文/李柯达
大家都在谈论OpenSSL漏洞,仿佛互联网的天空,突然就在那一天,塌了一个洞,自己原本藏得好好的隐私,一下子都从那个洞里漏了出去。大家都很惊恐。
不是这样的。一位不愿透露姓名的黑客告诉我,互联网从来不是这样的,至少中国的不是。他说,中国互联网安全原本就惨不忍睹。
简单地讲,OpenSSL这个被称为“心脏流血”(HeartBleed)的漏洞,很多人之前都不知道。在披露后,黑客和互联网安全运维人员第一时间反应过来,围绕着这个漏洞,你攻我守。但更多的早已披露的漏洞,互联网公司却没有注意到,任由他人自由进出。
前两天,上述黑客在一个俄罗斯语论坛上看到,有人发帖正在兜售一家类谷歌的中国互联网搜索企业的服务器信息。“1万60台服务器的权限,卖400比特币。帖子写的是类Google的搜索引擎。”他不愿意公开他的猜测。
在东欧这些地方,黑客很活跃,水平也很高。他们在论坛里,常常用比特币交易得到的数据或服务器权限。“数据无非是用户数据与服务器数据;如果像比特币交易 平台的话,就直接是比特币了。”他说,拿到了服务器权限,黑客可以用来攻击别人,也可以挖挖比特币,“如果黑掉了游戏公司的话,把高消费能力的用户导出 来,别人肯定想买。”
“像携程之前那个漏洞,‘太酷了’。”他说。上个月,互联网安全问题反馈平台乌云上出现了一份报告:携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。这可能直接引发盗刷等问题。
“往往应该重视这个问题的互联网公司,他们其实不重视。我很不理解他们为什么不重视。这个你怎么可以不重视?”
他又举了一个例子,“比如做云服务,数据敏感性非常高。如果我们的数据泄露了,那就是关门的事情,因为用户再也不会相信我们。如果这家云服务面向公司用户,那么,他的客户公司所有的数据也都没了。”
他说,漏洞就像你在厨房看到蟑螂一样,看到一只,你就应该知道,其实那还有几十只。“中国被卖的公司越来越多。大家也开始知道,中国是个肥羊。”
这一现状说明,互联网安全大有商机:不是去窃取服务器和数据;而是在互联网安全成为刚需的情况下,为这些疏于防范的公司提供渗透服务与技术支持。
渗透测试,就是以黑客的身份,想尽办法地进入系统,拿到用户数据,或者服务器权限
大家都在谈论OpenSSL漏洞,仿佛互联网的天空,突然就在那一天,塌了一个洞,自己原本藏得好好的隐私,一下子都从那个洞里漏了出去。大家都很惊恐。
不是这样的。一位不愿透露姓名的黑客告诉我,互联网从来不是这样的,至少中国的不是。他说,中国互联网安全原本就惨不忍睹。
简单地讲,OpenSSL这个被称为“心脏流血”(HeartBleed)的漏洞,很多人之前都不知道。在披露后,黑客和互联网安全运维人员第一时间反应过来,围绕着这个漏洞,你攻我守。但更多的早已披露的漏洞,互联网公司却没有注意到,任由他人自由进出。
前两天,上述黑客在一个俄罗斯语论坛上看到,有人发帖正在兜售一家类谷歌的中国互联网搜索企业的服务器信息。“1万60台服务器的权限,卖400比特币。帖子写的是类Google的搜索引擎。”他不愿意公开他的猜测。
在东欧这些地方,黑客很活跃,水平也很高。他们在论坛里,常常用比特币交易得到的数据或服务器权限。“数据无非是用户数据与服务器数据;如果像比特币交易 平台的话,就直接是比特币了。”他说,拿到了服务器权限,黑客可以用来攻击别人,也可以挖挖比特币,“如果黑掉了游戏公司的话,把高消费能力的用户导出 来,别人肯定想买。”
“像携程之前那个漏洞,‘太酷了’。”他说。上个月,互联网安全问题反馈平台乌云上出现了一份报告:携程旅行网支付日志存在漏洞,或导致大量用户银行卡信息泄露。这可能直接引发盗刷等问题。
“往往应该重视这个问题的互联网公司,他们其实不重视。我很不理解他们为什么不重视。这个你怎么可以不重视?”
他又举了一个例子,“比如做云服务,数据敏感性非常高。如果我们的数据泄露了,那就是关门的事情,因为用户再也不会相信我们。如果这家云服务面向公司用户,那么,他的客户公司所有的数据也都没了。”
他说,漏洞就像你在厨房看到蟑螂一样,看到一只,你就应该知道,其实那还有几十只。“中国被卖的公司越来越多。大家也开始知道,中国是个肥羊。”
这一现状说明,互联网安全大有商机:不是去窃取服务器和数据;而是在互联网安全成为刚需的情况下,为这些疏于防范的公司提供渗透服务与技术支持。
渗透测试,就是以黑客的身份,想尽办法地进入系统,拿到用户数据,或者服务器权限