(聯(lián)合電訊社/北京)--近日�,csdn用戶密碼泄露事件震驚整個(gè)互聯(lián)網(wǎng)。12月21日��,360安全衛(wèi)士官方微博發(fā)布了一條緊急通知��,稱csdn網(wǎng)站600余萬用戶數(shù)據(jù)庫(kù)泄密��。緊接著密碼危機(jī)開始升級(jí),微博����、天涯、人人網(wǎng)����、新網(wǎng)、京東商城等著名網(wǎng)站均被爆出發(fā)生用戶資料泄露事件���。
一時(shí)間,業(yè)界一片嘩然��,發(fā)生泄密的網(wǎng)站均為中國(guó)的領(lǐng)軍網(wǎng)站或門戶網(wǎng)站����,竟然會(huì)發(fā)生如此嚴(yán)重的敏感信息泄露事件,其他網(wǎng)站的安全狀況更是不可想象����;ヂ(lián)網(wǎng)和電子商務(wù)業(yè)界普遍存在的安全狀況低下和網(wǎng)站管理者的安全意識(shí)淡薄令人震驚�。
大量密碼泄露,網(wǎng)絡(luò)安全岌岌可危
此次密碼危機(jī)事件中最早發(fā)生泄露的csdn網(wǎng)為中國(guó)最大的軟件開發(fā)社區(qū)���,但出乎大家意料的是其用戶數(shù)據(jù)庫(kù)的密碼全部為明文保存�����,同時(shí)��,數(shù)據(jù)庫(kù)中還記錄了用戶名和郵箱的信息����。根據(jù)調(diào)查,大量的用戶使用相同的密碼訪問網(wǎng)絡(luò)上的不同服務(wù)���,這些服務(wù)可能不僅僅是論壇和郵箱��,更可能是商城甚至網(wǎng)銀�。畢竟���,隨著互聯(lián)網(wǎng)的發(fā)展�,人們使用的互聯(lián)網(wǎng)服務(wù)越來越多�����,如果每個(gè)網(wǎng)站的密碼都不同,會(huì)帶來很大的記憶難題�。但使用相同的密碼就相當(dāng)于手持萬能鑰匙,這又帶來了嚴(yán)重的安全問題����,一旦一個(gè)網(wǎng)站的密碼失竊,其他網(wǎng)站的服務(wù)也都會(huì)面臨威脅��。有人曾經(jīng)做過實(shí)驗(yàn)��,使用一個(gè)泄露的密碼��,成功的登錄該用戶的郵箱���,發(fā)現(xiàn)郵箱中有大量的其他網(wǎng)站注冊(cè)信息和個(gè)人消費(fèi)記錄(信用卡賬單�、網(wǎng)上購(gòu)物確認(rèn)郵件等)��,經(jīng)測(cè)試��,發(fā)現(xiàn)在這些注冊(cè)網(wǎng)站中���,大部分也使用這個(gè)密碼。
同時(shí)���,根據(jù)郵箱地址或其他信息推斷出其qq號(hào)碼和社交網(wǎng)絡(luò)的賬號(hào)��,從而進(jìn)一步獲取了其真實(shí)身份信息���。甚至有一次曾經(jīng)通過數(shù)據(jù)庫(kù)中的最后登錄ip直接登錄到了計(jì)算機(jī)系統(tǒng)中��,并且使用的是管理員賬號(hào)�,也就是說����,可以隨意瀏覽其硬盤上的所有文件并且可以下載到本地。如果網(wǎng)上銀行或者支付寶等涉及個(gè)人財(cái)產(chǎn)的賬號(hào)也使用相同的密碼�,那很可能會(huì)發(fā)生資金被盜用的嚴(yán)重事件。自己的賬號(hào)信息還可能被黑客賣給垃圾郵件商�,從而使自己今后飽受垃圾郵件之苦,更有不法分子可能利用獲取的賬號(hào)到處張貼不良言論�,對(duì)個(gè)人聲譽(yù)和社會(huì)都造成惡劣的影響。
可見��,密碼泄露不僅僅會(huì)危害到個(gè)人隱私�,更可能導(dǎo)致個(gè)人經(jīng)濟(jì)損失甚至危害到社會(huì)公共安全,可想而知��,如果數(shù)據(jù)庫(kù)落入不法分子之手��,會(huì)造成多大么的社會(huì)危害。
加強(qiáng)網(wǎng)絡(luò)安全建設(shè)刻不容緩
