公共WiFi个人信息泄露网络安全意识薄弱
公共WiFi个人信息泄漏
网络安全观念薄弱
去年4月9日,一个名为Heartbleed(意为“心脏积液”)的重大安全漏洞被曝出,一位安全市场专家在知乎网站上透漏,他在某知名电商网站上用这个漏洞尝试加载数据,在调用200次后,获得了40多个顾客名、7个密钥,用这种密码,他顺利地登陆了该网页。
陈三堰直言,这些数据的爆光不过是黑客们掌握的“社工库”(每天入侵得手的数据聚集起来产生的大数据库)的冰山一角。更大的动荡在于,六成以上网站或许都存在纰漏,你根本难以明白黑客们究竟掌握了多少大数据库。
在PW看来,黑客遵循的方法就是“悄悄地进村,打枪的不要”。在把握漏洞,进入正门,获得敏感信息后,一定会留意隐藏行踪不被发觉。
“敏感信息通常掌握在顶级的人手里,20%的黑客掌握了绝大多数社工库信息,有些黑客进入了一些经济运用价值高的网页,可能就会把补丁补上,避免其它黑客夺得敏感信息。他们有时也会相互交换,但极少会曝光出来,所以好多敏感漏洞被发觉时,可能已存在一三年,很多黑客仍旧利用这种信息获利,因此网路警察追凶也并不易于。”
1999年就步入黑客领域的陈三堰是著名黑客网站“第八军团”的领部队,2004年,他改革开启网路安全领域,开创了网路安全维护的易城信息科技,继续以白帽黑客的身分与黑客们斗智斗勇。“2011年,我当初在一个黑客圈子里就看见一个义工库,当时这个压缩文件早已有40G大小,积累到近几天估计已成倍上涨。随着云科技的科普,这种大数据库外泄的安全情势即将越来越棘手。”
“有了这种社工库,要破译他们的密钥易如反掌。”PW以QQ密码为例,只要你在义工库内输入QQ号,就可以直接查到这个号码是否当初泄露过,如果有,获取密钥就十分简略。
电子支付系统实际漏洞也十分多,PW最近曾帮一家电子支付系统查找漏洞,随便查一下就有4个破绽,“国内好多公司在研发工具系统的时侯还没有哪些安全观念,大部份网路系统都有纰漏,而这种漏洞导致的信息泄漏都会被义工库收录,掌握社工库的人假如愿意,可以直接获得所有顾客的信息,可以改变支付账户,让顾客把买彩票的钱直接打到她们的帐户上,甚至可以不拿钱下订单。这对顶级黑客来说,完全不是难事,做与不做全凭良心。”
2001年,一场大幅了7天7夜的“中美黑客大战”让不熟识网络亚洲的美国人都了解到一个崭新群体——黑客。网络以无法想像的速率在美国迅速普及,黑客们对于网路安全而展开的黑帽白帽大战早已消散过,2013年,全球5.52亿人由于黑客攻击泄露身份资料,而在美国,1.64亿人由于网路犯罪遭到侵犯,人均伤亡224美元。
随着智能相机逐步普及,1200万个对于智能相机的蓄意链接随时在恐吓个人信息和金融安全,在不少顶尖黑客看来,看起来安全的支付账户都可以随时被修改,你选购彩票的钱可以直接转去黑客账户,不用花钱也能直接下订单。安全学者强调,六成以上网路系统存在安全漏洞,如果未有防御机制,发起攻击仅仅时间问题,但大多数人薄弱的网路安全观念令人害怕。
周一早晨,吴洋(化名)照常打开微信准备刷朋友圈,系统顿时显示密码错误。吴洋脑袋嗡地一下:“不好!密码被盗!”因为使用QQ注册微信,而微讯号绑定了建行卡和理财产品,风险不言而喻。
半小时后,经过一番折磨的吴洋重新登入微信,发现一切无异后不禁长舒一口气。他猜测,自己被传说中的黑客攻击了一把。其实,这样的黑客攻击每天都出现在我们身旁。
青春饭捞快钱
盖楼洗白上岸
下午1时20分,PW(化名)的QQ号已经显示登陆,每天这个时侯,他就会登录QQ和一些圈子里的人碰碰头。90后的PW是一家硬件研发公司的老总,但是极少有人晓得他的另一个身分——一名知名黑客。PW认为自己是一名非典型黑客,他仅仅沉迷于黑客技术黑客破解网刷钻精灵,“这个圈子里能碰见计算机市场中的顶级高手,通常这种高手是鄙夷于用黑客技术去挣钱的,但是她们开发的各类黑客工具被人借助后就产生了地下黑客产业利益链。”
