文/新浪財經 席淑靜[微博] (能見派微信nengjianpai)
在大數據時代,你可以知道何時買進機票最劃算、什么時候會爆發瘟疫,但是它也意味著我們的一切都變得透明。我們時刻暴露在“第三只眼下”,亞馬遜監視著我們的購物習慣,谷歌監視著我們的網頁瀏覽習慣。
“棱鏡門”事件爆發后公眾才意識到,美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作,從音頻、視頻、圖片、郵件、文檔等信息中分析個人的聯系方式與行動。當生活全部被數據占領以后,你覺得你的生活有多安全?
暢銷書《大數據時代》講述了身處大數據時代,你的生活會有多么美好。不需要知道因果,只需要占有大量的數據便可以知道下一次瘟疫何時會爆發,了解何時買進機票是最劃算的,甚至你的汽車座駕因為占有了你屁股的數據就輕而易舉地終結了偷車賊把車開車的可能性。
但本書的作者也說了:“數據化意味著我們把一切都透明化。”我們時刻都暴露在“第三只眼”之下,亞馬遜[微博]監視著我們的購物習慣,谷歌[微博]監視著我們的網頁瀏覽習慣。
在這樣一個透明的社會中,商家有了更精準的營銷方式,比如你在淘寶上有意購買某件衣服,接下來你來到其他網站可能就會發現,向你展示的廣告都和剛剛瀏覽過的那件衣服有高度相似。
政府的監控也更加有效了。前段時間鬧得沸沸揚揚的“棱鏡”事件,使公眾對此有了一些認識,美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作,從音頻、視頻、圖片、郵件、文檔等信息中分析個人的聯系方式與行動。
還有一類隱藏在黑暗中的群體,他們也將在數據時代中獲得更多的利益,那就是黑客們。
從興趣到產業,黑客江湖已經不再是2000年前后的熱血疆土。1997年Goodwell、Solo、Rocky等人創立了“綠色兵團”,開創了中國黑客的紅色年代,這一時期的黑客們在印尼排華、中美撞機等事件中成功實施跨國網絡攻擊,將中國的五星紅旗插在了印尼、臺灣、美國的網站上。
如今,黑客這個詞和木馬、盜號、詐騙這些詞聯系在一起。《2012年中國網站可信驗證行業發展報告》顯示,截至2012年6月底,全國79%的網站存在高危漏洞,31.8%有網絡購物經歷的網民本人曾在網購過程中直接碰到釣魚網站或詐騙網站,網購遇騙網民的規模達6169萬。保守估算,因釣魚網站或詐騙網站給網民造成的損失不低于308億。
信息的竊取已經構成了一個完整的產業鏈,技術高超的黑客負責編寫木馬,然后將程序賣給下游的買家。擁有一定黑客知識但是還不足以自己完成編寫木馬程序的人負責將木馬掛到有漏洞的網站上,這些人被稱為掛馬者。最底層的是洗信者,他們從掛馬者手中買到裝有用戶名和密碼的“信”,從中尋找有價值的東西,就這樣每年約有20億個賬戶的信息在地下進行買賣。
最有價值的東西莫過于用戶的銀行卡信息。常見的網購詐騙是通過釣魚網站,黑客們假冒淘寶、機票預訂等電商網站,一旦用戶在上面進行支付,用戶的銀行卡卡號、網銀密碼就被成功竊走。
密碼的安全是網銀安全的最后一道關口,也是最重要的一道關口,但據深諳商用密碼竊取技術的網絡安全專家(綠色兵團創始人之一)介紹,國內銀行對網銀密碼的安全性重視度并不高,盡管已經出現了多起網銀被盜的案例,單筆金額最大的甚至近千萬元,但目前還沒有看到國內銀行愿意在密碼安全上投入更高成本的決心。
據該專家介紹,使用U盾來完成網銀支付的用戶,風險較使用時間型動態密碼的用戶更高。由于U盾有接口,因此給木馬控制之機,例如一種名為“紅蝙蝠網銀大盜”的病毒木馬就可以通過中了病毒的U-key在不到一分鐘的時間將用戶資金轉出。
在國外,網銀支付更多的是應用時間型動態口令密碼技術,由于它不需要接口,與平臺無關,更加適用于移動互聯網時代,且動態口令每個密碼每分鐘只能使用一次,有效時間不超過1分鐘,大大提高了網銀的安全性。
但時間型動態口令存在被截取的可能性,黑客可以利用釣魚網站竊取用戶的賬號及密碼,同時,瀏覽器將跳轉至一個等待頁面,該頁面以系統升級為借口,讓用戶等待60秒。黑客則利用這60秒的時間,迅速登錄用戶的網銀賬號。一旦60秒倒計時結束后,頁面會顯示讓用戶輸入動態口令。用戶輸入后,黑客將第一時間收到用戶的動態口令,并立即提空用戶賬戶內的所有錢款。
商用密碼的安全性、規范性越來越被國家重視,去年11月底,國家密碼管理局發布了《中華人民共和國密碼行業標準》(GM/T 0021-2012),對動態口令密碼應用技術規范做出明確規定,要求必須是“挑戰應答”式動態密碼技術,且芯片必須采用具有國家密碼管理局批準產品型號證書的安全芯片。這是因為,信息安全的核心是密碼技術,密碼技術的核心是加密算法,區分不同的個體在于密鑰,而算法和密鑰均存儲在具有硬件防護的安全芯片中,所以密碼產品采用經國家核準的安全芯片更是重中之重。
所謂“挑戰應答”式動態密碼最安全方便的根源在于它的防線設定在用戶本身,與用戶實時互動,要求用戶在操作時要輸對方交易卡號等對方的特定信息,從而產生這一分鐘的實時交易密碼。
例如A要轉賬給B,先在動態令牌上輸入B的銀行賬號后六位,然后獲得動態密碼,這樣即便黑客竊取了A的賬號和動態密碼,只要轉入的賬號后六位與A此前輸入的信息不同,轉賬就不會成功,這樣認證相對U-key和時間型動態密碼就更安全了。而且產品具有非接觸性,只要有數字按鍵的地方都能認證,從而解決了不同終端設備以及不同應用場景下的認證問題,例如手機銀行、電話銀行、ATM機、POS機等。
但由于規范出臺較新,所以尚未得到銀行重視,目前市場上99%的網銀動態密碼產品均是采用沒有任何防護技術的通用芯片,動態密碼也多數停留在時間同步技術,用戶密碼并不安全。
更值得注意的是,通用芯片完全是采購的國外產品,雖然價格低廉,但存在安全隱患,“斯諾登”事件也說明說明國與國之間不僅存在著信息戰,而且未來戰爭更是信息之戰。上述網絡安全專家說,中國在信息戰中處于下風, 2006年美國115個政府部門參與的一場“網絡風暴”的網絡戰演習中,發現中國黑客可在72小時使美國金融系統陷入癱瘓狀態,但美國只用24個小時就可以搞定中國的金融系統。
(本文作者介紹:供職新浪財經,研究方向:能源。)
