信息化觀察網(wǎng)

網(wǎng)絡(luò)化時(shí)代，信息泄露已成常態(tài)。近年來，國(guó)際上揭露的數(shù)據(jù)泄露事件可謂一波比一波嚴(yán)重。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)已成為人類生活的第二空間，人們?cè)陔x不開線上生活的同時(shí)，也應(yīng)更加注意個(gè)人信息安全，保護(hù)自己的隱私。

彈幕網(wǎng)站AcFun、摩拜、優(yōu)酷、前程無憂，甚至中國(guó)鐵路總公司的12306，相繼被傳有上千萬用戶數(shù)據(jù)泄露，包括用戶的郵箱、密碼、真實(shí)姓名、身份證號(hào)碼、電話等被人瞬間擺上“貨架”兜售。

更早些時(shí)候，暗網(wǎng)上甚至出現(xiàn)了一個(gè)高達(dá)41GB的數(shù)據(jù)文件，涉及Gmail、Hotmail、Sina、qq、163等共14億個(gè)郵箱地址，堪稱“暗網(wǎng)史上最大的數(shù)據(jù)庫”。

也就是說，若有人想以此牟利，普通消費(fèi)者在網(wǎng)上的一切信息都可能被瞬間曝光，你的手機(jī)、網(wǎng)絡(luò)銀行、股票賬戶隨時(shí)都可能被入侵。

工具的使用促進(jìn)了人類的進(jìn)化，為人類提供了便利，互聯(lián)網(wǎng)更是在徹底改變?nèi)祟惿?。然而，在另一面，網(wǎng)絡(luò)安全正日益捉襟見肘，風(fēng)險(xiǎn)不斷上升。相關(guān)數(shù)據(jù)顯示，自2015年開始，全球的數(shù)據(jù)泄露規(guī)模便成幾何式增長(zhǎng)。2015年，7.07億條數(shù)據(jù)泄露；2016，14億條；2017年，50億條……

風(fēng)險(xiǎn)在上升，技術(shù)也會(huì)進(jìn)化。如今，全新的開放式網(wǎng)絡(luò)安全理念正在悄然崛起，這能否成為挽救網(wǎng)絡(luò)安全的一劑良方？

“裸奔”時(shí)代

互聯(lián)網(wǎng)，拉近了人與人之間的距離，也撕碎了人類的遮體布。在網(wǎng)上“裸奔”的網(wǎng)民，不僅被“畫了像”，這些“畫像”甚至還被出售牟利。

截自暗網(wǎng)的圖片顯示，近日被兜售的數(shù)據(jù)庫除涉及AcFun網(wǎng)站外，還有優(yōu)酷、摩拜、12306、前程無憂以及各大郵箱網(wǎng)站。其中AcFun數(shù)據(jù)的價(jià)格從7000元到12000元不等；摩拜單車的用戶數(shù)據(jù)整體標(biāo)價(jià)40萬，12306的3000多萬條數(shù)據(jù)售價(jià)10個(gè)比特幣（發(fā)稿時(shí)每比特幣約6500美元），5000萬條優(yōu)酷數(shù)據(jù)則被黑客要價(jià)80個(gè)比特幣。

算下來，一個(gè)普通消費(fèi)者的全部信息，還不到1分錢。我們所有的信息，似乎一文不值?？僧?dāng)這些數(shù)據(jù)落入違法者的手中，對(duì)個(gè)人造成的損失或以萬計(jì)。

暗網(wǎng)出售的這些信息并沒有被完全證實(shí)來源于其所宣稱的各大網(wǎng)站或平臺(tái)。即便如此，面對(duì)這些打著各自旗號(hào)的所謂泄露信息，各大網(wǎng)站的反應(yīng)各不相同。

AcFun的態(tài)度最誠(chéng)懇。該網(wǎng)站承認(rèn)被泄露的用戶數(shù)據(jù)包括用戶ID、用戶昵稱、加密存儲(chǔ)的密碼等。“根本原因在于我們沒有把AcFun做得足夠安全。”有意思的是，在AcFun發(fā)布公告后，有黑客即發(fā)帖表示，“出于A站客服態(tài)度誠(chéng)懇”，他們將無條件刪除這次數(shù)據(jù)庫資料，也不會(huì)出售任何相關(guān)數(shù)據(jù)和漏洞。

