“暴力”求财 黑客专攻企业网站

    ■本报特约记者  陶海青

    虽然各大公司网站都装有防火墙、杀毒软件以及入侵预防系统，但黑客依然可以如入无人之地，任意篡改程序和窃取财产，如何保障网络安全在世界范围内都是难解之题。

    2月10日，美国中央情报局官方网站遭到黑客攻击，无法登录。同一天，美国亚拉巴马州国土安全部也承认，州政府的一个网站遭到攻击，信息丢失。

    此前，中国互联网发生了史上最大规模的用户信息泄露事件——2011年12月21日至26日，多家大型网站的客户信息数据库泄露，1亿多条用户账号及密码信息被曝光。而这只是冰山一角。2012年2月8日，瑞星公司发布《瑞星2011年度企业安全报告》称，2011年，有199665个企业网站曾被入侵（以页面计算）。其中，教育科研网站、网游相关网站和政府网站最容易被植入木马，分别占总体数量的31%、19%和15%。报告指出，几乎所有互联网公司都曾遭遇渗透测试、漏洞扫描、内网结构分析等安全事件，其中被黑客获取一定权限的公司，占总体的80%以上。

    “近年来，不少黑客把目标锁定在了拥有大量注册用户真实详细信息的社区及社交网站，这类网站被黑客攻击已经成为常态。这是因为网络虚拟世界与现实世界的界限正在越来越模糊，当虚拟空间能够体现越来越多的现实利益时，虚拟世界中的漏洞，就成为黑客攫取价值的源泉。”在清华大学中文系从事计算机应用教学多年的孙传耀教授对记者说。

    漏洞无处不在

    “此次泄密事件，将众多网站在安全方面的脆弱暴露无遗。”中国社会科学院研究员周汉华表示，大家几乎都束手无策，各方都不知道应该如何保护自己的权利，只能看着它发生后，无奈地等待下一次被攻击。

    据记者了解，天涯、人人网等社交平台的账号信息主要存储在后台数据库，通过前台页面交互和数据库接口进行数据访问。由于信息需要通过网络传输，才能到达操作系统中的数据库，因此在传输、调用和存储等环节都容易被黑客攻击。

    除网站的安全性差外，本次泄密事件中备受诟病的还有明文密码库。“对黑客而言，明文密码的盗取简直就是探囊取物。”深圳一家信息技术公司的网管陈宇在电话中向记者证实：中国早年建立的多数网站，都能通过服务器渗透获得后台数据库权限，并直接取得数据。

    在2010年9月，受黑客攻击的中国软件开发联盟改用了密文存储。但加密存储也并不是万无一失，MD5（即：MessageDigestAlgorithm5，消息摘要算法第五版）加密方法相对简单，黑客圈已经建立了MD5密码值“字典库”，通过“查字典”就能够迅速破解还原出加密密码。

    著名网络安全专家龚蔚公开表示，真正令人担心的是，黑客或许还掌控着更大规模的数据信息，只是没有公布而已，预计，有4亿至6亿的用户账号信息在黑客领域流传。

    据360网站安全检测平台统计，目前国内网站最常见的高危漏洞为跨站漏洞和SQL（注：SQL：全称为StructuredQueryLanguage，结构化查询语言，是一种数据库查询和程序设计语言。）注入漏洞；此外，已经被黑客入侵篡改的网站中，个人和企业网站数量最多，合计占83%。

    “在未来10年左右，网络战和网络恐怖主义可能成为更大的威胁。”美国哈佛大学教授约瑟夫·奈曾撰文公开表示。

    黑色产业链暴利

    大量泄密事件，使互联网中最为隐秘的黑色产业链再次成为人们关注的焦点。

    “黑色产业链已经制定了严格的代理制度：金牌总代、区域总代、一级总代、二级总代，制造木马，大木马里再装小木马，针对不同的游戏都能做。此外，从制造木马到买卖、销售、分销、洗库实施一条龙服务。”信息安全专业委员会发起者之一李麒说。

    业内一位安全人士证实，在巨大利益的驱使下，一些“电脑天才”在刷库之后，往往拿着数据库去“撞”有虚拟币系统的游戏网站，以及网上银行、支付宝和电子商务网站等。如果“撞”到了重合用户，就会将其账号内的虚拟资产、网银洗劫一空。

    与此同时，一些互联网企业也正在成为威胁网络安全的幕后黑手。瑞星发布的报告指出，以百合网遭攻击为例，百合网自称是其合作网站遭攻击，而非百合网自身。百合网称，竞争对手直接雇佣黑客对其发动DDOS攻击，导致遭攻击网站无法正常访问，造成的经济损失高达112万元。类似的企业间因为恶性竞争而相互攻击的案例在2011年大幅增加。

    最近几年，数据交易的黑色产业链正在逐步形成。在地下黑客圈内，一些大型网站的数据库被明码标价，一个数据库价值数百万元到上千万元不等。

    据国家计算机网络应急中心估算，目前“黑客产业”的年产值已超过2.38亿元，造成的损失高达76亿元。但网络安全人士估算，目前互联网的地下黑色产业链规模已经达到上千亿元。

    无疑，这条黑色产业链正在吞噬着互联网经济。对于应用层的攻击，传统网络安全机制的作用非常有限。

    安全难题待解

    黑客产业链渐成规模，网络运营监管责无旁贷。

    “中国互联网行业发展迅猛，但中国企业普遍缺乏安全意识。事实上，企业网络更容易成为黑客和蠕虫攻击的目标，黑客会在你毫不知情的情况下悄悄入侵，防不胜防。中国网络运营监管更是滞后，所以企业要慎用电子商务。”济南和正网络信息科技有限公司执行董事孙志峰对记者说。

    孙传耀认为，国内用户的安全意识有待提高。网站资料和个人信息紧密相连，在安全无保障的情况下，实行实名制相当危险。因此，中国企业应从最底层开始彻底重构网络安全，将安全落实到公司的流程制度以及基础技术架构里，形成完善的安全体系。同时，政府也必须高度重视，认清建立互联网行业安全规范机制是一个系统工程，仅仅提升技术防范是远远不够的，重构法律的“防火墙”也迫在眉睫。

    然而，令人担忧的是，中国企业对网站安全的支出甚少。一家券商的调研数据显示，中国互联网公司的网络安全支出在总体IT支出中的占比不到1%，而欧美互联网公司的网络安全支出占比普遍为8%至10%。

    更令人费解的是，世界对应该采取哪些措施保障网络安全一直众说纷纭，达不成共识。美国把网络安全提升至与经济和军事安全同等重要的位置，曾计划出台《网络反盗版法案》和《保护知识产权法案》，但遭到了以维基百科为首的全球7000多家网站的集体抗议，认为这两项法案可能侵害互联网自由，迫使国会将该法案搁置。

    中国的情况也不容乐观。早在2003年，周汉华就曾主持《个人信息保护法》的立法研究，但时至今日这部法律的立法工作仍未被启动。

    可见，“反黑”路漫漫，保障网络安全依然任重道远。