你可能“网入”危险却浑然不知
收到署名为公司技术部的邮件,说因网站受到攻击,多数员工用户名密码泄露,让你点击链接重置密码,你照做吗?使用中移动的手机号,10086发来短信“尊敬的用户,您当前手机积分已满足兑换188元现金礼包,请点击网址链接登录移动商城按提示安装领取”,你点不点?老板在QQ或微信里跟你聊完工作项目,喊你帮他转账,帮不帮?在饭店咖啡厅或机场火车站,你会打开手机Wi-Fi,毫不犹豫地连上免费Wi-Fi热点吗?
如果你对这些问题的回答都是肯定的,那么,和很多因此中招、遭受损失的人一样,你也是信息时代里一个身处危险而不自知的网民——技术部的邮件是假的,你的账户和密码将被骗走;10086短信是通过伪基站模拟的,你点入了伪装成移动官网的钓鱼网站,领取“礼包”过程中,姓名、身份证号、银行卡号及密码统统被套取。同时,植入手机的木马病毒将拦截并转发手机收到的支付验证码和支付通知短信,你的银行卡被轻松盗刷;老板是冒充的,骗子研究了他的说话语气和社交往来,用各种方式实施诈骗,例如盗号,又或在被你随意地加为好友后,把自己的昵称改成你老板的;一些名字像运营商或商家提供的免费公共热点也许是黑客所设,你在手机上的操作被一览无遗……
2014年是业内人士口中的“中国网络安全元年”。这年年初,中央网络安全和信息化领导小组成立,从国家到个人,网络安全正受到前所未有的重视。那么,2015年网络安全的情况将会如何?
你没有想象的那么安全
“想玩个游戏吗?告诉我你的邮箱,我可以写出你的密码。”360公司网站安全检测部门总监赵武说。拿到《新华每日电讯》记者邮箱3分钟后,他递过来一张纸,上面写着两条记者曾用过的密码,并说出了它们分别对应的网站。“你算很安全了,只有两条记录还是已经不用的,过去我做这个测试,找到的密码都还在用,如果你这邮箱在很多网站上注册过,我甚至可能找到十几条密码,画出你平时都访问哪些网站。”
这些信息是通过社工库找到的。所谓“社工库”是指黑客们入侵各种网站,盗走用户数据库——用行话讲就是“拖库”,之后将所得数据加以处理,整合搭建而成的数据库查询平台。有多少网站曾被拖库?用360副总裁谭晓生的话,“行业内开会,我几次问过同一个问题:谁敢举手说自家网站从来没被拖库?台下那么多做互联网的人,从没有一个人举手。中国网络用户数据泄露的情况比大家了解到的要严重得多。”
拖库之后,黑客们还会尝试拿已获取的用户名和密码登录其他网站,即“撞库”,此前12306泄露的13万用户数据就是撞库所致。爱用同一套用户名和密码的网民最得黑客欢心,哪怕只知道他们在某个小论坛所用的密码,也能成功登录他们的支付宝。去年8月,江苏的一位网民就是这样被人从支付宝分批转走了32万元。
赵武所负责的补天漏洞响应平台上,每天都有上百个网站漏洞被提交上来,等待提请相关方注意和修补。“我们的任何信息都在泄露,我说的是任何。”赵武说这并非危言耸听,在互联网逐步与人们生活融合的近20年里,很多网站和应用程序搭建时没充分考虑安全问题,致使黑客利用漏洞获取信息的成本非常低。“你一结婚,户籍信息就被泄露出去了;一有小孩,新生儿信息就被人知道;孩子打了疫苗,打针的信息被泄露……这些不是想象,是已经发生过、现在还在发生的事实,背后有很多血淋淋的案例。有些事你自己能避免,但这些你没办法控制,因为你必须结婚必须买房必须体检必须生小孩。”
2014年9月,一名网络工程师因故意杀人罪被判死刑。因女友旅游缺钱,该男子从网上购买了某银行的客户信息,随机选取目标,冒充快递员入室劫杀了一位七旬老人。腾讯玄武安全实验室负责人、有“TK教主”之称的知名安全专家于旸不无愤慨地在微博上写道:“杀人者是抓了、判了,但出售客户信息的人呢?信息是谁拿出去卖的?按现行法律能怎么处理?如果这样一个恶性案件还不能促成相关立法,谈什么国家信息安全?”
