實(shí)際上,由于法律意識(shí)淡薄,以及抱著好玩的態(tài)度,,很多在互聯(lián)網(wǎng)公司從事安全的技術(shù)員工,,以及安全廠商的技術(shù)員工都或多或少的盜取、傳播過用戶的信息庫,。
湯潯芳 北京報(bào)道
轟動(dòng)一時(shí)的用戶信息泄漏事件終于有了“買單者”。
1月12日,本報(bào)記者從北京市公安局了解到,,CSDN(中國軟件開發(fā)聯(lián)盟)泄密的兩名嫌疑人已被刑事拘留。其中一名為北京籍黑客,,另一名為外地黑客,。
“這兩名嫌犯是盜庫的嫌犯,公安機(jī)關(guān)抓到之后,,我們對其藏有的用戶庫進(jìn)行了比對,。”CSDN創(chuàng)始人兼總裁蔣濤亦向本報(bào)記者證實(shí)。
包括這2人,,截至目前,,公安機(jī)關(guān)查處入侵、竊取,、倒賣數(shù)據(jù)案件9起,,編造并炒作信息泄露案件3起,刑事拘留4人,,予以治安處罰8人,。
此前的10日,國家互聯(lián)網(wǎng)信息辦通報(bào)稱,,CSDN,、天涯等網(wǎng)站信息泄漏,目前公安機(jī)關(guān)正在溯源,。
其中京東商城確遭入侵,,但數(shù)據(jù)并未泄漏。YY語音聊天網(wǎng)站泄漏的數(shù)據(jù)系該公司員工從內(nèi)部數(shù)據(jù)庫竊取;工商銀行等金融機(jī)構(gòu)的系統(tǒng)并未被入侵,。開心網(wǎng),、當(dāng)當(dāng)網(wǎng)、人人網(wǎng),、凡客等網(wǎng)站均未被入侵,,部分賬號(hào)密碼系利用公開庫進(jìn)行破解而獲得。
內(nèi)外控失效
這位盜取CSDN用戶數(shù)據(jù)庫的員工可能涉嫌‘非法入侵計(jì)算機(jī)系統(tǒng)罪’。”知名IT律師趙占領(lǐng)告訴記者,,“刑法第285條顯示,,非法侵入計(jì)算機(jī)系統(tǒng),或者采取其他技術(shù)手段獲取計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù),,情結(jié)嚴(yán)重者會(huì)判處 3年以下有期徒刑,,情節(jié)特別嚴(yán)重者判處3年到7年。”
并且,,提供用戶數(shù)據(jù),、傳播用戶信息、出售個(gè)人信息等行為也違反了法律,,“非法出售,、提供個(gè)人信息,判處3年以下有期徒刑,。”
實(shí)際上,,本報(bào)了解到,由于法律意識(shí)淡薄,,以及抱著好玩的態(tài)度,,很多在互聯(lián)網(wǎng)公司從事安全的技術(shù)員工,以及安全廠商的技術(shù)員工都或多或少的盜取,、傳播過用戶的信息庫。
在黑客圈,,黑客往往認(rèn)為盜取用戶信息并不帶來多少危害,,只要本能上覺得只要不要進(jìn)行售賣、釣魚等明顯的盈利行為,,那么就并不違法,。
“大家都會(huì)覺得沒事。因?yàn)榇饲�,,互�?lián)網(wǎng)上,,根本沒有人因?yàn)橛脩粜畔⑿孤┑膯栴}而被抓。” 星云融創(chuàng)CEO馬杰說,。
據(jù)馬杰介紹,,安全廠商會(huì)與自己的員工、互聯(lián)網(wǎng)公司會(huì)與安全系統(tǒng)的員工簽訂相關(guān)的協(xié)議,,協(xié)議里會(huì)逐條寫清楚在供職期間不允許做危害公共安全的事情,。
“但是這個(gè)禁令基本無效,因?yàn)樽罱K做不做危害公共安全的事情,,還要看員工本人,。”馬杰告訴記者,安全從業(yè)人員一般都服務(wù)于不同的公司,,關(guān)系并不緊密,。黑客這個(gè)行業(yè)并沒有行業(yè)“潛規(guī)則”來對黑客的行為進(jìn)行規(guī)范,。
“白天安全工程師,晚上黑客”
“CSDN對敏感信息不敏感,,也缺乏安全意識(shí),。”蔣濤承認(rèn),包括CSDN在內(nèi)的國內(nèi)大型網(wǎng)站安全意識(shí)都很薄弱,。
據(jù)蔣濤介紹,,目前,整個(gè)互聯(lián)網(wǎng)的安全現(xiàn)狀極不樂觀:70%以上的加密算法密碼庫都可以通過高頻碰撞破解,,80%以上的互聯(lián)網(wǎng)公司都存在漏洞,,60%以上有安全策略的公司還存在著漏洞,地下數(shù)據(jù)庫顯示,,網(wǎng)站暴露出來的問題甚至更多,。
這些漏洞,也就是黑客入侵的基礎(chǔ),。
眾多的黑客潛伏在IT互聯(lián)網(wǎng)公司,。在這次泄密門事件中,YY語音聊天的信息泄漏是其員工自身來泄漏的,,而竊取CSDN用戶數(shù)據(jù)也是互聯(lián)網(wǎng)公司的技術(shù)人員干的,。
