本文目录一览:
“泄密风波”后,拿什么保护个人信息安全
一时间,短信、电邮、网站弹窗纷纷发出警示,强烈建议用户修改密码,“今天你改密码了吗”俨然成为网民之间的问候语,许多网民表示“改密码改到手软”。“谁来保护我的信息安全”成为公众的揪心之问。
“黑客产业链”浮出水面
《第28次中国互联 *** 发展状况统计报告》显示,2011年上半年,有过账号或密码被盗经历的网民达到1.21亿人,占24.9%。中国国家信息安全工程技术研究中心主任文仲慧表示,互联网信息安全是一个世界性的问题,随着 *** 应用环境的日趋复杂,企业核心数据被盗、用户数据丢失等事件频发。
值得警惕的是,此次网站“泄密门”中,一条“黑客产业链”已经浮出水面:黑客从网站盗取用户信息库后,会把这些信息倒卖、分销给黑公关或钓鱼公司。他们利用用户信息打击竞争对手或发放垃圾广告;传送木马、病毒或发布诈骗信息,甚至直接在网上支付平台自动批量发起交易,如果恰好试探出用户泄露的密码和网上支付密码相同,支付账户中的余额就可能被黑客全部盗取。
中国政法大学知识产权研究中心特约研究员、知名 *** 法律人士赵占领表示,在数以亿计的 *** 用户面前,蕴藏的巨大商业利益可能会让互联网服务的提供者铤而走险;用户在电子商务网站的浏览痕迹、消费记录、个人信息等,对电子商务企业来说都是宝贵的数据。
金山 *** 安全专家李铁军说,用户资料等数据包刚被盗取出来时,在黑客圈子里销售,价格非常昂贵。同时,黑客还利用用户资料进行互联网诈骗,利用发送广告信息牟利。
乌云网负责人认为,利用数据库赚钱的 *** 有很多,包括钓鱼欺诈,盗取游戏账号刷装备,利用微博等生成僵尸粉,黑客几乎发展到“产业化”的地步,并逐渐和线下欺诈结合起来。数据越保密,对他们的价值越大。
互联网企业安全意识薄弱
不可否认,“泄密门”暴露出部分网民安全意识薄弱,但更折射出整个中国互联网企业自身安全的脆弱和对用户数据安全保护的轻视。
互联网安全企业“奇虎360”公司副总裁石晓虹表示,此番密码遭泄露“都是明文密码惹的祸”。这是最不安全的数据保存方式,一旦数据库泄露,所有密码一览无余。有些网站由于用户数据安全意识欠缺,曾经明文保存过用户密码,近期被黑客公开的密码数据库大多属于此类情况。
资深程序员徐湘涛认为,明文保存密码是商业网站用户信息被泄露的关键。另外,目前国内不少网站包括政务网站,系统架构水平较低,网站开发和管理人员的安全意识较差。
瑞星安全专家王占涛持相同观点。他认为有些公司未意识到安全的重要性,对流程设计不够重视。尽管密码加密之后可能会被破解,但如果在安全方面给予更多重视,加大投入,找好的团队,情况应该会好很多。
上海泛洋律师事务所高级合伙人刘春泉认为,互联网公司首先必须做好员工管理工作,坚决杜绝内部员工主动泄密的情形;其次,刑法修正案应加入“非法获取公民个人信息罪”,对此能起到警示作用;第三,应做好用户信息数据的安全防护工作,包括技术的投入和数据的管理,提升数据保密的层级。
个人信息安全保护法律缺失
“泄密门”事件凸显出个人信息保护相关法规的缺失。专家呼吁,出台专门的个人信息保护法,为打击 *** 犯罪、维护网民合法权益提供法律支撑。
中国社科院信息化研究所秘书长、互联网专家姜奇平表示,目前法律对于普通用户的信息安全保护还存在很大空白。除了国家相关机构有保密法外,对于企业的用户数据保护并没有相应的法律规定,甚至都没有一套成型的行业准则,各家网站都是各自为政。在没有一个权威第三方的监管之下,用户数据安全目前处在一个“没人管”的状态下,致使这次“泄密门”中的受害用户 *** 困难很大。他建议, *** 尽快立法,从权利保护、责任认定、责任追究和法律保障上对个人信息予以保护,将个人、网站和监管机构所应承担的责任、义务厘清。
借鉴“他山之石”完善保障
借鉴发达国家的“最少信息收集”理念,尽量减少对互联网用户信息的收集。刘春泉认为,我国互联网企业在收集用户信息时太过随意。韩国此前也发生过知名网站用户信息被大规模泄露的事件,此后韩国要求个人或企业使用用户身份证信息时,需事先获得批准。这不仅降低了用户信息被盗的风险,也增强了事后追责的可操作性。美国在处理类似事件时,会倾向于对互联网企业施以惩罚性赔偿,企业为了避免打官司,也会尽量减少对用户信息的收集。
