当前位置: 安全纵横 > 安全公告

一周安全动态(2012年4月19日-2012年4月26日)

来源:安恒信息 日期:2012-4

2012年4月第四周(4.19-4.26)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 华理学生编软件查看校园网学友照 受追捧挤瘫网络

当初,美国facebook创始人扎克伯格侵入校园网,获得未经授权的美女同学照片,一时之间名声大噪,也让哈佛校方头疼了一阵子。而日前华东理工大学“梅陇客栈”论坛上出现一个名为“曾经的我们”的小软件,只要输入学号,就能看到自己在学校系统中的存档照片。虽然这个漏洞很快就被华理堵上,但关于校园网的安全问题,华理事件绝非个例。

》事件始末

学生编软件“入侵”校园网 引起疯狂转发 击垮服务器

据介绍,网名为“x-spirit”的华理学生近日在论坛上发帖公布了这款软件,并将其命名为“曾经的我们”。不管是在校学生还是已毕业的校友,只要输入本科学号,就能看到学校系统中的存档照片,疑似利用学校系统漏洞而得以实现。

“我试着输入学号,果然看到了照片。照片上的我看上去还很幼稚,是高中毕业刚上大学那会儿的样子。”华理校友张先生说,除了这张照片,其余信息包括姓名、专业等一律没法看到。不过,就是这张略显幼稚的存档照片,激发了众多网友的兴趣,大家纷纷尝试,导致服务器不堪重负,一度“瘫痪”。

部分学生觉得此举“有趣”,可以唤起大家曾经的记忆。网友“pigrass”打趣地说道,“搜了某甲妹,发现过去和现在一样纯;搜了某乙妹,以前居然是小脸嘟嘟的;搜了某丙妹,瞎了,假小子啊”。网友“木无波”看了照片后则感慨,“爷当然还很嫩,现在已经是大膘样了”。“goddisposes2008”更是表示感谢,“多谢楼主,2003级的老人成功找到当年寝室7人的照片,满怀感慨地写了篇日志,让我追忆了那似水年华。九年了,不容易,学校还留着我们这些老人的照片哪!”

不过,记者试图体验该软件时,却发现此软件已被关停。页面显示“因触犯了某位同学的隐私,关闭啦!”

一名华理学生在论坛上发帖时直指开发者“x-spirit”:“x-spirit同学发现了学校网站的漏洞。他将这个漏洞向公众公布,虽然没有公布细节,但是提供了一个该漏洞的应用。这个应用可能造成隐私泄露,造成服务器不堪重负。在未得到漏洞方同意的情况下,公布漏洞细节或者提供利用漏洞的方法是不对的。”

网友“Ebolla”也表示,“楼主挺有才的,但是并不是每个人都希望把自己的照片挂在网上给别人随便看的,非得往严重里说怎么也算是有点侵犯个人隐私了,所以楼主的初衷可能是好的,希望大家回忆一下青葱岁月,但是效果可能并不是那么理想。”

记者了解到,学号不同于密码,数字排列有规律可循。比如,自己的学号是“B03111123”,则“B03111122”和“B03111121”肯定是周围同学的学号。因此想要查看其他同学的照片,的确易如反掌。

》对话当事人

并非学计算机专业 利用漏洞软件才得以成功

记者近日联系了软件编写者“x-spirit”。提及编写该软件的初衷,他坦言,开发目的很简单,就是想让毕业多年的校友看看曾经的照片,找回多年前的记忆。“我把它取名为‘曾经的我们’,用意也就在此。”

他并不讳言,该软件利用了学校网络系统的漏洞,才得以实现。他表示,自己懂得适可而止,因此,在校学生或者毕业校友输入学号后,也只能看到一张照片。其他任何私人信息都是看不到的,“如果我真的是故意的话,为什么不抖出其他信息呢?其实,只要我愿意,其他信息都能挖出来,公之于众的。”他甚至不肯向记者透露漏洞细节,觉得知道的人太多,不是好事。

由于“曾经的我们”软件一开始的反响良好,“x-spirit”本来还有意为大家开发更多有趣的小软件,比如,华理选课外挂软件、实验抢课外挂软件等。

“不过,好景不长,前些天遭到了同学举报,因此被关停了。”“x-spirit”自觉委屈,“好心好意帮大家编写软件,没想遭到了举报,有同学觉得侵犯别人隐私。我已经交了一份检讨给学校,并将相关漏洞信息上报校方了。”

据“x-spirit”称,自己是非计算机专业的本科生。那么,华理校园网是不是真的不堪一击,一个并非相关专业的学生都能“攻破”?“x-spirit”告诉记者,“要发现学校系统漏洞,没有半点技术基础肯定是不可能的。那些计算机系的学生是不是普遍具有这样的水准,我也说不上来。”

他自述一直对计算机网络有浓厚兴趣,当初考大学时,未能进入计算机系,是因为偏科严重。他对互联网的兴趣从未减退,平时总会去一些国际专业论坛,和国外的计算机高手交流,并紧跟最新的网络技术。此外,“x-spirit”还做过不少小软件,比如“淘宝返现金”软件、“秒杀”软件等。他曾经还在上海市计算机应用大赛获过奖,在这一领域,自认为不比计算机专业的学生差。