“這是企業(yè)員工的自發(fā)行為,和企業(yè)并沒有關(guān)系,。但這也說明了安全行業(yè)身份的多重性,。”一位黑客告訴記者,這些人可能白天是某企業(yè)的安全工程師,,晚上就是黑客,。
“泄密門”兩嫌犯被拘: 白天工程師晚上黑客
據(jù)一位資深黑客介紹,這些用戶數(shù)據(jù)庫早已是黑客圈公開的秘密;但這一次整個(gè)互聯(lián)網(wǎng)行業(yè)的用戶信息被泄漏,,背后可能有某些商業(yè)組織在推動(dòng),。
“在國內(nèi),黑客的圈子雖然小,,但大多是個(gè)人,,組織松散,并且,,行業(yè)也有自律,。一般不會(huì)產(chǎn)生這樣大的爆庫行為。”這位黑客稱,。
一般情況下,,用戶庫都只是在黑客圈中傳播,但一旦進(jìn)入大眾視野,影響便沒法控制,,因?yàn)橛泻芏嗤ǖ揽梢赃M(jìn)行傳播,。比如,迅雷,、黑客圈的QQ群,、論壇的FTP下載。
據(jù)北京市公安局相關(guān)處室透露,,CSDN和天涯這兩家網(wǎng)站曾在2009年以前遭入侵,,數(shù)據(jù)泄漏也發(fā)生在兩年前,近期這兩家網(wǎng)站并沒有遭到攻擊,。
“這一次,,黑客是善意的,爆出來的都是以前的庫,。”一位不愿具名的安全行業(yè)工程師透露,,實(shí)際上,他們手里有最新的庫,,但出于對行業(yè)環(huán)境的考慮,,沒有把這些庫爆出來。
泄密門曾有預(yù)警
在密碼泄漏事件中,,一個(gè)叫做烏云漏洞平臺(tái)(Wooyun.org)從不為人熟知的專業(yè)平臺(tái)一下躍入大眾視野,。烏云吸引了一大批黑客,他們在發(fā)現(xiàn)企業(yè)漏洞時(shí),,便將這些漏洞與補(bǔ)丁傳到這些網(wǎng)站上去,。
但是,這個(gè)平臺(tái)一直不受企業(yè)待見,。蔣濤亦坦承,事發(fā)之前,,烏云漏洞平臺(tái)把大部分漏洞做出了預(yù)警,,告訴了相關(guān)企業(yè),但各個(gè)企業(yè)并沒有引起足夠重視,,沒有及時(shí)提醒用戶修改密碼,,導(dǎo)致后來一發(fā)不可收拾。
緣何企業(yè)對預(yù)警如此忽視?
這緣于黑客與企業(yè)之間多年形成的微妙關(guān)系,。這些企業(yè)對黑客往往是又氣又惱,。在黑客面前,企業(yè)就像一個(gè)學(xué)生,。黑客老師天天挑學(xué)生的毛病,,剛開始可能覺得是正向激勵(lì),日子久了,自然對黑客沒好臉色,。
更有一些公司極端地認(rèn)為,,沒有黑客,企業(yè)的漏洞在某種程度上來說就不存在,,“即便存在,,也不打緊。只要不暴露,,就可以視而不見”,。
但是,企業(yè)又無法“忽視”黑客,。因?yàn)�,,黑客冷不防就�?huì)給上“溫柔一刀”。一些大的互聯(lián)網(wǎng)企業(yè)甚至直接“招安”黑客,,納入麾下,。有的小網(wǎng)站每月給黑客上交1萬元到2萬元的“保護(hù)費(fèi)”。
“其實(shí),,黑客需要的是肯定,。”上述安全行業(yè)工程師告訴記者,在烏云的平臺(tái)上,,企業(yè)會(huì)給提交漏洞的黑客以積分,,用作鼓勵(lì)。黑客也愿意無私提交發(fā)現(xiàn)的漏洞,,如此形成了一個(gè)良性循環(huán),。
應(yīng)對之策
“未來,各個(gè)網(wǎng)站應(yīng)該和類似烏云漏洞的平臺(tái)合作,。”蔣濤倡議,,未來,國內(nèi)安全界和技術(shù)界不應(yīng)該再有隔離,。
CSDN開始全方位亡羊補(bǔ)牢,。1月11日,CSDN與阿里云展開針對網(wǎng)站安全的戰(zhàn)略合作,。據(jù)蔣濤介紹,, CSDN將采用阿里云郵箱,并把該郵箱與其他郵箱隔離,,避免一個(gè)郵箱泄漏,,“全城皆失”的情況。并且,,還將接受阿里云提供的其他服務(wù),。
“我們應(yīng)該和那些安全做得好的企業(yè)合作,。”蔣濤稱,除百度,、阿里,、騰訊等大公司,以及某些游戲廠商外,,許多國內(nèi)的互聯(lián)網(wǎng)公司,,包括CSDN在內(nèi),并沒有太多實(shí)力去成立一個(gè)專門的安全工程師團(tuán)隊(duì),。
蔣濤告訴記者,,CSDN會(huì)加強(qiáng)自身的安全策略,膠體磨把網(wǎng)站的非核心數(shù)據(jù)與核心數(shù)據(jù)進(jìn)行隔離,,減少有價(jià)值數(shù)據(jù)的接口;并且正在向安全部門申請信息系統(tǒng)的等級(jí)保護(hù),,接受信息安全監(jiān)管部門的相關(guān)管理。并且,,CSDN還會(huì)引入相應(yīng)的安全審核機(jī)制,,防止數(shù)據(jù)信息從內(nèi)部泄漏。
