(聯(lián)合電訊社/北京)--近日,csdn用戶密碼泄露事件震驚整個互聯(lián)網(wǎng)。12月21日,360安全衛(wèi)士官方微博發(fā)布了一條緊急通知,稱csdn網(wǎng)站600余萬用戶數(shù)據(jù)庫泄密。緊接著密碼危機(jī)開始升級,微博、天涯、人人網(wǎng)、新網(wǎng)、京東商城等著名網(wǎng)站均被爆出發(fā)生用戶資料泄露事件。
一時間,業(yè)界一片嘩然,發(fā)生泄密的網(wǎng)站均為中國的領(lǐng)軍網(wǎng)站或門戶網(wǎng)站,竟然會發(fā)生如此嚴(yán)重的敏感信息泄露事件,其他網(wǎng)站的安全狀況更是不可想象;ヂ(lián)網(wǎng)和電子商務(wù)業(yè)界普遍存在的安全狀況低下和網(wǎng)站管理者的安全意識淡薄令人震驚。
大量密碼泄露,網(wǎng)絡(luò)安全岌岌可危
此次密碼危機(jī)事件中最早發(fā)生泄露的csdn網(wǎng)為中國最大的軟件開發(fā)社區(qū),但出乎大家意料的是其用戶數(shù)據(jù)庫的密碼全部為明文保存,同時,數(shù)據(jù)庫中還記錄了用戶名和郵箱的信息。根據(jù)調(diào)查,大量的用戶使用相同的密碼訪問網(wǎng)絡(luò)上的不同服務(wù),這些服務(wù)可能不僅僅是論壇和郵箱,更可能是商城甚至網(wǎng)銀。畢竟,隨著互聯(lián)網(wǎng)的發(fā)展,人們使用的互聯(lián)網(wǎng)服務(wù)越來越多,如果每個網(wǎng)站的密碼都不同,會帶來很大的記憶難題。但使用相同的密碼就相當(dāng)于手持萬能鑰匙,這又帶來了嚴(yán)重的安全問題,一旦一個網(wǎng)站的密碼失竊,其他網(wǎng)站的服務(wù)也都會面臨威脅。有人曾經(jīng)做過實驗,使用一個泄露的密碼,成功的登錄該用戶的郵箱,發(fā)現(xiàn)郵箱中有大量的其他網(wǎng)站注冊信息和個人消費(fèi)記錄(信用卡賬單、網(wǎng)上購物確認(rèn)郵件等),經(jīng)測試,發(fā)現(xiàn)在這些注冊網(wǎng)站中,大部分也使用這個密碼。
同時,根據(jù)郵箱地址或其他信息推斷出其qq號碼和社交網(wǎng)絡(luò)的賬號,從而進(jìn)一步獲取了其真實身份信息。甚至有一次曾經(jīng)通過數(shù)據(jù)庫中的最后登錄ip直接登錄到了計算機(jī)系統(tǒng)中,并且使用的是管理員賬號,也就是說,可以隨意瀏覽其硬盤上的所有文件并且可以下載到本地。如果網(wǎng)上銀行或者支付寶等涉及個人財產(chǎn)的賬號也使用相同的密碼,那很可能會發(fā)生資金被盜用的嚴(yán)重事件。自己的賬號信息還可能被黑客賣給垃圾郵件商,從而使自己今后飽受垃圾郵件之苦,更有不法分子可能利用獲取的賬號到處張貼不良言論,對個人聲譽(yù)和社會都造成惡劣的影響。
可見,密碼泄露不僅僅會危害到個人隱私,更可能導(dǎo)致個人經(jīng)濟(jì)損失甚至危害到社會公共安全,可想而知,如果數(shù)據(jù)庫落入不法分子之手,會造成多大么的社會危害。
加強(qiáng)網(wǎng)絡(luò)安全建設(shè)刻不容緩
此次事件的討論焦點(diǎn)集中在csdn網(wǎng)站使用明文保存密碼這件事情上。因多數(shù)人都使用相同的密碼訪問不同的網(wǎng)絡(luò)服務(wù),數(shù)據(jù)庫泄露之后,黑客可以輕易的使用數(shù)據(jù)庫文件中的密碼登錄對應(yīng)賬號的其他網(wǎng)絡(luò)服務(wù),這導(dǎo)致了一系列的嚴(yán)重安全問題。明文保存密碼確實是一個嚴(yán)重的由于安全意識缺乏導(dǎo)致的設(shè)計缺陷,但實際上,如果合理的部署一些網(wǎng)絡(luò)安全審計產(chǎn)品,即使使用明文密碼,也可以防范此類泄露事件的發(fā)生。
網(wǎng)絡(luò)安全審計產(chǎn)品是針對業(yè)務(wù)環(huán)境下的網(wǎng)絡(luò)操作行為進(jìn)行審計的合規(guī)性管理系統(tǒng)。它通過對網(wǎng)絡(luò)行為進(jìn)行解析、分析、記錄、匯報,以幫助用戶事前規(guī)劃預(yù)防、事中實時監(jiān)視、違規(guī)行為響應(yīng)、事后合規(guī)報告、事故追蹤溯源,加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、促進(jìn)核心資產(chǎn)(數(shù)據(jù)庫、服務(wù)器、網(wǎng)絡(luò)設(shè)備等)的正常運(yùn)營。
分析此次密碼泄露事件,黑客獲取數(shù)據(jù)無非兩種途徑:入侵系統(tǒng),非法獲取數(shù)據(jù)庫內(nèi)容;內(nèi)部員工備份數(shù)據(jù)庫的時候無意泄露。
