2011年末接连发生的泄密事件,让很多事情浮上了水面,比如:
1、其实大量站点早就被入侵并盗走了数据,并且在地下黑客圈子里流传很久了;
2、其实很多网站、企业一边声称注重用户隐私,不遗余力保障用户安全,一边用明文保存密码;
3、其实不管你的密码设得多长多安全,在诸多数据库的”关联分析”之下,仍然免不了沦陷;
4、其实在网上搜不到黑客软件,不代表这个世界上就没有了黑客;
5、其实……最可怕的是,其实大多数普通人,大多数网站管理者,大多数企业管理者,到现在都不知道数据是怎么泄露的……
面对对各种泄密事件,网评众说纷纭,各大公司的库在圈子里面早不是秘密了,就像娱乐圈的的各种门,某一天这个事情突然被圈外的人知道了,就像陈冠希的照片突然被修电脑的人发现一样,于是,这个世界就热闹了,于是每个人都可以在网上下载,每个人都在讨论。
数据防泄露厂商大成天下站在数据安全的专业角度,提几点建议:
1、存在泄密事件的企业需要关注泄密渠道
看目前”被泄密”企业的反应,多数都执行了”承认错误、通知客户、禁止异地登录、修改密码”等措施(当然也有少数企业采取了鸵鸟策略)。
但其实细想起来,发生泄密事件,有其前因后果,前因可能是什么呢?以我们多年的服务与咨询经验,主要有这么几种可能性:
a. 面向外部开放的网站、服务器存在问题被攻击渗透,这种问题最常见也最典型;
b. 企业内部与外部接口的部门被渗透(曾有攻击者哄骗某知名企业的客户运行了木马,再通过该客服渗透进企业内网的案例);
c. 系统或网络被攻击者”物理接触”(我听说过曾经有人去机房”实习”,当然,这位实习生的目标,是机房里某些服务器上的数据……);
d. 备份系统、备份介质存储不当(还是说案例,最离谱的事件是:有人买了与备份系统上一样的硬盘,做旧摔坏后移花接木,将真正的硬盘拿走了);
e. 内部人员(包括企业内部人员、第三方合作伙伴、供应商等)有意或无意泄露数据;
f. 设备更换时未做消密处理——今年铁道部就出过一起存有合同信息的旧硬盘在二手市场被人买走的事件;
g. 介质丢失——存有重要数据的笔记本电脑、移动硬盘、U盘、手机、平板电脑丢失或被盗;
大成天下建议建议存在泄密事件的企业从数据、人员、场景这三个角度入手,找出问题的解决方案。
2、没有泄密的企业要未雨绸缪防止祸及池鱼
在这次事件中,是否没有泄密的企业,就做得很安全了?其实未必。
用一位朋友的话说,”被拖是必然的,没有被拖是偶然的,安全的工作就是希望在必然的趋势下,使得偶然尽可能长一些,使得必然情况发生后,影响的范围最小”。
在”黑客帝国”中,有刷库洗库拖库撞库之说,数据库整个被拖走了叫拖库,拿了拖来的张三家的库里的用户名密码,跑到李四家去一个个撞大运,就是撞库了——我们说的,没有泄密的企业还要防止祸及池鱼,其中很重要的一点,就是要避免被大规模撞库让自家的系统的盗号率上升。
3、普通用户亡羊补牢
对普通用户,恐怕只能叹一句:”为什么受伤的总是我”了……对普通用户的密码策略,我的建议是:
a. 找出”重要的密码”有哪些:比如银行、支付宝、主要邮箱等;
b. 重要密码完全独立:密码独立后,就面临”密码太多”的问题,推荐使用类似keepass之类的软件对密码进行管理;
c. 重要系统甚至用户名也建议独立设置;
d. 确认不重要的密码可以通用——这些属于即使泄露了,也懒得改的——比如某些注册了只为下载的论坛;
4、管理者如何治理?
