偶然中的必然：互联网是否还有安全可言？

“这些数据库在黑客圈几年前就有了，这一次只不过是个比较集中的爆发”

　　是谁，在什么时候，拿走了这些涉及用户隐私的数据？原本隐秘在黑客圈的数据库缘何会曝光在公众面前？互联网是否还有安全可言？此轮网络大泄密，让这些问题成了普通互联网用户最自然的追问。

　　“这些数据库在黑客圈几年前就有了，这一次只不过是个比较集中的爆发。”安全宝CEO马杰对财新《新世纪》记者称，CSDN数据库的曝光看似偶然，实则必然。“冰冻三尺非一日之寒，互联网行业安全问题的累积已经太多了，迟早会爆发。”马杰在安全行业超过十年，曾任瑞星研发总经理，负责个人和企业的安全产品。

　　这也是网络安全行业人员近乎一致的观点。天融信公司高级安全顾问吕延辉向财新《新世纪》记者证实，最早在2008年时，就曾听说有一些网站的数据库在黑客圈流传。

　　本次密码信息最先被公布的CSDN社区，后来曾组织安全专家进行讨论，得知公司的数据库事实上早就在黑客的手上了。“并不是说这一刻先攻破了CSDN，放出数据库，然后下一刻攻破了天涯再放出数据库。而是这些数据他们手上一直都有，只不过抛出来的时间不一样。”蒋涛说。

　　天融信成都分公司技术负责人邹晓波称，早期的很多网站，都可以通过服务器渗透，取得后台数据库的权限，直接取得数据。“黑客圈内人都知道谁被盗了，他们不一定公布，但是会炫耀，在小范围内流传，大部分没有去获利。”

　　CSDN社区数据库的曝光，曾经被指向一名ID为Hzqedison的金山公司员工，他分享数据库下载地址的截图最早在网上流传。12月22日，CSDN数据库外泄一事被广泛关注的时候，Hzqedison在新浪微博表示道歉。随后，金山公司也发表声明，金山员工并非网络上传言的黑客，并非最早对外发布密码库的第一人。

　　Hzqedison解释了事情的经过：“12月21日，我在一个聊天群里看到CSDN数据库的迅雷下载地址，就离线下载了该文件来检查自己账号是否被泄露。为了让同事们也检查，才做了分享贴到同事群里。5分钟后，该地址截图被发到了乌云漏洞报告平台上，得知后我立即删除了迅雷分享地址。因为删除很及时，该地址只有几名同事下载过，而且从未将数据库文件外泄。”

　　李铁军告诉财新《新世纪》记者，据他了解，当时该金山员工上传CSDN数据库时，是“秒传”的，说明这个数据库文件在迅雷下载服务器中早已存在。

　　“是谁最早上传了这些数据库，现在已经很难确定。”李铁军说，除了CSDN的数据库，还有其他网站的数据库一起在网上流传。因为CSDN的影响力比较大，所以就传开了。

　　事实上，CSDN数据库曝光之前已有征兆。李铁军告诉财新《新世纪》记者，他在12月14日前后，即泄密事件发生的前一周，就已经注意到有很多网友在新浪微博上反映账号被盗，“这是黑客在用数据库去试探新浪的数据库，有些就撞到了”。

　　马杰分析，这次曝光的网站数据库应该是最近几年间连续不断被刷库的。“安全圈也知道，这几年地下黑客圈在刷库，也知道一些数据库在黑客圈流传。”

　　所谓刷库，是指黑客入侵网站服务器之后窃取用户数据库的行为，互联网业内也称其为“拖库”，取其谐音，也形象称之为“脱裤”（参见辅文“致命的漏洞”）。

　　看上去，金山员工“偶然”的发现和分享，加上地下黑客累积经年的刷库行为，以及数据库在圈子中的一轮轮扩散，最终促成了这次网站数据库大规模的曝光。

　　但是，这里面依然隐藏着两个问题。第一，金山员工如何能“偶然”发现原本在地下黑客圈流传的数据库？第二，仅是CSDN的数据库曝光，缘何能引发一连串的数据库浮出水面？

　　地下黑客圈传输或交换文件，一般都是点对点的传输，有时甚至通过邮寄移动硬盘或光盘来实现。但随着被刷的数据库越来越多，转手的次数越来越多，参与的人数也越来越多，出错和曝光的概率就越来越大。

