安全乱象
2009-08-04刘佳侯大银
刘 佳 侯大银
“安全”已经成为互联网上最令人担忧的关键词。不久前,互联网之父、TCP/IP协议联合设计者温顿·瑟夫(Vinton Cerf)向媒体表达了这样的担忧:“尽管互联网1983年就投入了运营,并于1989年商业化,但目前互联网仍然缺乏许多必需的功能,安全方面问题尤为突出。”
McAfee Avert Labs的高级副总裁Jeff Green表示了对于互联网安全的看法;“网络罪犯正在制造计算机用户无法识别的攻击。钓鱼欺诈、电子邮件攻击、木马和很多其它攻击方式都是针对个人,即使最富经验的人也可能落入精心策划的社会工程陷阱中。不管您住在哪里或说何种语言,网络骗子都能利用人的本性,如恐惧、好奇心、贪婪和同情心等。罪犯了解人的弱点,并通过互联网大加利用这些弱点。对于网络骗子来说,利用这种方式赚钱或窃取敏感数据非常容易。”
支付隐忧
因网络安全问题引发的真实财产的损失让网民忧心忡忡。黑客、木马盗用网银资金、金融欺诈、大量银行用户数据信息被交易……今年央视“3.15晚会”对于网上银行和网上支付安全隐患的曝光,令人触目惊心。可以说,消费者对于网上支付的安全疑虑,成为了制约网络消费的重要瓶颈。根据艾瑞咨询发布的一项调查显示:有27.5%的网上银行和网上支付用户在晚会后决定减少使用网上银行和网上支付,有3.0%的用户决定不再使用。而网上银行和网上支付的潜在用户中,有57.6%决定推迟初次使用时间,有24.8%决定不再使用。
事实上,如今的电子支付早已跳出单纯的在线买卖支付,越来越广泛地渗透到航空、教育考试、水电缴费等众多消费领域。艾瑞咨询最新统计数据显示,2009年第一季度网上支付交易额为1096亿元,首次突破千亿元大关,并继续保持环比12.8%、同比129.3%的高速增长。而随着网络交易量与网络支付用户数量的不断攀升,支付安全问题也呈现出几何级数的扩张趋势。此前银监会在向各大银行下发的文件中提出,第三方支付机构信用风险、网络黑客风险、信用卡非法套现风险、发生洗钱等犯罪行为风险以及法律风险,将是金融机构和第三方支付平台合作时首先需要评估的风险。
工欲善其事,必先利其器。网上支付的前景虽然美好,然而还有不少的技术障碍亟需解决,只有当安全与信任共同建立,互联网交易的屏障才会迎刃而解。目前来看,网络支付的安全手段主要基于电脑本身,如让用户安装加密安全控件、独立的客户端软件、数字证书等等,下一步,如何在如何将各大银行网银、支付平台、企业财务系统等支付各环节联动起来,提供更多有效的软件甚至外设硬件来构筑网上支付的安全防线,仍是需要业界不断探索的问题。
谁动了我的虚拟财产?
游戏币被盗,装备失窃……游戏近年逐渐成了网络安全的泛红区。随着游戏玩家的增多,这里的安全威胁也日益突出。
前段时间,《魔兽》易主一直闹得沸沸扬扬,但不管新东家是谁,玩家们最关心的是游戏的数据转移。他们希望看到,再次进入《魔兽》时,等级、经验和装备依然完好无损。这样的感情就像是在保护自己家中的那台电脑,那张存折。
但实际上,在网络里,虚拟财产却不时受到侵扰。当玩家们正在为新练成的装备而兴奋时,几天的辛劳成果却不翼而飞。抑或正处于升级的快感中时,系统却提示数据丢失。外界恶意的偷盗和运营商技术的不到位,都有可能对虚拟财产造成威胁。
无疑,外挂、私服、偷盗虚拟财产都是网游蓬勃发展中的冷箭。但是,对玩家来说,游戏厂商有责任和义务保护玩家在虚拟世界中的安全,并且是无条件的保护,不因会员与否而改变。
隐私泄露:“重灾区”
伴随着社交网站的兴起,互联网已进入了全民SNS时代。然而,新的网络时代带来了新的网络安全危机。当你兴奋地在SNS网站上广泛结交好友的同时,也意味着你已经将自己暴露于重重的安全隐患之中。
强调真实交友的社交网站,通常要求用户填写性别、年龄、教育程度、工作情况、婚姻情况、真实照片、手机号码等真实个人资料,甚至是MSN账号密码、QQ账号密码等等。当用户将这些信息全部填写完毕,几乎再无隐私可言。
安全软件制造商ESET研究人员Randy Abrams说道:“由于不理解真正的威胁和危险,部分人们默认社交网站是安全的。这就像你走在街上然后信任你遇见的每个人一样。”也许SNS的大部分拥趸们并没有意识到社交网站所带来的隐私威胁,而网络黑客却早已将攻击目标锁定在大型社交网站。去年8月,Facebook有多达1800名用户的用户文档遭到秘密安装的木马程序窜改#MySpace也有大量安全漏洞被安全专家披露。今年6月,国内社交网站校内网就遭遇了黑客的强行入侵,部分校内网用户反映,其日志被篡改并加入了“QQ千里眼”软件下载引导的恶意代码,随后校内网官方及时回应对数据进行及时恢复,并将联系公关机关处理后续事宜。
“我们尽全力去保障Faceb00k安全,但我们无法为此担保。”全球知名社交网站Facebook在一份告诫中如是说。一位SNS活跃用户向记者表示了自己的担忧:“不论是黑客攻击还是社交网站自身的问题,这些事故让我感觉自己在使用该网站时缺乏安全感,如果网站被黑客如履平地,或是我的账号密码被盗取,黑客将能够随意篡改、盗取我的个人信息,甚至向我的好友发送病毒网站链接或是欺诈性信息,这样一来,不仅我的个人隐私无从保障,还可能对我在网上的无数好友带来更大的危害。”
可靠的云?
