密码攻防战的商业逻辑 谁偷了你的信息

　　密码攻防战的商业逻辑

　　谁偷了你的信息？

　　互联网和其他企业的不同之处在于，黑客可以随时发起攻击，它们没有一劳永逸的解决办法。

　　文/张坚

　　尽管“动摇了互联网基础”，但那些当事网站对这次密码泄露事件的反应仍然低于外界的预期，不管是CSDN还是天涯，都没有就用户资料数据库泄露发表更多的意见，只是草草道歉了事，而12月28日工信部发表的《关于近期部分互联网站信息泄露事件的通告》，看上去也更多是表达一种姿态——其中除了“对盗窃用户信息表示了‘强烈谴责’”外，外界并没有读到更多的相关信息。如何修补中国互联网的脆弱一面？现在没有人能给出答案，法律上的空白和互联网企业的意识缺位，让用户资料的安全问题完全被忽视了。

　　互联网企业的安全短板

　　如同多米诺骨牌，CSDN是第一个倒下的棋子，接着，天涯、世纪佳缘、猫扑等知名网站一个个倒下，到了最后，传闻居然还有银行牵扯其中。虽然“银行密码泄露”最终被证明是子虚乌有，但却已经造成最大的恐慌。其中最具讽刺意义的，毫无疑问是以程序员为核心用户的CSDN的数据库被泄露出来——人们发现CSDN早期的密码都是明文密码，拿到密码的人，可以直接登入网站。CSDN的创始人蒋涛后来解释说：“(CSDN)这样一个程序员讨论技术问题的网站，对黑客来说没有太多的商业利益可以挖掘，所以(我们)并没有高度重视网站的安全问题，直到此次用户资料被泄露。”

　　对于互联网企业在安全方面的淡漠，金山反病毒工程师李铁军已经见怪不怪，“很多互联网企业疏于管理，网站做完之后，就放在那里，只是维持产品的功能，而没有考虑安全的功能，最终导致的结果就是现在这样”。这背后，很大程度是因为成本的关系，“因为安全的投入还真是一个长期的投入，一般的互联网企业为了快速发展，在安全方面投入的力量也不太够”。

　　这些互联网企业在安全方面的短板，给黑客创造了机会——互联网企业和其他企业不同之处在于，黑客可以随时攻击，它们没有一劳永逸的解决办法。李铁军说：“安全维护的团队要不断跟进最前沿的安全防御的知识，这样，一出现攻击，他们才能做出反应。而且，互联网服务不可能中止，不能出现问题就把它关闭掉，必须保证用户24小时能够正常访问。他要解决产品中间的一个漏洞，这需要一个时间。这个时间差就是黑客的机会。”

　　其实，和几年前相比，黑客的攻击方式已经有了很大的变化。以前是用户端被攻击，黑客通过各种手段在用户的电脑上盗取账号和密码等，但最近数年，用户的安全意识已经让这种攻击越来越难。黑客转向攻击那些在安全上偷懒的网站——通过攻击服务器，拥有数百万用户资料的数据库就被一锅端了。一些后知后觉的网站，可能要直到资料泄露到网上，才明白自己出了问题。更加糟糕的是，一些网络管理人员知道网站的数据库泄露，却因顾及面子而保持沉默，到最后，完全由用户为网站的漏洞买单。

　　用户资料的价值

　　当互联网对人们的生活价值越来越大时，各类作为互联网通行证的账号和密码对黑客的吸引力也越来越大。在泄露事件之后，李铁军在自己的博客上放出了一张“密码泄露的次生灾害与网民对策”图，这张图里所展现出来的“灾害”场景，足以让人心惊胆战——最简单的是，相关登录数据被盗用，黑客根据你的信息盗取游戏账号和装备；如果这个账号和你的各类社交服务相关，那么你的隐私可能会完全暴露；如果这个账号就是你的支付宝账号，那么你可能需要担心你的财务问题。

　　相应，对于黑客而言，以何种方式卖出用户信息也有学问。把数据库卖给发送垃圾信息的人，只是最简单的手法。精明的黑客会详细分析数据库，把各类用户的信息分门别类，以更为精准的方式卖给需要者，这样的数据，价钱相对而言更贵。至于怎么使用数据，则完全依赖人们的想象力。

　　不同类型网站的数据库价格也完全不同。李铁军分析，网络游戏和电子商务类网站的用户资料的价值相对更高，因为前者的资料可以直接变现，而电子商务类网站的用户资料则蕴含潜在的消费价值。此外，数据库的价格涉及到数据库的容量，以及与数据库相关联的应用价值的多少。当然，这些数据的价值也跟时间相关——新鲜出炉的数据库总是比那些老的数据库更贵。

　　和很多人的想法一致，李铁军认为这次密码泄露事件纯粹就是一个意外——如果不是迅雷的数据挖掘，这些私下交易已久的数据库不会这么明目张胆地出现在用户面前，并引发如此大的反响。这件事情的另一个结果是，人们把其与目前正热烈讨论的实名制联系在一起，李铁军认为这高估了黑客的能量，不过他也承认，大家都会因为此次密码泄露事件而思考，“实名制之后是不是更加不安全？大家都有这种担心在里面”。

　　怎么做更安全？

　　从目前来看，互联网企业是否重视安全，和其业务本身有直接的关系。当腾讯期待QQ号成为其进入互联网的重要通道时，自然而然会重视用户的资料安全。当支付宝期待其用户把其当作互联网上的通用支付工具时，也不得不把安全摆在第一位。一个很清晰的局面是，腾讯、支付宝以及网易等企业格外重视安全——因为它们的整个业务与用户资料安全有核心联系。

　　一位知情人士对《新周刊》表示，腾讯内部现在有数千人从事安全方面的业务，“腾讯的投入比其他企业庞大，经验也相当丰富，他们内部的观点是，将来某一天唯一能让企业倒闭的，只有黑客攻击这一点。他们的企业理念就是这样”。事实上，腾讯的产品也并非一开始就如此安全，几年前的各类盗号新闻曾经让腾讯不胜其扰，在逐步改进了安全对策之后，腾讯才摆脱了不安全的名声，“产品在成长过程中，安全威胁是随着攻击的变化而变化的，互联网企业刚开始起步的时候，未必对安全的规划做得很好，他们也是在管理的过程中发现各种各样的问题，加以解决，然后才积累经验的”。

　　李铁军认为，网站被攻击一定会发生，只是程度不同而已，“安全是一个动态维护的过程，企业如果由一支专业的团队来做维护，那么用户端的损失会最小，因为系统本身会侦测到攻击，然后做出反应，不会使其扩大化”。

　　密码泄露事件之后，一家名为“乌云”的网站浮出水面。这个在厂商和安全研究者之间的安全问题反馈平台，拥有一大批安全技术人员，并经常提交漏洞和风险报告给互联网公司。针对中国互联网公司在安全方面的短板，他们给出的建议是“将安全落实到公司的流程制度规范以及基础技术架构里去，形成完善的安全体系，并且持续更新换代。如果以前没有这方面制度，就从现在开始建设；如果没有团队，就可以先找一些公司或者外部顾问。但是记住，不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链”。