　　乌云漏洞报告平台的创建人剑心分析说，由于不同黑客掌握的数据库各有不同，刷出来的数据库会在黑客圈中交换，这样就会一轮一轮的扩散。很有可能是某个人在转手传播的过程中，由于文件太大，无法实现网络上点对点的传输，不得不利用迅雷、网盘一类的工具进行上传和下载。在这过程中，工具会把这些文件泄露出来，甚至会在搜索“数据”等关键词时出现推荐。这样扩散的范围就更大，进入与黑客圈有交流的安全圈也就不足为奇了。

　　至于网站用户密码连续被报丢失的现象，吕延辉解释说，一些数据库曝光之后，黑客手中那些与之雷同的数据库就没有价值了。并且，引发公众关注后，基本所有网站都会通知用户修改密码，政府相关部门可能还会介入，那么其他的一些非核心数据库的价值也就更低了。

　　吕延辉表示，可以看出来，这次曝光的数据库都是在地下黑客圈转手很多次的，本身价值也不大，再加上CSDN数据库的曝光，其他数据库的含金量进一步降低，那些手上有库的人抛出来也不奇怪，这才形成了一连串的规模效应。

脆弱的网站安全

互联网从提供内容为主发展到有很多网上购物与社交，但安全现状停步不前

　　泄密事件，将众多网站在安全方面的脆弱暴露无遗。知名网络安全专家、安天实验室首席技术架构师江海客直言，这是一个安全崩盘的时代。

　　安全圈内资深人士的共识是，被黑客攻击和刷库，各大网站几乎是无一幸免，只是程度和范围的不同。在做安全行业的人看来，目前大部分网站的安全性都不足。“这一次表面上看是明文密码库的问题，但实际上多数网站从根本上都没有重视自身的信息安全。”天融信公司副总裁刘辉对财新《新世纪》记者表示，网站把绝大部分资金投入到日常运营中，只有被攻击或吃过教训后，才想起来安全的重要性。

　　“一些网站之所以容易被‘脱裤’，很大一部分原因就是因为本身就穿得太少了。”刘辉说，很多经营性网站甚至都没有专门的网络安全工程师。

　　CSDN社区数据库在此次事件中最先曝光。蒋涛也坦言，“原来对安全的认识还停留在相对低的水平上，觉得自己的数据不是什么关键数据，别人拿去也没什么用。”

　　但这次一连串的数据库泄密事件证明，互联网存在很大的关联性，特别是拥有大量用户的网站，更不是一个孤立的存在，很多用户的邮箱、账号都与别的系统相关联，一旦有事，就会造成跨网站的连锁反应。另外，由于安全问题出在了服务器端，普通用户基本没有办法防范，数据库被刷后曝光出来，用户只能被动的修改密码。

　　马杰则指出，现在互联网从原来提供内容为主，到现在有很多的网上购物与社交，网站的重要性进入了另外一个层面，但安全现状停步不前。“现在网站数据中所包含信息的价值在上升，但安全防护的措施并没有加强。”他说。

　　另一方面，专业做网站功能、应用和服务的人，与专业做安全的人，在技术思维上也存在巨大差异。“一个B2C网站的程序员，做了一个系统，花了几个月的功夫，自己觉得没什么问题，然后请专业做安全的人去找漏洞，结果做不到十分钟就破解了。”李铁军举例说，二者没有高下之分，只是职业的特征决定了思路上的差异。

