2011年年底,“改密码了吗”成了一句网络流行的问候语。事情的缘起是,2011年12月21日,国内最大的程序员社区网站CSDN被爆出有超过600万用户的注册资料遭泄露。随后还有消息说,有多家网站的用户信息也被泄露,于是很多网站提醒注册用户,尽快修改注册密码,尤其是在不同网站注册的账户,不要使用相同的密码,以防被黑客破解。
这场密码危机引发了IT界的大讨论:那些放在互联网虚拟世界的个人信息究竟该如何保护?在很多专家看来,此次密码泄露事件正在拷问我国的互联网安全。
1月6日召开的中国计算机学会青年计算机科技论坛上,CSDN总裁蒋涛坦言,作为一个论坛性质的社区网站,过去确实忽视了网络安全问题。
国家网络信息安全技术研究所所长杜跃进则指出,网站对互联网安全的重视程度并没有跟网络日新月异的发展同步。可以说,互联网安全一直没有受到应有的重视。其短板问题还体现在法律法规方面。北京邮电大学教授李欲晓介绍说,根据现有的法律,网民很难就自己的信息被泄露进行维权。
CSDN承认对安全问题重视不够
论坛上,蒋涛首次披露了该网站的安全审计报告。而在过去的10多天里,蒋涛被反复追问的问题是,用户的信息是怎么被泄露出去的,哪个环节出了问题?
蒋涛介绍说,去年12月21日,泄露事件被披露的当天,CSDN就请了一家网络安全技术公司对网站安全进行审计。根据安全公司提供的审计报告,此次CSDN资料泄露事件暴露出该网站的四个安全问题:第一是开源系统等第三方系统存在漏洞,导致CSDN系统存在安全风险;其次是应用程序存在跨站脚本漏洞;第三,网站存在大量系统后台认证漏洞,如安全等级较弱的口令等;第四,一些已经停用但还在线上的老系统由于安全级别低,泄露了大量信息。
CSDN是一个以论坛用户为主的社区,负责人蒋涛一直认为,这样一个程序员讨论技术问题的网站,对黑客来说没有太多的商业利益可以挖掘,所以并没有高度重视网站的安全问题,直到此次用户资料被泄露。
蒋涛说,他们有将近100台服务器,但只有3个运维人员。运维工作包括老的系统漏洞升级、数据备份、认证管理等,3个人根本做不过来,最终导致隐患爆发。
在谈到未来解决密码泄露措施时,蒋涛介绍说,为了减小数据泄露的风险,提高网站系统的安全性,CSDN目前正在向安全部门申请信息系统等级保护,以接受信息安全监管部门的监督管理。
此外,CSDN还会强化网站核心服务的安全,把网站的非核心服务与核心业务进行隔离,以减小系统安全风险。同时,CSDN将采取相关措施,加大黑客获得数据的成本,降低网站数据对黑客的价值。据了解,CSDN也将在网站后台引入安全审核机制,从内部杜绝数据泄露的可能性。
互联网安全警钟早已敲响
有网民说,CSDN密码泄露事件敲响了中国互联网安全的警钟,但在杜跃进看来,过去10年间,警钟早已敲响多次,但互联网安全一直没有受到应有的重视。
杜跃进说,在互联网发展的初期,网站安全可能就是个面子问题:被黑客攻击了,网站面子上不好看。但随着互联网日新月异的发展,网络成为人们日常生活的一部分,那些与百姓生活密切相关的网站一旦受到攻击,有可能影响到社会的运转。遗憾的是,网络在社会生活中的地位越来越重要,但网络的安全问题却没有得到足够重视。
根据杜跃进的分析,过去10年来,黑客对网络安全的攻击水平步步提升。最早可能就是把网站黑了,或者篡改一下网站的内容;后来,就出现了趋利性的攻击,比如钓鱼设套,挂木马盗取用户的账户;再后来,就出现了窃取网站后台数据牟利的行为。但网站的安全防守并没有与黑客的攻击水平同步升级。
在杜跃进看来,在网络安全较量中,攻击者屡屡得手有三方面的原因。首先是网站的安全意识淡薄。网站经营商或者是服务提供商既不重视安全问题,也不知道该怎么做。杜跃进举例说,不久前他曾被邀请去参加一个网络媒体大会,轮到他讲安全问题时,很多单位的负责人都走了。于是他就问:“如果发生重大网络安全事件该怎么办?”因为能做决定的领导不在!
其次是技术上的短板。再者是制度缺陷,很多网站认为安全不是什么大问题,以至于制度安排上没有体现对安全的重视。
法律短板致用户维权难
这次CSDN密码泄露事件,个人用户是直接受害者。李欲晓认为,此次事件中,用户隐私权和名誉权都受到了不同程度的侵害,但要维权却困难重重。
李欲晓分析此次CSDN密码泄露事件中的法律责任时认为,在此次事件中,网络服务提供者和黑客攻击者显然有责任,但由于与网络安全相关的立法滞后,目前追究网站和黑客的法律责任较为困难,现有的法律法规对国家安全、个人权益的保护都有缺失。
据李欲晓介绍,目前我国很多法律条款,比如《刑法修正案(七)》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等都有涉及个人信息法律保护的内容,但是其中并未提到用户因网站遭受黑客攻击密码泄露,或者用户因此受到损失,网站应该承担怎么样的责任。
一个严峻的现实是,目前的法律对黑客的破坏行为可能难有约束力。
早在2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,就已经对黑客、商业网站或者其内部人员恶意泄露用户信息牟利的行为作出追究责任的规定。因此,黑客此类行为构成犯罪,但问题的关键是“黑客在哪儿,他们是谁?”黑客都追不到,该如何定罪。
对用户来说,可以向公安机关报案,但依据现有的法律只能寻求民事赔偿,而且个人如何通过技术手段查到黑客身份,或者界定经济损失都存在很大难度,个人用户维权非常难。李欲晓说:“因为电子证据技术性太强,而且很容易被篡改,所以取证很难。”
在论坛现场有人提问李欲晓,如果因为密码泄露导致银行账户的资金被窃取,能不能起诉银行或者网站。李欲晓直言,依据现有的法律法规可以进行这方面的诉讼。但起诉之后不一定会得到有利的判决,因为在侵权责任法和民法方面,还没有明确的规定。
用户不是计算机专家
杜跃进介绍说,解决互联网安全问题,政府的推动作用非常重要。政府应该在政策、标准制定、监督、检查等方面起作用。比如说,代码安全不被重视,政府可以提要求,一定级别的代码要经过第三方监测。
李欲晓说,目前我国网络法律还不健全,国家应加强网络法律建设,尤其是出台网络安全的相关法规,保证网民能够在一个安全可信环境下去享受互联网提供的便利。
杜跃进说,除了政府的推动,网站服务商本身也要有长远战略与社会责任,尤其是面对新的黑客威胁,单靠用户安全意识不断提高并不能解决问题。永远不要期待用户安全意识能提到足够高的水平。用户就是用户,不是计算机专家,不能要求他们整天想着计算机有什么毛病。
作为被黑客攻击的受害者,蒋涛建议,应在业界建立共享安全技术联盟,大家共享安全公共知识库,共同提升开发人员的安全技术水平。
李欲晓则认为,网络安全需要一个整体的网络安全环境,“我们已经进入网络社会,现在有5亿人在使用互联网,每个用户的生活和财产信息、个人隐私全在网上。但是我们在各个方面似乎准备得还不充分,无论是网络服务企业还是网络安全企业,包括网民自己,都应该想想今后面对这样的网络社会该做什么准备”。