尝试采用第三方身份认证的方式,解决用户信息的管理分散问题。上海律师协会信息 *** 与高新技术业务委员会主任商建刚介绍,美国从2011年起尝试推行《 *** 空间可信身份国家战略(草案)》,希望建立一个“允许用户在线交易时创建可信身份”的系统,保护个人信息安全。“这其实就是建立一种‘身份属性供应商’渠道,当用户在网站进行登记、注册时,不需要直接向网站提供个人身份信息,而是由第三方提供身份证明,这样就减少了 *** 公司对用户信息的收集和保管,无疑降低了用户信息泄露的风险。”
推行微博实名认证的同时,做好个人信息安全保护的配套工作格外重要。专家表示,要尽量减少网民个人信息的暴露,如对掌握大量公民信息的电信、医疗、教育等单位,严格限制有权限查询公民个人信息人员的数量,建立分级查询制度、明确责任追究制度,防止个人信息外泄。(《半月谈内部版》2012年第2期)
黑客产业链是怎么形成的,通过哪些环节盈利
最主要的就是盗取用户信息,然后出卖给需要的用户。这些用户可能是游戏玩家、可能是垃圾短信制造者,也可能是一些不负责任的运营商。
比如2006年的“熊猫烧香”,
1、李俊写出了病毒,将代码卖给别人挣钱;
2、购买代码的人改写病毒并盗取游戏帐号,以达到窃取他人游戏装备卖钱的目的
3、用户的需求量大又会导致编写病毒的人继续改进他的病毒,寻求更多的买家
事实上病毒产业链是最挣钱的灰色产业。一个拥有几万个肉鸡的黑客,完全能对一个小型企业的网站发动DDos攻击,使其瘫痪。
一些窃取了他人信息的黑客也可能会出卖别人的信用卡帐号和银行帐号、密码。
而 *** 犯罪是非常难以取证和抓捕的,这也是病毒产业链屡禁不止的原因之一。
黑色产业链的概述
木马 *** 环节的人为木马作者,他们 *** 网游盗号木马、远程控制木马、木马下载器等各类木马产品和黑客工具,一般是以一个垄断性的条款出售给木马播种环节的人(圈内称为“包马人”),并负责售后的维护和更新,随时对杀毒软件进行“免杀” *** ,业内称木马作者每月的收入在1万至5万元的级别。
而“包马人”则是整个木马产业的核心部分,一方面从木马作者手中购得产品,另一方面又从流量交易环节中购得 *** 流量,实施“挂马”后就开始从中招用户电脑中盗取各类有价值的信息,其中以网游账号、 *** 账号、网银账号等为主,再把赃物出售给虚拟财产的“套现”环节。
流量交易环节包括很多不良网站的站长,如 *** 和一些个人网站,他们把访问者出卖给“包马人”,主动在自己网站“挂马”换取金钱;此外还有一些善于入侵“拿站”的黑客,他们也受雇于“包马人”,攻击访问量高同时安全性较差的各类网站,为“包马人”挂马提供平台。
近几年来,360、瑞星、金山等就侦测到多起知名网站如暴风影音、大智慧实时行情页面等被挂马的现象,而用户一旦访问被挂马的页面,则立即中招,成为“肉鸡”。
瑞星通过“云安全”系统截获了一个黑客建立的染毒电脑销售网站,登录这个网站,就可以看到他们总共控制了多少台“肉鸡”、染毒电脑的IP地址等详细数据。
瑞星安全专家分析,这是黑客用来向“客户”销售“肉鸡”的网站,客户可以选择“肉鸡”的IP地址,然后按照台数和控制时间等等条件付款,获得这些“肉鸡”的控制权。
冰山一角
其实,盗号、网银上的资金丢失等还只是木马危害的冰山一角。雇用黑客对第三方商业或个人网站进行攻击,已发展成许多黑客牟利的一项常规业务,而这一行为被称为黑客“拿站”。
据调查,在黑客提供的各种“服务”中,“拿站”被明码标价,价格随目标网站安全级别与任务难易程度在“一千至上万元不等”。
在我国已基本形成了制造木马、传播木马、盗窃账户信息、第三方平台销赃、洗钱这一分工明确的网上黑色产业链。一些中小企业为确保电子商务安全甚至不得不定期交“保护费”……隐藏在 *** 背后的黑色产业链究竟藏着多少不为人知的秘密?