“各个学校都会有像我一样的人,因为在互联网技术方面,是否具有黑客潜质,关键靠兴趣和实践,而不是课堂上老师教出来的。我现在就通过开发一些软件来提高能力,这是一个摸着石头过河的过程。”“x-spirit”觉得,不排除其他人会有和他一样的想法。

》学校反应

华理已于近日修补漏洞

此事发生后,华理信息办已经开始修补系统漏洞。记者近日致电信息办时,相关负责人表示,提高校园网安全,和财力、物力的大量投入不无关系,目前条件下难以完全做到。

“学校不可能坐以待毙,肯定会采取一些措施,具体细则不方便透露。”她如此说道。不过,记者还是在华理信息化办公室网站看到了一份《关于印发<华东理工大学校园网络信息安全应急工作预案>的通知》。该通知给出了网络信息安全应急处置工作程序,包括“紧急事件发生前,建立健全紧急事件速报制度,保障突发性紧急事件信息报送渠道畅通”等,但记者并未查看到具体实施细则。

相关案例

学生屡次攻陷自家校园网

事实上,学生发现校园网漏洞,并用各种方式炫耀“战绩”的做法,的确是很多高校共同面对的问题。据记者不完全统计,仅去年一年就有5起相关新闻报道。去年8月底,广东外语外贸大学(大学城校区)校园网遭黑客攻击,正在上网的学生电脑全部自动关机。所幸大部分同学电脑并未遭受损坏。“黑客”为该校信息学院大四学生,事后通过微博向全体学生公开道歉。

而就在今年3月底,南昌大学某学生匿名入侵校园网站后,篡改网站公告抱怨“学校断电太早,希望学生寝室0点30分再断电”,因此被广大网友称为“最有爱的黑客哥”。而据信息安全检测结果,南昌大学网站此前存在多个高危漏洞,才会被黑客轻易入侵篡改。

沪上不少高校的校园网也同样未能幸免。现在就职于一家外资IT企业的软件工程师“hackerzhou”早在复旦大学读书时,就发现了校方数据库管理系统的漏洞,并利用该漏洞,编写了选课软件。“我只想做点帮助同学的事情,所以没有做得过分。其实,如果我想的话,可以把其他任何同学的成绩信息调出来。这个软件一开始的时候,也只是在计算机专业的同学之间内部流传。”他如此说道。

此外,上海大学校友金先生在校时,也曾利用系统漏洞,设计过一个选课助手软件,累计使用人数达到130余万人次。他曾告诉记者,该软件出于善意的目的设计,但由于数据源问题,让该软件蒙上了一层阴影,最后只能被迫关停。这让他着实难过了一阵子。

》校园网“免疫力”差的四大原因

1.校园网大小网页太多

质量参差不齐易被攻

多名IT从业人员均表示,相对于一些门户网站,校园网经受的攻击强度测试不够,“免疫力”差,管理员安全设置方面的漏洞,使其安全系数降低。

专业人士透露,虽然这名华理学生并未公布漏洞细节,但通常的做法是,他通过不断猜测,发现了照片链接的编号就是学号的编号,于是,校园网便被他成功侵入。如果去一些大公司网站,他们的重要照片链接可能通过编码设置得更为复杂,更为隐蔽,绝不会如此轻易就被发现规律。

软件工程师“hackerzhou”说,“像华理这位同学的做法不算新鲜,此前也有人这样尝试过。发现此类校园网漏洞并不难。”

金先生目前在银行从事IT工作,他也给记者举了一个例子。一般而言,银行网络受到攻击的可能性较少,因为它暴露给受众的充其量只有网银,其他庞大的系统架构都是内网,黑客根本无从攻击。但校园网大大小小的网页何其多,质量参差不齐,有一定技术水平的人想随便找个网页“练练手”,并不难。

2.专职信息安全人员少

学生常来“充专家”

记者了解到,随着互联网的普及,高校网上办公越来越风行。学生档案系统、校园卡系统、选课系统等纷纷出炉,方便大家的同时,其间包含的各类重要私人信息,却带来了信息安全的隐忧。

资深信息安全人士曾佛春对高校网络观察多年,目前也在从事相关的信息安全工作。他告诉记者,“校园网的安全性相当重要。因为学生的个人信息容易被不法商家套取、利用,进而牟利。此外,校园‘黑客’事件一多,会给校园正常教学秩序带来严重干扰。”

在他看来,早年的各大高校校园网一般漏洞都比较多,因为出于成本等考虑,参与建设的大多为相关专业的老师和学生,并且利用业余时间完成,而不是专职人士。近几年,在一些关键性的官方系统上,部分高校开始委托一些专业的公司进行建设,不过,一些院系的小网站仍会由学生来开发。这样一来,校园网的质量参差不齐,时不时受到“骚扰”,也在所难免。这种说法在“hackerzhou”那里得到了证实。“校园网一般由高校的信息化办公室或者网络信息中心负责。其中,学生仍是不可或缺的一部分。”他同时表示,由于投入有限,专职的信息安全人员并不多。他本人学生时代就在相关部门帮过忙。

3.校园网建设被外包

只重功能轻视防御

此外,与其事后亡羊补牢,不如事前主动防御,但现实往往并非如此。在“hackerzhou”看来,部分高校会将一些系统的开发项目外包给软件公司。在验收时,高校信息办往往只关注功能是否完备,页面是否美观,而忽视了“找漏洞”的环节。“学校的内部团队应该在验收时,测试一下系统的安全性,或者找专业的网络安全公司来进行把关。”

在这方面,曾佛春则给记者举了个例子。沪上某高校的新生数据库数据曾遭外泄,造成信息外流,事后该校才采取了一些改进措施。如果不发生这件事,是不是就“天下太平”了?

