2012年1月12日星期四

泄密门事件背后的真相

  据新华网报道,国信办发言人昨天表示,近期一些媒体报道或在网上流传的数家网站用户信息被泄露的事件,引起互联网管理部门的高度重视。截至目前,公安机关此次已查处入侵、窃取、倒卖数据案件9起,编造并炒作信息泄露案件3起,刑事拘留4人,予以治安处罚8人。据这位发言人介绍,近期查处的信息泄露事件主要有五个,具体内容参见这里

  国新办发布声明的解读

  国新办的声明内容比较多,我这里进行了一些概括总结如下:

  1、只有三家网站的用户数据库被确认发生了泄漏,其他网站的数据库并没有大规模泄漏。

  泄漏数据的网站包括CSDN天涯多玩网(YY语音),其中CSDN、天涯的因为2009年使用的是明文密码,因此泄漏的用户密码是明文的,多玩网(YY语音)的数据是内部员工窃取的,网站未被入侵。

  2、银行数据泄漏是谣言,没有一家银行的用户帐号和密码泄漏。

  3、其他网站,有些如新浪、京东等,是遭到了入侵,但是用户数据库都没有大规模泄漏,有些网站如人人网等,是通过其他明文密码数据库猜测破解。

  目前有关部门正在加紧抓捕入侵网站和公开数据的黑客以及造谣传谣者。

  泄密原因深度分析:为什么数据会被公开?

泄密门事件背后的真相

  本次泄密门最大的一个疑点,就是泄密者为什么会公开各大网站的用户数据库,其动机是什么,如果这个原因找不到,就很难了解泄密事件更深层的秘密。

  国新办表示,主要原因可能包括:

  1、一些人编造或炒作网站用户信息被大规模泄露的消息,既有出于个人进行炫耀或骗取钱财的目的。

  2、一些网络安全公司销售人员想以此提高知名度、推销自己的产品。

  3、个别人借机企图干扰和贬损北京等城市正在开展的微博客用户用真实身份信息注册工作。

  这三条动机有可能存在,但经过分析可以发现,其可行性都很小,首先要分析的是,这些泄密数据是不是黑客分享出去的?

  一、黑客没有理由公开

  黑客拖库(窃取网站数据库)的行为在过去数年内一直存在,CSDN和天涯的数据库早几年前就被拖库,这些数据库已经被卖了多次,不过那时都是在黑客的小圈子里流传,并没有大规模公布出去,公布这些信息对黑客来说没有什么好处。

  1、CSDN和天涯的这些数据具有一定的价值,可以在某些圈子里销售和交换,免费公开出去对自己没有任何好处,还会被公安机关盯上,被抓后还可能会坐牢,一个黑客不可能做这种损人不利己而且有很大风险的事情。

  2、和网游、网银类数据库不同的是,CSDN和天涯的用户名密码数据,本身并没有太大的商业价值,对外销售肯定没有网游数据库的价格高,但是,这种明文的用户名和密码具有很大的“社会工程学”价值,对于指定目标的攻击具有很大参考价值。通常来说,很多用户惯用一个用户名和密码访问所有网站,因此通过这类明文数据库可以推算其电子邮箱的密码,进而通过用户的邮箱获得更多有价值的信息。

  然而,如果这些数据库被公开外泄,则整个数据库的价值就会大为降低,因为被泄密的用户会尽快将比较重要的网络登录密码修改,其他社交或邮箱网站还会通过这些明文密码批量禁用那些密码一致的用户,从而导致利用该数据库进行攻击的可能性大为降低,使得这个数据库的“社会工程学”价值逐步消失。

  二、安全公司没有胆量公开

  网络安全公司对于黑客非常了解,有些甚至以前就从事黑客工作,很多从事网络安全业务的公司也雇请黑客从事网络安全检测与产品开发,因为网络安全的防范对象是恶意黑客,所以必须有了解攻击手段的黑客参与,才能更全面地防范黑客攻击。在这次泄密门事件中,网络安全公司也是很早就获取了泄密文件的消息,并对外进行预警。

  如果说是某些安全公司泄漏的这些数据库,理论上是有这种可能性,但实际却缺乏可操作性。从某种意义上说,公布泄密数据会引发商业网站和用户的恐慌,让商业网站加大安全方面的投入,的确会对那些网络安全公司带来一些好处,不过需要注意的是,目前中国的网络安全领域竞争非常激烈,并没有形成某个安全公司垄断市场的局面,因此实际获益的公司并不明确,甚至可能是竞争对手获益,同时,发布这些泄密信息具有很大风险,一旦被查处,将导致整个公司在安全领域出局,因此很难想像会有正规公司冒险做这种低回报高风险的事情。

  三、另一种可能:偶发事件

  那么到底是谁公开的这些数据呢?这么多数据在同一时间内大量发布出来,不是有目的计划的策划,难道是巧合吗?

  实际情况是,的确有可能是一个偶然的机会,导致这些用户数据库被公开泄漏出去。

  根据《每日经济新闻》的报道,在这次大规模“爆库”事件中,迅雷扮演了一个重要角色。此前黑客均通过邮箱内部交流“黑”来的数据库,但一些人通过迅雷离线下载或高速通道下载,这些数据库就保留在了迅雷服务器。当其他用户使用迅雷下载时,通过“相关推荐”功能把黑客用来内部交流的数据下载了下来。如此往复,导致被爆的库越来越多,以至于所有数据大白于天下。

泄密门事件背后的真相

  有用户尝试下载一个编程程序,下载过程中,迅雷在其相关推荐栏里给出了“CSDN-中文IT社区-600万.rar”下载地址。而下载了“CSDN-中文IT社区-600万.rar”这个文件后,在迅雷下载的右边有相关推荐提示“使用了此链接的用户还使用了如下链接”,相关推荐又再次显示另外多份黑客泄露的数据库文件,这才使得大量网站的用户数据库在短时间内同时曝光。

  因此可以想象,CSDN、天涯、YY等数据库最开始可能在一个小圈子内交流,而有一些黑客不小心使用迅雷下载,才导致用户数据库被意外地公开。

  标本兼治、亡羊补牢

  既然泄密事件已经发生,也暴露出当前中国互联网的不少问题,用户修改密码、抓捕黑客,都只是“治标”,如何建立健全信息安全制度保障、营造互联网健康环境才是“治本”。

  1、从这次事件中可以看出,国内的互联网企业普遍不重视安全,对网络安全投入不够,网络安全技术人员得不到重视,在企业的地位和收入不高,造成网络应用漏洞很多,让人有机可趁。因此,这些企业需要加大信息安全方面的投入,进行大规模的安全检查,切实保护好网友的个人信息,再也不要发生“明文保存密码”这样的低级错误。

  2、在法律层面,国家在网络安全方面的立法相对还较为滞后,对于个人隐私保护和泄密的法律有待完善,难以对这种盗取贩卖用户数据的行为进行威慑,因此迫切需要加快信息安全等方面的立法工作,完善隐私权的立法工作,对于泄漏、倒卖个人数据的行为追究刑事责任。

  3、对于那些对公众隐私数据疏于安全保护的商业网站,应该给予惩罚。如果今后再次发生用户信息泄密事件,应该通过完善相关法律,追究网站的渎职之责,要求网站对用户进行相应的赔偿。

  4、建立一种奖励机制,对于那些发现公众网站存在漏洞的人给予一定奖励,鼓励通过安全的途径反馈网站的漏洞。