近年来,管理者对互联网的安全治理取得了显著成效——三五年前在网上随处可见的黑客教学网站、木马下载网站,现在很难找到了。
但实际上,攻击者并没有减少,他们只是改变了活跃的地盘。这时,黑客们的地下交流有个活跃高效的圈子——毕竟是利益驱动,而信息安全人员的学习与交流,却滞后了——普通用户则更难接触到黑客相关的技术。
这时其实需要管理者更具大智慧,让老百姓能够习武强身防身,又不会以武犯禁。
附:2011年部份泄密事件罗列
1、岁末泄密门,过亿帐号泄密
2011年12月21日,国内知名程序员社区CSDN的600万用户数据库被公开发布。随后有消息称51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网、7K7K、178、美团等知名网站的用户数据库也已被黑客窃取,甚至已经公开发布。
2011年12月26日,泄密门再度升级。这次中招的是国内知名的天涯社区,1.7G用户资料在网上肆意流传,其中包括4000万用户账号、密码、邮箱等信息。
再往后,又爆当当、支付宝帐号泄露……而后有传言民生银行、工商银行卷入泄密事件……再之后,广东省公安厅出入境政务服务网的网上申请数据也遭到泄露……
黑客的狂欢还在继续——只是或许在地下。
2、统计局央行官员泄漏国家经济数据
从2008年开始,每年都有CPI数据提前泄露的传闻。2011年1月、4月又多次发生数据泄密事件,在4月15日统计局一季度数据发布会上,国家统计局新闻发言人盛来运强烈谴责了这种数据泄密行为。他还表示,要进一步缩短数据生产到发布的时间,尽可能减少数据被泄露的风险。
2011年10月24日,最高人民检察院和国家保密局联合召开新闻发布会,通报了原国家统计局、央行的两名官员因故意泄露国家秘密罪被判有期徒刑。国家保密局新闻发言人、副局长杜永胜在发布会上表示,在案件调查过程中发现,案件背后确有利益驱动:有的通过和证券从业人员建立合作关系,利用证券机构从业人员指导其买卖股票、谋取利益;有的通过参加证券机构举办的一些活动,比如讲座、恳谈会等,获取高额的讲课费用。
3、陕西移动1394万手机用户信息被盗
2011年8月24日,参与研发与维护陕西移动计费经营系统,却利用工作便利,多次侵入这家通信运营公司用户数据库盗取手机用户个人信息并出售的犯罪嫌疑人落网。
从2011年3月起,该嫌疑人共窃取了西安、咸阳、铜川等7个地市1394万手机用户的个人信息。
4、联通电信倒卖信息28人集体受审
2011年2月28日,包括三大电信公司员工在内的23名被告因出售、非法提供、非法获取公民个人信息而被判刑。其中有7人分别来自移动、电信、联通公司内部,或其他公司派驻电信公司的职员,他们是个人信息泄密源头。
案件的检察官介绍,电信单位内控不严主要表现在四个方面:
一是查询权限过低,致使最低层级的业务员也可以接触到海量的机主信息、通话记录;
二是查询过程没有进行监管、记录,电信单位工作人员查询公民个人信息后,系统没有进行相应记录,以备核查;
三是没有履行告知义务,电信单位工作人员查询公民个人信息之前、之后都没有告知被查询人;
四是对合作伙伴缺乏约束,电信单位业务繁多,与多个单位具有合作关系,这些单位工作人员也有机会接触到公民个人信息,电信单位疏于防范,致使公民个人信息泄露。
5、报道称国外设计软件暗藏后门
2011年12月12日,有报道称国外知名的三维设计软件Solidworks中存在严重后门,会将个人计算机上的信息泄露给他人。国家相关部门已通知各军工企业停止使用该软件,以防资料被窃取而可能导致的泄密事件。无独有偶,工信部日前也下发了通知,要求加强工业控制系统信息安全管理。
Solidworks的母公司达索几乎参与所有中国航空航天产品的设计,Solidworks在国内军工、航天、机械制造等诸多行业有着广泛应用。
信息来源:人民网
http://it.people.com.cn/h/2011/1223/c227888-3275770534.html
http://it.people.com.cn/h/2011/1212/c227888-612828912.html
6、深圳上千万医患信息被打包销售
2011年11月10日,一名妇女持大量医患信息资料与乔装买家的记者交易时,被附近的便衣民警抓获。而由此牵出背后更多的“在售”个人信息,则超过千万条。
在缴获的电脑中,还发现了诸如”6岁至9岁小孩名单5万条”、”2010年生的小孩12万条(据深圳市卫人委统计2010年新生儿接近15.8万人)”、”140万小孩”等目录及大量用户信息,据初步统计,这些信息数量超过千万条,数据也普遍翔实可靠。