“目前,攻击校园网的主体是大学生。学生可能只是小打小闹,还会‘手下留情’。但随着越来越多有含金量的学生信息都被放在了网上,不排除哪天会有黑客看到其中价值,进行有组织、有系统的攻击。这些怀有恶意的黑客,可不是那么好惹的。”

“学校可以请一些专门的网络安全公司进行审计、咨询,对校园网逐一检测,找出漏洞,防患于未然。”曾佛春不无遗憾地说,目前由于诸多限制,就这一点而言,多数学校还无法做到。

4.对学生不好强制管理

网络中心难及时补漏

当然,校园网的信息安全难题还在于管理方面。曾佛春用公司和高校来比较。如果在一家公司,领导层出于安全考虑,关闭聊天软件,甚至不让上网,员工都不大可能有所怨言。但换作了高校,限制学生的诸多上网行为,活泼好动的大学生不要都跳起来?“公司的管理往往具有强制性,但高校的各大院系之间本来就相对松散,具体到个体学生,就更加不能用强硬措施了。”

某些高校的“技术大牛”为了小试牛刀,将校园网作为练兵场,一时间,大学生“黑客”层出不穷。“我认识一个同学,前些阵子利用系统漏洞,做了一个选课插件。他自认为造福了同学,并很有成就感。但万一这个插件,被有恶意的人利用,带上攻击性软件怎么办?学校当然是不支持的,但也无计可施,结果,只能将他‘招安’,来信息中心帮忙。”

此外,网络信息中心作为服务部门,对于各院系网站的漏洞只能提供建议,没法强制责令其尽快修补。“在有些老师的旧有观念中,网络信息中心的工作人员就是来帮忙修修电脑的,怎么可能凌驾于他们之上?”曾佛春坦言,一个学校的整体网络布局,需要配备系统化的管理,就这一点而言,似乎很多学校都有较长的路要走。

》如何加强“免疫力”

技术和管理都要加强

上海交通大学信息安全学院副教授刘功申认为,现在高校对信息安全越来越重视,在安全设备的投入方面不少,也会委托一些专业公司打理,单就网站本身的安全性而言,并不见得弱。但校园网信息安全问题是一个系统工程。举例而言,如果在网站使用流程方面,思考得不到位,就容易被人抓到把柄,进行恶意利用;管理员安全意识低,密码设置不当,也容易被人侵入网站;计算机系的学生在课堂上就会学习一些攻防知识,他们有时也会有冲动,跑去练练手。

“所以,要改进现有状况,无非从两个层面考虑。在技术上,高校应在安全性上考虑得更周到,防止网站被人恶意利用;在管理层面上,结合学校的实际情况,制定更加行之有效的规范,并严格执行,而非流于一纸空文。”

》三种应对措施

招安黑客学生做网管、定期扫漏、制定防范条例

巧用学生“技术大牛”

记者了解到,尽管存在诸多不足,多数高校都在做或多或少的努力。在复旦大学的信息化办公室的网站上,记者看到,“复旦大学正逐步建立起一套比较完整的信息化校园安全保障体系,力争从网络环境、应用系统和信息资源等多方面保障校园教学、科研和管理信息化应用的正常运行。”从人员保障上,信息办依托虚拟团队模式,成立了网络信息安全领导小组和安全工作小组。前者由信息办主任、副主任和各中心的主任组成;后者则从信息办下属各中心抽调对网络、信息系统安全技术比较精通的技术骨干7人组成。

而一位接近交大网络信息中心的工作人员则告诉记者,交大的情况比较特殊,工科生很多,学生中的“技术大牛”也特别多。所以在人员保障上,交大除了专职信息安全人员,在部分项目中,也会让少量学生参与进来。“有些好苗子,技术可能比老师都还牛了。我们就给他一点网站的管理权限,这是一种疏导的好方法。”在这位工作人员看来,学生参与校园网建设未必就不是好事情,关键还要看怎么参与,“从某种程度上说,与其让一些学生用自己的技术‘威胁’校园网,还不如让他们在学校的监督下,一定程度上管理校园网。”

定期系统漏洞扫描

而在主动防御方面,复旦大学也打了“预防针”。复旦信息办使用专用漏洞扫描软件定期对系统进行漏洞扫描并生成报告提醒管理员对存在漏洞的系统进行整改。并且,信息办建立了校园网络信息安全服务网站(FDU-CERT)发布计算机病毒预报和安全漏洞等安全公告、分发安全补丁并提供WSUS服务等。

“近几年,信息化校园的概念越来越受重视,校园卡充值系统、学生选课系统等都和大学生生活密切相关,只要一出纰漏,就会直接影响到大家的生活。因此,想尽一切办法预防恶性事件发生,是网络信息中心一直思考的问题。”前述交大网络信息中心的工作人员则透露,同沪上其他高校相比,交大的校园网网速较快,很容易遭来恶性的流量攻击。学校投入了一定财力,升级了一系列设备。他还透露,学校网络信息中心已经成功监测并拦截了一些恶意攻击。

