陳慶春

白帽黑客、知道創(chuàng)宇總裁趙偉，13歲開始熱愛計(jì)算機(jī)，1997年還在上大學(xué)的時(shí)候便開始在外面兼職做安全工作，2006年左右開始做反流氓軟件，他的一個(gè)“戰(zhàn)友”董海平還獲得過2008年“3·15”晚會(huì)授予反流氓軟件英雄的稱號(hào)，而最近一次讓他出名事件則是在一次創(chuàng)業(yè)大賽上挑戰(zhàn)周鴻祎，讓周恨不得對(duì)他動(dòng)粗。

趙偉很喜歡愛因斯坦的一句話，“這個(gè)世界危險(xiǎn)的不是那些邪惡的人，而是那些無動(dòng)于衷的人?！逼婊?60的安全報(bào)告稱，目前國內(nèi)約83%的網(wǎng)站存在各種安全漏洞，其中34%為高危漏洞。趨勢科技的監(jiān)測結(jié)果是，90%以上的網(wǎng)站存在安全漏洞。

2011年12月28日，一個(gè)名為“冰封刺客”的用戶向?yàn)踉瓢l(fā)布平臺(tái)提交了“網(wǎng)易部分郵箱密碼泄露”報(bào)告，其中涉及被泄露的密碼賬號(hào)達(dá)千萬量級(jí)。但網(wǎng)易方面并沒有給予重視。烏云平臺(tái)創(chuàng)建人劍心說，他已經(jīng)看過很多類似的事件了，“中國很多互聯(lián)網(wǎng)企業(yè)在面對(duì)白帽黑客發(fā)布的信息漏洞時(shí)，常常選擇否認(rèn)，仿佛這是公關(guān)人員的工作，而不是安全人員的工作?！?/p>

企業(yè)：在信息安全上多投入一些

當(dāng)CSDN信息泄露事件發(fā)生之后，大家都在忙什么？CSDN創(chuàng)始人蔣濤在微博中這樣說：“1)某上市公司忙著造假庫往外扔，栽贓其他公司，想擺脫被曝明文庫的證據(jù)；2）有網(wǎng)站通知所有用戶改密碼，乘機(jī)激活用戶 ；3）還有網(wǎng)站把這些公開庫的數(shù)據(jù)直接導(dǎo)入自己用戶庫，也發(fā)通知給用戶改密碼 4）釣魚的，垃圾郵件的都活躍起來了。”

人們在事件中看到的仍然是“商機(jī)”而不是“危機(jī)”。京東商城是此次事件中的另一個(gè)主角兒，據(jù)其內(nèi)部人士說，“去年有過幾次賬號(hào)泄露的事情，也提醒了我們要有專門的安全人員去維護(hù)，現(xiàn)在我們已經(jīng)有十幾個(gè)人在做安全?！?/p>

“那是不是以前沒有安全人員？”我問，對(duì)方只是支吾著回答：“以前不太重視?！钡幢悻F(xiàn)在重視，安全人員也只是掛在運(yùn)維部門之下。按照楊勇對(duì)中國信息安全發(fā)展歷程的介紹，2003年左右大型互聯(lián)網(wǎng)公司都將安全人員掛在運(yùn)維部門之下，但現(xiàn)在基本都成立了單獨(dú)的安全部門。京東商城目前已是第一大中國自營B2C，擁有員工2萬名，在網(wǎng)絡(luò)安全上似乎應(yīng)該投入更多一些。

CSDN又是如何處理這起安全事件的呢？蔣濤說，事發(fā)后“第一時(shí)間做了1)聯(lián)系下載源禁止下載；2)公開道歉；3）重置密碼通知相關(guān)用戶； 4）聯(lián)系郵件服務(wù)商發(fā)送郵件通知（量太大請(qǐng)求他們支持）； 5）向公安機(jī)關(guān)報(bào)警，協(xié)助調(diào)查； 6）聯(lián)系安全公司對(duì)CSDN全站系統(tǒng)進(jìn)行審計(jì)，查補(bǔ)漏洞?！?杭州安恒技術(shù)有限公司總裁范淵也證實(shí)了，CSDN確實(shí)在第一時(shí)間聯(lián)系了他們，當(dāng)天夜里安恒工作人員便與CSDN運(yùn)維人員一起協(xié)同工作，包括圣誕夜都還在機(jī)房。但是，除了這些之外，CSDN似乎應(yīng)該盡快地建立起自己的安全團(tuán)隊(duì)。

