黑客元老推演网络大泄密：有点挑战实名制意味

早报记者 是冬冬　　“一点都不意外，这在我们圈里流传很久了。”中国鹰派联盟网的创立者、鹰派代表万涛如此评价近期多家网站用户信息遭泄露一事。万涛曾参与组织了2001年中美黑客大战。　　万涛告诉早报记者，这些用户信息在业内已经是公开的，只是最近有好事者将其公布在网络上。他表示，上述信息已经没有任何利用价值，“不可能谁拿了这个库还能赚钱。”　　中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚更是直言，此次遭泄露的信息应该只是“冰山”一角。　　“有点挑战实名制的意味”　　12月21日晚，国内知名IT社区CSDN发布公告称，部分用户数据遭泄露，用户名和用户密码或已公开，提醒用户修改密码。之后，国内另一知名社区天涯也发布公告称，因遭到黑客攻击，多家网站的部分用户数据库外泄，天涯也是受害者之一，恳请用户修改天涯社区账户密码。　　细心用户不难发现，事发后天涯和CSDN均表示，被泄露的数据库是截至2009年用于备份的用户信息，并非最新的用户数据，不禁让人联想刷库(注：黑客术语，指黑客入侵网站服务器，盗取数据库内的资料，也被称为“拖库”)是否发生在数年前，眼下所见的都是被人榨干最后一滴水的陈年(微博)资料。　　的确就是这样。　　万涛表示，这些库很早就被拖库了，现在只是有人借助于网络将其公开，“这种明文密码的库，和现在的数据库不同，不可能有谁拿了这些明文密码的库再来赚钱，公开这个更像是一个娱乐的心态。”　　所谓的明文密码，就是指直接将用户输入的密码，不经过任何加密，直接存储到数据库中，这种保存方式的安全性可想而知，但目前大部分网站均采用加密保存。　　当初是谁刷库、赚了多少钱或许很难知道，不过现在将这些原本业内公开的“秘密”放在公众前的目的似乎比较容易猜测。　　龚蔚向早报记者表示，此次大规模信息泄露事件不像是有组织的行为，“我看不出这个事情最终的受益者是谁，也看不出来有组织性。”龚蔚猜测，这更像是一个蝴蝶效应，拥有CSDN数据库的人可能对这些所谓的“秘密”感到好奇，忍不住将其上传至网络，而在看到CSDN用户数据被公开后，手中握有天涯数据库的人不得不将同样为明文密码的用户信息公布，“因为再不公布的话，那些用户就会更改密码了。”　　不过，龚蔚担心这次公布的或许是手下留情，并未公布最新的数据内容。　　值得注意的是，在上述网站用户信息被公开前数天，北京市刚出台了《北京市微博客发展管理若干规定》，要求微博实现实名制。万涛笑称，有点像对实名制挑战的意味。　　黑客是如何偷的？　　即使这些用户名和密码已经没有利用价值，即使这些密码现在成为茶余饭后的笑谈，不少人还是很好奇黑客究竟怎么去刷库的，尤其是偷取一个知名IT社区的数据库，这更像是一种赤裸裸的挑衅。　　龚蔚解释称，数据库被盗完全是出在网站自身的环节上，只要整个网站中有任何一个漏洞，都能通过这个漏洞通向核心的数据库。这好比“木桶原理”，“任何一个短板都会决定你的最终水位，任何一个环节有问题都可以导致数据库被盗。”　　简单而言，用户在登录网站输入密码时，通常含有密码的数据会传回数据库进行比对，这些数据早在用户第一次注册时就已存在，并且通常是以加密的方式存储。　　抛开此前的明文密码不谈，目前的密码数据库均是通过哈希函数的方式进行加密，存储的数据是用户密码的哈希值。　　但是哈希函数并非万无一失，两个不同的密码可能哈希值会一样，这种情况被成为“碰撞”，而这正是黑客用来窃取数据库获得信息的途径。　　龚蔚称，目前的加密算法，即哈希函数都是公开的，除非自己设计一个很好的能够避免出现“碰撞”的哈希算法，否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。　　为什么有些网站对于数据库泄露并不担心，因为这些网站认为自己的数据库是经过加密的，即使你拿到了数据库，如果无法通过哈希算法解开数据库，也无济于事。　　如果设计出了碰撞几率低的算法，但黑客手中掌握了大量的碰撞库，这些都是常用密码所对应的哈希值，一旦有密码数据库泄露，黑客就会比对其中的哈希值与手中的碰撞库，如果匹配成功，就能找到用户的原始密码。　　龚蔚表示，可以将偷取的过程形容为四个过程：第一是否能进得来；第二个是就算进得来，但能否看得见；第三是就算看得见核心数据，但能否拿得走；最后一步是就算能偷取整个数据库，但最终能否解得开。　　虽然目前公开的明文密码已经没有利用价值，但通常而言，刷库只是黑客产业链中的一部分，接下来还有“洗库”，即对数据库中的资源进行层层利用。龚蔚介绍，这个产业链价值比较大的是，第一波进行虚拟币等信息的剥离，例如支付宝(微博)和QQ等，拿到用户的账号后就会进入账户尝试，如果有虚拟金钱就会转走，或将QQ号倒卖；第二次“洗”是对于个人信息的收集，有些账户可能包括个人信息内容，这些会卖给那些需要的人；第三次“洗”是关联手机号的信息，卖给转发垃圾短信的，这样一层层“洗”下去直到没有价值为止。　　