网络安全进入“云威胁”时代

　　在这场中国互联网有史以来波及面最广、规模最大、危害最深的泄密事件中，最让人忧虑的并不是网民的隐私被暴晒，也不是黑客的猖狂，而是我们的网络安全正在面临新的威胁，这种威胁躲在“云”中，甚至身披安全警察的制服……

　　超过两亿条用户密码泄露

　　据一位黑客界人士透露，最早曝出“多家网站用户密码信息遭泄露”的是一家名为“乌云”的安全组织，时间在12月4日。随后的日子里，一些包含有密码信息的压缩包在黑客圈子地下流传——在黑客界，这种“交流”并不罕见。

　　灾难真正开始是在12月21日。这天上午，包含有600万个CSDN用户密码的压缩包被放至公开下载渠道。更恐怖的是，蜂拥而至的网友发现了一个更大的“宝藏”，在下载CSDN密码包的时候，从“相关下载”按图索骥可以下载到更多的密码包。于是这些压缩包像病毒一样被网友疯传。

　　据金山网络安全工程师对密码包的统计结果，成为众矢之的的CSDN泄露的600万密码只是沧海一粟，此次泄露事件累计泄露的用户密码总量多达2.3亿。尽管无法证实这其中有多少是重复注册的账号，但预计受影响的用户将在千万级别。

　　目前CSDN、天涯已对此公开承认事实并道歉，其他被涉及的网站一直未明确表态。近10家大型网站卷入

　　让我们梳理这次事件爆发的过程：黑客利用网络平台的安全漏洞入侵服务器，将包含网友用户名、密码的数据库下载到黑客自己的电脑(被称为“拖库”)，黑客圈子地下传播，公开渠道下载散播。

　　这显然与大家普遍认知的网络安全威胁有明显区别。一直以来，个人网络安全防范紧盯的是“端”(用户本地端)的问题，不管是传统的杀毒技术，还是近年来流行的“云安全”技术，其本质均是防止“端”被病毒、木马等入侵，从而确保用户安全。但此次事件中，威胁并不在“端”，而在“云”中，对于用户来说，以往的任何安全举措在面对这种“云威胁”时都成为浮云，只好“躺着也中枪”了。

　　值得提及的是，“云威胁”比传统威胁危害严重得多。据安全界人士介绍，多数用户为了便捷，在多个网站使用同样的邮箱、密码注册，这意味着“一道城门被攻破，全城失守”。如果网友用公司邮箱注册，则更可进一步暴露商业机密。而在支付、网银等平台的账号信息也可能被轻易攻破。

　　据一位业内人士根据目前流传的密码包统计，与CSDN一道被“爆库”的至少包括网易、人人、天涯、猫扑、多玩等9家大众网站，还包括至少16家大型商业银行、21家证劵机构，以及至少19家政府机构网站。

　　隐私泄露事件已发生多次

　　这一泄密事件或将给国内网络界带来强烈震荡，但多位业界人士对记者断言“这绝不会是最后一次”。下如此论断的依据还得在历史中寻找——在此之前，已有多次“云威胁”案例，但均未引起足够重视。

　　据记者了解，就在泄密事件发生前的不到一个星期，包括360手机助手、豌豆颊等在内的多个Android客户端曝出“公共WiFi泄密”问题。安装360手机助手的Android用户，在公共WiFi环境中将“门户大开”，任何处于同一WiFi网络的用户，均可随意访问其手机中的隐私文件，包括个人照片、文档甚至联系人、短信等。尽管目前360已通过升级版本解决此威胁，但如果不知情的用户并未升级，将一直处于“裸奔”状态。

　　网络安全界人士向记者表示，这一事件受影响的Android用户可能在千万级别，可能是中国移动互联网历史上最严重的隐私泄密案，但并未引起足够重视。

　　如果说这两次泄密事件都源于相关网络平台的技术漏洞，可以归为“安全事件”，那么道德和操守问题则会酝酿出更严重的“云威胁”。据受访的黑客界人士透露，一些小网站出售自己的注册用户信息的情况并不鲜见，不法者利用这些信息可以确保入侵成功率的大幅提升。

　　而在2010年12月底被曝光的“360窃取用户隐私”事件中，网民的账号密码、浏览记录，甚至企业的财务数据，均被360的“云”偷偷上传，更被谷歌的搜索蜘蛛抓取，完全暴露在公众面前。遗憾的是，这一事件依然未引起警戒。

　　安全威胁从PC移向云端

　　“云威胁”来袭，一个新的网络安全时代正在降临。一位业界人士告诉记者，“云威胁”事件的层出不穷可能让“黑客”的门槛进一步降低，这可能加剧网络安全态势的恶化。

　　在此次泄密事件中，任何一个稍微懂得电脑操作的网友均可下载到密码包，在5分钟内完成一次“黑客入侵”。而在“360窃取用户隐私”事件中，网友甚至不需要下载，直接从谷歌快照中即可获取他人用户名和密码信息。而在“公共WiFi泄密”事件中，这一特征同样表现得很明显。而推动人们做一回“黑客”的可能是好奇，也可能是贪婪，或者别有用心。

　　一位业界人士的点评一语中的，当网络安全与道德缺失、人性阴暗面裹挟时，才是真正难以防范的危机。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]