【大澳门威尼斯人赌场官网2011年12月27日讯】(大澳门威尼斯人赌场官网记者高紫檀综合报导)近日,中国互联网遭遇了史上最大规模的用户信息泄密事件,多家大型网站的用户数据库遭泄露,上亿用户账号和密码被公开。业内人士认为,这次泄露的信息只是“冰山”一角,依靠这些用户信息,目前中国黑客的黑色产业链规模价值达上百亿元。
上亿中国网民资料被盗
近日,用户名和密码是否被盗,成为中国大陆网民最关心的事情。首先是国内最大的程序员社区CSDN上600万用户资料被公开,此后天涯社区、人人网、7K7K、猫扑等多个网站的用户数据又相继外泄。根据互联网上可公开下载的数据统计,泄露的用户信息多达上亿条。
中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚更是直言,此次遭泄露的信息应该只是“冰山”一角。
大陆知名网站网络安全专家方女士接受大澳门威尼斯人赌场官网记者采访时表示,目前,网络安全还是很重要的。从上述泄密的这些网站本身来说安全有问题,另外,目前在国内黑客入门很简单,基本就是给个工具就可以去用去攻击,国内网站受到黑客攻击是免不了的。
此前,CNNIC《第28次中国互联网络发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿人,占24.9%。
据360分析评估,上述被盗号的1.21亿网民群体中,80%以上是因为黑客刷库后获取了网民的账号密码数据,危害远远超过盗号木马。
黑色产业链规模价值上百亿元
而给予这些黑客动力的除了兴趣之外,就是惊人的利益。
有大陆互联网专家称,黑客盗取用户信息的根本目的是为了倒卖信息赚钱,目前一条倒卖用户信息的完整灰色产业链已经形成。
在今年9月的一场信息安全论坛上,Chown Group(信息安全专业委员会)发起者之一李麒曾表示,目前中国黑客的黑色产业链规模价值上百亿元。
李麒举例称,某活跃于黑色产业链的知名黑客一年能够赚五千多万;一些大网站的数据库明码标价,一个库端下来,价值六百多万;黑色产业链的人还向一些网站收保护费,标准是一个月两万。
李麒称,目前黑色产业链已经有了严格的代理制度,金牌总代、区域总代、一级总代、二级总代,制造木马,大木马里再装小木马,针对不同的游戏都能做。此外,从制造木马到买卖、销售、分销、洗信已经有了一条龙服务。
一般而言,单纯倒卖用户数据库并不赚钱,有些数据库经过多次交易后,几百个账号的价格只有几分钱,因此不少黑客盗取用户数据库之后通过发布诈骗信息、转卖给黑公关或竞争对手等多种途径完成利益最大化的变现。
例如,不少黑客利用密码库尝试窃取QQ、MSN等聊天软件账号和微博、人人、邮箱等账号,向好友发送借钱诈骗消息,发布广告信息或钓鱼诈骗链接。
一些花销颇多的网游用户也是黑客攻击的重点对象。一些游戏厂商的用户数据库被黑客窃取后,可能被黑客转卖给其竞争对手,成为竞争厂商争夺用户资源的“营销对像”。金山网络安全专家李铁军透露,这些数据在被刚盗取出来时售价非常昂贵,某些游戏厂商上百万的玩家用户的资料包可以卖到百万元的高价。
更严重的情况还有,当黑客利用密码库在网上支付平台自动批量发起交易,如果恰好试探出用户泄露的密码和网上支付密码相同,支付账户中的余额就可能被黑客全部盗取。
用户数据加密储存也不一定安全
这次从CSDN和天涯网站泄露出来的数据库都是采用了明文密码,即密码不加密储存,这两个网站也都表示被泄露的是2009年前的数据库,而最近的数据库都是采用了数据加密储存。
不过,即使加密储存也不代表安全。《东方早报》报导称,COG信息安全组织创建人龚蔚表示,目前的密码数据库均是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。但是哈希函数并非万无一失,两个不同的密码可能哈希值会一样,这种情况被成为“碰撞”,而这正是黑客用来窃取数据库获得信息的途径。
龚蔚称,目前的加密算法,即哈希函数都是公开的,除非自己设计一个很好的能够避免出现“碰撞”的哈希算法,否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。
黑客手中掌握了大量的碰撞库,这些都是常用密码所对应的哈希值,一旦有密码数据库泄露,黑客就会比对其中的哈希值与手中的碰撞库,如果匹配成功,就能找到用户的原始密码。
中国互联网公司的信息安全支出不足IT支出1%
方女士说,各大网站也很关注互联网安全这一块,但网络安全跟日常管理等各个方面都有相关,并不容易,泄密原因众多。
《21世纪经济报导》引用一位互联网行业人士的观点称,目前中国只有浏览量在前100的网站有自己专业的安全运维人员,前1000的网站有安全产品或服务的采购,大部分网站都没有专业的安全团队。
另外,据该人士介绍,互联网公司建立自己的安全运维团队需要的成本投入很大。比如,大型B2C购物网站每年的安全运维投入需要达到千万元级别,小一点的网站也需要几百万。但是目前,这些公司的安全投入不过几百万,有的只有几十万。
而从整个行业来看,据一家券商TMT研究部门的调研数据,目前,中国互联网公司的信息安全支出,在整体IT支出中的比例不到1%,欧美的比例是8%~10%。而国内,对安全性要求比较高的金融行业,其信息安全支出在整个IT支出中占到10%。相比之下,互联网行业的安全投入有些“捉襟见肘”。
(责任编辑:徐亦扬)