從“云計(jì)算”到“云威脅”：互聯(lián)網(wǎng)安全迎來最大挑戰(zhàn)

日前，大量銀行金融機(jī)構(gòu)客戶及網(wǎng)站用戶的密碼泄露事件震驚全國(guó)。據(jù)前瞻資訊數(shù)據(jù)中心監(jiān)測(cè)，累計(jì)泄露的用戶密碼預(yù)計(jì)為2.3億，涉及網(wǎng)易、人人、天涯等大型網(wǎng)站，招商、交通等銀行金融機(jī)構(gòu)，平安、光大等證劵機(jī)構(gòu)，甚至中國(guó)海關(guān)、廣州市政府等官方組織。

在這場(chǎng)中國(guó)互聯(lián)網(wǎng)有史以來波及面最廣、規(guī)模最大、危害最深的泄密事件中，最讓人憂慮的并不是網(wǎng)民的隱私被暴曬，也不是黑客的猖狂，而是我們的網(wǎng)絡(luò)安全正在面臨新的威脅，這種威脅躲在“云”中，甚至身披安全警察的制服……

超過兩億條用戶密碼泄露

據(jù)一位黑客界人士透露，最早曝出“多家網(wǎng)站用戶密碼信息遭泄露”的是一家名為“烏云”的安全組織，時(shí)間在12月4日。隨后的日子里，一些包含有密碼信息的壓縮包在黑客圈子地下流傳——在黑客界，這種“交流”并不罕見。

災(zāi)難真正開始是在12月21日。這天上午，包含有600萬個(gè)CSDN用戶密碼的壓縮包被放至公開下載渠道。更恐怖的是，蜂擁而至的網(wǎng)友發(fā)現(xiàn)了一個(gè)更大的“寶藏”，在下載CSDN密碼包的時(shí)候，從“相關(guān)下載”按圖索驥可以下載到更多的密碼包。于是這些壓縮包像病毒一樣被網(wǎng)友瘋傳。

據(jù)金山網(wǎng)絡(luò)安全工程師對(duì)密碼包的統(tǒng)計(jì)結(jié)果，成為眾矢之的的CSDN泄露的600萬密碼只是滄海一粟，此次泄露事件累計(jì)泄露的用戶密碼總量多達(dá)2.3億。盡管無法證實(shí)這其中有多少是重復(fù)注冊(cè)的賬號(hào)，但預(yù)計(jì)受影響的用戶將在千萬級(jí)別。

目前CSDN、天涯已對(duì)此公開承認(rèn)事實(shí)并道歉，其他被涉及的網(wǎng)站一直未明確表態(tài)。近10家大型網(wǎng)站卷入

讓我們梳理這次事件爆發(fā)的過程：黑客利用網(wǎng)絡(luò)平臺(tái)的安全漏洞入侵服務(wù)器，將包含網(wǎng)友用戶名、密碼的數(shù)據(jù)庫(kù)下載到黑客自己的電腦(被稱為“拖庫(kù)”)，黑客圈子地下傳播，公開渠道下載散播。

這顯然與大家普遍認(rèn)知的網(wǎng)絡(luò)安全威脅有明顯區(qū)別。一直以來，個(gè)人網(wǎng)絡(luò)安全防范緊盯的是“端”(用戶本地端)的問題，不管是傳統(tǒng)的殺毒技術(shù)，還是近年來流行的“云安全”技術(shù)，其本質(zhì)均是防止“端”被病毒、木馬等入侵，從而確保用戶安全。但此次事件中，威脅并不在“端”，而在“云”中，對(duì)于用戶來說，以往的任何安全舉措在面對(duì)這種“云威脅”時(shí)都成為浮云，只好“躺著也中槍”了。

值得提及的是，“云威脅”比傳統(tǒng)威脅危害嚴(yán)重得多。據(jù)安全界人士介紹，多數(shù)用戶為了便捷，在多個(gè)網(wǎng)站使用同樣的郵箱、密碼注冊(cè)，這意味著“一道城門被攻破，全城失守”。如果網(wǎng)友用公司郵箱注冊(cè)，則更可進(jìn)一步暴露商業(yè)機(jī)密。而在支付、網(wǎng)銀等平臺(tái)的賬號(hào)信息也可能被輕易攻破。

據(jù)一位業(yè)內(nèi)人士根據(jù)目前流傳的密碼包統(tǒng)計(jì)，與CSDN一道被“爆庫(kù)”的至少包括網(wǎng)易、人人、天涯、貓撲、多玩等9家大眾網(wǎng)站，還包括至少16家大型商業(yè)銀行、21家證劵機(jī)構(gòu)，以及至少19家政府機(jī)構(gòu)網(wǎng)站。

隱私泄露事件已發(fā)生多次

這一泄密事件或?qū)⒔o國(guó)內(nèi)網(wǎng)絡(luò)界帶來強(qiáng)烈震蕩，但多位業(yè)界人士斷言“這絕不會(huì)是最后一次”。下如此論斷的依據(jù)還得在歷史中尋找——在此之前，已有多次“云威脅”案例，但均未引起足夠重視。

據(jù)了解，就在泄密事件發(fā)生前的不到一個(gè)星期，包括360手機(jī)助手、豌豆頰等在內(nèi)的多個(gè)Android客戶端曝出“公共WiFi泄密”問題。安裝360手機(jī)助手的Android用戶，在公共WiFi環(huán)境中將“門戶大開”，任何處于同一WiFi網(wǎng)絡(luò)的用戶，均可隨意訪問其手機(jī)中的隱私文件，包括個(gè)人照片、文檔甚至聯(lián)系人、短信等。盡管目前360已通過升級(jí)版本解決此威脅，但如果不知情的用戶并未升級(jí)，將一直處于“裸奔”狀態(tài)。