　　思路上的差异，加上安全意识的不到位，导致了网站安全的脆弱。CSDN、天涯社区至今仍未披露数据库外泄的具体原因。马杰告诉财新《新世纪》记者，从技术上讲，有很多种方法可以刷库，“就像一个很大的房子，可以爬窗户、撬门，或者从烟囱进来，甚至挖个地道进来，就看黑客想花多大的功夫和精力”。

　　通常来说，黑客都是通过发现网站或应用软件的漏洞进入服务器，然后想办法提升权限，就可以把数据库下载下来。对一些防护比较弱的网站，甚至都不用进入网站就能刷库。安全行业资深人士TK说：“只要分两步，第一步找到一个SQL注入点，执行一条备份命令，备份到一个目录去；第二步，从目录把数据下载回来。根本不需要获得网站的权限，只要有SQL注入的漏洞，就可以爆库了。”

　　剑心告诉财新《新世纪》记者，决定在12月30日临时关闭乌云平台的其中一条原因，就是担心后续几天爆出的网站漏洞会越来越多，引起互联网用户的恐慌。乌云漏洞报告平台是由一群互联网安全研究人员自发组织的信息安全沟通平台，研究人员在上面提交厂商的安全问题，也披露一些通用的安全咨询和安全使用。有超过500个“白帽子”安全研究人员和120多个厂商参与平台，反馈和处理了接近4000个安全问题。在泄密事件引发大范围关注后，乌云平台因曾多次发布相关安全漏洞预警而被关注。

　　剑心也证实说，目前国内除极少数大型网站外，可能都被黑客刷过库，包括网易、搜狐在内的门户，一些漏洞都是在乌云平台上被证实的。此外，近年来快速膨胀的电子商务网站，在剑心看来，安全性更是糟糕，乌云平台已经多次证实并报告了他们的漏洞。这其中就包括11月10日所报告的当当网漏洞，可以抓取超过4000万条用户信息。

　　相对而言，金融系统的安全性较强。银行通常会采用硬加密的技术，既不仅依靠登录密码和交易密码，还需有一个外在于密码系统的物理密钥，比如发送到手机的动态口令或U盾密钥，其安全性要高于单靠密码的“软加密”方式。但是，随着第三方支付、代收费、代缴费等业务的展开，银行系统需要开放的接口也越来越多，对银行系统的安全提出了更高的要求。

　　除网站的安全性差外，本次泄密事件中备受诟病的还有明文密码库。所谓明文密码库，即在对用户密码信息存储时未进行加密处理，黑客获得数据库后，所有的用户名、密码一目了然，更加容易利用。

　　蒋涛解释称，各家网站的明文密码库都有复杂的历史原因，CSDN是在2010年9月之后才采用了密文存储。“这不是一家的问题，而是行业性的问题。”

　　但是，加密存储也并不一定意味着安全。多位受访的网络安全专家告诉财新《新世纪》记者，现在相对简单的MD5加密方法已经不安全，黑客圈建立了庞大的MD5值的“字典库”，通过“查字典”的方式很快就能破解还原。

　　马杰建议，在进行密文存储时，还需要对加密算法做一些改变，或多次加密，安全性能才会有所提升。尽管通过“彩虹表”碰撞等方法不存在破解不了的情况，但至少会大大增加破解的成本和时间，降低数据库对黑客的吸引力。

　　乌云平台撰文称，最好的安全应该是自始至终就有人为安全负责，将安全落实到公司的流程制度规范以及基础技术架构里去，形成完善的安全体系，并且持续更新迭代，“如果以前没有这方面制度，就从现在开始建设；如果没有团队，就可以先找一些公司或者外部顾问。但是记住，不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链”。

