膠體磨密碼是這樣失控的

　　楊陽(yáng)

　　當(dāng)誰都能下載到幾個(gè)最受歡迎網(wǎng)站的用戶密碼庫(kù)時(shí)，中國(guó)互聯(lián)網(wǎng)——這個(gè)看起來人們?cè)��?jīng)可以說悄悄話、購(gòu)物、存儲(chǔ)照片、私人信件的虛擬世界正在揭開最后一層危險(xiǎn)的面紗。

　　近半個(gè)月以來，CSDN、天涯等網(wǎng)站的用戶密碼庫(kù)陸續(xù)被爆出被破解并在網(wǎng)上流傳。一場(chǎng)公民個(gè)人信息的安全危機(jī)爆發(fā)。

　　這看上去只是一個(gè)偶然事件，但安全圈內(nèi)人士判斷，CSDN網(wǎng)站幾年前就已被攻破，只是這種在“地下”流通的東西，現(xiàn)在普通的人就能夠拿到而已。這可能拉出來一個(gè)更加復(fù)雜的鏈條。本報(bào)接觸的國(guó)內(nèi)安全圈的人士稱，這兩年許多人私下都在交換、共享包括買賣各種地下的網(wǎng)站數(shù)據(jù)庫(kù)。不過那時(shí)只是傳言，不確定。

　　安全廠商奇虎360的一位程序員稱，此次事件已經(jīng)突破了以往黑客界的底線——只炫耀比技術(shù)或者掙點(diǎn)小錢，不流傳不散播。

　　黑色圣誕

　　2011年的12月25日注定是一個(gè)不安的圣誕節(jié)。

　　中國(guó)開發(fā)者技術(shù)在線社區(qū)CS-DN數(shù)據(jù)庫(kù)被泄露的消息爆出，用戶的明文郵箱和密碼被不加密地掛在網(wǎng)上，網(wǎng)民可以下載。

　　真正的爆發(fā)，是在圣誕節(jié)之前四天的12月21日上午10點(diǎn)左右，一個(gè)QQ用戶在一個(gè)安全領(lǐng)域的相關(guān)QQ群稱，自己掌握了CSDN的數(shù)據(jù)庫(kù)，隨后又發(fā)了一條鏈接——迅雷(微博)的共享鏈接。迅雷的這個(gè)鏈接是只有安裝了迅雷軟件的用戶才能去下載。CSDN的數(shù)據(jù)庫(kù)在迅雷里第一次傳播。

　　奇虎360的一位程序員對(duì)本報(bào)稱，起初他并沒有太在意，以為是個(gè)玩笑，中午去吃飯之前試了一下，結(jié)果真的下載成功。他用程序統(tǒng)計(jì)了一下，共有600多萬行，全部都是明文的郵箱和密碼，是“泛ID”，即也可以用來登錄京東、凡客或者任何什么用該郵箱做用戶名的網(wǎng)站。

　　在檢驗(yàn)這個(gè)庫(kù)的真實(shí)性之后，該安全廠商程序員刪除了密碼庫(kù)。

　　但令他震驚的是，金山公司的一位員工韓某，網(wǎng)名為“hzqedison”的卻選擇了另一種做法，在迅雷快盤上分享了完整數(shù)據(jù)包，該數(shù)據(jù)下載鏈接隨即在各大黑客論壇和QQ群中迅速傳開。

　　事態(tài)就此升級(jí)。“泄密門”當(dāng)事者“hzqedison”于22日晚發(fā)表微博承認(rèn)傳播一事，并向廣大網(wǎng)民致歉。

　　金山公司對(duì)此事的解釋是，其間hzqedison將部分網(wǎng)上流傳密碼庫(kù)分發(fā)給同事自查不慎被外人所獲知，已迅速刪除，僅被個(gè)別同事下載。

