中国互联网最严重的一次帐号泄露事件从21日爆发至今,不但没有降温反而愈演愈烈。安全宝CEO马杰在腾讯微论坛上表示,现在网上所公布出来的数据库,真正能验证的只是有限的这几家。
马杰指出,通过对数据内容的观察和分析,很多的数据库泄露其实是通过已经泄露的数据库中撞库撞出来的,还有在网站上贴张图出来,说有某某某的数据库有多少万,通过PS完全可以实现。这并不是说那些网站没有泄露过,而是很多贴出来的东西有点哗众取宠,是浑水摸鱼。
马杰称,从用户数据库这个问题看,在安全行业里,这早已不是什么秘密,这些网站安全性在资深安全从业人员看来,几乎就是皇帝的新衣。几乎所有网站的安全风险,安全性都有待进一步提高。此次帐号泄露事件是一个灾难,也是一个好事,让互联网公司意识到安全的重要性。
以下是对话实录:
腾讯科技:最近关于网络安全的这个话题也非常热,包括天涯、支付宝这样一些网站都牵涉其中了,我们在座的有一位是专门做安全的,马杰作为安全行业的老从业者,您怎样去看待目前这个行业里面出现的网络安全的问题?
马杰:刚才周源讲到了基本需求问题,我就在想,安全是不是基本需求呢?我想在座所有的男同胞是不是都有一个体会,你女朋友被你要求的最多的是什么?安全感是不是。我想因此我得一个结论,安全应该也是基本需求吧,只不过大家说安全的时候,都很重视,但是实际要为它花钱的时候又很小气,是不是这也是一个现状。
过去这么多年,我做了很多年安全之后的一个感觉,个人用户以前很多公司,包括我的前公司瑞星在内的多家公司,做了很多的推动工作,让用户逐渐的重视到了安全,并且最后在几个特定的安全事件里推波助澜下,比方说红色代码,晚期的熊猫烧香等等这些事件的推动下,用户认识到安全的重要性。网站本身呢,它是一个发展的过程,前些年应该说网站很重要,现在网站挣钱了,这才真正重要了。
在这个前提之下,大家才能逐渐意识到在这上需要进行安全的投入。我之所以创业来做这个网站安全这块,也是做了很多年安全之后,我个人的一个感觉就是个人安全这块打得一塌糊涂了,咱还是不进去了。
企业安全这块,也有很多领导型的企业在里面,我所选择的这块,网络安全,网站安全这块,我认为是一个成长很好,但是现在又没有领导型的企业的这么一个地方。并且我们又适时的看到了很多问题,本来我想大家对这个问题的认识过程,可能还需要稍微再长一点这个周期,这次几家公司在密码问题上所暴露出来的安全性上的严重缺乏,使得这一天稍微早一点的被大家意识到了网站本身安全的重要性,现在是全民改密码。
在座的各位,我也呼吁一下大家去看看自己密码有没有泄露,该改的密码早点改,最近包括腾讯微博,新浪微博上面很多用户说,他们的微博帐号不知道为什么被别人盗用了,其实原理很简单,就是因为这几个泄露的大的数据库跟你微博上用的密码是一样的,他来猜,你用的一样的,他就控制了你的微博帐号,大家也应该去改一改。
通过这个事件体现出来即使像我们这种大型的社区,或者大型的论坛,它们都缺乏很多基础的安全性的建设工作。我觉得这次这个事件是一个灾难,同时也是一个好的事情,让我们互联网公司意识到安全的重要性。
腾讯科技:我想接下来问一个问题,现在消息一发出来,比如说当当有上千万的用户密码泄露,支付宝有一两千万的用户资料泄露,有一种说法,说这是别人故意放出来的消息,故意就想唯恐天下不乱,也有一些人想从中浑水摸鱼,具体从这个事件的背后,您怎样来看待这个问题,到底是不是真的有人想浑水摸鱼,还是这个事情就是真的有这么严重?
马杰:首先我想说浑水摸鱼和事件的严重性,这两者不冲突,在前天下午,蒋涛请了圈内的很多朋友,包括做安全的,以及涉及可能泄密码的很多公司一起搞了一个小型的座谈会,这个会比较封闭,所以大家发言也就比较猛。
安全圈也是很资深的一个朋友,我也非常认同他的说法,他说从用户数据库这个问题本身来看,在安全行业里,这早已经不是什么秘密了,这些网站的安全性在资深的安全从业人员看来,几乎就是皇帝的新衣。
有没有哪家能幸免?几乎没有。但是这个几乎没有不代表说真的这些库就大范围泄露了,而是说在真正的高水平的黑客面前,几乎无一幸免都可以拿到一定程度的权限或者数据,只是说泄露的范围有多大,泄露的程度有多大,这是严重性问题。
回过头来说,是不是浑水摸鱼呢,现在网上所公布出来的数据库,其实真正能验证的,真的是有限的这几家,很多的传闻,对我们来说,我们也不太方便去验证,这个验证本身也涉嫌到不太合法。
但是通过对数据内容的观察和分析,我们觉得有很多库,比方说通过某一个大库,再到这个网站上去撞库撞出来的,这个是一部分。另外还有在网站上贴张图出来,说有某某某的数据库有多少万,这种完全是PS一下都是可以的。
我并不是说那些网站没有泄露过,或者有泄露过,或者有安全风险,而是说很多贴出来的哗众取宠的东西,里面有很多确实是浑水摸鱼的。但是这些几乎所有网站的安全风险,安全性都有待进一步提高。 |