當(dāng)生活全部被數(shù)據(jù)占領(lǐng)以后,,你覺(jué)得你的生活有多安全,?
暢銷(xiāo)書(shū)《大數(shù)據(jù)時(shí)代》講述了身處大數(shù)據(jù)時(shí)代,你的生活會(huì)有多么美好,。不需要知道因果,,只需要占有大量的數(shù)據(jù)便可以知道下一次瘟疫何時(shí)會(huì)爆發(fā),了解何時(shí)買(mǎi)進(jìn)機(jī)票是最劃算的,,甚至你的汽車(chē)座駕因?yàn)檎加辛四闫ü傻臄?shù)據(jù)就輕而易舉地終結(jié)了偷車(chē)賊把車(chē)開(kāi)車(chē)的可能性,。
但本書(shū)的作者也說(shuō)了:“數(shù)據(jù)化意味著我們把一切都透明化。”我們時(shí)刻都暴露在“第三只眼”之下,,亞馬遜監(jiān)視著我們的購(gòu)物習(xí)慣,谷歌監(jiān)視著我們的網(wǎng)頁(yè)瀏覽習(xí)慣,。
在這樣一個(gè)透明的社會(huì)中,,商家有了更精準(zhǔn)的營(yíng)銷(xiāo)方式,比如你在淘寶上有意購(gòu)買(mǎi)某件衣服,,接下來(lái)你來(lái)到其他網(wǎng)站可能就會(huì)發(fā)現(xiàn),,向你展示的廣告都和剛剛瀏覽過(guò)的那件衣服有高度相似。
政府的監(jiān)控也更加有效了,。前段時(shí)間鬧得沸沸揚(yáng)揚(yáng)的“棱鏡”事件,,使公眾對(duì)此有了一些認(rèn)識(shí),美國(guó)情報(bào)機(jī)構(gòu)一直在九家美國(guó)互聯(lián)網(wǎng)公司中進(jìn)行數(shù)據(jù)挖掘工作,,從音頻,、視頻、圖片,、郵件,、文檔等信息中分析個(gè)人的聯(lián)系方式與行動(dòng)。
還有一類(lèi)隱藏在黑暗中的群體,,他們也將在數(shù)據(jù)時(shí)代中獲得更多的利益,,那就是黑客們。
從興趣到產(chǎn)業(yè),,黑客江湖已經(jīng)不再是2000年前后的熱血疆土,。1997年Goodwell,、Solo、Rocky等人創(chuàng)立了“綠色兵團(tuán)”,,開(kāi)創(chuàng)了中國(guó)黑客的紅色年代,,這一時(shí)期的黑客們?cè)谟∧崤湃A、中美撞機(jī)等事件中成功實(shí)施跨國(guó)網(wǎng)絡(luò)攻擊,,將中國(guó)的五星紅旗插在了印尼,、臺(tái)灣、美國(guó)的網(wǎng)站上,。
如今,,黑客這個(gè)詞和木馬、盜號(hào),、詐騙這些詞聯(lián)系在一起,。《2012年中國(guó)網(wǎng)站可信驗(yàn)證行業(yè)發(fā)展報(bào)告》顯示,,截至2012年6月底,,全國(guó)79%的網(wǎng)站存在高危漏洞,31.8%有網(wǎng)絡(luò)購(gòu)物經(jīng)歷的網(wǎng)民本人曾在網(wǎng)購(gòu)過(guò)程中直接碰到釣魚(yú)網(wǎng)站或詐騙網(wǎng)站,,網(wǎng)購(gòu)遇騙網(wǎng)民的規(guī)模達(dá)6169萬(wàn),。保守估算,因釣魚(yú)網(wǎng)站或詐騙網(wǎng)站給網(wǎng)民造成的損失不低于308億,。
信息的竊取已經(jīng)構(gòu)成了一個(gè)完整的產(chǎn)業(yè)鏈,,技術(shù)高超的黑客負(fù)責(zé)編寫(xiě)木馬,然后將程序賣(mài)給下游的買(mǎi)家,。擁有一定黑客知識(shí)但是還不足以自己完成編寫(xiě)木馬程序的人負(fù)責(zé)將木馬掛到有漏洞的網(wǎng)站上,,這些人被稱(chēng)為掛馬者。最底層的是洗信者,,他們從掛馬者手中買(mǎi)到裝有用戶名和密碼的“信”,,從中尋找有價(jià)值的東西,就這樣每年約有20億個(gè)賬戶的信息在地下進(jìn)行買(mǎi)賣(mài),。
最有價(jià)值的東西莫過(guò)于用戶的銀行卡信息,。常見(jiàn)的網(wǎng)購(gòu)詐騙是通過(guò)釣魚(yú)網(wǎng)站,黑客們假冒淘寶,、機(jī)票預(yù)訂等電商網(wǎng)站,,一旦用戶在上面進(jìn)行支付,用戶的銀行卡卡號(hào),、網(wǎng)銀密碼就被成功竊走,。
密碼的安全是網(wǎng)銀安全的最后一道關(guān)口,也是最重要的一道關(guān)口,但據(jù)深諳商用密碼竊取技術(shù)的網(wǎng)絡(luò)安全專(zhuān)家(綠色兵團(tuán)創(chuàng)始人之一)介紹,,國(guó)內(nèi)銀行對(duì)網(wǎng)銀密碼的安全性重視度并不高,,盡管已經(jīng)出現(xiàn)了多起網(wǎng)銀被盜的案例,單筆金額最大的甚至近千萬(wàn)元,,但目前還沒(méi)有看到國(guó)內(nèi)銀行愿意在密碼安全上投入更高成本的決心,。
