我被黑,我光荣
作者/李学凌
自从Yahoo受到黑客攻击之后,国内响起了一片“黑客新闻”高潮。有事没事的网站
都大喊“我们被黑了,我们真的被黑了,和世界著名网站Yahoo一样,我们也被黑了。”
以前,作战中,战士牺牲了,同志们会难过地说一声:“他光荣了”。这是真的光荣。
但是最近一些大大小小的网站,因为没有新闻可做,整天等着盼着黑客来“黑”,希望自己
也能够光荣一把。没有黑客来的时候,就自己编造一个“反黑战役”,把那些不懂技术的记
者骗得找不找北,还以为自己真的找到了新闻。攻击Yahoo的本来是DDOS,但是到了这
些新闻炒家的手里,就变成了“新浪网一天收到成千上万的邮件”,真是滑天下之大稽。自
己还没有弄明白,就开始是胡弄记者了。偏偏就那么凑巧,就成功了。我们四处看到“新
浪网大战黑客XX小时”这样的标题。
这样的东西也能炒,同道们真的受不了了。纷纷打起黑客的主意。
炒炒炒,网站的法宝,反正记者满地跑,你不报道,照样有人报道。这些网站的市场
总监经常说的一句话就是:“我们有新闻点”。
IT163“一黑成名”,最耐心的“总监”也坐不住了。
昨天,北京主要媒体忽然收到当当书屋的新闻稿说,我们被黑了,是8848干的。四方
媒体纷纷云集,真的有新闻点。
但是当当书屋被“黑”的并不高明。网站宣称自己从3月2日开始受到攻击,知道3
月23日,还受到攻击。“黑客前后多次入侵网站,甚至一天多次入侵,造成网站最长的一
次不能访问达几个小时。网站的数据库被修改,商品被删除,商品的价格被多次改成0。”
网站到了3月9日才报案。
此风波尚未平息,实华开网站忽然又站了出来,召集记者说“我也是被黑的一员”,算
我一个。
实华开的新闻稿里这样叙述:3月6日下午两点左右,黑客连续对实华开EC123网站
进行了7次攻击,3月8日下午又重复攻击了8次,……第二天黑客果然又故伎重演,实
华开的技术人员就此将黑客的IP地址锁定记录下来。
在新闻发布会上,实华开的经理介绍说,他们得到的IP地址和当当网站的一样。但是
他们并不肯定这个地址就是8848网站的。
“我们能够肯定,我们是绝对负责的”但是当当网站的负责人说,他们相当肯定,因
为他们有足够的技术力量,能够保证他们跟踪到真正黑客的IP地址。“我相信我们的技术
人员”。
真是一个奇谈怪论,黑客20多天出入当当书屋,如入无人之境,多次修改网站的数据
库,能够“使网站不能访问几个小时”,“一天可以多次攻击得手”给网站造成了重大损失。
当当的技术人员技术如此高超不知道黑客在他们眼皮子底下的时候他们都干什么去了。
笔者追问实华开的技术人员,两天15次网站被入侵,也修改了数据库,实华开是不是
也应该对这个结果负有责任呢?结果,这位经理给笔者做了一个生动的比喻,他说:“比如
我是一个美女,走在大街上被人强奸了,这不是我的责任”。但是如果中国的电子商务网站
都是走在大街上都能够被强奸的手无缚鸡之力的娇弱女子,广大用户评什么把自己的“贞
节”交给这样的人保管!当笔者一再追问,15次入侵是不是不应该是实华开网站炫耀的资
本,这位经理说:“做技术真的是很难的事,不懂技术的人,站着说话不腰痛。”笔者实在
不能够明白,那些“被黑”的人,要召开新闻发布会,能够理直气壮地说“不是我责任”,
这些网站,怎么能够忍受,脚底下发虚,满肚子的安全漏洞的痛苦,却腰干笔直,理直气
壮的面对拿钱给他们的用户呢?
