开放社会及其敌人

陈庆春

2011年12月4日，一个名叫“臭小子”的网民在乌云平台上发布了“中国各大站点数据库漏洞”，其中包括CSDN、腾讯、当当、天涯、多玩等知名站点名字。但对于一个只有500多名核心注册用户的乌云平台来说，传播效率并不高。事态进一步扩大化的推手还在于迅雷。

12月21日，金山毒霸产品经理韩正奇用“迅雷快传”工具将已被泄露的CSDN数据库，上传到QQ群内。随后几分钟内，该数据库便成为网上人尽皆知的信息。韩正奇在公开声明中称，“我下载前就已有分享地址。”也就是说，很有可能黑客在交换“黑”来的数据时用的便是迅雷下载工具。

更要命的是，当其他用户使用迅雷下载软件时，会看到旁边的“相关推荐”，比如说“使用了此链接的用户还使用了如下链接”，而推荐的这个链接便是被泄露的数据库。所以，即使韩正奇称自己及时删除了分享地址，但数据早已被迅雷服务保存下来，并大面积地“相关推荐”下去。

信息安全成为主要矛盾

我们总在畅想一种生活：智能电网能让我用到最便宜的电，帮我在波谷期购得电量、在波峰期卖出去；我们希望自己接触到的每一个屏都是智能终端，它适时联网、帮我们安排生活，下班前家里的电饭煲已经开始为你准备晚餐，你想看的每一场时装秀都能近在眼前……

我们考虑到了很多美好的未来，似乎唯独没有考虑安全，或许有人正在利用智能电网在偷你的电，也或许小偷早已窃取了你的密码，走进了你的家里，提前帮你享用了晚餐。要知道，一切便利并非凭空而来，从现在可以设想的技术来看，它来自于云计算、物联网和移动互联网。而这些是否安全？

国家物联网基础标准工作组信息安全项目组负责人陈星说，物联网至少有三个不安全：其一，物联网的控制器电量很低，很容易就消耗掉，便不起作用；其二，偷盗者很容易便把RFID标签扯下来贴上假标签；其三，如果没有统一的安全认证标志，接收端任一接收器便可实现接收。正是基于不安全的考虑，国家物联网基础标准工作组去年10月份成立了信息安全项目组，只是目前对安全漏洞还处于梳理阶段。

人们希望“云”可以监管我们在现实中产生的所有数据，并便捷地应用它。仅以移动医疗为例，一个小小的设备就可远程监测用户的健康状况，但是如果这个设备被黑客控制，监测到用户有生命危险时也不及时发出通知，那么用户也许就会因此丧命。“云”的安全系数有多高？

奇虎360副总裁石晓虹列举了“云”所独有的安全隐患：“云计算所依赖的虚拟技术，可以让黑客从一个虚拟机入侵到另一个用户的虚拟机里面，进而拿走数据；云服务商能否对内部人士做严格的权限控制，以防监守自盗，也是一个潜在的安全问题；云端的服务器宕机或者硬盘损坏也是一大安全隐患。”2011年亚马逊的云平台便发生了两次宕机事件，给诸多网站带来损失。

“1.053亿人次网民遭钓鱼网站侵袭，给中国网民造成的直接经济损失在百亿元元上下。假淘宝网站、假腾讯网站、假工商银行网站、假中國银行网站，占据了钓鱼网站的前四位。”《瑞星2011上半年互联网安全报告》中提到“云攻击”已成为现实，“云”端安全正在成为防护重点。

CSDN密码泄露事件的发生，多少是因为我们在享受互联网的开放和便利时却忽视了信息的安全。CSDN总裁蒋涛曾说：“原来对安全的认识还停留在相对低的水平上，觉得自己的数据不是什么关键数据，别人拿去也没什么用。” 但他忽视了互联网上各个站点并非孤立存在这个问题，比如用户的邮箱就可能成为其他网站的注册账号，密码也可能全部一致，一个网站的账号和密码被泄露，有可能会让该用户在互联网上所有的账号被泄。

而且，互联网早已不只是提供内容，人们的购物、支付和社交全部都在网上。或许你不是一个重要人物，但与你有关系的朋友可能被发现是一个重要人物，通过你获知此人的信息就变得有价值了。乌云平台创建人剑心分析了CSDN数据库的价值所在，“CSDN是全国程序员聚集的社区论坛，这些人大多是各网站的核心运维人员，知道他们的信息，就等于获知了该程序员所任职网站的部分技术信息，甚至管理员权限，再去拿该网站的数据库，也是轻而易举的事情。”所以，安全界有一部分人认为，其他网站数据库的泄露可能与“撞库”并无关系，而是直接入侵获取。入侵者从发起攻击,到获得经济收益,大致可以分三个步骤：1拖库:把目标系统的用 户数据导入或者下载到本地;2洗库:对数据库进行层层利用,获取经济收益;3撞库:以大量的用户数据为基础,利用用户相同的注册密码习惯,尝试登录其他目标网站。（以上是“拖库—洗库—撞库”的示意流程图。）

