當(dāng)生活全部被數(shù)據(jù)占領(lǐng)以后,你覺得你的生活有多安全?
暢銷書《大數(shù)據(jù)時(shí)代》講述了身處大數(shù)據(jù)時(shí)代,你的生活會(huì)有多么美好。不需要知道因果,只需要占有大量的數(shù)據(jù)便可以知道下一次瘟疫何時(shí)會(huì)爆發(fā),了解何時(shí)買進(jìn)機(jī)票是最劃算的,甚至你的汽車座駕因?yàn)檎加辛四闫ü傻臄?shù)據(jù)就輕而易舉地終結(jié)了偷車賊把車開車的可能性。
但本書的作者也說(shuō)了:“數(shù)據(jù)化意味著我們把一切都透明化。”我們時(shí)刻都暴露在“第三只眼”之下,亞馬遜監(jiān)視著我們的購(gòu)物習(xí)慣,谷歌監(jiān)視著我們的網(wǎng)頁(yè)瀏覽習(xí)慣。
在這樣一個(gè)透明的社會(huì)中,商家有了更精準(zhǔn)的營(yíng)銷方式,比如你在淘寶上有意購(gòu)買某件衣服,接下來(lái)你來(lái)到其他網(wǎng)站可能就會(huì)發(fā)現(xiàn),向你展示的廣告都和剛剛瀏覽過(guò)的那件衣服有高度相似。
政府的監(jiān)控也更加有效了。前段時(shí)間鬧得沸沸揚(yáng)揚(yáng)的“棱鏡”事件,使公眾對(duì)此有了一些認(rèn)識(shí),美國(guó)情報(bào)機(jī)構(gòu)一直在九家美國(guó)互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作,從音頻、視頻、圖片、郵件、文檔等信息中分析個(gè)人的聯(lián)系方式與行動(dòng)。
還有一類隱藏在黑暗中的群體,他們也將在數(shù)據(jù)時(shí)代中獲得更多的利益,那就是黑客們。
從興趣到產(chǎn)業(yè),黑客江湖已經(jīng)不再是2000年前后的熱血疆土。1997年Goodwell、Solo、Rocky等人創(chuàng)立了“綠色兵團(tuán)”,開創(chuàng)了中國(guó)黑客的紅色年代,這一時(shí)期的黑客們?cè)谟∧崤湃A、中美撞機(jī)等事件中成功實(shí)施跨國(guó)網(wǎng)絡(luò)攻擊,將中國(guó)的五星紅旗插在了印尼、臺(tái)灣、美國(guó)的網(wǎng)站上。
如今,黑客這個(gè)詞和木馬、盜號(hào)、詐騙這些詞聯(lián)系在一起?!?012年中國(guó)網(wǎng)站可信驗(yàn)證行業(yè)發(fā)展報(bào)告》顯示,截至2012年6月底,全國(guó)79%的網(wǎng)站存在高危漏洞,31.8%有網(wǎng)絡(luò)購(gòu)物經(jīng)歷的網(wǎng)民本人曾在網(wǎng)購(gòu)過(guò)程中直接碰到釣魚網(wǎng)站或詐騙網(wǎng)站,網(wǎng)購(gòu)遇騙網(wǎng)民的規(guī)模達(dá)6169萬(wàn)。保守估算,因釣魚網(wǎng)站或詐騙網(wǎng)站給網(wǎng)民造成的損失不低于308億。
信息的竊取已經(jīng)構(gòu)成了一個(gè)完整的產(chǎn)業(yè)鏈,技術(shù)高超的黑客負(fù)責(zé)編寫木馬,然后將程序賣給下游的買家。擁有一定黑客知識(shí)但是還不足以自己完成編寫木馬程序的人負(fù)責(zé)將木馬掛到有漏洞的網(wǎng)站上,這些人被稱為掛馬者。最底層的是洗信者,他們從掛馬者手中買到裝有用戶名和密碼的“信”,從中尋找有價(jià)值的東西,就這樣每年約有20億個(gè)賬戶的信息在地下進(jìn)行買賣。
最有價(jià)值的東西莫過(guò)于用戶的銀行卡信息。常見的網(wǎng)購(gòu)詐騙是通過(guò)釣魚網(wǎng)站,黑客們假冒淘寶、機(jī)票預(yù)訂等電商網(wǎng)站,一旦用戶在上面進(jìn)行支付,用戶的銀行卡卡號(hào)、網(wǎng)銀密碼就被成功竊走。
密碼的安全是網(wǎng)銀安全的最后一道關(guān)口,也是最重要的一道關(guān)口,但據(jù)深諳商用密碼竊取技術(shù)的網(wǎng)絡(luò)安全專家(綠色兵團(tuán)創(chuàng)始人之一)介紹,國(guó)內(nèi)銀行對(duì)網(wǎng)銀密碼的安全性重視度并不高,盡管已經(jīng)出現(xiàn)了多起網(wǎng)銀被盜的案例,單筆金額最大的甚至近千萬(wàn)元,但目前還沒有看到國(guó)內(nèi)銀行愿意在密碼安全上投入更高成本的決心。
據(jù)該專家介紹,使用U盾來(lái)完成網(wǎng)銀支付的用戶,風(fēng)險(xiǎn)較使用時(shí)間型動(dòng)態(tài)密碼的用戶更高。由于U盾有接口,因此給木馬控制之機(jī),例如一種名為“紅蝙蝠網(wǎng)銀大盜”的病毒木馬就可以通過(guò)中了病毒的U-key在不到一分鐘的時(shí)間將用戶資金轉(zhuǎn)出。
