2011安全大記事

2011年，頻繁爆發的用戶信息泄露事件摧毀了許多人心中互聯網十分安全的錯覺，黑客攻擊的新時代已經來到。

最近一段時間國內大量網站用戶信息被盜取。從CSDN到天涯論壇，大大小小的網站都傳出了用戶信息被盜的消息，甚至支付寶、交通銀行等金融網站也出現了用戶賬戶泄露的傳聞，一時間國內互聯網用戶是人人自危。事實上，2011年全年幾乎每個星期都有著名的大型網站被攻擊和用戶數據泄露的事件發生，黑客攻擊導致用戶信用卡數據被盜已是司空見慣的事情。而頻繁發生的安全事故，與網站缺乏安全意識、草率處理用戶賬戶信息有著莫大的關系，可怕的是許多網站在面對這些丑聞時只知道找借口為自己開脫，一味推卸責任，這樣繼續下去，數據泄露的丑聞還會發生。

開發人員的知識貧乏

2011年7月，德國聯邦警察局成了黑客攻擊的對象，黑客組織NN-Crew盜取了聯邦警察局和海關服務器中的數據，并且將盜取的數據加密后存儲在互聯網上。他們威脅警方，如果該小組中任何一人被捕，將公布可以瀏覽這些加密數據的密碼。這實在是一件棘手的事情，德國在波恩新成立的國家網絡防御中心不得不夜以繼日地工作，不過，這次他們追蹤黑客并不是為了保護其他的國家機構或企業網絡，而是分析自己系統崩潰的原因。

究竟發生了什么？為何黑客組織NN-Crew能夠輕松地侵入聯邦警察局和海關的電腦？在一般人的觀念中，負責國家安全相關事項的紀律部隊，電腦系統的安全性應該是非常高的，絕不應該被黑客組織輕易攻擊，更何況是被反復地侵入、頻繁地得手，這實在是有點匪夷所思。

在這一事件上，網站開發人員的知識貧乏是導致聯邦警察局和海關網站異常脆弱的原因。聯邦警察局和海關的網站都使用服務器系統Apache的擴展版本XAMPP，這是一個將Apache服務器系統以及MySQL、PHP、Perl等服務器端軟件打包發行的版本，通常類似的版本是為初學者提供的，主要為了方便他們學習和測試服務器系統，安全性對于此類版本的服務器系統并不是最重要的。因而，通常XAMPP都被認為是不適合企業網站使用的版本，而現在它出現在政府機構的網站上。當然，通過一些適當的配置，XAMPP也可以擁有一定的安全性，但是德國聯邦警察顯然沒有完成這些工作，才導致入侵者可以頻繁地光顧，如入無人之境，成了互聯網世界的笑柄。

安全專家Mark Semmler認為，目前許多開發人員網絡安全方面的知識非常貧乏，由于缺乏適當的培訓，所以大部分程序員甚至對于SQL注入之類的攻擊手法都完全沒有概念。對于存儲敏感數據的服務器來說，毫無疑問安全是至關重要的，需要細致和結構化的開發工作，但是在Mark Semmler為各種大小公司進行安全分析的過程中發現，大概有98%的入侵案件都是因為被入侵網站在安全設計方面有非常嚴重的致命錯誤。

馬虎大意導致的嚴重錯誤

除了缺乏應有知識以外，工作馬虎也是導致黑客攻擊頻發的原因，2011年甚至連一般人心目中的安全保護神SSL證書認證機構都曝出多起數據泄露丑聞。3月24日，著名的SSL證書認證機構Comodo遭到入侵，攻擊者獲得了谷歌、雅虎和Skype等重要網站的SSL安全證書。6月17日，荷蘭公司的SSL證書認證機構DigiNotar的服務器受到攻擊，入侵者為自己頒發了多個偽造的SSL安全證書，并最終導致DigiNotar成為一個不再被信任的認證機構而宣布破產。

黑客獲得了認證機構頒發的正規網站SSL證書會出現什么情況？很簡單，所有依賴SSL證書保護的安全措施全部失效，用戶無法通過SSL證書確認訪問的網站到底是不是自己真正要訪問的網站，用戶與網站之間采用SSL證書加密傳輸的數據也不再安全。而更嚴重的是，在此情況下，黑客可以輕易地創建用戶無法分辨的釣魚網站，并依賴用戶一直以來對于SSL證書認證網站的信任感，輕易地實施詐騙。