“这是个比房地产来钱还快的暴利产业!”当熊猫烧香病毒的贩卖者王磊落网发出一声叹息时,人们更多的还只是关注这个 *** 个案。
然而,回望2007,当熊猫烧香、灰鸽子、AV终结者……这些病毒软件集中爆发,任何一个 *** 菜鸟都可轻松购得并成为黑客高手进行“偷、抢、骗”时,中国病毒产业冰山一角开始浮现。
黑色产业链上的每一环都有不同的牟利方式
“产业化的一个明显标志是病毒制造者从单纯的炫耀技术,转变成以获利为目的;前者希望病毒尽量被更多的人知道,但后者希望更大程度地隐蔽病毒,以更多地获利。”黄澄清说,病毒制售产业链上的每一环都有不同的牟利方式,这也让网民对“互联网地下经济”防不胜防。
如今的 *** 犯罪已经组织化、规模化、公开化,形成了一个非常完善的流水性作业的程序。以“灰鸽子”为例,木马的制造者作为之一层次,本身并不参与“赚钱”或只收取少量的费用,但是他会在木马中留有后门;程序编完后,由病毒批发商(多为编写者朋友或 *** 好友)购得,提高价格卖给大量的病毒零售商(网站站长或 *** 群主),后者作为“大虾”开始招募“徒弟”,教授木马病毒控制技术和盗号技术,收取“培训费”,之后往往将“徒弟”发展为下线,专职盗号或窃取他人信息,被木马侵入的更底层机器被称为“肉鸡”,这些用户的个人信息、账号、游戏装备、私人照片、私人视频等被专职盗号的黑客盗取后在网上的正规交易网站正常交易。黑客也可以将“肉鸡”倒卖给广告商,被控制电脑被随意投放广告,或者干脆控制电脑点击某网站广告,一举一动都能被监视。
在业界,一个可以被控制的电脑被叫做“肉鸡”。能够使用几天的“肉鸡”在国内可以卖到0.5元到1元一只;如果可以使用半个月以上,则可卖到几十元一只。按一个普通的灰鸽子操控者一个月抓10万台“肉鸡”计算,一个月就能轻松赚取至少一万元,这还不包括窃取“肉鸡”电脑上的 *** 号、游戏币、银行账号等进行交易所获得的收入。正是由于灰鸽子背后每一个环节巨大的经济诱惑,无数人投身另类致富,黑色产业链也更加牢固。
为了保护“胜利果实”,病毒 *** 者开始设法逃避杀毒软件的追杀,甚至从技术的角度对杀毒软件进行攻击,形成了团队化协同集团。以综合木马、蠕虫等病毒的毒王“AV终结者”为例,该病毒更大的特点就是采用多种方式技术共享提高病毒的感染量对抗更流行的安全软件。
黄澄清透露,医药行业和游戏行业进行病毒攻击十分普遍,甚至形成了互联网企业只有交“保护费”才能免遭攻击的局面。黑客集团对走上信息化道路但自身防范力量比较弱的中小企业进行攻击,致使企业网站瘫痪,一些中小企业不得不交“保护费”保证 *** 正常运营。
2007年5月,国内一著名 *** 游戏公司遭到长达10天的 *** 攻击,服务器全面瘫痪,其经营的 *** 游戏被迫停止,损失高达3460万元人民币。江西查处的一起 *** 敲诈勒索案件,犯罪嫌疑人周明通过攻击一些游戏私服网站收取“保护费”,仅两个月就非法获利1200多万元。
“肉鸡”的价格
其实,木马产业链背后是巨大的利益,在黑客已经从纯技术交流转向获取非法利益的时候,所有的东西已经变味。
其实,“肉鸡””的价格近几年也在随行就市地增长。几年前圈内公开的行价是更低“肉鸡”1毛到4毛一台,辽宁“肉鸡”5毛到8毛一台,广东“肉鸡”1元一台,港台“肉鸡”3元一台,外国“肉鸡”5元一台。
而昨天,《之一财经日报》记者在百度灰鸽子贴吧上看到,内地“肉鸡”1毛一台,而欧洲、美国、中国台湾、加拿大、日本等地的“肉鸡”竟然卖到10元一台。