同樣被卷入數(shù)據(jù)泄露風(fēng)波的摩拜則稱，公司在收到情報(bào)后第一時(shí)間啟動(dòng)全量排查，暫未發(fā)現(xiàn)數(shù)據(jù)泄露和入侵的現(xiàn)象。中國(guó)鐵路總公司官方微博則表示，網(wǎng)傳“12306數(shù)據(jù)疑似泄露”，經(jīng)核查，該網(wǎng)站未發(fā)生用戶信息泄露。

前程無憂在回應(yīng)中說，樣本數(shù)據(jù)中只有部分賬戶密碼能夠成功登錄，因此網(wǎng)站數(shù)據(jù)庫被入侵或整體泄露的可能性不大。“釋放出來的樣本數(shù)據(jù)，都是在2013年之前注冊(cè)，大部分來自此前遭泄露的郵箱賬戶和密碼。”

傳言和回應(yīng)，普通的網(wǎng)民真假難辨，但這種不安全的環(huán)境卻越來越明顯。普通消費(fèi)者至少有權(quán)了解，自己在互聯(lián)網(wǎng)上是如何被變成“裸奔者”的。

“裸奔者”的誕生

和進(jìn)化中的人類一樣，進(jìn)化中的互聯(lián)網(wǎng)也并不完美。從技術(shù)派黑客到安全從業(yè)者，從政治上的中心權(quán)威主義到去中心化的無政府主義，互聯(lián)網(wǎng)幾乎就是現(xiàn)實(shí)人性與社會(huì)的映射體。

“裸奔者”的誕生，正是這些矛盾的衍生品。比如，網(wǎng)站管理者認(rèn)為，用戶數(shù)據(jù)是隱私，必須嚴(yán)加保護(hù)。而著名的黑客埃里克·雷蒙德卻認(rèn)為，所有的信息都應(yīng)該是免費(fèi)的，要打破電腦特權(quán)，計(jì)算機(jī)才會(huì)使生活更美好。雙方于是產(chǎn)生了進(jìn)攻和防守，攻防之間，用戶數(shù)據(jù)的泄露在所難免。

在技術(shù)上，用戶數(shù)據(jù)的泄露并不神秘。網(wǎng)絡(luò)安全專家、“漏洞銀行”CTO張雪松認(rèn)為，排除內(nèi)鬼因素，黑客一般是利用漏洞入侵網(wǎng)站服務(wù)器，直接將用戶數(shù)據(jù)庫導(dǎo)出偷走，這叫“拖庫”。

完成“拖庫”之后，黑客還會(huì)進(jìn)行“撞庫”攻擊，就是黑客在獲得甲網(wǎng)站的用戶賬戶和密碼之后，再用這些賬戶密碼嘗試登錄乙網(wǎng)站。“多數(shù)網(wǎng)民會(huì)在不同網(wǎng)站上注冊(cè)相同的賬號(hào)和密碼，通過撞庫，黑客無需入侵乙網(wǎng)站，就能獲得一系列可以登錄乙網(wǎng)站甚至更多網(wǎng)站的用戶數(shù)據(jù)，而且這一過程是通過程序自動(dòng)批量來進(jìn)行的。”

完成“撞庫”后，部分無效或者重復(fù)的數(shù)據(jù)將被剔除，只剩下有效的用戶數(shù)據(jù)。這些在不同網(wǎng)站上注冊(cè)的用戶信息相互補(bǔ)充，可以形成更加豐滿的“裸奔者畫像”，然后再轉(zhuǎn)賣黑產(chǎn)進(jìn)行價(jià)值變現(xiàn)，這個(gè)過程就叫“洗庫”。“比如傳言被泄露的14億郵箱數(shù)據(jù)，應(yīng)該是在過去數(shù)年中不斷地撞庫、洗庫而累積起來的。”

“冰山”底部的黑產(chǎn)

