2011年,頻繁爆發(fā)的用戶信息泄露事件摧毀了許多人心中互聯(lián)網(wǎng)十分安全的錯(cuò)覺,黑客攻擊的新時(shí)代已經(jīng)來到。
最近一段時(shí)間國內(nèi)大量網(wǎng)站用戶信息被盜取。從CSDN到天涯論壇,大大小小的網(wǎng)站都傳出了用戶信息被盜的消息,甚至支付寶、交通銀行等金融網(wǎng)站也出現(xiàn)了用戶賬戶泄露的傳聞,一時(shí)間國內(nèi)互聯(lián)網(wǎng)用戶是人人自危。事實(shí)上,2011年全年幾乎每個(gè)星期都有著名的大型網(wǎng)站被攻擊和用戶數(shù)據(jù)泄露的事件發(fā)生,黑客攻擊導(dǎo)致用戶信用卡數(shù)據(jù)被盜已是司空見慣的事情。而頻繁發(fā)生的安全事故,與網(wǎng)站缺乏安全意識(shí)、草率處理用戶賬戶信息有著莫大的關(guān)系,可怕的是許多網(wǎng)站在面對(duì)這些丑聞時(shí)只知道找借口為自己開脫,一味推卸責(zé)任,這樣繼續(xù)下去,數(shù)據(jù)泄露的丑聞還會(huì)發(fā)生。
開發(fā)人員的知識(shí)貧乏
2011年7月,德國聯(lián)邦警察局成了黑客攻擊的對(duì)象,黑客組織NN-Crew盜取了聯(lián)邦警察局和海關(guān)服務(wù)器中的數(shù)據(jù),并且將盜取的數(shù)據(jù)加密后存儲(chǔ)在互聯(lián)網(wǎng)上。他們威脅警方,如果該小組中任何一人被捕,將公布可以瀏覽這些加密數(shù)據(jù)的密碼。這實(shí)在是一件棘手的事情,德國在波恩新成立的國家網(wǎng)絡(luò)防御中心不得不夜以繼日地工作,不過,這次他們追蹤黑客并不是為了保護(hù)其他的國家機(jī)構(gòu)或企業(yè)網(wǎng)絡(luò),而是分析自己系統(tǒng)崩潰的原因。
究竟發(fā)生了什么?為何黑客組織NN-Crew能夠輕松地侵入聯(lián)邦警察局和海關(guān)的電腦?在一般人的觀念中,負(fù)責(zé)國家安全相關(guān)事項(xiàng)的紀(jì)律部隊(duì),電腦系統(tǒng)的安全性應(yīng)該是非常高的,絕不應(yīng)該被黑客組織輕易攻擊,更何況是被反復(fù)地侵入、頻繁地得手,這實(shí)在是有點(diǎn)匪夷所思。
在這一事件上,網(wǎng)站開發(fā)人員的知識(shí)貧乏是導(dǎo)致聯(lián)邦警察局和海關(guān)網(wǎng)站異常脆弱的原因。聯(lián)邦警察局和海關(guān)的網(wǎng)站都使用服務(wù)器系統(tǒng)Apache的擴(kuò)展版本XAMPP,這是一個(gè)將Apache服務(wù)器系統(tǒng)以及MySQL、PHP、Perl等服務(wù)器端軟件打包發(fā)行的版本,通常類似的版本是為初學(xué)者提供的,主要為了方便他們學(xué)習(xí)和測試服務(wù)器系統(tǒng),安全性對(duì)于此類版本的服務(wù)器系統(tǒng)并不是最重要的。因而,通常XAMPP都被認(rèn)為是不適合企業(yè)網(wǎng)站使用的版本,而現(xiàn)在它出現(xiàn)在政府機(jī)構(gòu)的網(wǎng)站上。當(dāng)然,通過一些適當(dāng)?shù)呐渲?,XAMPP也可以擁有一定的安全性,但是德國聯(lián)邦警察顯然沒有完成這些工作,才導(dǎo)致入侵者可以頻繁地光顧,如入無人之境,成了互聯(lián)網(wǎng)世界的笑柄。
安全專家Mark Semmler認(rèn)為,目前許多開發(fā)人員網(wǎng)絡(luò)安全方面的知識(shí)非常貧乏,由于缺乏適當(dāng)?shù)呐嘤?xùn),所以大部分程序員甚至對(duì)于SQL注入之類的攻擊手法都完全沒有概念。對(duì)于存儲(chǔ)敏感數(shù)據(jù)的服務(wù)器來說,毫無疑問安全是至關(guān)重要的,需要細(xì)致和結(jié)構(gòu)化的開發(fā)工作,但是在Mark Semmler為各種大小公司進(jìn)行安全分析的過程中發(fā)現(xiàn),大概有98%的入侵案件都是因?yàn)楸蝗肭志W(wǎng)站在安全設(shè)計(jì)方面有非常嚴(yán)重的致命錯(cuò)誤。