根據安全公司的報告，被侵入的荷蘭SSL證書認證機構DigiNotar的網站服務器上連一個防病毒軟件都沒有，并且網站采用非常簡單的密碼保護措施，因而，入侵者可以輕易地侵入服務器，并將惡意軟件植入。很明顯，在DigiNotar被攻擊的這件事情上，服務器的管理工作不周密是最主要的原因。

安全專家Mark Semmler認為，工作馬虎是由于大多數程序員都有時間壓力，由于來自客戶的壓力非常大，因而負責服務器系統開發管理的公司大多必須快速地完成工作，并且預算非常有限，這導致開發商不得不壓縮開支，而安全這個看不到摸不著的東西自然被作為首先犧牲的對象。根據Mark Semmler的了解，許多優秀的程序員都會由于時間不足，而對于類似用戶密碼沒有加密存儲這樣的明顯漏洞視而不見。

很明顯，國內互聯網因“密碼門”導致泄露用戶信息的網站，草率處理用戶信息這一罪名是逃不掉的，使用明文存儲用戶密碼，這對于一個優秀的程序員來說是匪夷所思的。如果不是程序員有意為之，存在竊取用戶密碼的想法，那么或許正如Mark Semmler所說的“大多數程序員都有時間壓力”。

缺乏安全意識

除了草率，使用明文存儲用戶密碼同時也是一種明顯缺乏安全意識的做法。存在此問題的絕不僅僅是涉及“密碼門”的網站。今年以來，索尼公司網絡被黑客組織LulzSec多次攻擊，黑客盜取了超過一百萬包括用戶賬號、密碼的客戶資料，這些被盜取的客戶資料都沒有經過編碼而直接存儲在服務器上。為此，索尼公司付出了沉重的代價，被用戶索賠超過24億美元，而且，這還沒有算上PlayStation網絡被迫關閉長達一個多月所造成的損失。

為什么索尼公司的游戲網絡如此不堪一擊？一個主要的因素原因是這是一個創建于2006年的游戲網絡，安全專家Johann Peter Hartmann認為，大部分2006年和2007年開發的網站，安全性都是一塌糊涂。在PlayStation創建游戲網絡之初，用戶的信息未經編碼而直接存入數據庫。對于現在的Web服務站點來說，這樣做的風險無疑是非常高的。但是，當初網絡攻擊遠沒有現在這么普遍，即使有人攻擊網站，通常也只是玩笑性質的，最嚴重的莫過于刪除數據庫的信息，由于網站的數據必然有備份，所以并不會造成什么實質性的損害。因此，當初開發人員或許認為根本沒有必要加密用戶信息，甚至認為加密解密的操作影響服務器性能。現如今則不同，黑客組織已經不再是為了開玩笑而攻擊一個網站，侵入網站竊取數據并通過勒索等方式可以讓他們獲得豐厚的利潤，在金錢的驅使下，攻擊者為了侵入一個網站可以無所不用。

也許不少人認為真正有能力的黑客并不多，但是實際上現在一個門外漢也能夠攻擊并侵入一些互聯網站點。除了購買各種現成的黑客工具以外，還可以租用功能強大的僵尸網絡。許多黑客制作工具出售或者出租給其他人，而存在漏洞的舊系統是主要攻擊的對象。不過，值得安慰的是近幾年許多網站的開發人員安全意識已經有所提高，部分網站的用戶信息不僅加密，而且還分發到多個數據庫進行存儲，黑客即使侵入網站也只能夠獲得一部分數據，竊取用戶信息已經不再那么容易。

瘋狂的代價

2011年世界各地大范圍高頻率的黑客攻擊行為導致許多國家都在重新思考互聯網治理的問題，包括標榜自由民主的美國政府也在討論是否應該建立數字國家邊界，檢查和過濾所有進出的數據，不過這一方法工作量無疑過大，很難實施。因而，有人進一步地提出了另一種激進的做法，直接取消互聯網，建立國家范圍內的網絡。對于伊朗以及其他的一些伊斯蘭國家的政府來說，一直以來都希望成立他們自己的網絡，不過，類似的建議在許多國家都被反對派批評。除了限制了普通網絡用戶的自由以外，對于世界性的企業來說，這也是無法接受的。