安全工作小组全局把控

那么,在信息安全管理上,又该如何下苦功呢?记者了解到,复旦大学信息办制定了《系统安全管理方案》、《数据安全规范管理办法》、《安全应急处置预案》、《密码安全管理办法》等一系列规范。安全工作小组会定期通报安全工作情况,对安全工作进行审计,并督促各项信息安全工作开展。

此外,记者在交大网络信息中心的网站上,看到了多份《关于加强校园网信息安全管理工作的通知》。其中写道,“针对目前学校网络用户众多,IP地址管理不够规范,网络用户信息安全意识淡薄的问题,学校决定对校内IP地址的使用情况进行检查清理,并在此基础上重新签订《上海交通大学用户入网安全责任书》,明确网络信息安全的职责,从而进一步加强对我校校园网络IP地址申请、使用等规范化管理和监督工作。”前述的工作人员告诉记者,因为诸如此类的措施有针对性,近几年交大校园网的恶性事件几乎没有发生过。

而经由此事,一位华理不愿意透露姓名的教授则向记者坦言,在信息安全方面,虽然要做到万无一失是不现实的,但可以提高的地方还有很多。而且可以说,这不光是华理的问题,也同样是全市很多高校的问题。

1.2 毒胶囊事件引发的“安全”深思

4月15日,央视曝出国内9家药企的13种产品采用了铬超标的空心胶囊,在国内引起轩然大波。截至目前,已有多家涉事药企网站被黑客攻击。而在这些药企中,除了丹东市通远药业和通化颐生药业宣布召回被曝光批次的药品外,其余企业截至目前均无动作。而有的药业股份有限公司则否认其药品存在质量问题。

之后多家药品企业网站被黑。尽管修正药业拒绝承认其药品存在安全问题,但其官网从15日晚起即被黑客攻破,期间短暂恢复正常后,又于4月16日再次被黑。其网站变为全黑色,上有“胶囊,请选择修正药业!良心药,放心药!!中国人就知道坑自己!中国老百姓集体路过!”字样。上述药企中唯一的上市公司通化金马的官方网站同样被黑。开始时页面上有“我的烂鞋子被你们拿去做胶囊了么?”“像这种名族企业的败类,中国黑客人人见而爆之!!”等字样,后来网站则变成了供网友留言泄愤的聊天室。青海省格拉丹东的网站也未逃脱被黑的命运。其网页上出现了“要做良心药呀!!!坑谁别坑自己国家的人!!”的字样。

毒胶囊为害多年,业内共知,这不是一句“个别无良企业”可以搪塞过去的,而是行业性的溃败。“修合无人见,存心有天知”,根除“蓝矾皮”黑色产业链行动,必须从现在开始。我们再也不能吃“旧皮鞋”了。

在这里,维沃重工呼吁各企业,不仅是药企要诚信生产安全质量的产品,我们机械行业,任何行业都应当对自己的产品质量负责,对老百姓的安全负责。

1.3 中国黑客产业链规模或高达上百亿 信息安全令人担忧


呼吁构筑个人信息防盗法网

因为某次消费、就医、看房、报名,你的个人信息就可能“不胫而走”,导致广告短信、诈骗电话不断,甚至传播电脑病毒、盗取用户网上账号。据媒体公开披露,黑客实际掌握用户数据库的数量已超过1亿条,中国黑客的黑色产业链规模或高达上百亿元。

在网络时代,网络个人信息缘何频频出现“泄密”危机?一系列事件背后的“溃堤之穴”到底何在?究竟该如何扎紧个人信息监管“法网”?

近日,国内首个保护个人信息的国家标准编制完成,出台在即,引发社会关注。法律专家及业内人士普遍认为,出台专门性、统一性的个人信息保护的专门法律,将个人信息的使用、信息泄露的取证以及执法力度进行统一,是堵住上述“溃堤之穴”最紧迫也最有效的途径。

刚在网站登记注册了一个账号,楼盘广告短信便一条接着一条来袭;买房合同一签,装修公司的推销电话马上就打了过来,家具店的电话也直接打到了手机上;刚刚搬进新房,就有人打电话来问“房子卖不卖”……

当下,房地产中介网站转卖用户个人信息似乎已经形成一条产业链,广告短信、推销电话甚至可以准确叫出机主的名字,个人信息已无密可保。

记者在一家房地产门户网站的网页留言发现,网友抱怨收到太多垃圾短信和推销电话的帖子,以“广告短信”为关键词能够搜索出16746条结果。

一位不愿意透露姓名的知情人士说,房地产门户网站的经营理念推崇“整合营销”,而“整合营销”的重要内容之一便是所谓的“会员资料转移”。

在受访者认为最有可能泄露个人信息的机构中,“需要注册个人信息的网站”和“房屋中介”名列前茅。现在,推销楼盘的短信、广告铺天盖地,而具备这两种功能的房地产门户网站则成了泄露个人信息的重灾区。

事实上,需要用户注册个人信息的网站在服务协议中一般都有“隐私制度”的相关规定,主要是说明网站如何保护和如何使用会员的注册信息等资料。

不过,服务协议采用合同格式,条款诸多、内容冗长,多数网友在未阅读或者只是简单浏览的情况下就直接勾选“同意”。就是在这些不假思索的“同意”背后,个人信息被泄露了出去。