　　金山毒霸的一位反病毒工程師李鐵軍對(duì)本報(bào)稱，其間韓某將部分網(wǎng)上流傳密碼庫(kù)分發(fā)給同事自查不慎被外人所獲知，且hzqedison在獲知該鏈接已被外人獲知后，迅速刪除了該鏈接，據(jù)刪除前統(tǒng)計(jì)，該鏈接僅被不超過5個(gè)同事下載，并未造成擴(kuò)散——韓某并非傳言中所謂黑客，不是元兇。

　　但在迅雷上，鏈接瘋狂地被下載和傳播。迅雷公司事后才開始全面清理泄密鏈接。

　　當(dāng)然，中招的不只是CSDN，網(wǎng)上還爆出了天涯、世紀(jì)佳緣(微博)、珍愛網(wǎng)等知名網(wǎng)站也采用明文密碼，用戶數(shù)據(jù)資料被放到網(wǎng)上公開下載。

　　1月4日，《京華時(shí)報(bào)》第九版刊載了這樣一條消息：從未參加網(wǎng)購(gòu)的王先生同時(shí)接到了幾大電子商務(wù)網(wǎng)站的貨到付款快遞，他沒有下過訂單，但他的名字、聯(lián)系方式都是對(duì)的。問遍了周圍的人，王先生也沒有找到下單的人。

　　“臭小子”的帖子

　　在此次泄密事件中，CSDN、天涯以及很多小網(wǎng)站的明文密碼庫(kù)的總數(shù)已達(dá)七八千萬。除此之外，還有很大一部分是密文數(shù)據(jù)庫(kù)，比明文密碼庫(kù)要多很多。

　　此后，CSDN對(duì)此事的解釋是，網(wǎng)站早期使用過明文密碼(就是保存密碼或網(wǎng)絡(luò)傳送密碼的時(shí)候，用的是可以看到的明文字符，而不是經(jīng)過加密后的密文)，使用明文是因?yàn)楹鸵粋�(gè)第三方chat程序整合驗(yàn)證帶來的，后來的程序員始終未對(duì)此進(jìn)行處理。

　　事實(shí)上，一直到2009年4月，CS-DN的程序員才修改了密碼保存方式，改成加密密碼。但部分老的明文密碼未被清理，2010年8月底，CS-DN對(duì)賬號(hào)數(shù)據(jù)庫(kù)全部明文密碼進(jìn)行了清理。2011年元旦，CSDN升級(jí)改造了CSDN賬號(hào)管理功能，使用了強(qiáng)加密算法，賬號(hào)數(shù)據(jù)庫(kù)從 Win-dowsServer上的SQL　Server遷移到了Linux平臺(tái)的MySQL數(shù)據(jù)庫(kù)，才算初步解決了CSDN賬號(hào)的各種安全性問題。

　　也就是說，2009年4月之前CS-DN上用戶的信息都是明文密碼庫(kù)，2009年4月之后是加密的，但部分明文密碼未清理。2010年8月底清理掉了所有明文密碼——CSDN稱，從2010年9月開始全部都是安全的，9月之前的有可能不安全。

　　本報(bào)接觸的國(guó)內(nèi)安全圈里很多人都稱，這兩年許多人私下都在交換、共享包括買賣各種地下的網(wǎng)站數(shù)據(jù)庫(kù)。不過那時(shí)只是傳言，不確定。這次，用戶的密碼庫(kù)被下載后被證明大約有20%是真實(shí)的，其余則是很久以前的，很多賬號(hào)和密碼已經(jīng)不再使用。

　　此后陸續(xù)被爆出的天涯、7k7k等眾多公司的庫(kù)也并非最新信息，早在12月4日時(shí)，這些就在“烏云網(wǎng)”上公布過。烏云網(wǎng)是為黑客向企業(yè)提交漏洞搭建的平臺(tái)，很多黑客會(huì)在烏云網(wǎng)上提交漏洞。

　　一個(gè)自稱“臭小子”的注冊(cè)用戶發(fā)布了一個(gè)漏洞標(biāo)題為《中國(guó)各大站點(diǎn)數(shù)據(jù)庫(kù)曝光(騰訊的也有)》的漏洞報(bào)告，描述為“用戶資料大量泄露”，危害等級(jí)“高”。