馬虎大意導(dǎo)致的嚴(yán)重錯(cuò)誤
除了缺乏應(yīng)有知識(shí)以外,工作馬虎也是導(dǎo)致黑客攻擊頻發(fā)的原因,2011年甚至連一般人心目中的安全保護(hù)神SSL證書認(rèn)證機(jī)構(gòu)都曝出多起數(shù)據(jù)泄露丑聞。3月24日,著名的SSL證書認(rèn)證機(jī)構(gòu)Comodo遭到入侵,攻擊者獲得了谷歌、雅虎和Skype等重要網(wǎng)站的SSL安全證書。6月17日,荷蘭公司的SSL證書認(rèn)證機(jī)構(gòu)DigiNotar的服務(wù)器受到攻擊,入侵者為自己頒發(fā)了多個(gè)偽造的SSL安全證書,并最終導(dǎo)致DigiNotar成為一個(gè)不再被信任的認(rèn)證機(jī)構(gòu)而宣布破產(chǎn)。
黑客獲得了認(rèn)證機(jī)構(gòu)頒發(fā)的正規(guī)網(wǎng)站SSL證書會(huì)出現(xiàn)什么情況?很簡單,所有依賴SSL證書保護(hù)的安全措施全部失效,用戶無法通過SSL證書確認(rèn)訪問的網(wǎng)站到底是不是自己真正要訪問的網(wǎng)站,用戶與網(wǎng)站之間采用SSL證書加密傳輸?shù)臄?shù)據(jù)也不再安全。而更嚴(yán)重的是,在此情況下,黑客可以輕易地創(chuàng)建用戶無法分辨的釣魚網(wǎng)站,并依賴用戶一直以來對(duì)于SSL證書認(rèn)證網(wǎng)站的信任感,輕易地實(shí)施詐騙。
根據(jù)安全公司的報(bào)告,被侵入的荷蘭SSL證書認(rèn)證機(jī)構(gòu)DigiNotar的網(wǎng)站服務(wù)器上連一個(gè)防病毒軟件都沒有,并且網(wǎng)站采用非常簡單的密碼保護(hù)措施,因而,入侵者可以輕易地侵入服務(wù)器,并將惡意軟件植入。很明顯,在DigiNotar被攻擊的這件事情上,服務(wù)器的管理工作不周密是最主要的原因。
安全專家Mark Semmler認(rèn)為,工作馬虎是由于大多數(shù)程序員都有時(shí)間壓力,由于來自客戶的壓力非常大,因而負(fù)責(zé)服務(wù)器系統(tǒng)開發(fā)管理的公司大多必須快速地完成工作,并且預(yù)算非常有限,這導(dǎo)致開發(fā)商不得不壓縮開支,而安全這個(gè)看不到摸不著的東西自然被作為首先犧牲的對(duì)象。根據(jù)Mark Semmler的了解,許多優(yōu)秀的程序員都會(huì)由于時(shí)間不足,而對(duì)于類似用戶密碼沒有加密存儲(chǔ)這樣的明顯漏洞視而不見。
很明顯,國內(nèi)互聯(lián)網(wǎng)因“密碼門”導(dǎo)致泄露用戶信息的網(wǎng)站,草率處理用戶信息這一罪名是逃不掉的,使用明文存儲(chǔ)用戶密碼,這對(duì)于一個(gè)優(yōu)秀的程序員來說是匪夷所思的。如果不是程序員有意為之,存在竊取用戶密碼的想法,那么或許正如Mark Semmler所說的“大多數(shù)程序員都有時(shí)間壓力”。
缺乏安全意識(shí)
除了草率,使用明文存儲(chǔ)用戶密碼同時(shí)也是一種明顯缺乏安全意識(shí)的做法。存在此問題的絕不僅僅是涉及“密碼門”的網(wǎng)站。今年以來,索尼公司網(wǎng)絡(luò)被黑客組織LulzSec多次攻擊,黑客盜取了超過一百萬包括用戶賬號(hào)、密碼的客戶資料,這些被盜取的客戶資料都沒有經(jīng)過編碼而直接存儲(chǔ)在服務(wù)器上。為此,索尼公司付出了沉重的代價(jià),被用戶索賠超過24億美元,而且,這還沒有算上PlayStation網(wǎng)絡(luò)被迫關(guān)閉長達(dá)一個(gè)多月所造成的損失。