另一部分观点则认为，那么多数据库可能就是通过“撞库”而得。盗得游戏网站和支付相关的账号，便可直接拿来卖钱，根据游戏等级不同所兜售的价值也各不相同，这已经不是秘密；社交网站的账号，则直接拿来开展营销、加粉等行为，也可借此获得更多的联系人信息；电子商务网站上的账号信息更加丰富，包括姓名、邮箱、身份、一个或多个住址、手机号、支付信息等。被盗号后最常见的行为是，截获用户的订单信息，代替电子商务网站先送货给用户，这可能导致用户收到假冒伪劣产品，也间接造成电子商务网站退单率的上升。

2月6日，广州李某在拆快递包裹时被炸伤。这起案件让我们重新思考信息的重要性。试想，如果一个人想肆意报复你，只要获得你在线交易的信息，然后代替网站快递人员给你送去一颗炸弹便可。当然，电子商务网站的信息还只是冰山一角，那些掌握了数百家电商用户信息的快递公司们又会有多大的安全威胁？

毋庸置疑，将现实生活平移到虚拟的互联网上，会带来更多的便利。但如果虚拟社会不具备现实生活中的安全系数，那么我们的虚拟生活就变得危机四伏。就像腾讯安全GM杨勇所认为的，随着虚拟社会现实化程度的提高，网民对安全的定义正在发生变化，“以前讲安全是讲防病毒，现在要谈的是业务安全，防信息泄露、防财产损失，而维系这个安全我们没有成熟的方法论，每一个互联网应用都有各自不同的安全特点。所以未来很长一段时间内，信息安全将是这个社会的主要矛盾。”

开放平台及其敌人

1981年出生的杨勇从2003年开始从事安全工作，2005年开始在腾讯安全部门任职，但经历过诸多安全事件（比如腾讯曾遭盗号团队攻击、去年微博域名曾遭更改等）之后，他只有一个感受，“安全需要日积月累、脚踏实地的工作，我们每上一个应用就需要投入相应的安全人员。”据他介绍，今年视频将会成为一大热门应用，腾讯相应地投入应对视频安全的人员。

腾讯从简单的IM开始，发展至今已是一个开放平台，在其上运行的应用正在快速膨胀，腾讯在安全方面的投入也渐次增长，以前做安全的只是几个运维人员，目前则拥有两支独立的安全团队，一支负责腾讯内网的安全体系维护，另外一支则负责外网。

“多一个应用就多一份风险，安全工作永无止境。”就像杨勇所说，Facebook在安全体系上已经算搭建得比较完善成熟的开放平台了，但是仍然存在问题。去年5月，赛门铁克曾质疑，Facebook可能约有10万个应用程序将用户信息泄露给第三方机构。通过这些泄露信息的程序，广告商等机构可以查看用户个人简介、照片和聊天记录等私人资料，并能在用户页面上发布信息。赛门铁克表示，这些程序平均每日安装次数达2000万次，而Facebook超过5亿用户的信息都有可能被泄露。目前Facebook上活跃的应用程序超过55万个，近10亿个用户，它所面临的安全风险是巨大的。此前，还爆出Facebook所授权的第三方照片分享软件，需要安装插件，而这个插件存在安全漏洞，创始人扎克伯格的私密照片还因此被公之于众。

与Facebook类似的大平台还有苹果、Android系统，与Facebook不同的是，它们是中国网民能时刻接触到的平台。不过，就算是半开放半封闭的苹果平台，也在不断地遭遇安全漏洞的调整。2月初，苹果平台上的一款反社交应用程序——Path（仅限50个好友分享的社交应用），被质疑可以随时上传用户通讯录，泄露用户隐私。在质疑声中，Path只好暂时下架，但与此同时人们也开始在质疑苹果的审查机制，“因为Path是一款热门的应用，被人们广泛接受，而让苹果放松审查。”

“平台越开放，短期内的风险也会更大。”360公司的石晓虹举了一个例子，开放平台会开放出API接口，如果平台审查机制不完善，就会有人做一个程序、植入木马，放到平台上（或者把现有的程序下载下来、解包再植入木马放上去），一旦有人下载便中招。中招的机器便如“肉鸡”，做恶人在控制端可以对“肉鸡”为所欲为，然后再把“战场”清理得了无痕迹。 据360公布的安全报告称，2011年上半年平均每秒出现29个新木马，是2010年同期的4.46倍，受攻击的电脑数量日均则达到452.5万台。这个数量仍在攀升。

