——專訪中國黑客聯(lián)盟創(chuàng)始人KING
【譚緒武(KING)簡(jiǎn)介:中國黑客聯(lián)盟創(chuàng)始人。2011年9月22日谎倔,被譽(yù)為“中國黑帽子大會(huì)”的COG2011信息安全論壇在上海召開,KING榮獲COG信息安全社會(huì)影響力獎(jiǎng)目派。他創(chuàng)建了中國黑客聯(lián)盟然低,新網(wǎng)站于2011年11月1日開放〗橄危】
網(wǎng)絡(luò)導(dǎo)報(bào)記者(以下簡(jiǎn)稱“記者”):根據(jù)你對(duì)這次上億用戶密碼泄露事件的判斷恨胚,你認(rèn)為它會(huì)是什么人或者組織所為?
KING(以下簡(jiǎn)稱“K”):不清楚。現(xiàn)在也不好亂猜測(cè)炎咖。
記者:按照《COG黑客自律公約》的界定赃泡,“社會(huì)普通公眾的隱私權(quán)寒波,尤其是兒童與未成年人應(yīng)當(dāng)?shù)玫奖Wo(hù)。以買賣社會(huì)普通公眾隱私信息為目的的活動(dòng)不是黑客行為升熊《硭福”那么,這次泄露事件屬于黑客行為嗎?
KING:這次密碼泄露级野,依據(jù)小道消息說是有人為了炫耀放出來的页屠。黑客圈子內(nèi)部交換數(shù)據(jù)比較正常,但放出數(shù)據(jù)來估計(jì)是受到anonymous組織(一個(gè)組織松散的全球黑客組織)的影響蓖柔。我本人認(rèn)為這些放數(shù)據(jù)出來的人沒有一些道德底線辰企,做人做事還是要有原則的。我不認(rèn)為這是一個(gè)黑客行為况鸣。
記者:即便這些數(shù)據(jù)庫已經(jīng)被賣了多次牢贸,但公布出來,也會(huì)形成巨大的輿論沖擊镐捧。這里面是否會(huì)有一些其他的利益訴求?
KING:不排除這些人在下一盤大棋。
記者:有的網(wǎng)站說這次被盜的數(shù)據(jù)為“2009年之前的備份數(shù)據(jù)”懂酱,是這樣嗎?
KING:這次泄漏的數(shù)據(jù)應(yīng)該是09年到2011年積累的數(shù)據(jù)。攻擊所利用的漏洞我估計(jì)大多是java structs2和discuz x2的漏洞列牺。可以說是目前浮出水面的最大的一次網(wǎng)絡(luò)安全事件昔园,但實(shí)際上這只是冰山一角蔓榄。
記者:龔蔚說明年可能會(huì)有更大的爆發(fā),涉及到數(shù)億移動(dòng)互聯(lián)網(wǎng)用戶甥郑。這是不是就是你說的“冰山一角”?
KING:暴露的只是冰山一角。也不多說了澜搅。
記者:在不知道黑客入侵手法的情況下,被泄密的網(wǎng)站要求用戶更改密碼以求安全邪锌,你認(rèn)為這樣做除了心理安慰之外勉躺,有實(shí)際效果嗎?
KING:畢竟很多人是用通用密碼的,一個(gè)淪陷了所有賬戶都暴露了觅丰。網(wǎng)站遇到攻擊后,提醒用戶改密碼還是很有必要的妇萄。當(dāng)然咬荷,改密碼不只是被攻擊的這個(gè)網(wǎng)站的密碼要改轻掩,很多的賬戶密碼都要更改。建議不重要的賬戶可以用通用密碼罕扎,重要的email、淘寶之類的一定要設(shè)置單獨(dú)密碼腔召。
記者:如果說這些黑客的目標(biāo)在于大型網(wǎng)站的數(shù)據(jù)庫扮惦,那么,對(duì)此事負(fù)責(zé)的顯然只是這些網(wǎng)站径缅。網(wǎng)站致歉就足夠了嗎?
KING:出了事的企業(yè)一定要開展全面排查烙肺,找出攻擊源頭,修補(bǔ)相關(guān)漏洞氏堤,并加強(qiáng)安全防范措施搏明。同時(shí),數(shù)據(jù)一定要采用強(qiáng)加密方式保存星著,這次很多明文密碼泄露,可以看出這些企業(yè)對(duì)用戶是很不負(fù)責(zé)任的同欠。這不是一個(gè)道歉就能說得過去的。
記者:是的铺遂,道歉沒用茎刚。這件事情似乎強(qiáng)加給了黑客一些羞辱。那這個(gè)事件對(duì)黑客圈子來說膛锭,是否也會(huì)有一些影響?比如蚊荣,找到那個(gè)公布信息的源頭?今后打擊這方面的行為?