為什么索尼公司的游戲網(wǎng)絡(luò)如此不堪一擊?一個(gè)主要的因素原因是這是一個(gè)創(chuàng)建于2006年的游戲網(wǎng)絡(luò),安全專家Johann Peter Hartmann認(rèn)為,大部分2006年和2007年開發(fā)的網(wǎng)站,安全性都是一塌糊涂。在PlayStation創(chuàng)建游戲網(wǎng)絡(luò)之初,用戶的信息未經(jīng)編碼而直接存入數(shù)據(jù)庫。對(duì)于現(xiàn)在的Web服務(wù)站點(diǎn)來說,這樣做的風(fēng)險(xiǎn)無疑是非常高的。但是,當(dāng)初網(wǎng)絡(luò)攻擊遠(yuǎn)沒有現(xiàn)在這么普遍,即使有人攻擊網(wǎng)站,通常也只是玩笑性質(zhì)的,最嚴(yán)重的莫過于刪除數(shù)據(jù)庫的信息,由于網(wǎng)站的數(shù)據(jù)必然有備份,所以并不會(huì)造成什么實(shí)質(zhì)性的損害。因此,當(dāng)初開發(fā)人員或許認(rèn)為根本沒有必要加密用戶信息,甚至認(rèn)為加密解密的操作影響服務(wù)器性能?,F(xiàn)如今則不同,黑客組織已經(jīng)不再是為了開玩笑而攻擊一個(gè)網(wǎng)站,侵入網(wǎng)站竊取數(shù)據(jù)并通過勒索等方式可以讓他們獲得豐厚的利潤,在金錢的驅(qū)使下,攻擊者為了侵入一個(gè)網(wǎng)站可以無所不用。
也許不少人認(rèn)為真正有能力的黑客并不多,但是實(shí)際上現(xiàn)在一個(gè)門外漢也能夠攻擊并侵入一些互聯(lián)網(wǎng)站點(diǎn)。除了購買各種現(xiàn)成的黑客工具以外,還可以租用功能強(qiáng)大的僵尸網(wǎng)絡(luò)。許多黑客制作工具出售或者出租給其他人,而存在漏洞的舊系統(tǒng)是主要攻擊的對(duì)象。不過,值得安慰的是近幾年許多網(wǎng)站的開發(fā)人員安全意識(shí)已經(jīng)有所提高,部分網(wǎng)站的用戶信息不僅加密,而且還分發(fā)到多個(gè)數(shù)據(jù)庫進(jìn)行存儲(chǔ),黑客即使侵入網(wǎng)站也只能夠獲得一部分?jǐn)?shù)據(jù),竊取用戶信息已經(jīng)不再那么容易。
瘋狂的代價(jià)
2011年世界各地大范圍高頻率的黑客攻擊行為導(dǎo)致許多國家都在重新思考互聯(lián)網(wǎng)治理的問題,包括標(biāo)榜自由民主的美國政府也在討論是否應(yīng)該建立數(shù)字國家邊界,檢查和過濾所有進(jìn)出的數(shù)據(jù),不過這一方法工作量無疑過大,很難實(shí)施。因而,有人進(jìn)一步地提出了另一種激進(jìn)的做法,直接取消互聯(lián)網(wǎng),建立國家范圍內(nèi)的網(wǎng)絡(luò)。對(duì)于伊朗以及其他的一些伊斯蘭國家的政府來說,一直以來都希望成立他們自己的網(wǎng)絡(luò),不過,類似的建議在許多國家都被反對(duì)派批評(píng)。除了限制了普通網(wǎng)絡(luò)用戶的自由以外,對(duì)于世界性的企業(yè)來說,這也是無法接受的。
“我們發(fā)現(xiàn),
98%的個(gè)案都有非常嚴(yán)重的致命錯(cuò)誤?!?/p>
Antago GmbH公司安全測試員
Mark Semmler
3月17日
RSA
安全公司RSA的系統(tǒng)被入侵并被竊取了用于SecurID認(rèn)證產(chǎn)品的重要數(shù)據(jù)。SecurID是一種雙因素認(rèn)證系統(tǒng),用于為敏感數(shù)據(jù)和網(wǎng)絡(luò)提供保護(hù),為此,該公司已經(jīng)更換世界各地40萬正在使用的SecurID。
3月24日
Comodo
SSL證書認(rèn)證機(jī)構(gòu)Comodo遭到入侵,攻擊者獲得了谷歌、雅虎和Skype幾大重要網(wǎng)站的SSL安全證書,使用這些證書攻擊者可以輕易地創(chuàng)建用戶無法分辨的釣魚網(wǎng)站,依賴SSL證書認(rèn)證的網(wǎng)站安全性蕩然無存。
