在人们的生活已愈发离不开网络的当下,网络却似乎越来越不安全了。
近来,互联网安全问题一再爆发。弹幕网站AcFun、摩拜、优酷、前程无忧,甚至中国铁路总公司的12306,相继被传有上千万用户数据泄露,包括用户的邮箱、密码、真实姓名、身份证号码、电话等被人瞬间摆上“货架”兜售。
更早些时候,暗网上甚至出现了一个高达41GB的数据文件,涉及Gmail、Hotmail、Sina、qq、163等共14亿个邮箱地址,堪称“暗网史上最大的数据库”。
也就是说,若有人想以此牟利,普通消费者在网上的一切信息都可能被瞬间曝光,你的手机、网络银行、股票账户随时都可能被入侵。
工具的使用促进了人类的进化,为人类提供了便利,互联网更是在彻底改变人类生活。然而,在另一面,网络安全正日益捉襟见肘,风险不断上升。相关数据显示,自2015年开始,全球的数据泄露规模便成几何式增长。2015年,7.07亿条数据泄露;2016,14亿条;2017年,50亿条……
风险在上升,技术也会进化。如今,全新的开放式网络安全理念正在悄然崛起,这能否成为挽救网络安全的一剂良方?
“裸奔”时代
互联网,拉近了人与人之间的距离,也撕碎了人类的遮体布。在网上“裸奔”的网民,不仅被“画了像”,这些“画像”甚至还被出售牟利。
截自暗网的图片显示,近日被兜售的数据库除涉及AcFun网站外,还有优酷、摩拜、12306、前程无忧以及各大邮箱网站。其中AcFun数据的价格从7000元到12000元不等;摩拜单车的用户数据整体标价40万,12306的3000多万条数据售价10个比特币(发稿时每比特币约6500美元),5000万条优酷数据则被黑客要价80个比特币。
算下来,一个普通消费者的全部信息,还不到1分钱。我们所有的信息,似乎一文不值。可当这些数据落入违法者的手中,对个人造成的损失或以万计。
暗网出售的这些信息并没有被完全证实来源于其所宣称的各大网站或平台。即便如此,面对这些打着各自旗号的所谓泄露信息,各大网站的反应各不相同。
AcFun的态度最诚恳。该网站承认被泄露的用户数据包括用户ID、用户昵称、加密存储的密码等。“根本原因在于我们没有把AcFun做得足够安全。”有意思的是,在AcFun发布公告后,有黑客即发帖表示,“出于A站客服态度诚恳”,他们将无条件删除这次数据库资料,也不会出售任何相关数据和漏洞。
同样被卷入数据泄露风波的摩拜则称,公司在收到情报后第一时间启动全量排查,暂未发现数据泄露和入侵的现象。中国铁路总公司官方微博则表示,网传“12306数据疑似泄露”,经核查,该网站未发生用户信息泄露。
前程无忧在回应中说,样本数据中只有部分账户密码能够成功登录,因此网站数据库被入侵或整体泄露的可能性不大。“释放出来的样本数据,都是在2013年之前注册,大部分来自此前遭泄露的邮箱账户和密码。”
传言和回应,普通的网民真假难辨,但这种不安全的环境却越来越明显。普通消费者至少有权了解,自己在互联网上是如何被变成“裸奔者”的。
“裸奔者”的诞生
和进化中的人类一样,进化中的互联网也并不完美。从技术派黑客到安全从业者,从政治上的中心权威主义到去中心化的无政府主义,互联网几乎就是现实人性与社会的映射体。
“裸奔者”的诞生,正是这些矛盾的衍生品。比如,网站管理者认为,用户数据是隐私,必须严加保护。而著名的黑客埃里克·雷蒙德却认为,所有的信息都应该是免费的,要打破电脑特权,计算机才会使生活更美好。双方于是产生了进攻和防守,攻防之间,用户数据的泄露在所难免。
在技术上,用户数据的泄露并不神秘。网络安全专家、“漏洞银行”CTO张雪松认为,排除内鬼因素,黑客一般是利用漏洞入侵网站服务器,直接将用户数据库导出偷走,这叫“拖库”。
完成“拖库”之后,黑客还会进行“撞库”攻击,就是黑客在获得甲网站的用户账户和密码之后,再用这些账户密码尝试登录乙网站。“多数网民会在不同网站上注册相同的账号和密码,通过撞库,黑客无需入侵乙网站,就能获得一系列可以登录乙网站甚至更多网站的用户数据,而且这一过程是通过程序自动批量来进行的。”
完成“撞库”后,部分无效或者重复的数据将被剔除,只剩下有效的用户数据。这些在不同网站上注册的用户信息相互补充,可以形成更加丰满的“裸奔者画像”,然后再转卖黑产进行价值变现,这个过程就叫“洗库”。“比如传言被泄露的14亿邮箱数据,应该是在过去数年中不断地撞库、洗库而累积起来的。”
