」。
安全業內人士稱,刷庫之後,黑客拿著數據庫去「撞」有虛擬幣系統的遊戲網站、騰訊,以及網上銀行、支付寶及電子商務網站,都是必然會發生的事情。如果撞到了重合用戶,將其賬號內虛擬資產、網銀洗劫一空都是再自然不過了。
經過多次倒賣和「洗庫」之後,數據庫還能被賣給價值鏈的末梢買家——利用賬號信息來發送廣告、垃圾郵件、垃圾短信的推銷公司。通常情況下,數據庫的價格越賣越便宜,流傳的範圍也就越廣,距離曝光也就越近。
而在整條黑色產業鏈中,分工也比較明確。最核心和最難的是發掘漏洞,這對技術的要求最高,能發掘漏洞的黑客也比較少。呂延輝介紹,在地下黑客中,有人專門負責發掘漏洞,有人專門負責根據漏洞開發利用工具,有人負責漏洞利用工具的銷售,有人負責刷庫,有人負責洗庫,有人負責數據庫的銷售,最後端,還有人利用數據庫釣魚、詐騙、發送垃圾郵件。
有網絡安全人士估算,目前互聯網的地下黑色產業鏈規模已經達到上千億元,而安全行業的規模目前還只有幾百億元,「就像毒品的市場規模反而大於麻醉藥的市場規模」。
失能的法律防火牆
周漢華表示,「當網站的資料和個人信息緊密相連,安全卻沒有保障,這種情況下,實名制是相當危險的」
劉輝判斷,這次洩密事件將注定會是互聯網發展歷史上一件大事。一方面是對互聯網業務發展模式的影響;另一方面,則是互聯網行業安全規範機制的建立已勢在必行。
「短期內,互聯網行業的發展會受到一定的影響。」劉輝說,例如近兩年興起的云計算服務,現在提供云服務的互聯網公司必須要重新建立用戶的信息,並說服用戶上傳至云端的資料是安全的。要說服用戶,就需要相應的安全承諾及安全認證機制。
蔣濤也表示,這次洩密事件相當於給整個互聯網業上了一課。「CSDN也是專業的IT社區平台,我們會利用這個平台來加強安全的教育和普及,提升互聯網行業的安全意識。」他說,除了加強自身的安全性,這是CSDN在2012年要去做的重要事情,「互聯網上各大網站的關聯度越來越高,安全已經不是一家兩家的問題,而是全行業的問題」。
在全世界,身份的盜用和密碼的洩露每天都會出現,但與發達國家不同的是,這次密碼洩露事件發生後,各方幾乎束手無策。「大家都不知道怎麼去保護自己的權利,大家就只能看著發生,等著下一次什麼時候發生。」中國社會科學院研究員周漢華對財新《新世紀》記者說,「我們的問題是沒有有效的管理手段,沒有可以適用的法律。」
在亞太網絡法律研究中心主任劉德良教授看來,個人信息在網絡時代越來越具有商業價值,這也是目前非法收集、加工、買賣和商業性濫用個人信息行為日益氾濫的內在驅動力。針對如此嚴重的網絡的個人信息安全威脅,法律的「防火牆」為何失能以及如何重構,成為一個急需解決的問題。
上海一位經偵人員對財新《新世紀》記者介紹,他們曾經偵辦過一個利用個人信息實施犯罪的案子。有人發現幾百萬元銀行存款莫名消失,於是報案。此案涉及幾百萬條的車主信息數據庫,這些信息有黑客攻擊得到的,也有銀行、保險業的內部人洩露出來的。犯罪分子的作案手法是,通過內部洩露或者黑客攻擊得到包括車主姓名和身份證號碼的用戶信息庫,找銀行的人查開戶信息,這個行話叫「包行」,幾百塊就能做。得到卡號後,然後猜密碼,利用黑客軟件和銀行卡進行比對。
從刑事法律來看,2009年《刑法》修正案增加了「非法侵入計算機信息系統罪」的條款,「違反國家規定,侵入計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金」。
同年,全國人大常委會還出台《侵權責任法》,規定網絡服務提供者和網絡用戶利用網絡侵害他人民事權益的,應當承擔侵權責任;網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益,未採取必要措施的,與該網絡用戶承擔連帶責任。2000年,全國人大常委會又專門制定了《關於維護互聯網安全的決定》,重申各種互聯網違法的刑事責任和民事責任。
在行政監管層面,除了國務院在1994年制定的《計算機信息系統安全保護條例》,作為全國計算機系統安全保護工作主管部門的公安部,也制定了《信息安全等級保護管理辦法》以及《計算機信息系統安全保護等級劃分準則》《信息系統安全等級保護基本要求》《信息系統安全等級保護測評要求》等30多個標準。
多重的法律規定,為何實施效果不佳?周漢華認為,《刑法》的適用門檻比較高,需要「違反國家規定」和「情節嚴重」的條件,何況這兩個條件目前都缺乏相應的標準。而《侵權責任法》的適用,在網絡環境下,當事人舉證非常困難,而且存在成本投入和收益不對稱的情況。
周漢華認為,《刑法》和《侵權責任法》都屬於事後救濟,在網絡時代,由於損害的發生是系統性的、不可復原的,所以對網絡安全以及個人信息進行全流程的監管才更為有效。目前對於這種全流程的監管,中國既缺乏專門的法律,也沒有專門的執法機關,蒐集個人資料的企業所應承擔的相應的安全責任以及相應的信息流管理行為規範都缺失。「這就是為什麼要制定《個人信息保護法》的原因。」周漢華稱。
據財新《新世紀》記者瞭解,早在2003年之時,周漢華曾經受當時的國務院信息化辦公室委託,主持《個人信息保護法》的立法研究,並且在2005年形成了一份專家意見稿。但時隔多年,這部法律的立法工作遲遲未被啟動。
劉德良教授認為,在當前中國的法律框架下,把個人信息都納入人格權的範疇,而不承認個人信息的商業價值也是個人的財產;人格權受到侵害後,原則上也不能要求財產損害賠償。因此他提出,對於個人信息的法律保護,應該包括隱私上的人格利益和個人信息的商業價值這雙方面,將個人信息的商業價值視為個人的財產,未經允許擅自收集和商業性利用個人隱私,既是一種侵犯人格權的行為,也是一種侵害財產權的行為。
財新《新世紀》記者張宇哲對此文亦有貢獻