最近几年,个人信息泄露时有发生,伴随而来的是网上银行失窃案。

2011年2月14日,家住上海浦东的陈小姐通过网银登录账户,原存有4000余元的银行卡上余额仅剩85元,而这张银行卡她一直随身携带,密码只有她一人知道。类似的储户失窃案屡屡发生,涉及诸多银行。

盗窃陈小姐银行卡的犯罪人朱某被抓时交代,他从网上买到50万个车主的详细个人信息,包括陈小姐的银行卡卡号和账户余额。购买的信息中包含更为详尽的个人信息,正是因为这些信息,朱某筛选出最有可能的六位号码,逐个进入网银进行破译。

某银行信用卡中心风险管理部的贷款审核员胡某是这些信息的出售人之一,他向朱某出售个人信息300多份,通过中间人拿到朱某要求查询的人员名单,打印出来以后再扫描好发给朱某。

近日,随着工信部透露“我国个人信息保护的首个国家标准编制完成”,这一隐私安全领域的“陈年公害”再次成为焦点。

记者梳理发现,在力量天平的失守下,隐私沦陷,几乎人人“裸奔”。

白领名录、股民信息、豪车车主名单、老板手机号码甚至家长信息、新生婴儿信息……记者登录一些涉嫌售卖个人信息的网站后发现,信息被泄的阴影,已覆盖到社会各类人群。

郑州市民李斌说:“你能不注册天涯、淘宝、途牛,但你能不办银行卡、不办手机业务、不买房买车吗?所以,个人信息泄密似乎成为无可回避的问题。”

据媒体报道,2011年12月,以网站CSDN、天涯社区、美团网等数据库遭黑客攻击为代表的网络个人信息泄露事件集中爆发,上亿用户的注册信息被公之于众。其中,广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。

2009年,深圳、佛山等地10余名领导的手机号码和通话清单,就被“内鬼”以不足2000元的价格倒卖。2011年8月曝出的“北京最大非法获取公民信息案”中的23名被告,其中有7人来自电信公司内部。

一些不法分子盯上这些个人信息,借之实行违法犯罪活动。2011年8月以来,福建一个诈骗团伙通过网络等渠道购买学生、家长、车主等个人信息资料,以“九年义务教育可退费”“上大学可获补助”“购车可退税”等为诱饵,实施诈骗犯罪数千起、被骗者上万人,分布全国20多个省份,涉案金额2300多万元。

办案民警说,诈骗分子能够屡屡得手,很大程度上是因为掌握了大量个人真实信息,有针对性地设计骗局。该团伙成员刘某表示,他们掌握的大部分信息都是在网上购买的。

趋利之下,“卖信息”成了挣钱方式。在一些保险代理内部论坛上,几万份“打包”出售的客户信息,每份合计不足4毛钱。在一些物业公司,花800元就能买到数百楼盘的业主信息。在一些医院,花3毛钱就能收购一个新生宝宝的信息。有人甚至为此开设钓鱼网站、通信公司和商业信函公司,专门通过收集、买卖公众“名址库”牟利。

据了解,其实国务院相关部门2003年就开始对个人信息保护立法的研究、制定工作,我国个人信息保护的制度建设已走过近10年历程,目前已有200多个规章、法规和法律涉及个人信息保护。

在个人信息保护方面,《个人信息保护法》初稿已出台多年,但至今没有面世。虽然2009年《刑法》将泄露个人信息的行为入罪,《民法通则》中也有关于个人隐私的条款,但这些规定零散、抽象,现实中普遍缺乏可操作性。

河南梅溪律师事务所律师赵小帅说,目前的个人信息保护法规对于个人信息、个人隐私权等概念还缺乏明确定义,也对使用、处理、保存个人信息的行为缺乏法律规定。

在公众对信息遭泄无力“自救”的背景下,加强对此类行为的打击力度,成为普遍的期望。去年年底,《法制日报》与搜狐网所做的一项社会调查显示,网友在回答“从长期来看,如何有效抑制个人信息泄露现象”这一问题时,坚决查处泄密源头、斩断个人信息泄露背后的利益链条和严厉打击贩卖个人信息者成为排名前三的答案。

“取证难、维权成本高也导致个人信息频频泄露难维权的原因。”赵小帅说,一方面,在新媒体、新技术条件下,信息泄露渠道越来越多,很难求证谁泄露了市民的身份信息。另一方面,贩卖信息大都通过互联网进行,账户也是用他人身份开设,查处贩卖个人信息行为难度较大。

我国2009年通过的刑法修正案中有专门对个人信息保护的条款,其中明确规定,国家机关,金融、电信、交通、教育、医疗等单位的工作人员,将获得公民个人信息出售,或者非法提供给他人,情节严重的处3年以下有期徒刑或者拘役。另外,窃取或者以其他方法非法获取上述信息,情节严重的处3年以下有期徒刑或者拘役。

2011年底,在《中国青年报》所做的社会调查中,有七成受访者在个人信息遭泄后,选择了“忍耐”,只有三成人会以要求相关网站删除自己的信息、查询谁是泄露者或者举报等方式,作“绵薄”的抵抗,其原因之一就是调查取证困难。

