近日频繁发生的网站用户信息泄露事件尚未平息之时,不妨对未来提出同样的问题——黑客的下一个目标是什么?“直接关联用户的快捷支付安全,这是将来需要关注的趋势,而且大家尚没有在安全方面意识到。”
移动终端的灰色商机
天涯等用户信息泄露安全后遗症
“下一个重大黑客事件会是什么?”早在2011年9月,COG(信息安全专业委员会)就提出了这个问题。
当时,COG给出的答案是——互联网信任危机将可能成为未来信息安全重大事件的导火索。由于信息安全问题早已存在,随着社会的发展,积怨已久的诸多病根便会爆发,这种链式反应必然会导致这些架构在服务器上的应用系统失去大众的信任。
而近日频繁发生的网站用户信息泄露事件也验证了这个预言。
就在这一股风波尚未平息之时,不妨对未来提出同样的问题——黑客的下一个目标是什么?
“直接关联用户的快捷支付安全,这是将来需要关注的趋势,而且大家尚没有在安全方面意识到。”这是中国黑客教父、中国最早的黑客组织“绿色兵团”创始人之一龚蔚给新金融记者的答案。
新金融记者 王琳
移动终端普及中的风险
根据艾瑞咨询(微博)整理Gartner最新数据研究发现,2011年全球移动支付用户规模将达到1.41亿,较2010年增长38.2%。另外,交易金额也将由2010年的489亿美元增长至861亿美元,增长率超过76%。
用户黏性的提升和更多进场支付业务的发展将使手机支付市场收入规模快速提升。易观预计,2012年移动支付用户有望达到2.2亿户,市场收入规模将增长78.8%,达到52.4亿元。2013年则有望突破200亿元,达到235.1亿元。
增长迅猛的移动支付是新兴智能终端发展的领头者,但远远无法涵盖智能终端的范围。
“移动终端的核心操作系统将在未来几年爆炸性地被日常生活品应用,这些核心系统将不再是手机或平板电脑的专属心脏。由于它的可操作性强、扩展性方便、代码精简性,这些核心系统将被广泛地应用到大众的日常生活设备中,如自带Android系统的LED电视。”龚蔚说。
这是属于移动终端产业的机会,同样也是地下产业的商机。
COG对新金融记者解释说:“移动终端的安全问题将成为下一阶段黑客领域主要研究的方向,主要包括:数据窃取安全保障、数据挟持防篡改、用户身份不可否认性的确认、数据泄密等。”
据近期McAfee与卡内基梅隆大学近期联合发表的移动安全报告显示,受访者当前最关注的三大安全忧虑分别是:因意外遗失设备导致个人或工作数据丢失、设备遭窃以及因设备损坏导致数据丢失。
“这将比PC更为可怕。”龚蔚说,“举个简单的例子,我控制你的手机,再给你家人发个短信,说往我卡里打500元。”
移动设备功能的不断增加带来新的漏洞和使用风险。其中“更为可怕”的原因,并非只是利用本人手机号进行较为低端的诈骗,而是在于移动设备中承载的信息,例如通讯录、通讯记录甚至办公信息等信息的泄露。
灰色商机正在酝酿
目前,移动终端安全问题似乎尚只是一种隐患,但实则已经离人们并不遥远。
根据COG公布的技术细节,目前黑客们通过技术手段已经取得了包含Windows CE、Android、MTK系统的后台超级权限,可以在用户不知情的情况下对系统进行任意的隐藏操作,而iPhone的IOS技术也已掌控了80%,对于越狱的IOS更是不在话下。
这些技术的应用完全可以依附在一个正常的收费或免费软件下,甚至不需要用户下载安装,当用户自动更新这些免费软件的时候,黑客们就可以轻而易举地将其控制了。
由黑客技术的实现到黑客事件的爆发,需要有一定的酝酿期。
从此次CSDN、天涯等用户信息大规模泄露的事件来看,由公布的数据所针对的日期可以推算出用户信息的泄露早就存在。
“这次爆出的用户资料泄露事件,不过是冰山一角,网民之所以如此震惊,只不过是一直被蒙在鼓里罢了。”网络世界报社安全频道主编诺诺对新金融记者说。
在黑客当中,存在着靠刷用户数据库一夜间就收入百万的例子。
黑客产业早已流水化。
以2008年著名的“大小姐”黑客木马程序为例。信息安全专家李麒称,“大小姐”有着严格的代理制度,从金牌总代到区域总代。且制造木马的工作也有分工,一款大木马程序有12个小木马,针对不同的游戏都可以绕过主动防御。
“制造的挣一波,卖木马的再挣一波,盗号的又能赚一笔。”李麒说。
类似的链条同样可以出现在移动终端之上。
安全后遗症
针对2011年底频繁爆发的网站泄密事件的影响,奇虎360方面对新金融记者表示,综合网站泄密产生恶意威胁,一些钓鱼欺诈信息也快速在网络上蔓延。
“由于信息泄露,会产生十大安全后遗症:钓鱼邮件数量暴涨、窃密邮件趁火打劫、营销邮件浑水摸鱼、部分邮箱被入侵者偷开‘后门’、‘密码包’木马大行其道、名人隐私风险加剧、熟人变‘黑客’、泄密查询网站良莠不齐、不实传言制造恐慌以及83%网站仍存漏洞隐患。”奇虎360方面称。
而对于移动终端来说,安全威胁同样存在着。
首先是数据丢失或数据泄露;其次是各种恶意软件攻击的风险,例如世界新闻集团爆出的“窃听门”,就是黑客其手机上安装可窃取信息的恶意软件;另外,个人移动应用面临恶意站点威胁进一步带来办公威胁;最后则是Android平台开放性背后恶意应用程序增多。
“其实我们的信息不知道已经被贩卖了多少次,只是我们不知道,然后伴随整个泄密事件的爆发渐渐浮出来让大家知道而已。”一业内人士对新金融记者说。
对于网站特别是电子商务网站来说,用户数据对其的重要性是不言而喻的,而为何还会一而再再而三地泄露,龚蔚给出的答案是——尊重。
“这些网站一定是重视安全问题,他们一定是建了自己的安全系统,也一定投入了人力财力。但是态度上,他们是凌驾之上的,是重视,不是尊重。”龚蔚说,“对安全事件的尊重、对黑客技术的尊重、对保护用户安全的尊重,态度决定结果。”