網絡安全進入“云威脅”時代

　　在這場中國互聯網有史以來波及面最廣、規模最大、危害最深的泄密事件中，最讓人憂慮的并不是網民的隱私被暴曬，也不是黑客的猖狂，而是我們的網絡安全正在面臨新的威脅，這種威脅躲在“云”中，甚至身披安全警察的制服……

　　超過兩億條用戶密碼泄露

　　據一位黑客界人士透露，最早曝出“多家網站用戶密碼信息遭泄露”的是一家名為“烏云”的安全組織，時間在12月4日。隨后的日子里，一些包含有密碼信息的壓縮包在黑客圈子地下流傳——在黑客界，這種“交流”并不罕見。

　　災難真正開始是在12月21日。這天上午，包含有600萬個CSDN用戶密碼的壓縮包被放至公開下載渠道。更恐怖的是，蜂擁而至的網友發現了一個更大的“寶藏”，在下載CSDN密碼包的時候，從“相關下載”按圖索驥可以下載到更多的密碼包。于是這些壓縮包像病毒一樣被網友瘋傳。

　　據金山網絡安全工程師對密碼包的統計結果，成為眾矢之的的CSDN泄露的600萬密碼只是滄海一粟，此次泄露事件累計泄露的用戶密碼總量多達2.3億。盡管無法證實這其中有多少是重復注冊的賬號，但預計受影響的用戶將在千萬級別。

　　目前CSDN、天涯已對此公開承認事實并道歉，其他被涉及的網站一直未明確表態。近10家大型網站卷入

　　讓我們梳理這次事件爆發的過程：黑客利用網絡平臺的安全漏洞入侵服務器，將包含網友用戶名、密碼的數據庫下載到黑客自己的電腦(被稱為“拖庫”)，黑客圈子地下傳播，公開渠道下載散播。

　　這顯然與大家普遍認知的網絡安全威脅有明顯區別。一直以來，個人網絡安全防范緊盯的是“端”(用戶本地端)的問題，不管是傳統的殺毒技術，還是近年來流行的“云安全”技術，其本質均是防止“端”被病毒、木馬等入侵，從而確保用戶安全。但此次事件中，威脅并不在“端”，而在“云”中，對于用戶來說，以往的任何安全舉措在面對這種“云威脅”時都成為浮云，只好“躺著也中槍”了。

　　值得提及的是，“云威脅”比傳統威脅危害嚴重得多。據安全界人士介紹，多數用戶為了便捷，在多個網站使用同樣的郵箱、密碼注冊，這意味著“一道城門被攻破，全城失守”。如果網友用公司郵箱注冊，則更可進一步暴露商業機密。而在支付、網銀等平臺的賬號信息也可能被輕易攻破。

　　據一位業內人士根據目前流傳的密碼包統計，與CSDN一道被“爆庫”的至少包括網易、人人、天涯、貓撲、多玩等9家大眾網站，還包括至少16家大型商業銀行、21家證劵機構，以及至少19家政府機構網站。

　　隱私泄露事件已發生多次

　　這一泄密事件或將給國內網絡界帶來強烈震蕩，但多位業界人士對記者斷言“這絕不會是最后一次”。下如此論斷的依據還得在歷史中尋找——在此之前，已有多次“云威脅”案例，但均未引起足夠重視。

　　據記者了解，就在泄密事件發生前的不到一個星期，包括360手機助手、豌豆頰等在內的多個Android客戶端曝出“公共WiFi泄密”問題。安裝360手機助手的Android用戶，在公共WiFi環境中將“門戶大開”，任何處于同一WiFi網絡的用戶，均可隨意訪問其手機中的隱私文件，包括個人照片、文檔甚至聯系人、短信等。盡管目前360已通過升級版本解決此威脅，但如果不知情的用戶并未升級，將一直處于“裸奔”狀態。

　　網絡安全界人士向記者表示，這一事件受影響的Android用戶可能在千萬級別，可能是中國移動互聯網歷史上最嚴重的隱私泄密案，但并未引起足夠重視。

　　如果說這兩次泄密事件都源于相關網絡平臺的技術漏洞，可以歸為“安全事件”，那么道德和操守問題則會醞釀出更嚴重的“云威脅”。據受訪的黑客界人士透露，一些小網站出售自己的注冊用戶信息的情況并不鮮見，不法者利用這些信息可以確保入侵成功率的大幅提升。

　　而在2010年12月底被曝光的“360竊取用戶隱私”事件中，網民的賬號密碼、瀏覽記錄，甚至企業的財務數據，均被360的“云”偷偷上傳，更被谷歌的搜索蜘蛛抓取，完全暴露在公眾面前。遺憾的是，這一事件依然未引起警戒。

　　安全威脅從PC移向云端

　　“云威脅”來襲，一個新的網絡安全時代正在降臨。一位業界人士告訴記者，“云威脅”事件的層出不窮可能讓“黑客”的門檻進一步降低，這可能加劇網絡安全態勢的惡化。

　　在此次泄密事件中，任何一個稍微懂得電腦操作的網友均可下載到密碼包，在5分鐘內完成一次“黑客入侵”。而在“360竊取用戶隱私”事件中，網友甚至不需要下載，直接從谷歌快照中即可獲取他人用戶名和密碼信息。而在“公共WiFi泄密”事件中，這一特征同樣表現得很明顯。而推動人們做一回“黑客”的可能是好奇，也可能是貪婪，或者別有用心。

　　一位業界人士的點評一語中的，當網絡安全與道德缺失、人性陰暗面裹挾時，才是真正難以防范的危機。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]