“云计算”可谓是过去一年当中最流行的IT词汇。微软、IBM、亚马逊、Google……各大企业争相推出看上去很可靠的“云计算”服务来吸引企业客户。但事实上,当企业将所有应用程序和数据抛向“云端”的同时,也需要仔细考虑:“云”真的靠得住吗?你是否真正放心将自己的重要信息甚至是涉及到商业机密、个人隐私的信息都存在“云”里?
就在今年4月旧金山召开的RSA会议上,云安全成为业界热烈讨论的话题,思科公司CEO John Chambers甚至直接称云计算的安全问题为“安全噩梦”。而Gartner咨询公司发布的一份名为《云计算安全风险评估》的报告中,列出了云计算技术存在的7大风险。即特权用户的接入、可审查性、数据位置、数据隔离、数据恢复、调查支持和长期生存性。以“数据位置”为例,用户在使用云计算服务时,并不清楚自己的数据储存在哪里,用户甚至都不知道数据位于哪个国家。
云计算的出现,让正邪两太阵营再次找到对垒的战场。以云计算技术为基础的服务,如亚马逊的Web服务、微软的Azure等为企业和个人用户提供的简单基础运算、按需租用的存储空间等等云服务,但这些技术和服务同样被黑客利用来发送垃圾邮件,或者发起针对下载、数据上传统计、恶意代码监测等更为高级的恶意程序攻击。
在2008年影响较大的Web2.0网络故障事件中,也有多项
涉及到炙手可热的云计算应用。例如亚马逊S3服务的中断、GoogleApps(在线办公应用软件)的中断服务、Gmail服务的中断等,让那些本就处在“云里雾里”的企业和用户更加忧虑和怀疑。就在不久前,多位知名度颇高的隐私和信息安全专家致信谷歌首席执行官埃里克·施密特(Eric Schmidt),要求谷歌云计算服务更改隐私设置以提升安全性。
在云计算日益流行的今天,如果服务厂商仅仅是给网络服务贴上“云计算”的时髦标签,并不能让用户了解转向云计算的真正价值。如果不将云计算的可靠性和安全性的软肋问题很好地解决,云计算的普及仍只是海市蜃楼。
网络安全何处安放?
在线支付隐患、虚拟财产被盗、隐私泄露……,种种问题挑战着用户的安全感,而运营商和“专家”们会给出如下的安全措施:
措施一:注意做好网络安全防护措施,不仅仅是及时更新安全软件、给系统打补丁,还得注意第三方应用软件的漏洞,比如浏览器、播放器,或者Flash等的漏洞。必要时,可以采用反钓鱼网络的浏览器插件和进行Web安全检测。
措施二:不要轻易泄露自己的隐私信息。尽量不要发布能确定自己身份的具体信息,比如真实姓名、生日、电话、住址、工作单位等信息。如果是采取实名制的网站,且你想使用真实信息的话,请设置好隐私规则,将其设置为只对好友可见,阻止陌生人看到你的个人信息。对于来自陌生人的加为好友的请求,也要加强警惕,注意分辨。
对于网站用户名,不要使用含有自己个人信息的用户名,比如你的名字或者生日数字,此外还要设置一个安全的密码。而注册用的邮箱,最好也不要采用自己常用的邮箱,可以新建一个专门的邮箱用来注册和接收网站信息。
不要在日志中记录一些隐私方面的事情,更不要公布一些私密的照片,比如你的艳照,要知道,一旦这些信息被公布在网络上,要立即根除这些信息是很麻烦的。
措施三:要对网上传播的内容要保持警惕,不要轻易点击不明链接,不要贪图小便宜,防范网络钓鱼。
措施四:向服务提供商寻求帮助,诸如QQ号被盗后的申诉,游戏道具失窃后的投诉等方法寻回丢失的财产。而此时,运营商还会要求用户提供详细的注册信息,密码、被盗时间、密保答案等等。
措施五……
如此之类的措施,用户在每次安全问题出现之后都会看到一大堆。但这些安全措施中有几个是真正让用户感到安全的呢?盗号、隐私泄露、数据丢失等问题依然存在,哪里才能找到真正的安全感?
用户一直被厂商们标榜为所有活动的中心,但在盈利之外,用户的权利是否得到了重视呢?繁冗的申诉程序、冰冷的客服服务、火热的盈利模式探讨……网民的权利在哪里?
归根结底,互联网是开放的,对所有人都平等。而对“手无寸铁”的用户来讲,他们需要的不只是“防身术”,更是能从权利、环境方面给予支持的“保护伞”。