　　“臭小子”的帖子一發(fā)出來沒多久立刻就讓烏云網(wǎng)的安全愛好者們炸了鍋——10點(diǎn)半，網(wǎng)名為“zerack-er”的安全愛好者第一個(gè)對(duì)“臭小子”的行為進(jìn)行了評(píng)論，并且貼出了《中華人民共和國(guó)刑法》和《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》的相關(guān)規(guī)定。

　　安全愛好者“xsser”則認(rèn)為“臭小子”的做法很必要——不放出來網(wǎng)絡(luò)公司們就意識(shí)不到安全的重要性，企業(yè)會(huì)以為設(shè)置個(gè)強(qiáng)密碼就安全了。“xsser”稱企業(yè)的這種做法為“把腦袋放沙子里”的鴕鳥行為。

　　是的，安全愛好者們有的贊成“臭小子”，有的則認(rèn)為沒有必要貼出來，這樣做是給自己找麻煩，也是太愛炫了。

　　不過，所有做安全的程序員都知道，網(wǎng)絡(luò)世界沒有絕對(duì)的安全!因?yàn)?ldquo;道高一尺，魔高一丈”!

　　被拋棄的底線

　　CSDN的用戶信息庫(kù)被爆出泄露讓烏云網(wǎng)負(fù)責(zé)人感覺這次實(shí)在“有點(diǎn)快”——按照他的經(jīng)驗(yàn)，盡管CSDN網(wǎng)站幾年前就已被攻破，但這種在“地下”流通的東西現(xiàn)在居然普通人就能拿到，也足以令他感到震驚——用戶的密碼庫(kù)被泄露和擴(kuò)散得這么快。

　　在他看來，在網(wǎng)絡(luò)這個(gè)虛擬世界里，掌握了這些密碼的人事實(shí)上擁有了至高無上的權(quán)力——在黑客面前，其實(shí)你早就是裸體的。“庫(kù)這個(gè)東西就像內(nèi)褲，你可以有，但不必在大庭廣眾之下證明你有”……而當(dāng)內(nèi)褲被公之于眾時(shí)，互聯(lián)網(wǎng)上最丑惡的一面也展露在公眾面前。

　　被泄露密碼庫(kù)的網(wǎng)站名單中幾乎沒有出現(xiàn)大網(wǎng)站，但由于很多用戶在各個(gè)網(wǎng)站注冊(cè)時(shí)使用的都是同一個(gè)郵箱和密碼，因此泄密事件讓整個(gè)業(yè)界風(fēng)聲鶴唳——美團(tuán)網(wǎng)在發(fā)現(xiàn)網(wǎng)絡(luò)上有泄密的事件之后也給相關(guān)很多用戶發(fā)去了提醒短信，告訴那些現(xiàn)在被泄露用戶盡快修改美團(tuán)的密碼。

　　一位曾經(jīng)做過黑客的資深人士透露，2005年，要攻破一個(gè)網(wǎng)站其實(shí)只需要10分鐘。而今天，即便是采用一種號(hào)稱無法被破解的加密方法——MD5方式，黑客們只要有時(shí)間和精力，兩三個(gè)人花上兩個(gè)星期也能破解。

　　一切看起來失控了。

　　這些被泄露出來的用戶資料盡管大部分被證明已經(jīng)不再使用——僅有20%有效，但如此大規(guī)模的泄露在中國(guó)互聯(lián)網(wǎng)歷史上還是首次。

　　烏云網(wǎng)負(fù)責(zé)人告訴本報(bào)，這次的密碼事件傳播得如此之快出乎他的意料。不過，在他看來，此次的泄露是“偶然中的必然”。

　　是的，眾多網(wǎng)站的用戶資料庫(kù)被“拖”(拖走，黑客行話，即被拷貝)是早就發(fā)生的事情。這些被拖走的“庫(kù)”有兩種命運(yùn)，一種是黑客只是為了炫耀技術(shù)而攻擊，也不為了賺錢，只是自己做截圖后與其他黑客比技術(shù)時(shí)用作證明。另一種則是被一些黑客用來“掙點(diǎn)小錢”——賣給需要這些用戶聯(lián)系方式的公司，或者自己竊取用戶賬戶里的資產(chǎn)。