一个是20多天连续被入侵,一个是两天15次“心痛”,他们的网站到底有多少漏洞呢。
只有黑客知道。
用户永远都不知道。但是该不该信任这些网站,就是用户自己的事了。
电子商务网站到底拿不拿用户当会事
这是笔者手头的一份资料。题目是:“专家指出我国网络漏洞百出”。
针对“黑客”袭击网站并屡屡得手的事件接踵而来,昨天在北京举行的“网络信息安
全高级研讨会”上,专家们呼吁国家健全相关的法律法规,提高全社会的安全意识,以及
采取足够的技术手段和设备来保障信息安全。
这个研讨会,汇聚了中科院、公安部、国家信息安全测评认证中心和军队、银行、新
闻媒体等系统及IT业的几十位专家学者,他们就我国网络信息安全面临的严峻形势、解决
这一课题的途径和相关对策等进行了广泛分析探讨。
与会专家们指出,我国计算机网络信息安全存在相当大的风险,用“漏洞百出”来形
容并不过分。而形成这种状态的原因主要是网络安全意识淡薄,制度不严,疏于管理;网
络安全技术滞后,缺乏系统级安全产品;另外有关法律法规也不健全。
专家们特别强调,网络犯罪是一种技术犯罪,要有足够的技术手段才能防范、制止。
这就需要我们加大投入,加快网络安全技术和安全设备的研究开发,在适当引进国外先进
产品的同时,必须搞出我们自己的有独立知识产权的优质产品,若非如此,不能真正解决
网络安全这一“心腹之患”。(引用完)
电子商务网站的现状如此,电子商务网站如果不引以为戒,还要召开新闻发布会宣传
自己是如何被黑的,对中国的电子商务,有百害而无一利。
目前国内的电子商务网站几乎都是“赔本作生意”。网站的发展动力来源与风险投资而
不是用户。所以许多电子商务网站并不追求服务质量,只要有足够多的注册用户,就可能
得到风险投资的青睐。这样用户怎么样,网站并不会真正关心。用户数量只是他们手中的
一张牌而已。所以才会出现“对用户而言是致命问题的事件”来作新闻。在没有好的市场
操作的前提下,只要能够吸引注意力,就会不计代价。如果中国的用户对中国网站的安全
性丧失信心,从长远的角度来看,会损害中国电子商务的发展,会影响到整个行业。
网站被黑,可能从纯新闻的角度来看,的确有新闻性,就是打架也会有许多人围观。
但是如果不认识到网络安全的重要性,反而要以“被黑”来作为新闻炒作的由头,就大错
特错了。
为了给读者明确一些概念,笔者采访了深圳著名的网络安全公司“安络公司”(www.cnns.net)
的网络安全专家谢朝霞。请他给大家谈谈黑客入侵的问题。
李学凌:你好,谢朝霞。
谢朝霞:你好。
李学凌:请给我们谈谈,网站的数据库有几种程度的入侵。
谢朝霞:要视情况而定,有的根据ASP的漏洞和web服务器的BUG,获取数据库的密码。
李学凌:如果价格都被清零了,这样的入侵达到了什么程度?
谢朝霞:这就是数据库和文件级别的入侵,入侵者有权限修改数据库或者系统上的文件。
李学凌:这种入侵在数据库入侵中是什么程度的?
谢朝霞:算是仅次于最高级别的入侵。当然如果入侵者是已经窃取了系统的最高权限,他
也可以修改、操作数据库。
李学凌:您指的最高级别的入侵是什么?
谢朝霞:最高级别的入侵就是远程获取了系统的管理员权限。他可以在系统上做任何事情。
李学凌:哦。我明白了,那么这种入侵有多大的危害呢?
谢朝霞:如果入侵者已经拿到了修改数据库或者文件的权限,那么他不难设法拿到最高权
限。也就是说他更进一步的话,可以彻底控制整个系统,想干什么就可以干什么。入侵的
层次可以一步一步地提高。
李学凌:数据库的入侵有多大的危害呢?
谢朝霞:对于电子商务网站来说,如果数据库没有备份,这种破坏是致命的。即使已经有
备份,如果这些资料被竞争对手拿到损失也会很大。或者入侵者将这些资料公布在internet
上无疑会大大地打击客户对该网站的信心。(李学凌注:如果拿出来当新闻炒,会打击所有
电子商务用户的信心。)
李学凌:接下来请讲一讲,一个公司从第一次发现被入侵,到堵住这个漏洞需要多少时间?
谢朝霞:我想这也要视情形而定吧。如果反应快,措施得力,几分钟就可以。对于一般的
公司来说,要达到这个要求,可能需要专业的安全公司或者专家来帮助。
李学凌:如果有人职守的情况下呢?能不能发现非法登录的用户?
谢朝霞:一个合格的安全专家是应该能发现非法登录的用户的,但是如果在毫无网络保安
措施的情况下,这样来要求一个系统管理员,可能有点苛求。
李学凌:那么现在这里有一个例子说,一个网站半天之内被入侵了7次。您觉得是否正常。
谢朝霞:至少从管理的角度来说,这是不正常的如果发现被入侵,应该立即采取手段,如
果出于欲擒故纵的策略,让入侵者再次进来是可以理解的,但无论如果被7此入侵,都不
正常。
李学凌:那么黑客是不是真的防不胜防呢?网站被入侵,网站是不是没有过错。
谢朝霞:网站被入侵,管理者是有责任的,如果系统被入侵,表明存在严重的安全漏洞
可能是管理上的漏洞,也可能是技术的原因。这和yahoo被DDOS攻击有所区别。DDOS
攻击,系统本身并没有漏洞。但遭受入侵,原因就在系统本身了。对于没有安全意识的管
理员来说,或者对于安全管理不够重视的网站来说,黑客可以说是防不胜防,但也可以说
他们根本没有防。没有安全方面的技术,可以改进,也可以求助于专业公司。但是没有安
全方面的管理和考虑,我觉得这是管理人员的失职。
李学凌:多谢你给了我们上了这么好的一课。希望读者也能够从中辨明真像。
谢朝霞:好谢谢。