黑色产业链

有人负责发掘漏洞，有人负责根据漏洞开发利用工具，有人负责漏洞利用工具的销售，有人负责刷库，有人负责洗库，有人负责销售，还有人利用数据库钓鱼、诈骗、发送垃圾邮件

　　大规模的泄密事件，也使得互联网江湖中最为隐秘的黑色产业链再度引人关注。“熊猫烧香”病毒让公众知道了病毒黑色产业链，而此次的泄密事件则指向了数据交易的黑色产业链。

　　马杰告诉财新《新世纪》记者，最近几年，“黑帽子”黑客圈内的盈利模式发生了一些变化。最早是“挂马”比较挣钱，通过发现漏洞SQL注入，然后想办法获得网站权限，在网页上挂上木马程序，中了木马程序的机器就成为“肉鸡”，通过木马控制“肉鸡”来赚钱。比如说盗号、弹窗、导流量等。

　　“早几年木马猖獗的时候，一个服务器能控制几万台的‘肉鸡’。即使只是IE自动跳转到某一页面，每年也能带来可观的流量和收入。”李铁军说，还有黑客利用系统漏洞和木马进行“钓鱼诈骗”，从个人客户一端入侵网银系统，进行非法转账等。

　　后来，“挂马”和“钓鱼”被各大安全公司打击得非常厉害，特别是免费杀毒软件在个人终端的普及。而这个时候，地下黑客发现，刷库是个更快、更直接的赚钱方法。

　　最近几年，围绕数据交易的黑色产业链正在逐步形成。在地下黑客圈内，一些大型网站的数据库被明码标价，一个数据库整个端下来，价值数百万元到上千万元不等。

　　拖库成功后，到手的数据库可以有很多用途，比如直接卖给被刷库网站的竞争对手。黑客还可以利用部分互联网用户“多家网站一个用户名一个密码”的习惯，去试探别的网站数据库。这叫“撞库”，技术上也很容易实现，只需要编写一个脚本，自动不断用已盗取数据库里的信息去请求登录。由于都是正常请求，被撞的网站也很难防范，所以也会有网站“躺着中枪”。

　　安全业内人士称，刷库之后，黑客拿着数据库去“撞”有虚拟币系统的游戏网站、腾讯，以及网上银行、支付宝及电子商务网站，都是必然会发生的事情。如果撞到了重合用户，将其账号内虚拟资产、网银洗劫一空都是再自然不过了。

　　经过多次倒卖和“洗库”之后，数据库还能被卖给价值链的末梢买家——利用账号信息来发送广告、垃圾邮件、垃圾短信的推销公司。通常情况下，数据库的价格越卖越便宜，流传的范围也就越广，距离曝光也就越近。

　　而在整条黑色产业链中，分工也比较明确。最核心和最难的是发掘漏洞，这对技术的要求最高，能发掘漏洞的黑客也比较少。吕延辉介绍，在地下黑客中，有人专门负责发掘漏洞，有人专门负责根据漏洞开发利用工具，有人负责漏洞利用工具的销售，有人负责刷库，有人负责洗库，有人负责数据库的销售，最后端，还有人利用数据库钓鱼、诈骗、发送垃圾邮件。

　　有网络安全人士估算，目前互联网的地下黑色产业链规模已经达到上千亿元，而安全行业的规模目前还只有几百亿元，“就像毒品的市场规模反而大于麻醉药的市场规模”。

失能的法律防火墙

周汉华表示，“当网站的资料和个人信息紧密相连，安全却没有保障，这种情况下，实名制是相当危险的”

　　刘辉判断，这次泄密事件将注定会是互联网发展历史上一件大事。一方面是对互联网业务发展模式的影响；另一方面，则是互联网行业安全规范机制的建立已势在必行。

　　“短期内，互联网行业的发展会受到一定的影响。”刘辉说，例如近两年兴起的云计算服务，现在提供云服务的互联网公司必须要重新建立用户的信息，并说服用户上传至云端的资料是安全的。要说服用户，就需要相应的安全承诺及安全认证机制。

　　蒋涛也表示，这次泄密事件相当于给整个互联网业上了一课。“CSDN也是专业的IT社区平台，我们会利用这个平台来加强安全的教育和普及，提升互联网行业的安全意识。”他说，除了加强自身的安全性，这是CSDN在2012年要去做的重要事情，“互联网上各大网站的关联度越来越高，安全已经不是一家两家的问题，而是全行业的问题”。