“从民事诉讼的角度看,一般人很难知道自己的信息是在什么时间、地点、以什么方式、被谁泄露的,所以,想要起诉他人泄露自己个人信息的成本非常高。”河南佳鑫律师事务所律师姜鸿说,虽然我国的相关法律保护还不够完善,但无论从刑事还是民事角度,消费者对个人信息泄露进行维权都有法律依据。但在实际操作中,消费者维权难度太大。

呼吁扎紧法律篱笆阻断窃信“黑手”

作为我国首个保护个人信息的国家标准,《信息安全技术、公共及商用服务信息系统个人信息保护指南》将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念、阐明了对两种个人信息的使用要求。有专家认为,仅有一个信息指南是不能满足需要的。

社会各界都期待对个人信息的保护有更加详细的规定,加快出台《个人信息保护法》,以法律的形式明确,如果网民遇到个人信息被泄露的情况,可以去法院起诉民事损害,也可以去公安部门或行政部门投诉,要求查处。

有专家建议,在此基础上,应出台专门性、统一性的个人信息保护的专门法律,明确一些强制性法规和相应处罚条款,尽快将个人信息的使用、信息泄露的取证以及执法力度进行统一,加强对掌握网民个人信息的商业机构或者网站的约束,是堵住“溃堤之穴”最紧迫也最有效的途径。

姜鸿认为,网络无疆,政府监管的执法成本高昂,而行业自律的成本低廉,在此基础上,应该改变个人信息保护的赔偿制度,加大对民事索赔的立法支持。“国家应采取措施降低公众个人信息保护成本,遇到个人信息被非法使用时,公众要敢于并善于通过各种法律途径维权。”

1.4 奥地利一15岁黑客3个月入侵259家公司系统

奥地利一名15岁男孩因在3个月内入侵259家公司的电脑系统而被逮捕,他平均每天成功入侵3家网站。

这名男孩已经向警方承认,在2012年1月到3月间,侵入259家公司网站,这些公司并不仅限于奥地利。他的攻击也没有具体目标,包括体育用品公司、旅游局、成人娱乐以及搜索引擎网站等。他称之所以这样做是因为感到无聊,并且想要证明自己。

这名男孩称从这些公司的网站和数据库中盗窃数据,然后将它们公布到网上。他还恶意羞辱许多公司的网站,并在微博客上自夸“成就”。

这个男孩有反社会倾向,因此在网络世界寻求赞美和肯定,或许也从黑客组织匿名者那里获得灵感。在发现一个在线黑客论坛正举办比赛后,他开始入侵行动。3个月后,他已经成为该论坛50大黑客之一,这个论坛有2000多名注册用户。但他使用的软件未能将其IP地址隐匿起来,导致其被捕。

1.5 信息时代亟需加强网络与信息安全监管

络安全问题为信息通信监管机构带来种种挑战。为此,融合性监管机构需进一步完善部门与部门之间、政府和企业之间的联动机制,提高网络与信息安全管理水平。本期推出通信行业监管创新系列报道之三——探讨网络安全与数字内容监管

信息时代亟需加强网络与信息安全监管

■工信部电信研究院 何霞

随着信息通信技术逐步渗透到社会生活与经济发展,任何服务的中断有可能造成严重的经济或社会危害。因此,随着对信息通信技术的依赖的增加,人们越来越深刻地认识到,必须高度重视网络安全并打击网络犯罪。

信息通信技术发展的负面影响

网络犯罪和网络空间的违法行为超越了国界并对多个行业和部门构成影响。其犯罪现场属于虚拟世界,证据多以电子形式出现而不具备物理形式。互联网的扩散性和全球性意味着罪犯可以利用某一区域的漏洞攻击其他许多地方的用户。此外,由于网络犯罪源于日新月异的技术的使用,也为打击网络犯罪增加了挑战。

随着,智能终端、无线网络和互联网结合给网络安全带来巨大安全威胁。

在原有的互联网安全的威胁仍然存在的情况下,开放的无线网络更容易受到攻击;随着技术发展网络系统更加复杂,随之漏洞增加,且新兴业务层出不穷,带来了新的安全问题;移动恶意代码数量不断增加,智能终端安全机制相对不足;用户隐私泄密事件不断,移动内容的监管缺乏有效手段。从根源上来看,是网络IP化将互联网的威胁引入到电信网,互联网开放的业务平台带来了更多的安全问题,同时,移动智能终端存储的隐私和包含的经济利益是攻击的首要目标。

这个新的时代带给了人类无限的可能去认知新的事物,去利用信息与通信的力量。但同时,这些暴露了我们对于这样的科技的不熟悉和新的挑战,还有这些科技会被作为恶性利用的可能性。

国外网络安全监管

出台系列重大战略政策,强化网络安全。随着,网络空间对国家经济与社会的重要意义的增加,使网络安全上升到国家利益的层面,因此,主要发达国家都高度重视网络安全。遏制和防止网络犯罪可被视为网络安全和重要信息基础设施保护战略不可分割的一部分。近年来,以美国为代表的西方以维护网络空间的国家利益为核心,出台系列重大政策。同时,很多国家目前正在制定有关网络安全的法律和监管框架(包括应对网络犯罪的法律框架)。并且,通过多种技术手段保证网络空间的安全。

