互联网密码失控面纱：被黑客抛弃的底线(2)

发布时间:2012-01-10 16:13 作者:中国信息安全博士网来源:IT168 点击:加载中...次

安全爱好者“xsser”则认为“臭小子”的做法很必要——不放出来网络公司们就意识不到安全的重要性，企业会以为设置个强密码就安全了。“xsser”称企业的这种做法为“把脑袋放沙子里”的鸵鸟行为。

是的，安全爱好者们有的赞成“臭小子”，有的则认为没有必要贴出来，这样做是给自己找麻烦，也是太爱炫了。

不过，所有做安全的程序员都知道，网络世界没有绝对的安全！因为“道高一尺，魔高一丈”！

被抛弃的底线

CSDN的用户信息库被爆出泄露让乌云网负责人感觉这次实在“有点快”——按照他的经验，尽管CSDN网站几年前就已被攻破，但这种在“地下”流通的东西现在居然普通人就能拿到，也足以令他感到震惊——用户的密码库被泄露和扩散得这么快。

在他看来，在网络这个虚拟世界里，掌握了这些密码的人事实上拥有了至高无上的权力——在黑客面前，其实你早就是裸体的。“库这个东西就像内裤，你可以有，但不必在大庭广众之下证明你有”……而当内裤被公之于众时，互联网上最丑恶的一面也展露在公众面前。

被泄露密码库的网站名单中几乎没有出现大网站，但由于很多用户在各个网站注册时使用的都是同一个邮箱和密码，因此泄密事件让整个业界风声鹤唳——美团网（微博）在发现网络上有泄密的事件之后也给相关很多用户发去了提醒短信，告诉那些现在被泄露用户尽快修改美团的密码。

一位曾经做过黑客的资深人士透露，2005年，要攻破一个网站其实只需要10分钟。而今天，即便是采用一种号称无法被破解的加密方法——MD5方式，黑客们只要有时间和精力，两三个人花上两个星期也能破解。

一切看起来失控了。

这些被泄露出来的用户资料尽管大部分被证明已经不再使用——仅有20%有效，但如此大规模的泄露在中国互联网历史上还是首次。

乌云网负责人告诉本报，这次的密码事件传播得如此之快出乎他的意料。不过，在他看来，此次的泄露是“偶然中的必然”。

是的，众多网站的用户资料库被“拖”（拖走，黑客行话，即被拷贝）是早就发生的事情。这些被拖走的“库”有两种命运，一种是黑客只是为了炫耀技术而攻击，也不为了赚钱，只是自己做截图后与其他黑客比技术时用作证明。另一种则是被一些黑客用来“挣点小钱”——卖给需要这些用户联系方式的公司，或者自己窃取用户账户里的资产。

以前黑客界也有着一些最基本的游戏规则，他们中的一些人遵循“盗亦有道”的原则，包括不在公众场合描述网络攻击的细节，不向未成年人传授或培训黑客技术，妥善保存可能带来社会风险的用户资料等等。

但是现在，已经无法确定究竟前一种黑客人多，还是后一种黑客是主流。前者被称为“白帽子”——安全工程师、安全研究员和安全技术爱好者，这些“白帽子”大多有自己的工作，他们找到别的网站的漏洞，就提交到乌云网上去。

黑客和白帽子

一个简单的逻辑是，一份隐私库在最初被“拖”走的时候，黑客花的时间和精力最大，库的价值也越高越宝贵——除非他用这个东西获取到足够的资源和利益，否则他不会公开或泄露。慢慢地这个东西越来越多的人有了，人越多在小圈子里流动的就越多，也越不可控——当这个库最后被公布出来时，就意味着已经被卖得太广了。

此前，“白帽子”们提交的漏洞大多得不到网站管理员的重视，乌云网的创立初衷之一就有让他们与网站间建立一个沟通平台的意思。

现在，这些提交漏洞的白帽子已经渐渐开始得到网站的重视和尊重——他们甚至可以通过提交漏洞得到一些公司赠送的小礼物，大多是T恤衫、笔、水杯等等纪念品，是一种象征性的奖励。在乌云网站上，你可以看到的是，连腾讯都向白帽子赠送过“礼物”。

不过，乌云平台已经在2011年12月29日因“系统升级”而无法访问。

乌云网负责人称，最近频繁披露的安全事件及带来的影响表明，一方面企业的整体安全建设还不够完善，同时也反馈出乌云平台和社区无论是沟通渠道还是反馈及响应机制都存在一些严重的问题。

而在深究此次密码泄露问题上，互联网资深分析师洪波称，不能排除是有个别黑客在针对实名制采取的一种方式。

不愿意透露姓名的中国最早期的黑客之一宋某估计，此次事件应该最少有三个人参与，其中至少有一个人是想试图提醒网民，如果真实的信息被泄露，将是多么可怕的一件事。

在乌云网负责人看来，此次泄密事件正在给人们一个教训：互联网不安全。

是的，只有做安全的人才知道网络世界多么的不安全。