在國(guó)外,網(wǎng)銀支付更多的是應(yīng)用時(shí)間型動(dòng)態(tài)口令密碼技術(shù),由于它不需要接口,與平臺(tái)無(wú)關(guān),更加適用于移動(dòng)互聯(lián)網(wǎng)時(shí)代,且動(dòng)態(tài)口令每個(gè)密碼每分鐘只能使用一次,有效時(shí)間不超過(guò)1分鐘,大大提高了網(wǎng)銀的安全性。
但時(shí)間型動(dòng)態(tài)口令存在被截取的可能性,黑客可以利用釣魚網(wǎng)站竊取用戶的賬號(hào)及密碼,同時(shí),瀏覽器將跳轉(zhuǎn)至一個(gè)等待頁(yè)面,該頁(yè)面以系統(tǒng)升級(jí)為借口,讓用戶等待60秒。黑客則利用這60秒的時(shí)間,迅速登錄用戶的網(wǎng)銀賬號(hào)。一旦60秒倒計(jì)時(shí)結(jié)束后,頁(yè)面會(huì)顯示讓用戶輸入動(dòng)態(tài)口令。用戶輸入后,黑客將第一時(shí)間收到用戶的動(dòng)態(tài)口令,并立即提空用戶賬戶內(nèi)的所有錢款。
商用密碼的安全性、規(guī)范性越來(lái)越被國(guó)家重視,去年11月底,國(guó)家密碼管理局發(fā)布了《中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)》(GM/T 0021-2012),對(duì)動(dòng)態(tài)口令密碼應(yīng)用技術(shù)規(guī)范做出明確規(guī)定,要求必須是“挑戰(zhàn)應(yīng)答”式動(dòng)態(tài)密碼技術(shù),且芯片必須采用具有國(guó)家密碼管理局批準(zhǔn)產(chǎn)品型號(hào)證書的安全芯片。這是因?yàn)?,信息安全的核心是密碼技術(shù),密碼技術(shù)的核心是加密算法,區(qū)分不同的個(gè)體在于密鑰,而算法和密鑰均存儲(chǔ)在具有硬件防護(hù)的安全芯片中,所以密碼產(chǎn)品采用經(jīng)國(guó)家核準(zhǔn)的安全芯片更是重中之重。
所謂“挑戰(zhàn)應(yīng)答”式動(dòng)態(tài)密碼最安全方便的根源在于它的防線設(shè)定在用戶本身,與用戶實(shí)時(shí)互動(dòng),要求用戶在操作時(shí)要輸對(duì)方交易卡號(hào)等對(duì)方的特定信息,從而產(chǎn)生這一分鐘的實(shí)時(shí)交易密碼。
例如A要轉(zhuǎn)賬給B,先在動(dòng)態(tài)令牌上輸入B的銀行賬號(hào)后六位,然后獲得動(dòng)態(tài)密碼,這樣即便黑客竊取了A的賬號(hào)和動(dòng)態(tài)密碼,只要轉(zhuǎn)入的賬號(hào)后六位與A此前輸入的信息不同,轉(zhuǎn)賬就不會(huì)成功,這樣認(rèn)證相對(duì)U-key和時(shí)間型動(dòng)態(tài)密碼就更安全了。而且產(chǎn)品具有非接觸性,只要有數(shù)字按鍵的地方都能認(rèn)證,從而解決了不同終端設(shè)備以及不同應(yīng)用場(chǎng)景下的認(rèn)證問(wèn)題,例如手機(jī)銀行、電話銀行、ATM機(jī)、POS機(jī)等。
但由于規(guī)范出臺(tái)較新,所以尚未得到銀行重視,目前市場(chǎng)上99%的網(wǎng)銀動(dòng)態(tài)密碼產(chǎn)品均是采用沒有任何防護(hù)技術(shù)的通用芯片,動(dòng)態(tài)密碼也多數(shù)停留在時(shí)間同步技術(shù),用戶密碼并不安全。
更值得注意的是,通用芯片完全是采購(gòu)的國(guó)外產(chǎn)品,雖然價(jià)格低廉,但存在安全隱患,“斯諾登”事件也說(shuō)明說(shuō)明國(guó)與國(guó)之間不僅存在著信息戰(zhàn),而且未來(lái)戰(zhàn)爭(zhēng)更是信息之戰(zhàn)。上述網(wǎng)絡(luò)安全專家說(shuō),中國(guó)在信息戰(zhàn)中處于下風(fēng), 2006年美國(guó)115個(gè)政府部門參與的一場(chǎng)“網(wǎng)絡(luò)風(fēng)暴”的網(wǎng)絡(luò)戰(zhàn)演習(xí)中,發(fā)現(xiàn)中國(guó)黑客可在72小時(shí)使美國(guó)金融系統(tǒng)陷入癱瘓狀態(tài),但美國(guó)只用24個(gè)小時(shí)就可以搞定中國(guó)的金融系統(tǒng)。