打击网络犯罪必须团结利益攸关多方。由于性质不同,解决网络犯罪问题对传统的监管方式和刑事处罚方式构成挑战。传统的电信集中监管模式,即政府位于分层决策结构的顶端,可能不是应对网络犯罪的唯一解决方案,因为现代全球数字网络的发展已超越了政府的直接干预范围。互联网侵蚀了旧有的政府、企业和民间团体间的职责分工模式。因此,对网络犯罪的打击要以利益攸关多方的参与为基础,可以由不同利益攸关方来执行要承担的任务或由两个和更多利益攸关方共同承担任务,形成打击网络犯罪生态系统和利益攸关多方共存的环境。

监管机构打击网络犯罪领域的具体职责尚未得到明确确定。信息通信监管机构传统作用在发生变化,它们参与了很多追踪网络空间违法行为的活动,其中包含新的职责和责任,也有一些是监管机构正常工作的延伸。打击网络犯罪已经成为监管机构从集中的监管模式走向更灵活和平面化结构的组成部分。

从目前各国情况看,信息通信监管机构在打击网络犯罪领域的具体职责尚未得到明确确定。但是其职责在打击网络犯罪的领域内还得到延伸或加强,包括:一是消费者保护,例如,教育消费者、禁止垃圾信息和打击恶意软件的传播;二是信息安全和/或网络安全责任;三是向新的监管机构授予有关互联网安全的工作职责。

确保为监管机构配备发现网络威胁必不可少的工具和资源。随着信息通信监管机构职责的变化,重要的是要确保为监管机构配备发现网络威胁必不可少的工具和资源,提高利益攸关各方的认识并调动某些利益攸关方的积极性,使其在打击网络犯罪中发挥作用,协调公众机构和私营部门做出的响应,为加强各国和各区域之间的合作和协调做出贡献。

网络信息内容的监管

为什么需要内容监管?对于传统电信监管者来说,数字内容监管是新的挑战,过去只是对广播电视和印刷品内容进行监管,人们认同对数字内容有限监管是必须的,但是如何实行是巨大的挑战。所有社会都会在公民的自由表达和信息的权利上加以限制条件。如何定义和实施这些新的限制是信息领域监管的关键问题。信息通信技术发展给社会和政治带来很远影响。这种力量通过互联网和其他新媒体以更加自由的表达方式被释放出来,给社会经济发展带来很强的影响,包括信息通信技术产业本身。

什么内容需要监管?肯定的回答是网络的黑暗面。在伴随着我们每一次沟通与分享时,总是不可避免的伴随着更先进方式的诈骗和一些黑暗元素的创造。在数字化浪潮中最轻易地被创造和传播的是大量不良信息,而与此同时,我们也更难在这样的环境中保护最容易受到伤害的群体。一些最具有破坏性的数字内容是网络世界独有的:像病毒、垃圾邮件、恶性软件等通过电子代码本身传染传播。此外,一些大家共认的负面内容为我们的监管带来了挑战,其中包括数字色情、网络盯梢、网络诈骗……

如何实施对数字内容的监管?监管机构需要对于不同的数字内容进行监测,并考虑如何实施。在信息通信技术高度发达的今天,只有一些有限的办法来限制某些特定类型的传输,并没有100%可靠性。

目前的内容监管方式:一是事先约束与审查。在互联网的情况下,可能无法从字面上阻止不良内容的创造,但事先约束最接近的等效方法就是阻止用户访问这些内容,也就通过WE过滤来完成。二是调查,制止(删除),起诉。采取与其它非法活动一样方式,困难是谁对这些非法内容负责?运营商?ISP?个人?另外,互联网无国界,各国的规定不一样,被托管的服务器可能在国外。三是合作。最好的方式是鼓励鼓励信息服务提供商,政府机构和用户之间的合作;鼓励跨区域、跨国间的合作。

此外,全欧洲、美国、韩国等互联网发达国家和地区重视公民身份信息管理,2011年以来,纷纷制定并积极推行国家(地区)网络身份管理战略,保证网络身份的真实与可信,加强对公民网络信息监管和保护。例如,2011年4月15日,美国白宫发布《网络空间可信身份国家战略》提出要在美国建立一个以用户为中心的身份生态认证系统。

从网络安全与信息安全监管的关系看,数字内容监管往往不是信息通信监管机构主要职责,更多是辅助角色,主要是由其它相关机构来实施分级监管。而网络安全将是信息通信监管机构的重要工作,并且承担着极大的责任。由于网络与内容融合,电信、广电与互联网的融合,网络监管与内容监管难完全分开。

建立中国网络与信息安全的监管框架

我国互联网产业加速向各行业、各领域渗透融合,在国民经济和社会各领域中的影响和地位日益突出,但网络安全面临的形势也十分严峻。网上损害公共利益、侵害他人权益的现象时有发生,各种违法和有害信息屡禁屡现,制作传播计算机病毒、危害网络安全的网络犯罪日趋增多,严重损害人们对互联网的信心。特别是黑客攻击,已经成为网络安全的严重威胁。

互联网是国家重要的基础设施,针对当下互联网上损害公共利益的事件时有发生,网络犯罪增多等现象,必须采取措施切实维护网络运行安全和网络信息安全。

我国制定了《国家网络与信息安全事件应急预案》,确立了“谁主管谁负责,谁运行谁负责”的原则,强化了信息安全管理体制和工作机制。初步建立了涉及多行业多领域、包括安全监测、事件预警、应急处置支撑机制等在内的国家信息安全应急保障体系,重要信息系统灾难恢复建设正逐步从理论研究进入实践实施阶,已形成标准制定和测试、设备安全准入、网络安全等级保护为主的网络安全监管体系。