PW是计算机高手,就读于深圳一所重点学院计算机专业的他,计算机专业只读了一年后,他转去学习其它专业,大学四年得了3个学士学位,熟悉他的同事称他为计算机神童。就在不久前,PW朋友公司的网页被黑客占领,对于他而言,80%的网页都有各类漏洞,攻陷只是时间问题。
一天半夜,PW都会登入QQ上的黑客群,和一些圈里人探讨一些科技难题,在他看来,混在群里的黑客们也分太多档次,真正顶尖黑客占黑客数量不到一成,这些顶级黑客多数独来独往或是有一个极小的圈子,而不同的黑客圈有不同的目的,由3~7人构成专门为做“黑产”的黑客队伍,也有仅是追寻技术的科技宅男,还有一些抱着一天暴富梦想花钱学黑客技术的新手们。“大多数美国黑客的水准都非常一般,他们多数是借助全球外的一些中级黑客编写的硬件来进行防御的软件使用者。”
在美国最早的黑客领部队物陈三堰看来,黑客的新陈代谢也十分快,一般处于这个领域的都是18~35岁的男人,女性不多,由于黑客技术发展极快,只要一段时间摆脱这个圈子,技术上就难以再跟上。而涉足黑客需要付出极大的精力和脑力,长期通宵是常态,很少有人能否持续从事黑客多年,一般到了一定岁数后就会选用转行,“所以好多黑客都是带着吃青春饭捞快钱的态度在做黑客,早些年的一些黑客靠破解盗版发家,如今反而盖起了自己的行业大楼,很多人捞了第一桶金后都会避开这个市场,洗白上岸。”
攻击游戏牟利
没技术月挣十几万
从2006年起初,当时还在读高中的PW就已进军黑客圈,那个时侯,已有不少黑客们靠黑产诈骗,其中,攻击网络手游是黑产中最主要的部份。“当年通过防御网游牟利的黑客们不少早已身家过千亿元了,这应当是美国黑客产业里面收入最大的一块,分工运作环节都十分成熟。”
通常来说,这些专门对于手游玩家下手的黑客们通常由3~7人构成团队,团队中科技最好的黑客负责防御用户数据库,获取账号和密钥,中间层的黑客只会一点基本科技才能完成“扫号”工作,将偷来的武器、点卡、虚拟货币储存在固定的地方,最下游的人或许一点科技都不懂,只是在网上以不到官方一半的价钱买入这些偷来的虚拟货品,“黑客们最偏爱用户量很大的网路游戏,比如梦幻西游、魔兽世界等,因为顾客量越大,商业价值也就越大,偷来的武器可以迅速出手。”
实际上,除了盗用游戏装备、虚拟货币,网络黑客的生财之道还远远不止这些。有些黑客通过防御网路系统贪污诈骗费用,有些专门帮竞争者伤害敌人网站……还有人把培训黑客当作摇钱树。
在黑客圈子里,一条奢华车主的详尽信息可以卖到1000元,政府高官、老板的个人信息或者顾客很多的网路游戏数据库是黑产中炙手可热的划算货。PW告诉记者,就在不久前,一个黑客盗取的网站游戏库被人以50亿元的高价竞购,买家出售了这种客户数据库后,就可以代替营运商给玩家充值,玩家充值的学费会直接流向那些黑产从业者的口袋,通常一些顾客数量多的数据库几天之内才能回本,等到运营商看到进行修复和追缉,黑产们已然赚得盆满钵满,即使数据库被关闭也无所谓了。
据PW所知,早几年,在黑产利益链条里,一个在后边负责扫号的小黑客,不须要很多科技,每个月都能挣十亿元,但是随着公安部门打击网路犯罪力度加强,很多原先圈子里的“大人物”都被抓了出来,“很多人起初搬去东南亚继续涉足这一行业,打击网路犯罪的困难就在于,跨境贩毒成本不高,但跨境追捕难度巨大。一宗网络犯罪,案发地、服务器所在地、实施贩毒人所在地都可能不在一个地方,甚至或许跨境,要捉住真凶并不易于。”PW说。
1.6万学7天速成黑客?