　　在全世界，身份的盗用和密码的泄露每天都会出现，但与发达国家不同的是，这次密码泄露事件发生后，各方几乎束手无策。“大家都不知道怎么去保护自己的权利，大家就只能看着发生，等着下一次什么时候发生。”中国社会科学院研究员周汉华对财新《新世纪》记者说，“我们的问题是没有有效的管理手段，没有可以适用的法律。”

　　在亚太网络法律研究中心主任刘德良教授看来，个人信息在网络时代越来越具有商业价值，这也是目前非法收集、加工、买卖和商业性滥用个人信息行为日益泛滥的内在驱动力。针对如此严重的网络的个人信息安全威胁，法律的“防火墙”为何失能以及如何重构，成为一个急需解决的问题。

　　上海一位经侦人员对财新《新世纪》记者介绍，他们曾经侦办过一个利用个人信息实施犯罪的案子。有人发现几百万元银行存款莫名消失，于是报案。此案涉及几百万条的车主信息数据库，这些信息有黑客攻击得到的，也有银行、保险业的内部人泄露出来的。犯罪分子的作案手法是，通过内部泄露或者黑客攻击得到包括车主姓名和身份证号码的用户信息库，找银行的人查开户信息，这个行话叫“包行”，几百块就能做。得到卡号后，然后猜密码，利用黑客软件和银行卡进行比对。

　　从刑事法律来看，2009年《刑法》修正案增加了“非法侵入计算机信息系统罪”的条款，“违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。

　　同年，全国人大常委会还出台《侵权责任法》，规定网络服务提供者和网络用户利用网络侵害他人民事权益的，应当承担侵权责任；网络服务提供者知道网络用户利用其网络服务侵害他人民事权益，未采取必要措施的，与该网络用户承担连带责任。2000年，全国人大常委会又专门制定了《关于维护互联网安全的决定》，重申各种互联网违法的刑事责任和民事责任。

　　在行政监管层面，除了国务院在1994年制定的《计算机信息系统安全保护条例》，作为全国计算机系统安全保护工作主管部门的公安部，也制定了《信息安全等级保护管理办法》以及《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》等30多个标准。

　　多重的法律规定，为何实施效果不佳？周汉华认为，《刑法》的适用门槛比较高，需要“违反国家规定”和“情节严重”的条件，何况这两个条件目前都缺乏相应的标准。而《侵权责任法》的适用，在网络环境下，当事人举证非常困难，而且存在成本投入和收益不对称的情况。

　　周汉华认为，《刑法》和《侵权责任法》都属于事后救济，在网络时代，由于损害的发生是系统性的、不可复原的，所以对网络安全以及个人信息进行全流程的监管才更为有效。目前对于这种全流程的监管，中国既缺乏专门的法律，也没有专门的执法机关，搜集个人资料的企业所应承担的相应的安全责任以及相应的信息流管理行为规范都缺失。“这就是为什么要制定《个人信息保护法》的原因。”周汉华称。

　　据财新《新世纪》记者了解，早在2003年之时，周汉华曾经受当时的国务院信息化办公室委托，主持《个人信息保护法》的立法研究，并且在2005年形成了一份专家意见稿。但时隔多年，这部法律的立法工作迟迟未被启动。

　　刘德良教授认为，在当前中国的法律框架下，把个人信息都纳入人格权的范畴，而不承认个人信息的商业价值也是个人的财产；人格权受到侵害后，原则上也不能要求财产损害赔偿。因此他提出，对于个人信息的法律保护，应该包括隐私上的人格利益和个人信息的商业价值这双方面，将个人信息的商业价值视为个人的财产，未经允许擅自收集和商业性利用个人隐私，既是一种侵犯人格权的行为，也是一种侵害财产权的行为。

　　财新《新世纪》