“刷库和洗库的分工很明确，洗库的人不会去刷卡，而且有专人负责对于各类不同账号的尝试，例如有人擅长操作QQ等。”龚蔚说道。　　一旦黑客手中的用户库颇具规模后，就可以分析用户。万涛称，由于人的习惯性因素，密码不可能改来改去，总有一些关联，当有了用户资源后，可以生产字典，用于“暴力”破解。　　“网站也不知漏洞何在”　　让人不安的是，即使包括天涯和CSDN在内的社区都已提醒用户修改密码，但对黑客而言，用户如何修改密码并非关键，黑客的目标在于网站的数据库，无论用户密码是什么，一旦通过“碰撞”破解哈希函数，那用户再怎样修改密码也是无用功。　　掌控权并非在用户手中，而且到目前为止上述网站也没有公布到底是哪个环节出了问题。　　龚蔚认为，没有公布原因就意味着网站自己也不知道哪里出了问题，“好比你钱包被偷了，但是不知道是在哪里被偷的，只知道买一个新的钱包，并称更安全。”　　万涛透露，数年前曾爆发过多起数据库被刷库的事件，只是由于网络传播力度不如现在，知道的人并不多，且对于一个发生过拖库的网站而言，说不定已经被人植入木马或者留下后门还不知道。　　但为何这些网站还是没有吸取同行的教训？龚蔚表示，大型网站往往为了抢占用户资源而过快扩张，例如各个门户网站的微博，这些都可能会留下遗留症。万涛称，门户网站对于安全的态度取决于用户对它的价值，门户网站在安全上的确投入很多，但一般都是保证内容不被篡改。　　“旧债总是要还的。”万涛说，很难让一项业务在没挣钱的情况下去付出更多的安全成本，这是目前安全文化的一个状况，不仅仅是IT行业。　　此次的用户信息泄露更像是对实名制的一种挑战。万涛认为，目前整个法律体系根本不适应互联网的发展，尤其是在目前的体系下，把实名制寄托给运营商有很大问题，“过分强调实名制是有风险的，目前对它的风险估计不足。”　　【明文密码】　　简单来说，明文密码就是没有隐藏、显而易见的密码，与之相对的是暗码，或称密文密码，指的是系统收到你的密码后，通过某种加密算法进行编译后，对编译结果进行保存。如果你的密码为12345，则明文密码显示为12345，暗码显示为*****。如果告诉你*****而不告诉你解码规则，你就很难翻译出12345。　　【专家支招】　　一、经常更换密码；二、网站登录密码要区别于注册邮箱密码，以免被黑客登录邮箱，暴露更多个人信息；三、重要网站采用账户安全保护；四、涉及到银行或其他金融类的用户名、密码，要区别于一般网站的用户名、密码。　　重要性分级建议：网银、网络支付平台(支付宝，财付通等)、QQ/微博/实名SNS网站、其他网站。　　中国社科院法学研究所研究员周汉华：个人信息保护法应尽快出台　　早报记者 是冬冬　　互联网用户信息遭到泄露，再一次凸显了个人信息立法保护的缺失。　　昨日，中国社会科学院法学研究所研究员周汉华在接受早报记者采访时称，现在对于个人信息保护的立法进程，在某种程度上处于停摆的状态。　　2005年，近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成，周汉华担任该课题组的负责人，但该法至今尚未出台。　　周汉华表示，由于个人信息保护法并没有制定，在面临着基本法缺位的窘境下，尽管其他法律加大了立法力度，但对于个人信息的保护语焉不详，“既缺乏全面系统的规定，又缺乏保护机制和执法机制，所以个人信息被盗用的现象比较普遍。”　　周汉华解释，如果靠民事执法来保护个人信息安全，成本非常高，且取证困难，如果用刑事执法，虽然《刑法修正案(七)》将非法提供和非法获取公民个人信息纳入刑事制裁范畴，“但刑事制裁还是一个事后手段，并且各地的进展不平衡。”　　2009年通过的《刑法修正案(七)》规定，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，最高判处三年以上七年以下有期徒刑，并处罚金。且对于提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，同样适用。　　周汉华认为，《刑法修正案(七)》中的一些规定还比较模糊，可操作性上还有进一步明确的空间。周汉华表示，行政执法应该是更具普遍性和有效性的，这是在事前和事中预防损害发生的手段，“但由于缺少个人信息保护法，现在的行政执法处于一个执法权高度分散，没有专门的执法部门，执法者和被执法者很多情况下，角色划分不清晰，行业执法部门负责本行业执法，存在利益上的纠葛，行政执法上力度非常弱。”　　2003年，国务院信息办就有意进行个人信息保护法的立法，并委托中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿。经过近两年的工作，最终形成了近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但在2008年国务院机构改革设立工业和信息化部后，该项立法就没有了下文。　　周汉华建议，个人信息保护法由部门起草并不合适，会在立法资源上受到制约，应该由全国人大法工委直接起草制定，并尽快出台。