如果黑客來自網(wǎng)絡(luò)外部,入侵系統(tǒng)后,需要訪問數(shù)據(jù)庫系統(tǒng),通過sql語句查詢并獲取用戶數(shù)據(jù)信息。這個時候,網(wǎng)絡(luò)安全審計產(chǎn)品就會發(fā)現(xiàn)有人在對核心數(shù)據(jù)庫進(jìn)行敏感操作從而進(jìn)行報警甚至阻斷。以啟明星辰公司的天玥審計系統(tǒng)為例,系統(tǒng)能夠根據(jù)訪問數(shù)據(jù)庫的源程序名、登錄數(shù)據(jù)庫的賬號、數(shù)據(jù)庫命令、數(shù)據(jù)庫名、數(shù)據(jù)庫表名、數(shù)據(jù)庫字段名、數(shù)據(jù)庫字段值、數(shù)據(jù)庫返回碼等作為條件,對用戶關(guān)心的違規(guī)行為進(jìn)行響應(yīng),特別是針對重要表、重要字段的各種操作,能夠通過簡單的規(guī)則定義,實現(xiàn)精確審計。不管黑客是直接連接的數(shù)據(jù)庫,還是使用第三方程序通過jdbc或者odbc方式連接數(shù)據(jù)庫,天玥審計系統(tǒng)都可以發(fā)現(xiàn)對核心數(shù)據(jù)庫的敏感操作并報警。舉例來說,從此次泄露的數(shù)據(jù)量來看,黑客很可能是對數(shù)據(jù)庫執(zhí)行了類似“select user,passwd,email from 用戶表”的方式獲取了用戶數(shù)據(jù),天玥審計系統(tǒng)可以隨時監(jiān)控對核心用戶表的所有select操作并報警,并且還可以根據(jù)需要配合使用select返回結(jié)果集數(shù)量的策略發(fā)現(xiàn)或阻斷黑客分多次分段下載用戶數(shù)據(jù)的行為。同時,由于審計過程對黑客是隱形的,所以如果部署了天玥審計系統(tǒng),很可能黑客還在得意洋洋的分段下載用戶數(shù)據(jù)的時候,警察已經(jīng)在敲自己家的門了(分段下載600萬數(shù)據(jù)是個耗時的工作,從天玥審計到的ip地址進(jìn)行回溯追查便可獲取用戶的真實地址)
根據(jù)csdn的官方聲明推測,黑客還可能是通過終端直接下載了以文件方式保存的備份的數(shù)據(jù)庫文件。天玥審計系統(tǒng)的運(yùn)維審計功能提供了常見的終端如telnet、ssh、windows遠(yuǎn)程桌面的審計能力,還提供ftp、sftp、scp等文件傳輸協(xié)議的審計能力。黑客通過此種方式接觸數(shù)據(jù)庫文件的時候,天玥審計系統(tǒng)不但可以及時報警,甚至可以立刻阻斷黑客的行為,讓黑客無法得逞,保障了核心數(shù)據(jù)的安全。
除了這兩種情況,也不排除是企業(yè)內(nèi)部員工違規(guī)操作導(dǎo)致泄露的可能性。有權(quán)限的員工很可能出于個人的興趣等原因,非法備份核心用戶數(shù)據(jù)并最終導(dǎo)致了泄露。天玥審計系統(tǒng)提供完善的用戶認(rèn)證功能,可以實現(xiàn)自然人和數(shù)據(jù)庫賬號的綁定,實現(xiàn)只有授權(quán)的用戶才可以對核心數(shù)據(jù)庫進(jìn)行操作,并對操作過程全程審計,同時提供事后回放和取證功能,為事后追查提供了電子證據(jù)和手段。
可以看出,天玥覆蓋了所有黑客可能訪問數(shù)據(jù)庫的途徑,不管用什么方式竊取數(shù)據(jù)庫資料,都可以被天玥審計系統(tǒng)發(fā)現(xiàn)并報警,讓黑客的行為無處遁形。
csdn創(chuàng)始人蔣濤在新浪微博上稱,“非常慘痛的安全教訓(xùn),向所有用戶深深致歉”。從csdn官方的公告來看,截止本文發(fā)稿,csdn也一直沒有查出來數(shù)據(jù)庫到底是通過什么途徑泄露的。這都是由于csdn內(nèi)部缺少網(wǎng)絡(luò)安全審計系統(tǒng)造成的,如果部署了審計系統(tǒng),黑客或者企業(yè)內(nèi)部員工對核心數(shù)據(jù)庫的所有敏感操作都會被記錄和審計,管理員可以通過審計系統(tǒng)的會話回放和事后取證功能,重現(xiàn)事發(fā)現(xiàn)場,提取關(guān)鍵證據(jù),通過天玥的深層監(jiān)測能力實現(xiàn)精確溯源,追查導(dǎo)致安全問題的賬號和相關(guān)人員,最終為企業(yè)避免經(jīng)濟(jì)損失和社會聲譽(yù)損失。(彭昱瑋)
啟明星辰信息技術(shù)有限公司簡介
啟明星辰信息技術(shù)有限公司成立于1996年,由留美博士嚴(yán)望佳女士創(chuàng)建,是國內(nèi)最具實力的擁有完全自主知識產(chǎn)權(quán)的網(wǎng)絡(luò)安全產(chǎn)品、可信安全管理平臺、安全服務(wù)與解決方案的綜合提供商,致力于打造和提升國際化的民族信息安全產(chǎn)業(yè)第一品牌。公司總部位于北京,在全國各省、市、自治區(qū)設(shè)立分、子公司及辦事處三十多個,擁有覆蓋全國的渠道體系和技術(shù)支持中心。
網(wǎng) 址:http://www.venustech.com.cn