此次事件的討論焦點(diǎn)集中在csdn網(wǎng)站使用明文保存密碼這件事情上�。因多數(shù)人都使用相同的密碼訪問不同的網(wǎng)絡(luò)服務(wù),數(shù)據(jù)庫(kù)泄露之后��,黑客可以輕易的使用數(shù)據(jù)庫(kù)文件中的密碼登錄對(duì)應(yīng)賬號(hào)的其他網(wǎng)絡(luò)服務(wù)�,這導(dǎo)致了一系列的嚴(yán)重安全問題。明文保存密碼確實(shí)是一個(gè)嚴(yán)重的由于安全意識(shí)缺乏導(dǎo)致的設(shè)計(jì)缺陷�,但實(shí)際上,如果合理的部署一些網(wǎng)絡(luò)安全審計(jì)產(chǎn)品��,即使使用明文密碼��,也可以防范此類泄露事件的發(fā)生��。
網(wǎng)絡(luò)安全審計(jì)產(chǎn)品是針對(duì)業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行審計(jì)的合規(guī)性管理系統(tǒng)��。它通過對(duì)網(wǎng)絡(luò)行為進(jìn)行解析����、分析、記錄�、匯報(bào)����,以幫助用戶事前規(guī)劃預(yù)防、事中實(shí)時(shí)監(jiān)視、違規(guī)行為響應(yīng)��、事后合規(guī)報(bào)告�����、事故追蹤溯源���,加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管����、促進(jìn)核心資產(chǎn)(數(shù)據(jù)庫(kù)���、服務(wù)器����、網(wǎng)絡(luò)設(shè)備等)的正常運(yùn)營(yíng)��。
分析此次密碼泄露事件�����,黑客獲取數(shù)據(jù)無非兩種途徑:入侵系統(tǒng)���,非法獲取數(shù)據(jù)庫(kù)內(nèi)容;內(nèi)部員工備份數(shù)據(jù)庫(kù)的時(shí)候無意泄露��。
如果黑客來自網(wǎng)絡(luò)外部����,入侵系統(tǒng)后,需要訪問數(shù)據(jù)庫(kù)系統(tǒng)��,通過sql語句查詢并獲取用戶數(shù)據(jù)信息�。這個(gè)時(shí)候,網(wǎng)絡(luò)安全審計(jì)產(chǎn)品就會(huì)發(fā)現(xiàn)有人在對(duì)核心數(shù)據(jù)庫(kù)進(jìn)行敏感操作從而進(jìn)行報(bào)警甚至阻斷���。以啟明星辰公司的天玥審計(jì)系統(tǒng)為例�,系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫(kù)的源程序名�����、登錄數(shù)據(jù)庫(kù)的賬號(hào)���、數(shù)據(jù)庫(kù)命令����、數(shù)據(jù)庫(kù)名���、數(shù)據(jù)庫(kù)表名����、數(shù)據(jù)庫(kù)字段名�、數(shù)據(jù)庫(kù)字段值、數(shù)據(jù)庫(kù)返回碼等作為條件��,對(duì)用戶關(guān)心的違規(guī)行為進(jìn)行響應(yīng)���,特別是針對(duì)重要表�、重要字段的各種操作���,能夠通過簡(jiǎn)單的規(guī)則定義�����,實(shí)現(xiàn)精確審計(jì)�����。不管黑客是直接連接的數(shù)據(jù)庫(kù)����,還是使用第三方程序通過jdbc或者odbc方式連接數(shù)據(jù)庫(kù),天玥審計(jì)系統(tǒng)都可以發(fā)現(xiàn)對(duì)核心數(shù)據(jù)庫(kù)的敏感操作并報(bào)警����。舉例來說,從此次泄露的數(shù)據(jù)量來看����,黑客很可能是對(duì)數(shù)據(jù)庫(kù)執(zhí)行了類似“select user,passwd,email from 用戶表”的方式獲取了用戶數(shù)據(jù),天玥審計(jì)系統(tǒng)可以隨時(shí)監(jiān)控對(duì)核心用戶表的所有select操作并報(bào)警�����,并且還可以根據(jù)需要配合使用select返回結(jié)果集數(shù)量的策略發(fā)現(xiàn)或阻斷黑客分多次分段下載用戶數(shù)據(jù)的行為�����。同時(shí)�����,由于審計(jì)過程對(duì)黑客是隱形的����,所以如果部署了天玥審計(jì)系統(tǒng),很可能黑客還在得意洋洋的分段下載用戶數(shù)據(jù)的時(shí)候,警察已經(jīng)在敲自己家的門了(分段下載600萬數(shù)據(jù)是個(gè)耗時(shí)的工作����,從天玥審計(jì)到的ip地址進(jìn)行回溯追查便可獲取用戶的真實(shí)地址)