KING:對(duì)黑客圈子的影響絕對(duì)是有的捞蚂。國家剛公布2012年要開展為期一年的打擊黑客專項(xiàng)行動(dòng),這下剛好撞槍口上了敲霍。我們也在猜測(cè)其背后的實(shí)際目的丁存。我們希望國家能加大打擊力度,讓更多的人走上正途解寝,凈化一下這個(gè)圈子。
記者:你對(duì)這件事是不是感到很憤怒?有人說泄露數(shù)據(jù)的這個(gè)人壞了行規(guī)夫偶,黑客圈要清理門戶觉增。
KING:兩方面吧。一是感到震驚逾礁,買賣公眾數(shù)據(jù)確實(shí)是很不道德的。這東西我知道很早在流傳腻扇,但沒想到有人敢放出來砾嫉,這損害的是公眾利益。第二焰枢,從積極方面講,我覺得這是對(duì)網(wǎng)絡(luò)安全行業(yè)的促進(jìn)暑椰,經(jīng)過這次事件的洗禮荐绝,網(wǎng)絡(luò)安全在很多企業(yè)將占有一席之地。
記者:網(wǎng)絡(luò)安全已經(jīng)成為一個(gè)全球性話題。有人說岩喷,這次密碼泄露事件是針對(duì)實(shí)行網(wǎng)絡(luò)實(shí)名制的?
KING:這次密碼泄露事件不排除是對(duì)實(shí)名制的挑戰(zhàn)监憎。實(shí)施實(shí)名制應(yīng)該建立在安全保障的前提下。在網(wǎng)絡(luò)安全還沒得到充分重視鲸阔,一些網(wǎng)站的保護(hù)措施還不夠的背景下,如果盲目實(shí)行實(shí)名制类少,還再讓“人”如入無人之境的話渔扎,到時(shí)候泄露的就不只是一堆密碼和郵箱了。
記者:老鷹也很擔(dān)心這一點(diǎn)?
KING:網(wǎng)絡(luò)安全應(yīng)該是開展互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)保障晃痴。特別是以后進(jìn)入云的時(shí)代倘核,所有數(shù)據(jù)都在網(wǎng)上的情況下世剖,網(wǎng)絡(luò)安全會(huì)更加重要。而目前的情況是祖凫,網(wǎng)絡(luò)安全得不到企業(yè)的重視,網(wǎng)絡(luò)安全人才在企業(yè)也得不到重視遭庶。
企業(yè)不重視安全,對(duì)網(wǎng)絡(luò)安全投入不夠峦睡,造成網(wǎng)絡(luò)應(yīng)用漏洞很多权埠,讓人有機(jī)可趁;網(wǎng)絡(luò)安全技術(shù)人員得不到重視,在企業(yè)的地位和收入不高龙屉。生活的壓力满俗,讓很多人鋌而走險(xiǎn)作岖,投入了“黑產(chǎn)”的懷抱五芝,結(jié)果造成網(wǎng)絡(luò)安全圈子的混亂局面。所以枢步,要改變這種現(xiàn)狀需要多方努力。很希望看到國家加大這方面投入丑念。
記者:數(shù)據(jù)的力量非常強(qiáng)大结蟋,也非常可怕!如果安全做好了嵌屎,就可以馴服它,讓它發(fā)揮正面作用了植榕。
KING:這是對(duì)互聯(lián)網(wǎng)企業(yè)敲響的一次警鐘尼夺,也是網(wǎng)絡(luò)安全這個(gè)行業(yè)發(fā)展的一個(gè)契機(jī)。這個(gè)事件的根源在于淤堵,有些人盯上了這些企業(yè)的數(shù)據(jù)庫,因?yàn)樗鼈兡軗Q到錢慰毅。有利益的驅(qū)使扎阶,就必然有人去冒險(xiǎn)。現(xiàn)在暴露的只是賬戶密碼和郵箱东臀,如果將來泄露的是姓名、性別贱勃、電話、家庭住址贵扰、身份證號(hào)、銀行賬號(hào)呢?
記者:銀行卡一般是六位數(shù)的密碼纹坐,那不是更容易破解嗎?或者說舞丛,銀行系統(tǒng)有更安全的保障措施?
KING:那得看加密手段了。直接j聯(lián)網(wǎng)猜球切,3次機(jī)會(huì),6位數(shù)字的密碼還算安全捍歪。但如果讓黑客拿到數(shù)據(jù)庫就麻煩了鸵钝,特別是網(wǎng)銀賬戶。
KING:大家好我的真實(shí)名字叫譚緒武变逃,網(wǎng)名:KING QQ:1576172