“先有商業(yè)再建安全，在安全的危機(jī)中先照顧商機(jī)?！边@是大多數(shù)互聯(lián)網(wǎng)企業(yè)尤其是電子商務(wù)企業(yè)的運(yùn)營法則。范淵稱，電子商務(wù)企業(yè)為了盡快上業(yè)務(wù)，大多都是讓第三方寫代碼，所有漏洞都大同小異，很不安全。而且，企業(yè)要控制成本的地方太多了，更何況中國電子商務(wù)企業(yè)尚且還沒有大面積盈利的趨勢，又如何讓它們先去花大筆的錢投資到深不見底的安全上面呢？在企業(yè)界流行著這樣一句話：“說起來重要，做起來次要，沒錢的時(shí)候砍掉?！?/p>

專門為物流公司提供云服務(wù)的匯通天下總裁翟學(xué)魂，春節(jié)后便向客戶提出了漲價(jià)30%～50%的要求，原因是為了提高安全性能，“以前是2個(gè)服務(wù)器現(xiàn)在要變成10個(gè)服務(wù)器。”翟學(xué)魂感觸良多，“安全要做好，成本不是成倍的增加，而是幾倍的增加?！?/p>

現(xiàn)階段是互聯(lián)網(wǎng)安全的建設(shè)初期，需要大投入，也是安全最脆弱的時(shí)期。楊勇說，經(jīng)歷過一系列的信息泄露和其他安全事件的洗禮，國內(nèi)互聯(lián)網(wǎng)公司逐漸開始重視起安全來?！耙粋€(gè)最明顯的例子便是，從獵頭嘴里得知安全人才的工資漲了，以前是一二十萬元的年薪，現(xiàn)在普遍升為30~60萬元?！钡?，安全并非一朝一夕、一蹴而就的事情?！澳切┯兄S富經(jīng)驗(yàn)的安全人才，大多數(shù)在大公司里已經(jīng)找到了自己的位置，不愿再跳槽了?！?/p>

互聯(lián)網(wǎng)上沒有國界，黑客們可以在全球呼風(fēng)喚雨。那么國外的互聯(lián)網(wǎng)企業(yè)如何確保自己信息安全呢？

黑色方陣

劍心很欣賞奇虎360干的事情，“他幫我們每個(gè)PC終端查殺木馬，等于是終結(jié)了病毒黑色產(chǎn)業(yè)鏈，所以這群人才不得不去干數(shù)據(jù)交易的事情。”在病毒黑色產(chǎn)業(yè)鏈之后，一條數(shù)據(jù)交易的黑色產(chǎn)業(yè)鏈逐漸形成了。

在這次CSDN密碼泄露事件中，屢次提到“明文密碼”的概念。意思是，用戶的密碼沒有加密保管，黑客入侵?jǐn)?shù)據(jù)庫之后，不用實(shí)施什么手法便可對(duì)密碼一覽無遺。但即使是加密過的密碼，對(duì)黑客來說又有多大的難度呢？

目前的密碼數(shù)據(jù)庫均是通過哈希函數(shù)的方式進(jìn)行加密，存儲(chǔ)的數(shù)據(jù)是用戶密碼的哈希值。但是哈希函數(shù)并非萬無一失，兩個(gè)不同的密碼可能哈希值會(huì)一樣，這種情況被成為“碰撞”，而這正是黑客用來竊取數(shù)據(jù)庫獲得信息的途徑。安全專家稱，現(xiàn)在哈希函數(shù)都是公開的，除非自己設(shè)計(jì)一個(gè)很好的能夠避免出現(xiàn)“碰撞”的哈希算法，否則現(xiàn)有的大眾哈希函數(shù)都可以通過“碰撞”的方式進(jìn)行破解。

即便設(shè)計(jì)出了碰撞幾率低的算法，但黑客手中掌握了大量的碰撞庫，這些都是常用密碼所對(duì)應(yīng)的哈希值，一旦有密碼數(shù)據(jù)庫泄露，黑客就會(huì)比對(duì)其中的哈希值與手中的碰撞庫，如果匹配成功，就能找到用戶的原始密碼。也就是黑客圈幾乎人手一份的彩虹表，即一龐大的、針對(duì)各種可能的字母組合預(yù)先計(jì)算好的哈希值的集合，有了它可以快速破解各類密碼。越是復(fù)雜的密碼，需要的彩虹表就越大，現(xiàn)在主流的彩虹表都是100G以上。