“冰山”底部的黑产
在信息即商机的今天,围绕着网络用户数据,已经形成了一个完整的、极其成熟的网络黑色产业链(简称“黑产”)。根据2017年的测算,中国“网络黑产”从业人员已超过150万,市场规模达千亿级别。
在这个黑产中,有单个的黑客,也有黑客组织,他们通过网络技术明确分工。比如有人专门负责入侵网站,实施“拖库”,盗取用户数据。有人负责“撞库”或者“洗库”,还有人专门做暗网兜售,将这些数据变现。
在黑产的下游,有政治或者商业竞争对手,也有利用这些数据进行电信诈骗的团伙。2016年的“徐玉玉被诈骗案”,正是由于骗子掌握了徐玉玉完整的录取信息、手机号码等个人信息,才能够精准实施诈骗。
黑产离不开暗网。所谓暗网,是一个完全匿名的、不能被搜索引擎检索、IP地址很难被跟踪的网络。黑产交易绝大部分都是通过暗网完成的,而且使用的是隐匿性很强的数字货币。正是因为有极强的隐蔽性,暗网成了犯罪者的天堂。
令人吃惊的是,在暗网上收购用户数据的,不仅有黑客、黄牛、诈骗犯以及政商竞争对手,也有正规的网络安全公司和大数据公司。
“网络安全公司主要是购买漏洞技术,为客户提供补漏服务。大数据公司则需要原始数据,比如他们想做网购行为分析,自己没有电商平台,又无法从大的电商平台获取,那就只能从暗网购买。这种购买肯定不符合法规,但是因为其隐蔽性,很难被查处。”张雪松还透露,现在暗网上卖得最火爆的,已经不是邮箱账号、密码之类的数据,而是外卖、快递、购物、理财类的信息。这些信息不仅包含有个人的物理定位,还能反映出个人的消费和资金等情况。
在这些大数据面前,人人都是“裸奔者”,而这却是商家实现精准营销所急需的。
漏洞的价值
暗网和表层网相互交织,加上黑色产业背后的巨大利益,导致要想彻底铲除黑产,几乎不大可能。
人类最美好的健康,是不生病、不吃药,不需要庞大的医疗产业。同样的,大家期待的网络安全,是“夜不闭户、路不拾遗”,不需要任何的防护。
“在纷繁复杂互联网世界里,这样的理想状态几乎就是幻想。就像木桶存在短板一样,任何网站都无法做到固若金汤,肯定有薄弱之处和漏洞。所以,漏洞本身是非常有价值的。”张雪松解释说,所有诈骗电话、钓鱼邮件、欺诈短信,都和个人信息泄露有关。假如金融网站漏洞被黑客掌握,上亿资金瞬间就会被转走;如果城市电力系统的漏洞被掌握,整座城市可能会陷入黑暗。在黑市上,微软的漏洞交易价格从1万美元到30万美元不等,而各国国防安全系统的漏洞,其价值更是无法预估。
“与其让恶意黑客掌握这些潜在漏洞,流入黑产市场,不如鼓励拥有黑客技术的人发现漏洞,提供给企业和机构,并帮助他们建设更安全的网站。”正是基于这样的理念,才有了漏洞平台的诞生,而这些发现漏洞帮助企业的“黑客”被称为白帽子。白帽子和企业之间的有效合作,可以帮助企业将安全隐患扼杀在萌芽时期。”
“开放安全”的理想
道高一尺,魔高一丈,网络安全技术在提高,但黑客技术也在不断发展。特别是借助近年来出现的大数据、互联网、人工智能和区块链前沿技术,黑客和白帽子同样都在不断进化,双方对漏洞的争抢更加激烈。
面对如今恶劣的网络环境,企业又该如何应对呢?“漏洞银行”CTO张雪松表示,目前的网络环境复杂,安全事故无法避免,很多企业还固守着传统的“防火墙”式的安全思维,只注重防御攻击和防护建设,却忽略了更重要的事故影响。一旦黑客入侵成功,企业和个人就损失惨重。
张雪松认为,转变观念是第一要义。首先,企业不应该执行“闭门造车”式的安全,而应对IT系统进行整体性的、开放式的、大范围的“黑客攻击”测试,从“黑客攻击”测试中发现问题进行及时修补。
其次,企业要构建动态免疫能力。因为传统的规则式防护体系已经无法防御先进的黑客攻击,必须具备动态防护免疫能力,根据后果影响产生相应的防护策略,更多的抵御零时差攻击。
第三,企业应构建风险敞口管控机制。即使黑客入侵成功也无法获得核心数据和权限,把传统的风险管理思想升级为风险敞口管控。
第四,构建关键行为损失中断机制、购买安全保险、建立反入侵追查、联动应急响应等措施,确保安全事故的范围在可控范围内并能从中不断升级形成免疫能力。
“如果有一天,漏洞变得毫无价值了,互联网也就真正安全了。”张雪松说。