“泄密门”两嫌犯被拘:白天工程师晚上黑客(2)
据北京市公安局相关处室透露,CSDN和天涯这两家网站曾在2009年以前遭入侵,数据泄漏也发生在两年前,近期这两家网站并没有遭到攻击。
“这一次,黑客是善意的,爆出来的都是以前的库。”一位不愿具名的安全行业工程师透露,实际上,他们手里有最新的库,但出于对行业环境的考虑,没有把这些库爆出来。
泄密门曾有预警
在密码泄漏事件中,一个叫做乌云漏洞平台(Wooyun.org)从不为人熟知的专业平台一下跃入大众视野。乌云吸引了一大批黑客,他们在发现企业漏洞时,便将这些漏洞与补丁传到这些网站上去。
但是,这个平台一直不受企业待见。蒋涛亦坦承,事发之前,乌云漏洞平台把大部分漏洞做出了预警,告诉了相关企业,但各个企业并没有引起足够重视,没有及时提醒用户修改密码,导致后来一发不可收拾。
缘何企业对预警如此忽视?
这缘于黑客与企业之间多年形成的微妙关系。这些企业对黑客往往是又气又恼。在黑客面前,企业就像一个学生。黑客老师天天挑学生的毛病,刚开始可能觉得是正向激励,日子久了,自然对黑客没好脸色。
更有一些公司极端地认为,没有黑客,企业的漏洞在某种程度上来说就不存在,“即便存在,也不打紧。只要不暴露,就可以视而不见”。
但是,企业又无法“忽视”黑客。因为,黑客冷不防就会给上“温柔一刀”。一些大的互联网企业甚至直接“招安”黑客,纳入麾下。有的小网站每月给黑客上交1万元到2万元的“保护费”。
“其实,黑客需要的是肯定。”上述安全行业工程师告诉记者,在乌云的平台上,企业会给提交漏洞的黑客以积分,用作鼓励。黑客也愿意无私提交发现的漏洞,如此形成了一个良性循环。
应对之策
“未来,各个网站应该和类似乌云漏洞的平台合作。”蒋涛倡议,未来,国内安全界和技术界不应该再有隔离。
CSDN开始全方位亡羊补牢。1月11日,CSDN与阿里云展开针对网站安全的战略合作。据蒋涛介绍, CSDN将采用阿里云邮箱,并把该邮箱与其他邮箱隔离,避免一个邮箱泄漏,“全城皆失”的情况。并且,还将接受阿里云提供的其他服务。
“我们应该和那些安全做得好的企业合作。”蒋涛称,除百度、阿里、腾讯等大公司,以及某些游戏厂商外,许多国内的互联网公司,包括CSDN在内,并没有太多实力去成立一个专门的安全工程师团队。
蒋涛告诉记者,CSDN会加强自身的安全策略,把网站的非核心数据与核心数据进行隔离,减少有价值数据的接口;并且正在向安全部门申请信息系统的等级保护,接受信息安全监管部门的相关管理。并且,CSDN还会引入相应的安全审核机制,防止数据信息从内部泄漏。
来源:《21世纪经济报道》
(作者:,来源:)- 最高法司法解释:反向工程获商业秘密“合法” 2015-05-10
- 软件著作权登记与取得著作权没有任何的关系 2015-06-02
- 对侵犯商业秘密行为应承担那些行政责任 2015-06-01
- 谈谈“传奇”私服及其侵犯商业秘密的性质 2015-05-29
- 业界热议录音制作者广播权 2015-06-03
- 商标评审申请及答辩 2015-05-10