“我不认为这是一个黑客行为”
——专访中国红客联盟创始人林勇
【林勇(Lion)简介:中国红客联盟创始人。2011年9月22日,被誉为“中国黑帽子大会”的COG2011信息安全论坛在上海召开,lion荣获COG信息安全社会影响力奖。他重组了中国红客联盟,新网站于2011年11月1日开放。】
网络导报记者(以下简称“记者”):根据你对这次上亿用户密码泄露事件的判断,你认为它会是什么人或者组织所为?
林勇(以下简称“林”):不清楚。现在也不好乱猜测。
记者:按照《COG黑客自律公约》的界定,“社会普通公众的隐私权,尤其是儿童与未成年人应当得到保护。以买卖社会普通公众隐私信息为目的的活动不是黑客行为。”那么,这次泄露事件属于黑客行为吗?
林:这次密码泄露,依据小道消息说是有人为了炫耀放出来的。黑客圈子内部交换数据比较正常,但放出数据来估计是受到anonymous组织(一个组织松散的全球黑客组织)的影响。我本人认为这些放数据出来的人没有一些道德底线,做人做事还是要有原则的。我不认为这是一个黑客行为。
记者:即便这些数据库已经被卖了多次,但公布出来,也会形成巨大的舆论冲击。这里面是否会有一些其他的利益诉求?
林:不排除这些人在下一盘大棋。
记者:有的网站说这次被盗的数据为“2009年之前的备份数据”,是这样吗?
林:这次泄漏的数据应该是09年到2011年积累的数据。攻击所利用的漏洞我估计大多是java structs2和discuz x2的漏洞。可以说是目前浮出水面的最大的一次网络安全事件,但实际上这只是冰山一角。
记者:龚蔚说明年可能会有更大的爆发,涉及到数亿移动互联网用户。这是不是就是你说的“冰山一角”?
林:暴露的只是冰山一角。也不多说了。
记者:在不知道黑客入侵手法的情况下,被泄密的网站要求用户更改密码以求安全,你认为这样做除了心理安慰之外,有实际效果吗?
林:毕竟很多人是用通用密码的,一个沦陷了所有账户都暴露了。网站遇到攻击后,提醒用户改密码还是很有必要的。当然,改密码不只是被攻击的这个网站的密码要改,很多的账户密码都要更改。建议不重要的账户可以用通用密码,重要的email、淘宝之类的一定要设置单独密码。
记者:如果说这些黑客的目标在于大型网站的数据库,那么,对此事负责的显然只是这些网站。网站致歉就足够了吗?
林:出了事的企业一定要开展全面排查,找出攻击源头,修补相关漏洞,并加强安全防范措施。同时,数据一定要采用强加密方式保存,这次很多明文密码泄露,可以看出这些企业对用户是很不负责任的。这不是一个道歉就能说得过去的。
记者:是的,道歉没用。这件事情似乎强加给了黑客一些羞辱。那这个事件对黑客圈子来说,是否也会有一些影响?比如,找到那个公布信息的源头?今后打击这方面的行为?
林:对黑客圈子的影响绝对是有的。国家刚公布2012年要开展为期一年的打击黑客专项行动,这下刚好撞枪口上了。我们也在猜测其背后的实际目的。我们希望国家能加大打击力度,让更多的人走上正途,净化一下这个圈子。
记者:你对这件事是不是感到很愤怒?有人说泄露数据的这个人坏了行规,黑客圈要清理门户。
林:两方面吧。一是感到震惊,买卖公众数据确实是很不道德的。这东西我知道很早在流传,但没想到有人敢放出来,这损害的是公众利益。第二,从积极方面讲,我觉得这是对网络安全行业的促进,经过这次事件的洗礼,网络安全在很多企业将占有一席之地。
记者:网络安全已经成为一个全球性话题。有人说,这次密码泄露事件是针对实行网络实名制的?
林:这次密码泄露事件不排除是对实名制的挑战。实施实名制应该建立在安全保障的前提下。在网络安全还没得到充分重视,一些网站的保护措施还不够的背景下,如果盲目实行实名制,还再让“人”如入无人之境的话,到时候泄露的就不只是一堆密码和邮箱了。
记者:老鹰也很担心这一点?
林:网络安全应该是开展互联网业务的基础保障。特别是以后进入云的时代,所有数据都在网上的情况下,网络安全会更加重要。而目前的情况是,网络安全得不到企业的重视,网络安全人才在企业也得不到重视。
企业不重视安全,对网络安全投入不够,造成网络应用漏洞很多,让人有机可趁;网络安全技术人员得不到重视,在企业的地位和收入不高。生活的压力,让很多人铤而走险,投入了“黑产”的怀抱,结果造成网络安全圈子的混乱局面。所以,要改变这种现状需要多方努力。很希望看到国家加大这方面投入。
记者:数据的力量非常强大,也非常可怕!如果安全做好了,就可以驯服它,让它发挥正面作用了。
林:这是对互联网企业敲响的一次警钟,也是网络安全这个行业发展的一个契机。这个事件的根源在于,有些人盯上了这些企业的数据库,因为它们能换到钱。有利益的驱使,就必然有人去冒险。现在暴露的只是账户密码和邮箱,如果将来泄露的是姓名、性别、电话、家庭住址、身份证号、银行账号呢?
记者:银行卡一般是六位数的密码,那不是更容易破解吗?或者说,银行系统有更安全的保障措施?
林:那得看加密手段了。直接联网猜,3次机会,6位数字的密码还算安全。但如果让黑客拿到数据库就麻烦了,特别是网银账户。