“我不認(rèn)為這是一個黑客行為”
——專訪中國紅客聯(lián)盟創(chuàng)始人林勇
【林勇(Lion)簡介:中國紅客聯(lián)盟創(chuàng)始人。2011年9月22日,被譽為“中國黑帽子大會”的COG2011信息安全論壇在上海召開,lion榮獲COG信息安全社會影響力獎。他重組了中國紅客聯(lián)盟,新網(wǎng)站于2011年11月1日開放。】
網(wǎng)絡(luò)導(dǎo)報記者(以下簡稱“記者”):根據(jù)你對這次上億用戶密碼泄露事件的判斷,你認(rèn)為它會是什么人或者組織所為?
林勇(以下簡稱“林”):不清楚。現(xiàn)在也不好亂猜測。
記者:按照《COG黑客自律公約》的界定,“社會普通公眾的隱私權(quán),尤其是兒童與未成年人應(yīng)當(dāng)?shù)玫奖Wo(hù)。以買賣社會普通公眾隱私信息為目的的活動不是黑客行為。”那么,這次泄露事件屬于黑客行為嗎?
林:這次密碼泄露,依據(jù)小道消息說是有人為了炫耀放出來的。黑客圈子內(nèi)部交換數(shù)據(jù)比較正常,但放出數(shù)據(jù)來估計是受到anonymous組織(一個組織松散的全球黑客組織)的影響。我本人認(rèn)為這些放數(shù)據(jù)出來的人沒有一些道德底線,做人做事還是要有原則的。我不認(rèn)為這是一個黑客行為。
記者:即便這些數(shù)據(jù)庫已經(jīng)被賣了多次,但公布出來,也會形成巨大的輿論沖擊。這里面是否會有一些其他的利益訴求?
林:不排除這些人在下一盤大棋。
記者:有的網(wǎng)站說這次被盜的數(shù)據(jù)為“2009年之前的備份數(shù)據(jù)”,是這樣嗎?
林:這次泄漏的數(shù)據(jù)應(yīng)該是09年到2011年積累的數(shù)據(jù)。攻擊所利用的漏洞我估計大多是java structs2和discuz x2的漏洞。可以說是目前浮出水面的最大的一次網(wǎng)絡(luò)安全事件,但實際上這只是冰山一角。
記者:龔蔚說明年可能會有更大的爆發(fā),涉及到數(shù)億移動互聯(lián)網(wǎng)用戶。這是不是就是你說的“冰山一角”?
林:暴露的只是冰山一角。也不多說了。
記者:在不知道黑客入侵手法的情況下,被泄密的網(wǎng)站要求用戶更改密碼以求安全,你認(rèn)為這樣做除了心理安慰之外,有實際效果嗎?
林:畢竟很多人是用通用密碼的,一個淪陷了所有賬戶都暴露了。網(wǎng)站遇到攻擊后,提醒用戶改密碼還是很有必要的。當(dāng)然,改密碼不只是被攻擊的這個網(wǎng)站的密碼要改,很多的賬戶密碼都要更改。建議不重要的賬戶可以用通用密碼,重要的email、淘寶之類的一定要設(shè)置單獨密碼。
記者:如果說這些黑客的目標(biāo)在于大型網(wǎng)站的數(shù)據(jù)庫,那么,對此事負(fù)責(zé)的顯然只是這些網(wǎng)站。網(wǎng)站致歉就足夠了嗎?
林:出了事的企業(yè)一定要開展全面排查,找出攻擊源頭,修補相關(guān)漏洞,并加強(qiáng)安全防范措施。同時,數(shù)據(jù)一定要采用強(qiáng)加密方式保存,這次很多明文密碼泄露,可以看出這些企業(yè)對用戶是很不負(fù)責(zé)任的。這不是一個道歉就能說得過去的。
記者:是的,道歉沒用。這件事情似乎強(qiáng)加給了黑客一些羞辱。那這個事件對黑客圈子來說,是否也會有一些影響?比如,找到那個公布信息的源頭?今后打擊這方面的行為?
林:對黑客圈子的影響絕對是有的。國家剛公布2012年要開展為期一年的打擊黑客專項行動,這下剛好撞槍口上了。我們也在猜測其背后的實際目的。我們希望國家能加大打擊力度,讓更多的人走上正途,凈化一下這個圈子。
記者:你對這件事是不是感到很憤怒?有人說泄露數(shù)據(jù)的這個人壞了行規(guī),黑客圈要清理門戶。
林:兩方面吧。一是感到震驚,買賣公眾數(shù)據(jù)確實是很不道德的。這東西我知道很早在流傳,但沒想到有人敢放出來,這損害的是公眾利益。第二,從積極方面講,我覺得這是對網(wǎng)絡(luò)安全行業(yè)的促進(jìn),經(jīng)過這次事件的洗禮,網(wǎng)絡(luò)安全在很多企業(yè)將占有一席之地。
記者:網(wǎng)絡(luò)安全已經(jīng)成為一個全球性話題。有人說,這次密碼泄露事件是針對實行網(wǎng)絡(luò)實名制的?
林:這次密碼泄露事件不排除是對實名制的挑戰(zhàn)。實施實名制應(yīng)該建立在安全保障的前提下。在網(wǎng)絡(luò)安全還沒得到充分重視,一些網(wǎng)站的保護(hù)措施還不夠的背景下,如果盲目實行實名制,還再讓“人”如入無人之境的話,到時候泄露的就不只是一堆密碼和郵箱了。
記者:老鷹也很擔(dān)心這一點?
林:網(wǎng)絡(luò)安全應(yīng)該是開展互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)保障。特別是以后進(jìn)入云的時代,所有數(shù)據(jù)都在網(wǎng)上的情況下,網(wǎng)絡(luò)安全會更加重要。而目前的情況是,網(wǎng)絡(luò)安全得不到企業(yè)的重視,網(wǎng)絡(luò)安全人才在企業(yè)也得不到重視。
企業(yè)不重視安全,對網(wǎng)絡(luò)安全投入不夠,造成網(wǎng)絡(luò)應(yīng)用漏洞很多,讓人有機(jī)可趁;網(wǎng)絡(luò)安全技術(shù)人員得不到重視,在企業(yè)的地位和收入不高。生活的壓力,讓很多人鋌而走險,投入了“黑產(chǎn)”的懷抱,結(jié)果造成網(wǎng)絡(luò)安全圈子的混亂局面。所以,要改變這種現(xiàn)狀需要多方努力。很希望看到國家加大這方面投入。
記者:數(shù)據(jù)的力量非常強(qiáng)大,也非常可怕!如果安全做好了,就可以馴服它,讓它發(fā)揮正面作用了。
林:這是對互聯(lián)網(wǎng)企業(yè)敲響的一次警鐘,也是網(wǎng)絡(luò)安全這個行業(yè)發(fā)展的一個契機(jī)。這個事件的根源在于,有些人盯上了這些企業(yè)的數(shù)據(jù)庫,因為它們能換到錢。有利益的驅(qū)使,就必然有人去冒險。現(xiàn)在暴露的只是賬戶密碼和郵箱,如果將來泄露的是姓名、性別、電話、家庭住址、身份證號、銀行賬號呢?
記者:銀行卡一般是六位數(shù)的密碼,那不是更容易破解嗎?或者說,銀行系統(tǒng)有更安全的保障措施?
林:那得看加密手段了。直接聯(lián)網(wǎng)猜,3次機(jī)會,6位數(shù)字的密碼還算安全。但如果讓黑客拿到數(shù)據(jù)庫就麻煩了,特別是網(wǎng)銀賬戶。