中国的各大社交和开放平台刚刚开始建立，还谈不上大规模应用，却已经存在各类问题，比如去年底爆出的新浪微博安全漏洞事件。1月4日，一位名叫“网路游侠”的“白帽黑客”在自己的博客上发布了新浪的漏洞：新浪iask站点（爱问搜索应用）存在SQL注入漏洞，利用漏洞可以读取iask数据库内容，包括明文密码在内的7000多万新浪用户信息。由于新浪实行“全站一号登录”，黑客利用这个漏洞还可以获得新浪微博的相关账号信息。

有意思的是，“网路游侠”以知名魔术师刘谦的微博为例，通过构造数据库查询语句就轻松获得了刘谦的账号及密码信息，并成功登录。当天晚间，刘谦在微博上转发该博客，证实此事。不过庆幸的是，“网路游侠”称，这个漏洞他是在1月1日发现，已及时通知新浪官方，并在新浪修复了该漏洞后才在博客上公布文章，供参考学习之用。

这就是一项应用带来的安全隐患。我们常常惊喜于互联网的应用程序正在颠覆从前的各项体验，却忽视了0101数字体验的脆弱性。未来应用势必无限增多，平台也势必无限扩大，而安全隐患则更加难以预料。

手机，贴身的间谍

李涛办公室的电脑和手机屏幕一尘不染，桌子整洁得让人无所适从，喝水的茶壶和杯子没有一丝茶垢，这个有着生活和安全洁癖的人对CSDN数据库泄露及其连锁反应并不感到惊讶，他认为未来更大的安全隐患是手机，“互联网上有的安全隐患，手机全都有，而手机更具隐私性、强关联性，一旦被入侵后果不堪设想，只是现在还未到爆发的时候。”

去年12月份，国外运营商内置在苹果、三星、HTC手机内的Carrier IQ（简称CIQ）却意外变成了国际间谍软件。CIQ是一款内核级别的监测应用，是固化在手机Rom（一种只能读出事先所存数据的固态半导体存储器）里面卸载不掉的应用，起初该功能意在帮助国外运营商收集用户使用行为以便提高用户服务质量和水平，但结果却是无需经过用户的允许且没有任何的提示就可以自动上传个人短信、电话、通讯录、浏览器历史记录、密码、键盘使用轨迹等多项用户隐私记录。

该软件目前已被预装在全球约1.41亿部手机中。好在未涉及中国运营商，中国境内有此软件的是为数不多的水货手机。但去年6月初闹得沸沸扬扬的“X卧底”软件着实让国内手机用户大惊失色。

“X卧底”安装后不会启动任何图标，也不会给用户任何提示，一切监听行为都在后台自动完成，用户根本无法感知。“X卧底”软件实质上就是一种木马病毒，主要传播方式便是通过互联网下载软件安装在手机上，或发送短/彩信，诱导用户点击后自动安装。另一种方式则是通过存储卡拷贝，直接在手机上安装软件。

2010年的电影《窃听风云》中曾有一句这样的台词：“每个人的手机都是一部窃听器，都能被窃听。”手机的贴身性和强关系链特点，让其安全性有了更加鲜明的不同之处。但从基本上来说，每台智能手机都能浏览互联网页面，它与PC已无二致。正如中国移动安全所所长杨光华所说，“移动互联网是移动通信网络和互联网的结合体，但是由于互联网的引入，打破了原有移动通信网络的封闭性，业务复杂多样，电子商务等方便的付费形式拥有了大量的使用者，这就使得移动互联网的攻擊更易获利。”他认为，移动智能终端、移动业务和云计算虚拟化环境等方面成为了主要攻击目标。

去年12月底发生的一起手机WIFI漏洞事件，正好说明了手机接入互联网之后增加的另一个新的安全隐患。这起事件涉及360手机精灵、QQ应用助手、豌豆荚守护精灵等3款应用软件，它们是用于手机与电脑同步的软件，用户在手机上安装上述软件后，可以把手机连到电脑上以同步数据。但3款软件在设计上都存在一个缺陷，即没有严格限制手机只能连接用户个人指定的电脑，导致在手机WIFI打开情况下，有可能遭到来自同一公共WiFi局域网内的黑客攻击，在某些特殊条件下存在泄露手机信息的可能。

流量扣费、吸费短信、上载通讯录、植入木马、窃听通话等等，手机里面的老问题尚且没有解决，新问题却还在层出不穷。手机，这个离我们最近、离钱最近的设备，它的安全防线究竟在哪儿？按照黑客对信息泄露的2年一个周期运作的逻辑来看，安全专家认为，如果说去年是智能手机普及的第一年，那么手机领域的信息泄露爆发时间可能就在今年底或明年初。

也许，专家们这样的推断，可以让你对未来的信息泄露事件有充分的心里准备。