根据腾讯发布的《网络黑色产业链年度报告》,2014年下半年,大量冒充熟人诈骗、利用被泄露的银行卡信息进行盗刷等网络黑产犯罪案件层出不穷,矛头直指用户个人隐私泄漏问题,互联网企业应对用户隐私数据被盗的防御措施和用户的自我保护意识都仍然较弱。
于旸这样感叹:“到底有多少信息泄露了?一言难尽,但用‘无人幸免’形容,应该不会错太多。”
意识非常非常重要,现在很低很低很低
“每天看到大量这种情景,对公众可以做什么、国家可以做什么,我会思考很多。”让赵武感触颇深的是现阶段公众网络安全意识的薄弱,比如12306的撞库主要基于被泄露已久的17173、7k7k等游戏网站的数据库,但距当时曝出这些网站信息泄露的新闻已隔数载,仍有十几万用户继续用着他们早被人获取的密码,直到此次中招,“意识非常非常重要,现在很低很低很低”。
“网络安全的一个难题是大部分人在灾难没发生到自己身上时,都仅仅在口头上叶公好龙地表示重视安全,没有付诸实际行动,就好像系安全带,人们知道应该系,但总相信自己没那么倒霉。”360副总裁谭晓生说。
直接遭遇网络安全攻击、成为网络犯罪受害者始终是件小概率的事,但这并不意味着可以因此侥幸,大量数据都沉睡在黑客的数据库里,走在即将被利用的路上。
谭晓生认为,在网络安全问题中存在便利与安全间的矛盾,人们有时并不真的在意自己的信息。世界著名研究机构高德纳于2014年初发布的一份研究报告中预测,到2017年,将有80%的用户愿意让服务商收集、跟踪和交换自己的个人信息以换取优惠、方便和个性化的服务,“安全和便利便宜的天平上,永远是便利便宜这头更重。”
网络安全意识不足并不只体现在作为用户的网民身上,公安部网络安全保卫局总工程师郭启全指出,一些重点部门、大型服务网站和互联网服务商也因为安全防范意识差,没有按国家有关要求落实安全管理措施和技术保护措施,导致公民信息大量被窃取、贩卖,严重危害社会公共安全和公民财产安全。
出了网络安全事件,没人埋单也就没人重视
2011年索尼因PS3的7700万用户信息遭窃,向用户赔偿245亿美元;2014年,美国零售业巨头塔吉特因4000万条客户信用卡信息及7000万条其他信息失窃,为公司服务35年的CEO引咎辞职。
“即使这样,他们也还是受到很多批评。在美国,出了网络安全事件,股价下跌、负责人辞职等等很正常,但我们还没有这种意识,即使发生大规模数据泄露,往往也不了了之,企业也不会有什么处罚。”赵武说。
腾讯玄武安全实验室负责人于旸认为这或许是国内企业不愿在网络安全上投钱的根本原因,“既然出了事情没有那么大的影响,可能投入的欲望就不那么强烈。根据数字,美国网络安全投入占整个IT投入的比例是国内的两三倍,就是说投在信息技术上的每100块钱里,他们有10块钱是投在安全上,我们只有3块。”
赵武对公司免责条款普遍存在的“由于黑客攻击等不可抗原因导致信息泄露,本站不负任何责任”一条非常不满,“就好像银行说你来办卡存钱我很欢迎,但你卡要是被盗了我不管。这些声明让人很无奈,完全是毫不负责、站不住脚的霸王条款。”
“应该呼吁国家立法,从法律上形成威慑力量。”谭晓生说。由于国内相关法律还不完善、举证困难且维权成本高昂,很多人问责无门,只能自认倒霉。
十八届四中全会通过了《中共中央关于全面推进依法治国若干重大问题的决定》。《决定》明确提出,要加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规。
据网信办最新消息,网信办、工信部、公安部等有关部门将加快推动个人信息保护等相关法律的研究制定,加强对网络服务提供者的监管,加大对非法收集、泄露、出售个人信息行为的打击力度,今后5到7年,较为完善的互联网法律体系将逐步形成。(记者/王京雪)(编辑/张蕾)