　　以前黑客界也有著一些最基本的游戲規(guī)則，他們中的一些人遵循“盜亦有道”的原則，包括不在公眾場(chǎng)合描述網(wǎng)絡(luò)攻擊的細(xì)節(jié)，不向未成年人傳授或培訓(xùn)黑客技術(shù)，妥善保存可能帶來社會(huì)風(fēng)險(xiǎn)的用戶資料等等。

　　但是現(xiàn)在，已經(jīng)無法確定究竟前一種黑客人多，還是后一種黑客是主流。前者被稱為“白帽子”——安全工程師、安全研究員和安全技術(shù)愛好者，這些“白帽子”大多有自己的工作，他們找到別的網(wǎng)站的漏洞，就提交到烏云網(wǎng)上去。

　　黑客和白帽子

　　一個(gè)簡(jiǎn)單的邏輯是，一份隱私庫(kù)在最初被“拖”走的時(shí)候，黑客花的時(shí)間和精力最大，庫(kù)的價(jià)值也越高越寶貴——除非他用這個(gè)東西獲取到足夠的資源和利益，否則他不會(huì)公開或泄露。慢慢地這個(gè)東西越來越多的人有了，人越多在小圈子里流動(dòng)的就越多，也越不可控——當(dāng)這個(gè)庫(kù)最后被公布出來時(shí)，就意味著已經(jīng)被賣得太廣了。

　　此前，“白帽子”們提交的漏洞大多得不到網(wǎng)站管理員的重視，烏云網(wǎng)的創(chuàng)立初衷之一就有讓他們與網(wǎng)站間建立一個(gè)溝通平臺(tái)的意思。

　　現(xiàn)在，這些提交漏洞的白帽子已經(jīng)漸漸開始得到網(wǎng)站的重視和尊重——他們甚至可以通過提交漏洞得到一些公司贈(zèng)送的小禮物，大多是T恤衫、筆、水杯等等紀(jì)念品，是一種象征性的獎(jiǎng)勵(lì)。在烏云網(wǎng)站上，你可以看到的是，連騰訊都向白帽子贈(zèng)送過“禮物”。

　　不過，烏云平臺(tái)已經(jīng)在2011年12月29日因“系統(tǒng)升級(jí)”而無法訪問。

　　烏云網(wǎng)負(fù)責(zé)人稱，最近頻繁披露的安全事件及帶來的影響表明，一方面企業(yè)的整體安全建設(shè)還不夠完善，同時(shí)也反饋出烏云平臺(tái)和社區(qū)無論是溝通渠道還是反饋及響應(yīng)機(jī)制都存在一些嚴(yán)重的問題。

　　而在深究此次密碼泄露問題上，互聯(lián)網(wǎng)資深分析師洪波稱，不能排除是有個(gè)別黑客在針對(duì)實(shí)名制采取的一種方式。

　　不愿意透露姓名的中國(guó)最早期的黑客之一宋某估計(jì)，此次事件應(yīng)該最少有三個(gè)人參與，其中至少有一個(gè)人是想試圖提醒網(wǎng)民，如果真實(shí)的信息被泄露，將是多么可怕的一件事。

　　在烏云網(wǎng)負(fù)責(zé)人看來，此次泄密事件正在給人們一個(gè)教訓(xùn)：互聯(lián)網(wǎng)不安全。

　　是的，只有做安全的人才知道網(wǎng)絡(luò)世界多么的不安全。

　　泄密事件發(fā)生后，奇虎360公司對(duì)本報(bào)稱，網(wǎng)站數(shù)據(jù)庫(kù)泄露的主要原因在于網(wǎng)站漏洞被黑客利用，用戶電腦再安全也無濟(jì)于事。奇虎360通過該公司安全檢測(cè)平臺(tái)發(fā)現(xiàn)，國(guó)內(nèi)仍有83%的網(wǎng)站存在漏洞，34%為高危漏洞。