黑客們技藝的增進(jìn)，也與專業(yè)分工有關(guān)。自從360斷了病毒黑色產(chǎn)業(yè)鏈之后，這幾年數(shù)據(jù)交易的黑色產(chǎn)業(yè)鏈卻日臻成熟。有人負(fù)責(zé)發(fā)掘漏洞，有人負(fù)責(zé)根據(jù)漏洞開發(fā)制作入侵工具，有人負(fù)責(zé)銷售入侵工具，有人負(fù)責(zé)刷庫，有人負(fù)責(zé)洗庫，有人負(fù)責(zé)銷售，還有人利用數(shù)據(jù)庫釣魚、詐騙、發(fā)送垃圾郵件等。術(shù)業(yè)有專攻，必然就產(chǎn)生了每個(gè)環(huán)節(jié)的專家。

據(jù)一位黑客介紹，專門負(fù)責(zé)挖漏洞的都是技術(shù)高手，但可能對(duì)漏洞開發(fā)利用工具一竅不通。不過，說到底漏洞作為這條產(chǎn)業(yè)鏈的上游（核心產(chǎn)業(yè)環(huán)節(jié)），一直都炙手可熱。一個(gè)0DAY漏洞（沒公布的漏洞）能換50個(gè)普通漏洞，拿去賣市價(jià)可能有幾十萬元，傳言說還有一些女黑客為了騙0DAY漏洞情愿跟人上床。

獲得漏洞之后便要去刷庫。刷庫分4個(gè)過程：第一是否能進(jìn)得來；第二個(gè)是就算進(jìn)得來，但能否看得見；第三是就算看得見核心數(shù)據(jù)，但能否拿得走；最后一步是就算能偷取整個(gè)數(shù)據(jù)庫，但最終能否解得開。隨著技術(shù)的進(jìn)步，刷庫倒變成了沒有多少技術(shù)含量的活計(jì)。

這個(gè)產(chǎn)業(yè)鏈直接產(chǎn)生價(jià)值的環(huán)節(jié)是洗庫，其中又分好幾層：第一次“洗”是先對(duì)虛擬幣等信息進(jìn)行剝離，例如支付寶和QQ等，拿到用戶的賬號(hào)后就會(huì)進(jìn)入賬戶嘗試，如果有虛擬金錢就會(huì)轉(zhuǎn)走，或?qū)Q號(hào)倒賣；第二次“洗”是對(duì)于個(gè)人信息的收集，有些賬戶可能包括個(gè)人信息內(nèi)容，這些會(huì)賣給那些需要的人；第三次“洗”是關(guān)聯(lián)手機(jī)號(hào)的信息，賣給轉(zhuǎn)發(fā)垃圾短信的，這樣一層層“洗”下去直到?jīng)]有價(jià)值為止。

據(jù)中國最早的黑客組織綠色兵團(tuán)創(chuàng)始人、現(xiàn)COG信息安全組織創(chuàng)建人龔蔚介紹，“刷庫和洗庫的分工很明確，洗庫的人不會(huì)去刷卡，而且有專人負(fù)責(zé)對(duì)于各類不同賬號(hào)的嘗試，例如有人擅長操作QQ等。”這條黑色產(chǎn)業(yè)鏈的分工已經(jīng)細(xì)到令人咂舌的地步。趙偉開玩笑地說，如果沒有這條黑色產(chǎn)業(yè)鏈，哪兒有中國游戲產(chǎn)業(yè)的飛速發(fā)展？“黑客可以把國外游戲網(wǎng)站的源代碼整個(gè)的搞到手，再賣給國內(nèi)做游戲的，一套源代碼要價(jià)都在幾百萬美元，一個(gè)黑客每天進(jìn)賬4萬元人民幣，是正常的事情。”

在驚嘆黑客產(chǎn)業(yè)鏈強(qiáng)大之余，不禁也感到后怕：從發(fā)現(xiàn)漏洞到被“洗”到?jīng)]有價(jià)值像扔垃圾一樣扔出來，這中間是需要時(shí)間的。所以，安全人員一致認(rèn)為，此次CSDN密碼泄露其實(shí)已經(jīng)是兩年前的事情了，而在這兩年間我們的數(shù)據(jù)信息可能被“洗”、被利用了多次。