处互联网时代,你还坚信能生活在一个有隐私的世界吗?
最近一段时间,美国《华尔街日报》连续发报道,揭露一些大牌网络公司如何获取个人隐私牟利。全美最大的50家网站在每个访问者的电脑上平均安装了64种追踪技术,实时扫描人们的在线操作,而且通常都不给任何提示。
“谷歌街景”也备受争议:一辆车经过,拍摄沿街景色,并将360度实景拍摄照片放在网络地图里。在看见世界的同时,你也能在网上清晰看见自家门口停了哪辆车,庭院里的设施,也许还有正在晒日光浴的某人。
8月21日,国家网络信息安全技术研究所所长杜跃进接受记者采访时表示,这些事件只是冰山一角,“窃取互联网数据的实际威胁,远远大于我们所看到的现状。”
网络攻击最大受害国
杜跃进指出,近年来中国面临着严重的网络安全问题,是网络攻击的最大受害国之一。
杜跃进也是国家计算机网络应急技术处理协调中心副总工程师。过去几年,他和同事每年都对以窃取数据为主要目标的木马进行抽样检测。结果发现,2006年中国约有4.47万台计算机受木马控制,到了2009年,中国境内被木马程序控制的主机IP数量为26.2万个,境外有近16.5万个主机地址参与控制这些计算机,其中16.61%%来自美国。
“这只是对几十种常见木马检测的结果,实际情况会更严重。”杜跃进说。
如果说木马像偷信息的“贼”,钓鱼网站就是直接威胁网民利益的“杀手”。钓鱼网站,是指通过制作一个与正常域名和网站内容相似度极高的页面来欺骗访问者,如仿制支付、中奖或网银页面骗钱,或盗取访问者信息,通过手机号、银行密码等资料进行透支、敲诈等行为。2010年上半年瑞星“云安全”系统共截获 8万多个钓鱼网站。
据瑞星产品市场经理唐威介绍,钓鱼网站正逐步形成一套完整的产业链。黑客首先仿制一个和正规页面看起来一模一样的网页模板,然后以几百元的价格售卖给下游。用这套模板,再免费申请网址,就可以复制出海量个钓鱼网站。这种网站技术含量不高,目前却无法用任何技术手段防范。
据国家计算机网络应急中心在2006年的调查,国内病毒木马、网络盗号等网络安全地下产业链每年给网民带来至少76亿元损失。
与“小贼”和“杀手”相比,杜跃进把“僵尸网络”比喻为“黑社会”手中的“大规模杀伤性武器”。僵尸网络是指黑客组织通过若干台计算机构造“指挥控制系统”,秘密控制大量用户计算机。被控制的计算机内的所有信息都可以被窃取,控制者可以让这些计算机从事任何操作。
“被控制的机主本人可能毫不知情,却成为了黑客手中的傀儡。”杜跃进指出,僵尸网络的潜在威胁不容忽视,敌对集团也可以利用僵尸网络导致全网瘫痪。
抽样调查发现,2009年中国境内被僵尸程序控制的主机IP数量为83.7万个,境外有1.9万个主机地址参与控制这些计算机,其中22.34%%来自美国。
“我们要对付的是程序背后有恶意的人,而不仅仅是一个程序。”杜跃进说。
信息泄露防不胜防
即使人们不断加强对信息系统的保护,信息泄露还是防不胜防。
杜跃进去年曾在美国西雅图的一个学校看见:在校内停车场,停车者需要提交社会安全号码。后来发现,这台电脑被植入木马用以窃取文件。这意味着,上千名学校员工高度隐私的个人数据有可能早已被泄露。
“我们要明确自己到底保护的是信息系统,还是信息。”杜跃进解释说,有时看似信息系统不重要,可是重要信息却被偷走了,有时信息系统有变化,而原来的重要信息却被扔在无人问津的角落里。“我说的案例就是后一种情况,很久以前学校员工办停车手续时要提供社会安全号码,后来系统升级早就不要了,但原来存放的数据就没人管了。”
由于信息本身是流动的,流动的中间每一个环节都可能出问题。杜跃进指出,最安全的方式是保护信息本身,给每一条信息加密,确保信息从产生到处理的全过程都没有被滥用或篡改。
然而,做到这一点很难。在越来越全球化的今天,跨国、跨地域的信息交流在所难免,由于每个国家的法律,公司或行业的自律标准不同,信息传播中的违规现象也基本没有第三方的有效监督。泄密在所难免。
技术更新也会带来新问题,比如“云计算”。云计算是指用户把一切工作都交给服务方“云端”去处理,也就是说,计算将在网络上的某个“服务器”中运行,用户的计算机,只相当于显示器和键盘。这样用户的信息、数据、一切操作,都面临新的被窃取威胁。
大佬们的自律难以让人信任
人们在防范恶意窃取,注意信息泄露的同时,却忽略了一个事实:只要有人使用网络服务,服务商马上就可得知其个人信息。
“难道连我的所有邮件都被服务商看到了?”一个电子邮箱使用者问。
“如果你相信他们没看,那你也太天真了。”一位来自微软亚洲研究院的人士这样回答。
8月4日,美国《华尔街日报》以“个人隐私成互联网新金矿”为题报道称,目前互联网上成长速度最快的生意之一就是监测互联网用户。研究发现,全美最大的50家网站在每个访问者的电脑上平均安装了64种追踪技术,实时扫描人们的在线操作,然后对其所在地、收入、购物兴趣等信息进行评估,而且通常都不给任何提示。
更进一步,数据挖掘技术可以通过对社交网络、微博及位置信息进行关联,并对个人状况进行推测。今年7月底,美国网络安全顾问公司 “SkullSecurity”的一位研究人员,利用“蜘蛛程序”从Facebook网搜集了多达一亿个未修改隐私设置的用户数据。人们猜测,这些个人数据很可能成为广告商的目标。
8月11日,《华尔街日报》还报道说,“谷歌过去有所克制,没有大规模地利用它手中有关网民的数据赚钱,担心这样做会招致不满”,但由于 Facebook等跟踪人们上网行为并出售相关数据的竞争对手迅速涌现,谷歌被迫开始转变,而它的改变,可能会裹挟整个互联网世界随它前行。据报道,谷歌去年9月推出一项新广告业务,可以让广告商锁定个人,如鞋类市场的消费者,在他们上网时即时追踪他们。而谷歌可以在每笔广告销售中提成。
网络“大佬”们的自律难以让人们信任,那如何保护隐私?
乐观者说,人们对网络工具等新生事物可以选择,可以取舍。而在悲观者看来,当网络、电子眼等新工具架构着现代社会生活的同时,人类失去了自由,注定将毫无隐私可言。
“互联网现在面临的安全问题,并不是中国独有的问题,而是全世界共同面对的问题。”杜跃进说,政府需要进一步加强研究网络安全的相关立法并提升打击网络犯罪的能力,进一步加强对公共网络环境的安全保障能力。业界需要在政府指导下自律。最重要的是用户要提高安全意识:用户提高百分之一的努力,往往就可以降低百分之九十九的风险。