“卖病毒就像卖菜刀”的尴尬
记者调查发现,如今实施 *** 安全攻击的成本非常低,攻击工具可以在网上以非常低的价格购买,但处理攻击、防御攻击的代价却很高。而现有法律法规对 *** 安全犯罪缺少具体司法解释,缺少具体定罪量刑标准。另外,由于 *** 犯罪链条往往是跨地域的,网上打击犯罪需要打破现实办案中的管辖权问题。
“病毒软件就像菜刀,可能制造的、贩卖的人并不违法,但被人买来用来伤人就违法了,不过很难保证每把菜刀是切菜都不伤人,伤了人也很难查出究竟是哪一把菜刀作的案。”黄澄清举了一个形象的例子,他说,病毒软件只是一种计算机程序,单开看在每一环节都不违法,但是如果应用到窃取账号等行为时,就违法并危害了 *** 安全,但很难查处。
据了解,如今的《计算机信息 *** 国际联网安全保护管理办法》中规定制造和传播病毒是违法的,但是对于木马、黑客程序等并没有清晰的界定,这也是'灰鸽子'等木马程序制造者敢于利用 *** 公开叫卖的根本原因。
此外,如今在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。比如,虚拟资产在现实中难以认定价值,定盗窃罪没有依据。受害者有权利提起民事诉讼请求,但操作上还是有些困难,包括搜集证据、赔偿的标准和计算 *** ,目前我国立法上缺少统一的规定。
黄澄清说,面对黑色病毒产业链,必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障 *** 安全,建立 *** 安全国家应急体系,加大对 *** 安全领域犯罪的打击,完善立法,加快防病毒和 *** 攻击的技术及工具产品的研发。如可以借鉴国外经验,发展电子秘钥系统等,确保 *** 安全。
黑客产业链是怎样的
黑客产业链是指黑客利用木马程序盗取 *** 、 *** 游戏、银行账号、信用卡账号等等个人资料,并从中牟取金钱利益的产业链。产业链是产业经济学中的一个概念,是各个产业部门之间基于一定的技术经济关联,并依据特定的逻辑关系和时空布局关系客观形成的链条式关联关系形态。
据业内人士介绍,地下黑客产业链极其庞大且分工明确,有专门提供木马程序的,有专门提供肉鸡的。黑客产业链大致分为老板、病毒编写者、流量商、盗号者和贩卖商等多个环节,各
黑客产业链
个环节分工明确,其中“老板”处于整个链条的顶端,他对产业链的各个环节进行分工和协调。而那些层出不穷的木马病毒程序,往往都是按照这些老板的要求,由专门编写病毒的程序员开发出来的。
一些比较大的私服每个月都会花2-3百万元来黑对手,方式一般为,花钱雇佣数万台甚至几十万台“肉鸡”发送巨量数据集中攻击对手,让对手的服务器瘫痪,按照一些地下市面价格,1G的流量打1个小时约4-5万元。
一个完整的产业链条,一个盗号木马,通过这样一条制造、贩卖、传
黑客产业链
播、使用、盗号、销赃的流水线,把一连串虚拟世界的数字代码变成了真金白银,产业链上各个环节分工明确,黑客可以根据自己的专长,专门负责某个环节,而更让人担忧的是,各种各样的计算机木马病毒、黑客技术,在 *** 中泛滥传播。
在 *** 上,充斥着形形 *** 的黑客论坛、内容五花八门,兜售盗号木马,买卖“肉鸡”,甚至还有专门传授黑客技术的,只要肯花钱,只需一台电脑一根网线,任何人都可以摇身一变,成为一名黑客。