在信息即商機(jī)的今天，圍繞著網(wǎng)絡(luò)用戶數(shù)據(jù)，已經(jīng)形成了一個(gè)完整的、極其成熟的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈（簡(jiǎn)稱“黑產(chǎn)”）。根據(jù)2017年的測(cè)算，中國(guó)“網(wǎng)絡(luò)黑產(chǎn)”從業(yè)人員已超過150萬，市場(chǎng)規(guī)模達(dá)千億級(jí)別。

在這個(gè)黑產(chǎn)中，有單個(gè)的黑客，也有黑客組織，他們通過網(wǎng)絡(luò)技術(shù)明確分工。比如有人專門負(fù)責(zé)入侵網(wǎng)站，實(shí)施“拖庫”，盜取用戶數(shù)據(jù)。有人負(fù)責(zé)“撞庫”或者“洗庫”，還有人專門做暗網(wǎng)兜售，將這些數(shù)據(jù)變現(xiàn)。

在黑產(chǎn)的下游，有政治或者商業(yè)競(jìng)爭(zhēng)對(duì)手，也有利用這些數(shù)據(jù)進(jìn)行電信詐騙的團(tuán)伙。2016年的“徐玉玉被詐騙案”，正是由于騙子掌握了徐玉玉完整的錄取信息、手機(jī)號(hào)碼等個(gè)人信息，才能夠精準(zhǔn)實(shí)施詐騙。

黑產(chǎn)離不開暗網(wǎng)。所謂暗網(wǎng)，是一個(gè)完全匿名的、不能被搜索引擎檢索、IP地址很難被跟蹤的網(wǎng)絡(luò)。黑產(chǎn)交易絕大部分都是通過暗網(wǎng)完成的，而且使用的是隱匿性很強(qiáng)的數(shù)字貨幣。正是因?yàn)橛袠O強(qiáng)的隱蔽性，暗網(wǎng)成了犯罪者的天堂。

令人吃驚的是，在暗網(wǎng)上收購(gòu)用戶數(shù)據(jù)的，不僅有黑客、黃牛、詐騙犯以及政商競(jìng)爭(zhēng)對(duì)手，也有正規(guī)的網(wǎng)絡(luò)安全公司和大數(shù)據(jù)公司。

“網(wǎng)絡(luò)安全公司主要是購(gòu)買漏洞技術(shù)，為客戶提供補(bǔ)漏服務(wù)。大數(shù)據(jù)公司則需要原始數(shù)據(jù)，比如他們想做網(wǎng)購(gòu)行為分析，自己沒有電商平臺(tái)，又無法從大的電商平臺(tái)獲取，那就只能從暗網(wǎng)購(gòu)買。這種購(gòu)買肯定不符合法規(guī)，但是因?yàn)槠潆[蔽性，很難被查處。”張雪松還透露，現(xiàn)在暗網(wǎng)上賣得最火爆的，已經(jīng)不是郵箱賬號(hào)、密碼之類的數(shù)據(jù)，而是外賣、快遞、購(gòu)物、理財(cái)類的信息。這些信息不僅包含有個(gè)人的物理定位，還能反映出個(gè)人的消費(fèi)和資金等情況。

在這些大數(shù)據(jù)面前，人人都是“裸奔者”，而這卻是商家實(shí)現(xiàn)精準(zhǔn)營(yíng)銷所急需的。

漏洞的價(jià)值

暗網(wǎng)和表層網(wǎng)相互交織，加上黑色產(chǎn)業(yè)背后的巨大利益，導(dǎo)致要想徹底鏟除黑產(chǎn)，幾乎不大可能。

人類最美好的健康，是不生病、不吃藥，不需要龐大的醫(yī)療產(chǎn)業(yè)。同樣的，大家期待的網(wǎng)絡(luò)安全，是“夜不閉戶、路不拾遺”，不需要任何的防護(hù)。