根據(jù)csdn的官方聲明推測(cè),黑客還可能是通過終端直接下載了以文件方式保存的備份的數(shù)據(jù)庫(kù)文件�。天玥審計(jì)系統(tǒng)的運(yùn)維審計(jì)功能提供了常見的終端如telnet�����、ssh����、windows遠(yuǎn)程桌面的審計(jì)能力,還提供ftp���、sftp����、scp等文件傳輸協(xié)議的審計(jì)能力���。黑客通過此種方式接觸數(shù)據(jù)庫(kù)文件的時(shí)候���,天玥審計(jì)系統(tǒng)不但可以及時(shí)報(bào)警,甚至可以立刻阻斷黑客的行為�,讓黑客無法得逞��,保障了核心數(shù)據(jù)的安全��。
除了這兩種情況��,也不排除是企業(yè)內(nèi)部員工違規(guī)操作導(dǎo)致泄露的可能性���。有權(quán)限的員工很可能出于個(gè)人的興趣等原因,非法備份核心用戶數(shù)據(jù)并最終導(dǎo)致了泄露�。天玥審計(jì)系統(tǒng)提供完善的用戶認(rèn)證功能,可以實(shí)現(xiàn)自然人和數(shù)據(jù)庫(kù)賬號(hào)的綁定�����,實(shí)現(xiàn)只有授權(quán)的用戶才可以對(duì)核心數(shù)據(jù)庫(kù)進(jìn)行操作��,并對(duì)操作過程全程審計(jì)����,同時(shí)提供事后回放和取證功能,為事后追查提供了電子證據(jù)和手段����。
可以看出,天玥覆蓋了所有黑客可能訪問數(shù)據(jù)庫(kù)的途徑,不管用什么方式竊取數(shù)據(jù)庫(kù)資料�,都可以被天玥審計(jì)系統(tǒng)發(fā)現(xiàn)并報(bào)警,讓黑客的行為無處遁形�。
csdn創(chuàng)始人蔣濤在新浪微博上稱,“非常慘痛的安全教訓(xùn)��,向所有用戶深深致歉”����。從csdn官方的公告來看�,截止本文發(fā)稿,csdn也一直沒有查出來數(shù)據(jù)庫(kù)到底是通過什么途徑泄露的���。這都是由于csdn內(nèi)部缺少網(wǎng)絡(luò)安全審計(jì)系統(tǒng)造成的�����,如果部署了審計(jì)系統(tǒng)�����,黑客或者企業(yè)內(nèi)部員工對(duì)核心數(shù)據(jù)庫(kù)的所有敏感操作都會(huì)被記錄和審計(jì)�,管理員可以通過審計(jì)系統(tǒng)的會(huì)話回放和事后取證功能��,重現(xiàn)事發(fā)現(xiàn)場(chǎng),提取關(guān)鍵證據(jù)�,通過天玥的深層監(jiān)測(cè)能力實(shí)現(xiàn)精確溯源,追查導(dǎo)致安全問題的賬號(hào)和相關(guān)人員�����,最終為企業(yè)避免經(jīng)濟(jì)損失和社會(huì)聲譽(yù)損失�����。(彭昱瑋)
啟明星辰信息技術(shù)有限公司簡(jiǎn)介
啟明星辰信息技術(shù)有限公司成立于1996年���,由留美博士嚴(yán)望佳女士創(chuàng)建���,是國(guó)內(nèi)最具實(shí)力的擁有完全自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品、可信安全管理平臺(tái)�����、安全服務(wù)與解決方案的綜合提供商��,致力于打造和提升國(guó)際化的民族信息安全產(chǎn)業(yè)第一品牌��。公司總部位于北京����,在全國(guó)各省���、市、自治區(qū)設(shè)立分�、子公司及辦事處三十多個(gè),擁有覆蓋全國(guó)的渠道體系和技術(shù)支持中心�����。
網(wǎng) 址:http://www.venustech.com.cn