4月16日
索尼PSN
由于服務(wù)器上的用戶信息沒有被編碼,所以索尼公司網(wǎng)絡(luò)被黑客組織LulzSec多次攻擊,盜取超過一百萬的客戶資料,這些資料包括用戶的賬號(hào)和密碼。襲擊事件發(fā)生后,索尼公司被迫關(guān)閉PlayStation網(wǎng)絡(luò)長達(dá)一個(gè)多月的時(shí)間。
4月17日
蘋果
iPhone用戶發(fā)現(xiàn)備份檔案中包含用戶的位置數(shù)據(jù),外界普遍認(rèn)為蘋果公司在收集和使用用戶的定位信息。隨后史蒂夫喬布斯承認(rèn)相關(guān)的程序編程過于草率,但是數(shù)據(jù)并非蘋果公司有意收集也沒有被濫用,同時(shí)將修改軟件不再保存相關(guān)信息。
4月21日
亞馬遜EC2
亞馬遜在推廣其EC2(Elastic Compute Cloud,彈性云計(jì)算)服務(wù)時(shí)說:“云,你可以信賴”。然而,在一次升級(jí)的過程中網(wǎng)絡(luò)出現(xiàn)故障,網(wǎng)絡(luò)出現(xiàn)延遲和連接錯(cuò)誤等問題,大量的網(wǎng)站無法正常使用,企業(yè)的數(shù)據(jù)無法處理。
5月21日
洛克希德馬丁公司
美國最大的國防企業(yè)洛克希德馬丁公司(Lockheed Martin Corp)系統(tǒng)受到攻擊,此次攻擊有哪些資料遭到竊取,尚不明確,但是該公司許多員工很長一段時(shí)間無法訪問系統(tǒng),顯然入侵者通過攻擊RSA的系統(tǒng)獲得了其員工的SecureID。
6月17日
DigiNotar
荷蘭公司的SSL證書認(rèn)證機(jī)構(gòu)服務(wù)器受到攻擊,入侵者頒發(fā)了多個(gè)偽造的SSL安全證書。根據(jù)安全公司的報(bào)告,該網(wǎng)站服務(wù)器連一個(gè)防病毒軟件都沒有,并使用非常簡單的密碼保護(hù),因而,入侵者可以輕易地將惡意軟件植入到服務(wù)器中。
6月19日
Dropbox
著名的數(shù)據(jù)存儲(chǔ)服務(wù)Dropbox出現(xiàn)認(rèn)證系統(tǒng)的錯(cuò)誤,由于編程上的粗心,使得服務(wù)器在更新程序后導(dǎo)致任何賬號(hào)不用密碼就可以直接訪問。
開發(fā)商在4個(gè)小時(shí)后發(fā)現(xiàn)該錯(cuò)誤,并迅速做出了修正。
7月7日
德國聯(lián)邦警察
黑客組織NN-Crew侵入德國聯(lián)邦警察局和海關(guān),在其電腦系統(tǒng)植入木馬之后竊取了大量信息,再將這些信息加密存儲(chǔ)在互聯(lián)網(wǎng)上,并威脅警方,如果該小組中任何一人被捕,將會(huì)公布可以瀏覽這些信息的密碼。
7月17日
REWE
REWE是銷售世界自然基金會(huì)和足球聯(lián)賽圖片的大型零售商。它的主要分銷商網(wǎng)站遭到黑客攻擊,入侵者盜取了客戶的姓名、電子郵件地址和賬戶密碼,但是該公司的公告說明,用戶的信用卡數(shù)據(jù)沒有被盜,并且該公司很快修復(fù)了漏洞。
8月2日
osCommerce
開源的網(wǎng)上商店系統(tǒng)osCommerce出現(xiàn)漏洞,攻擊者可以通過這些漏洞在使用該系統(tǒng)的網(wǎng)站上放置木馬程序,并感染瀏覽器存在漏洞的網(wǎng)上交易者。2010年11月起相關(guān)的漏洞被修復(fù),但是有許多使用該系統(tǒng)的網(wǎng)上商店并沒有及時(shí)更新。
12月21日
密碼門
國內(nèi)最大的程序員網(wǎng)站CSDN曾在2009年以前被黑客入侵,盜取的用戶賬號(hào)和密碼近期被曝泄露。25日下午,國內(nèi)最大的網(wǎng)絡(luò)社區(qū)天涯社區(qū)也傳出4000萬用戶資料泄露的消息,此所謂國內(nèi)互聯(lián)網(wǎng)的“密碼門”。