信息安全等级保护制度不断完善,基础信息网络和重要信息系统的安全防护水平明显提高。一是积极开展信息安全密码等级保护密码管理相关工作,研究制定了等级保护密码管理办法和相关标准规范。为加快推进信息安全等级保护,提高信息安全保障能力和水平,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》,成为网络发展与网络安全和谐发展的重要保证。二是着力推进涉密信息系统分级保护工作,对涉密信息系统分级保护进行总体部署、试点和重点推进。

坚持齐抓共管、密切协作,进一步完善部门与部门之间、政府和企业之间的联动机制。要不断拓展和提高网络信息技术支撑服务水平,坚持齐抓共管、密切协作,进一步完善部门之间、政府和企业之间的联动机制,加强信息资源的共享,加强行政监管和技术支撑之间的协调配合,做好应对各类网络信息安全事件的准备,不断提高网络与信息安全管理整体工作水平。

 

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.FakeFolder.be(蠕虫病毒)
警惕程度★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

2.2 病毒名称:Rootkit.Win32.Undef.cvy(安德夫Rootkit)
警惕程度★★★

该病毒运行后会隐藏自身,会在电脑中开放端口并进行远程控制,下载大量木马到用户电脑中执行,盗取用户个人信息。

 

2.3 病毒名称:Trojan.Win32.StartPage.qhm(木马病毒)
警惕程度★★★★

病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,达到提高网站点击率的目的,并且还会在后台下载安装流氓软件。

 

3. 安全漏洞公告

3.1 Oracle FLEXCUBE Direct Banking Core-Base子组件远程漏洞(CVE-2012-1707)

Oracle FLEXCUBE Direct Banking Core-Base子组件远程漏洞(CVE-2012-1707)

发布时间:

2012-04-18

漏洞号:

BUGTRAQ ID: 53107 CVE ID: CVE-2012-1707

漏洞描述:

Oracle FLEXCUBE Direct Banking是互联网和移动银行业务解决方案。
Oracle FLEXCUBE Direct Banking在Core-Base子组件的实现上远程漏洞,远程已验证攻击者可通过HTTP协议影响下列版本的机密性:5.0.2、5.3.0 - 5.3.4、6.0.1、6.2.0

安全建议:

Oracle已经为此发布了一个安全公(cpuapr2012-366314)以及相应补丁:
cpuapr2012-366314:Oracle Critical Patch Update Advisory - April 2012
链接:http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

 

3.2 HP System Management Homepage跨站请求伪造远程漏洞(CVE-2011-3846)

HP System Management Homepage跨站请求伪造远程漏洞(CVE-2011-3846)

发布时间:

2012-04-18

漏洞号:

BUGTRAQ ID: 52974 CVE ID: CVE-2011-3846

漏洞描述:

HP System Management Homepage (HP SMH) 是一个基于 Web 的界面,可整合和简化对运行 HP-UX、Linux 和 Microsoft Windows 操作系统的 HP 服务器的单系统管理过程。
HP System Management Homepage在实现上存在跨站请求伪造漏洞,利用此漏洞可允许远程攻击者执行管理员操作。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

http://itrc.hp.com

 

3.3 Siemens SIMATIC HMI多个不明细节跨站脚本执行漏洞

Siemens SIMATIC HMI多个不明细节跨站脚本执行漏洞

发布时间:

2012-04-19

漏洞号:

BUGTRAQ ID: 51835
CVE ID: CVE-2011-4510,CVE-2011-4511

漏洞描述:

WinCC flexible是用在一些机器或流程应用中的人机接口。
SIMATIC HMI在实现上存在多个跨站脚本执行漏洞,攻击者可利用这些漏洞在用户浏览器中执行任意脚本代码,从而窃取Cookie身份验证凭证。

安全建议:

Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.automation.siemens.com/mcms/automation/en/human-machine-interface/Pages/Default.aspx

 

3.4 X.Org输入设备格式字符串漏洞

X.Org输入设备格式字符串漏洞

发布时间:

2012-04-18

漏洞号:

BUGTRAQ ID: 53150

漏洞描述:

X.Org是X.Org Foundation对X窗口系统的开源实现。
X.Org的build缺失-D_FORTIFY_SOURCE=2,在添加带有恶意名称的输入设备时,其logging子系统在实现上存在本地格式字符串漏洞,攻击者可利用此漏洞执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.x.org/

 

3.5 HP OpenVMS不明细节本地拒绝服务漏洞(CVE-2012-0134)

HP OpenVMS不明细节本地拒绝服务漏洞(CVE-2012-0134)

发布时间:

2012-04-17

漏洞号:

BUGTRAQ ID: 53045

漏洞描述:

HP OpenVMS是基于VMS的多任务多处理器操作系统。
HP OpenVMS在实现上存在本地拒绝服务漏洞,攻击者可利用此漏洞使受影响计算机崩溃。

安全建议:

厂商补丁:
HP
--
HP已经为此发布了一个安全公告(HPSBOV02765)以及相应补丁:
HPSBOV02765:SSRT100828 rev.1 - HP OpenVMS, local Denial of Service (DoS)
链接:http://h20566.www2.hp.com/portal/site/hpsc/public/kb/secBullArchive