“在紛繁復(fù)雜互聯(lián)網(wǎng)世界里，這樣的理想狀態(tài)幾乎就是幻想。就像木桶存在短板一樣，任何網(wǎng)站都無法做到固若金湯，肯定有薄弱之處和漏洞。所以，漏洞本身是非常有價(jià)值的。”張雪松解釋說，所有詐騙電話、釣魚郵件、欺詐短信，都和個(gè)人信息泄露有關(guān)。假如金融網(wǎng)站漏洞被黑客掌握，上億資金瞬間就會(huì)被轉(zhuǎn)走；如果城市電力系統(tǒng)的漏洞被掌握，整座城市可能會(huì)陷入黑暗。在黑市上，微軟的漏洞交易價(jià)格從1萬美元到30萬美元不等，而各國(guó)國(guó)防安全系統(tǒng)的漏洞，其價(jià)值更是無法預(yù)估。

“與其讓惡意黑客掌握這些潛在漏洞，流入黑產(chǎn)市場(chǎng)，不如鼓勵(lì)擁有黑客技術(shù)的人發(fā)現(xiàn)漏洞，提供給企業(yè)和機(jī)構(gòu)，并幫助他們建設(shè)更安全的網(wǎng)站。”正是基于這樣的理念，才有了漏洞平臺(tái)的誕生，而這些發(fā)現(xiàn)漏洞幫助企業(yè)的“黑客”被稱為白帽子。白帽子和企業(yè)之間的有效合作，可以幫助企業(yè)將安全隱患扼殺在萌芽時(shí)期。”

“開放安全”的理想

道高一尺，魔高一丈，網(wǎng)絡(luò)安全技術(shù)在提高，但黑客技術(shù)也在不斷發(fā)展。特別是借助近年來出現(xiàn)的大數(shù)據(jù)、互聯(lián)網(wǎng)+、人工智能和區(qū)塊鏈前沿技術(shù)，黑客和白帽子同樣都在不斷進(jìn)化，雙方對(duì)漏洞的爭(zhēng)搶更加激烈。

面對(duì)如今惡劣的網(wǎng)絡(luò)環(huán)境，企業(yè)又該如何應(yīng)對(duì)呢？“漏洞銀行”CTO張雪松表示，目前的網(wǎng)絡(luò)環(huán)境復(fù)雜，安全事故無法避免，很多企業(yè)還固守著傳統(tǒng)的“防火墻”式的安全思維，只注重防御攻擊和防護(hù)建設(shè)，卻忽略了更重要的事故影響。一旦黑客入侵成功，企業(yè)和個(gè)人就損失慘重。

張雪松認(rèn)為，轉(zhuǎn)變觀念是第一要義。首先，企業(yè)不應(yīng)該執(zhí)行“閉門造車”式的安全，而應(yīng)對(duì)IT系統(tǒng)進(jìn)行整體性的、開放式的、大范圍的“黑客攻擊”測(cè)試，從“黑客攻擊”測(cè)試中發(fā)現(xiàn)問題進(jìn)行及時(shí)修補(bǔ)。

其次，企業(yè)要構(gòu)建動(dòng)態(tài)免疫能力。因?yàn)閭鹘y(tǒng)的規(guī)則式防護(hù)體系已經(jīng)無法防御先進(jìn)的黑客攻擊，必須具備動(dòng)態(tài)防護(hù)免疫能力，根據(jù)后果影響產(chǎn)生相應(yīng)的防護(hù)策略，更多的抵御零時(shí)差攻擊。

第三，企業(yè)應(yīng)構(gòu)建風(fēng)險(xiǎn)敞口管控機(jī)制。即使黑客入侵成功也無法獲得核心數(shù)據(jù)和權(quán)限，把傳統(tǒng)的風(fēng)險(xiǎn)管理思想升級(jí)為風(fēng)險(xiǎn)敞口管控。

第四，構(gòu)建關(guān)鍵行為損失中斷機(jī)制、購(gòu)買安全保險(xiǎn)、建立反入侵追查、聯(lián)動(dòng)應(yīng)急響應(yīng)等措施，確保安全事故的范圍在可控范圍內(nèi)并能從中不斷升級(jí)形成免疫能力。

“如果有一天，漏洞變得毫無價(jià)值了，互聯(lián)網(wǎng)也就真正安全了。”張雪松說。

（原標(biāo)題：一年50億條數(shù)據(jù)泄露，網(wǎng)絡(luò)如何安全）