據(jù)該專(zhuān)家介紹,使用U盾來(lái)完成網(wǎng)銀支付的用戶,,風(fēng)險(xiǎn)較使用時(shí)間型動(dòng)態(tài)密碼的用戶更高,。由于U盾有接口,因此給木馬控制之機(jī),,例如一種名為“紅蝙蝠網(wǎng)銀大盜”的病毒木馬就可以通過(guò)中了病毒的U-key在不到一分鐘的時(shí)間將用戶資金轉(zhuǎn)出,。
在國(guó)外,網(wǎng)銀支付更多的是應(yīng)用時(shí)間型動(dòng)態(tài)口令密碼技術(shù),,由于它不需要接口,,與平臺(tái)無(wú)關(guān),更加適用于移動(dòng)互聯(lián)網(wǎng)時(shí)代,,且動(dòng)態(tài)口令每個(gè)密碼每分鐘只能使用一次,,有效時(shí)間不超過(guò)1分鐘,大大提高了網(wǎng)銀的安全性,。
但時(shí)間型動(dòng)態(tài)口令存在被截取的可能性,,黑客可以利用釣魚(yú)網(wǎng)站竊取用戶的賬號(hào)及密碼,同時(shí),,瀏覽器將跳轉(zhuǎn)至一個(gè)等待頁(yè)面,,該頁(yè)面以系統(tǒng)升級(jí)為借口,讓用戶等待60秒,。黑客則利用這60秒的時(shí)間,迅速登錄用戶的網(wǎng)銀賬號(hào),。一旦60秒倒計(jì)時(shí)結(jié)束后,,頁(yè)面會(huì)顯示讓用戶輸入動(dòng)態(tài)口令。用戶輸入后,,黑客將第一時(shí)間收到用戶的動(dòng)態(tài)口令,,并立即提空用戶賬戶內(nèi)的所有錢(qián)款。
商用密碼的安全性,、規(guī)范性越來(lái)越被國(guó)家重視,,去年11月底,國(guó)家密碼管理局發(fā)布了《中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)》(GM/T 0021-2012),,對(duì)動(dòng)態(tài)口令密碼應(yīng)用技術(shù)規(guī)范做出明確規(guī)定,,要求必須是“挑戰(zhàn)應(yīng)答”式動(dòng)態(tài)密碼技術(shù),且芯片必須采用具有國(guó)家密碼管理局批準(zhǔn)產(chǎn)品型號(hào)證書(shū)的安全芯片,。這是因?yàn)?,信息安全的核心是密碼技術(shù),,密碼技術(shù)的核心是加密算法,區(qū)分不同的個(gè)體在于密鑰,,而算法和密鑰均存儲(chǔ)在具有硬件防護(hù)的安全芯片中,,所以密碼產(chǎn)品采用經(jīng)國(guó)家核準(zhǔn)的安全芯片更是重中之重。
所謂“挑戰(zhàn)應(yīng)答”式動(dòng)態(tài)密碼最安全方便的根源在于它的防線設(shè)定在用戶本身,,與用戶實(shí)時(shí)互動(dòng),,要求用戶在操作時(shí)要輸對(duì)方交易卡號(hào)等對(duì)方的特定信息,從而產(chǎn)生這一分鐘的實(shí)時(shí)交易密碼,。
例如A要轉(zhuǎn)賬給B,,先在動(dòng)態(tài)令牌上輸入B的銀行賬號(hào)后六位,然后獲得動(dòng)態(tài)密碼,,這樣即便黑客竊取了A的賬號(hào)和動(dòng)態(tài)密碼,,只要轉(zhuǎn)入的賬號(hào)后六位與A此前輸入的信息不同,轉(zhuǎn)賬就不會(huì)成功,,這樣認(rèn)證相對(duì)U-key和時(shí)間型動(dòng)態(tài)密碼就更安全了,。而且產(chǎn)品具有非接觸性,只要有數(shù)字按鍵的地方都能認(rèn)證,,從而解決了不同終端設(shè)備以及不同應(yīng)用場(chǎng)景下的認(rèn)證問(wèn)題,,例如手機(jī)銀行、電話銀行,、ATM機(jī),、POS機(jī)等。
但由于規(guī)范出臺(tái)較新,,所以尚未得到銀行重視,,目前市場(chǎng)上99%的網(wǎng)銀動(dòng)態(tài)密碼產(chǎn)品均是采用沒(méi)有任何防護(hù)技術(shù)的通用芯片,動(dòng)態(tài)密碼也多數(shù)停留在時(shí)間同步技術(shù),,用戶密碼并不安全,。
更值得注意的是,通用芯片完全是采購(gòu)的國(guó)外產(chǎn)品,,雖然價(jià)格低廉,,但存在安全隱患,“斯諾登”事件也說(shuō)明說(shuō)明國(guó)與國(guó)之間不僅存在著信息戰(zhàn),,而且未來(lái)戰(zhàn)爭(zhēng)更是信息之戰(zhàn),。上述網(wǎng)絡(luò)安全專(zhuān)家說(shuō),中國(guó)在信息戰(zhàn)中處于下風(fēng),, 2006年美國(guó)115個(gè)政府部門(mén)參與的一場(chǎng)“網(wǎng)絡(luò)風(fēng)暴”的網(wǎng)絡(luò)戰(zhàn)演習(xí)中,,發(fā)現(xiàn)中國(guó)黑客可在72小時(shí)使美國(guó)金融系統(tǒng)陷入癱瘓狀態(tài),但美國(guó)只用24個(gè)小時(shí)就可以搞定中國(guó)的金融系統(tǒng)。