“我們發現，

98%的個案都有非常嚴重的致命錯誤?！?/p>

Antago GmbH公司安全測試員

Mark Semmler

3月17日

RSA

安全公司RSA的系統被入侵并被竊取了用于SecurID認證產品的重要數據。SecurID是一種雙因素認證系統，用于為敏感數據和網絡提供保護，為此，該公司已經更換世界各地40萬正在使用的SecurID。

3月24日

Comodo

SSL證書認證機構Comodo遭到入侵，攻擊者獲得了谷歌、雅虎和Skype幾大重要網站的SSL安全證書，使用這些證書攻擊者可以輕易地創建用戶無法分辨的釣魚網站，依賴SSL證書認證的網站安全性蕩然無存。

4月16日

索尼PSN

由于服務器上的用戶信息沒有被編碼，所以索尼公司網絡被黑客組織LulzSec多次攻擊，盜取超過一百萬的客戶資料，這些資料包括用戶的賬號和密碼。襲擊事件發生后，索尼公司被迫關閉PlayStation網絡長達一個多月的時間。

4月17日

蘋果

iPhone用戶發現備份檔案中包含用戶的位置數據，外界普遍認為蘋果公司在收集和使用用戶的定位信息。隨后史蒂夫喬布斯承認相關的程序編程過于草率，但是數據并非蘋果公司有意收集也沒有被濫用，同時將修改軟件不再保存相關信息。

4月21日

亞馬遜EC2

亞馬遜在推廣其EC2（Elastic Compute Cloud，彈性云計算）服務時說：“云，你可以信賴”。然而，在一次升級的過程中網絡出現故障，網絡出現延遲和連接錯誤等問題，大量的網站無法正常使用，企業的數據無法處理。

5月21日

洛克希德馬丁公司

美國最大的國防企業洛克希德馬丁公司（Lockheed Martin Corp）系統受到攻擊，此次攻擊有哪些資料遭到竊取，尚不明確，但是該公司許多員工很長一段時間無法訪問系統，顯然入侵者通過攻擊RSA的系統獲得了其員工的SecureID。

6月17日

DigiNotar

荷蘭公司的SSL證書認證機構服務器受到攻擊，入侵者頒發了多個偽造的SSL安全證書。根據安全公司的報告，該網站服務器連一個防病毒軟件都沒有，并使用非常簡單的密碼保護，因而，入侵者可以輕易地將惡意軟件植入到服務器中。

6月19日

Dropbox

著名的數據存儲服務Dropbox出現認證系統的錯誤，由于編程上的粗心，使得服務器在更新程序后導致任何賬號不用密碼就可以直接訪問。

開發商在4個小時后發現該錯誤，并迅速做出了修正。

7月7日

德國聯邦警察

黑客組織NN-Crew侵入德國聯邦警察局和海關，在其電腦系統植入木馬之后竊取了大量信息，再將這些信息加密存儲在互聯網上，并威脅警方，如果該小組中任何一人被捕，將會公布可以瀏覽這些信息的密碼。

7月17日

REWE

REWE是銷售世界自然基金會和足球聯賽圖片的大型零售商。它的主要分銷商網站遭到黑客攻擊，入侵者盜取了客戶的姓名、電子郵件地址和賬戶密碼，但是該公司的公告說明，用戶的信用卡數據沒有被盜，并且該公司很快修復了漏洞。

8月2日

osCommerce

開源的網上商店系統osCommerce出現漏洞，攻擊者可以通過這些漏洞在使用該系統的網站上放置木馬程序，并感染瀏覽器存在漏洞的網上交易者。2010年11月起相關的漏洞被修復，但是有許多使用該系統的網上商店并沒有及時更新。

12月21日

密碼門

國內最大的程序員網站CSDN曾在2009年以前被黑客入侵，盜取的用戶賬號和密碼近期被曝泄露。25日下午，國內最大的網絡社區天涯社區也傳出4000萬用戶資料泄露的消息，此所謂國內互聯網的“密碼門”。