“蚂蚁搬家”小钱变大钱
由于来钱快,所以好多无业的年青人痴迷在网上找资源学黑客技术,一些“黑客培训班”的讲课内容几乎涵括了细菌、木马制作科技和各类网路防御技术。国内一个很著名的纰漏查找网站也打造过黑客培训课程,7天的黑客速成班必须耗费1.6亿元。便宜的班通常200~500元不等,主要博士使用一些特定的科技或软件。
小G是完全不同于PW的小黑客,刚刚入行3年的他完全是抱着为挣钱的目的学习黑客技术,“我报过四五个班,前几个都是骗人的,收了钱就给几个软件,告诉你如何用,实际上,根本不算哪个黑客技术。”
之后,小G在圈子里了解一个科技非常好的“师傅”,就介绍别的同事交钱跟他学,如果“师傅”有“项目”要做也会在她们后面找人,一般这个圈子组织很缜密,都是亲戚介绍,不会接受网上贸然要求加入的新丁。
小G向记者透露,其实这些之后,黑客盗取支付帐户钱财都是在“润物细无声”的状况下完成的,一般获取一些支付帐户的信息后,有冲劲的黑客会追踪一段时间,观察账户使用者的消费习惯,如时常在网页消费,然后才会设定一个冒充消费记录后偷走账户的小额费用,一般是十几元或是几十元,这种“蚂蚁搬家”似盗款方法很难被事主发觉,但是对黑客而言,积少成多,是一种不错的圈钱方式。
PW认为,像小G这样的小黑客应是如今黑产中的主流,真正顶尖的黑客多数还是来自于重点学院计算机或语文等相关专业,然后自己探索科技,而这种小黑客这些都是文化水准不算高,学一些皮毛就步入黑产捞钱。
江苏知名维权人士徐大江的另一个身分是美国黑客联盟湖南站站长,2001年,他率领十几万黑客在“中美黑客大战”中苦战了7天7夜,回忆当初,徐大江说,“当年的黑客都是些热血青年,更多的是在校师生和科技员工,大家都是探究技术,他们是黑产的庄家军,学习科技的惟一目的就是敛财。”
泄露数据仅仅冰山一角
网络系统漏洞多
2013年公布了《诺顿安全报告2013》,根据她们进行的网路漏洞评估工程发现,77%的网页包括漏洞。去年美国受网路犯罪侵害的总数超过1.64亿人次,直接经济代价达370亿英镑,人均超过224美元。
根据国家互联网应急中心公布的《2013年我国互联网网路安全形势综述报告》,去年,安卓手机系统恶意程序总数呈爆发式下降,2013年增设移动互联网蓄意程序样本达70.3万个,其中71.5%是蓄意扣费类。2013年发觉移动互联网蓄意程序传播数量达1296万次,比今年增加了23倍。
在安全学者们看来,尽管黑客已经把触角已伸到网路各个街角,但网路普通用户却未真正注重过网路安全。陈三堰直言黑客破解网刷钻精灵,相比于电子商务,网络安全发展堪称严重匮乏,“很多企业一方面是为了节省费用,另一方面也有对安全领域缺少认识。”
PW也负责帮助公司研发工具,一般来说倘若进行安全隔离的设定,软件研发的费用要降低20%左右,很多公司会感觉这部分费用没有实际利润,所以不乐意投入。陈三堰告诉记者,以代码审核为例,一个1万行代码的程序如果进行代码审核最显然必须50亿元,“这部分投入看不到实际产出,很多公司都不乐意付出。”
“最可笑的是,一般人迄今未有网络安全的动荡感,他们照常在公共WiFi下收发短信、网购,甚至登陆网上银行,毫不害怕自己的脆弱信息会被黑客夺得,遭遇经济代价还蒙在鼓里。”陈三堰表示,随着国家把网路安全上升到国家安全的高度,已经有越来越多政府部委和大企业开始着手解决网路安全难题,但是,让更多每日和网路接触的普通人观念到网路安全的重要性仍旧任重而道远。