文/新浪财经 席淑静[微博] (能见派微信nengjianpai)
在大数据时代,你可以知道何时买进机票最划算、什么时候会爆发瘟疫,但是它也意味着我们的一切都变得透明。我们时刻暴露在“第三只眼下”,亚马逊监视着我们的购物习惯,谷歌监视着我们的网页浏览习惯。
当生活全部被数据占领以后,你觉得你的生活有多安全?
畅销书《大数据时代》讲述了身处大数据时代,你的生活会有多么美好。不需要知道因果,只需要占有大量的数据便可以知道下一次瘟疫何时会爆发,了解何时买进机票是最划算的,甚至你的汽车座驾因为占有了你屁股的数据就轻而易举地终结了偷车贼把车开车的可能性。
但本书的作者也说了:“数据化意味着我们把一切都透明化。”我们时刻都暴露在“第三只眼”之下,亚马逊[微博]监视着我们的购物习惯,谷歌[微博]监视着我们的网页浏览习惯。
在这样一个透明的社会中,商家有了更精准的营销方式,比如你在淘宝上有意购买某件衣服,接下来你来到其他网站可能就会发现,向你展示的广告都和刚刚浏览过的那件衣服有高度相似。
政府的监控也更加有效了。前段时间闹得沸沸扬扬的“棱镜”事件,使公众对此有了一些认识,美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档等信息中分析个人的联系方式与行动。
还有一类隐藏在黑暗中的群体,他们也将在数据时代中获得更多的利益,那就是黑客们。
从兴趣到产业,黑客江湖已经不再是2000年前后的热血疆土。1997年Goodwell、Solo、Rocky等人创立了“绿色兵团”,开创了中国黑客的红色年代,这一时期的黑客们在印尼排华、中美撞机等事件中成功实施跨国网络攻击,将中国的五星红旗插在了印尼、台湾、美国的网站上。
如今,黑客这个词和木马、盗号、诈骗这些词联系在一起。《2012年中国网站可信验证行业发展报告》显示,截至2012年6月底,全国79%的网站存在高危漏洞,31.8%有网络购物经历的网民本人曾在网购过程中直接碰到钓鱼网站或诈骗网站,网购遇骗网民的规模达6169万。保守估算,因钓鱼网站或诈骗网站给网民造成的损失不低于308亿。
信息的窃取已经构成了一个完整的产业链,技术高超的黑客负责编写木马,然后将程序卖给下游的买家。拥有一定黑客知识但是还不足以自己完成编写木马程序的人负责将木马挂到有漏洞的网站上,这些人被称为挂马者。最底层的是洗信者,他们从挂马者手中买到装有用户名和密码的“信”,从中寻找有价值的东西,就这样每年约有20亿个账户的信息在地下进行买卖。
最有价值的东西莫过于用户的银行卡信息。常见的网购诈骗是通过钓鱼网站,黑客们假冒淘宝、机票预订等电商网站,一旦用户在上面进行支付,用户的银行卡卡号、网银密码就被成功窃走。
密码的安全是网银安全的最后一道关口,也是最重要的一道关口,但据深谙商用密码窃取技术的网络安全专家(绿色兵团创始人之一)介绍,国内银行对网银密码的安全性重视度并不高,尽管已经出现了多起网银被盗的案例,单笔金额最大的甚至近千万元,但目前还没有看到国内银行愿意在密码安全上投入更高成本的决心。
据该专家介绍,使用U盾来完成网银支付的用户,风险较使用时间型动态密码的用户更高。由于U盾有接口,因此给木马控制之机,例如一种名为“红蝙蝠网银大盗”的病毒木马就可以通过中了病毒的U-key在不到一分钟的时间将用户资金转出。
在国外,网银支付更多的是应用时间型动态口令密码技术,由于它不需要接口,与平台无关,更加适用于移动互联网时代,且动态口令每个密码每分钟只能使用一次,有效时间不超过1分钟,大大提高了网银的安全性。
但时间型动态口令存在被截取的可能性,黑客可以利用钓鱼网站窃取用户的账号及密码,同时,浏览器将跳转至一个等待页面,该页面以系统升级为借口,让用户等待60秒。黑客则利用这60秒的时间,迅速登录用户的网银账号。一旦60秒倒计时结束后,页面会显示让用户输入动态口令。用户输入后,黑客将第一时间收到用户的动态口令,并立即提空用户账户内的所有钱款。
商用密码的安全性、规范性越来越被国家重视,去年11月底,国家密码管理局发布了《中华人民共和国密码行业标准》(GM/T 0021-2012),对动态口令密码应用技术规范做出明确规定,要求必须是“挑战应答”式动态密码技术,且芯片必须采用具有国家密码管理局批准产品型号证书的安全芯片。这是因为,信息安全的核心是密码技术,密码技术的核心是加密算法,区分不同的个体在于密钥,而算法和密钥均存储在具有硬件防护的安全芯片中,所以密码产品采用经国家核准的安全芯片更是重中之重。
所谓“挑战应答”式动态密码最安全方便的根源在于它的防线设定在用户本身,与用户实时互动,要求用户在操作时要输对方交易卡号等对方的特定信息,从而产生这一分钟的实时交易密码。
例如A要转账给B,先在动态令牌上输入B的银行账号后六位,然后获得动态密码,这样即便黑客窃取了A的账号和动态密码,只要转入的账号后六位与A此前输入的信息不同,转账就不会成功,这样认证相对U-key和时间型动态密码就更安全了。而且产品具有非接触性,只要有数字按键的地方都能认证,从而解决了不同终端设备以及不同应用场景下的认证问题,例如手机银行、电话银行、ATM机、POS机等。
但由于规范出台较新,所以尚未得到银行重视,目前市场上99%的网银动态密码产品均是采用没有任何防护技术的通用芯片,动态密码也多数停留在时间同步技术,用户密码并不安全。
更值得注意的是,通用芯片完全是采购的国外产品,虽然价格低廉,但存在安全隐患,“斯诺登”事件也说明说明国与国之间不仅存在着信息战,而且未来战争更是信息之战。上述网络安全专家说,中国在信息战中处于下风, 2006年美国115个政府部门参与的一场“网络风暴”的网络战演习中,发现中国黑客可在72小时使美国金融系统陷入瘫痪状态,但美国只用24个小时就可以搞定中国的金融系统。
(本文作者介绍:供职新浪财经,研究方向:能源。)