互联网金融如何摆脱“黑客围城”袭扰|互联网金融|黑客_新浪科技_新浪网
互联网金融如何摆脱“黑客围城”袭扰
法制网-法制日报
　　互联网金融平台本身属于一种创新性的金融业态或产品，原有的金融风险一样没有少，还增加了更多的技术风险。在快速发展过程中，金融风险与金融安全问题越来越突出。
　　互联网金融安全不仅是技术问题，更是管理问题。互联网金融平台要从事前、事中和事后三个方面进行完善，监管者也应该建立相应的评价机制
　　□　本报记者 　　赵丽
　　□　本报实习生 朴莹
　　日，全球最大黑客组织匿名者(Anonymous)突袭希腊央行之后，宣称长达30天的DDoS攻击开始。随着塞浦路斯央行、荷兰央行、马尔代夫央行等众多官网站点被DDoS攻击瘫痪，其他各国金融机构纷纷拉响抗DDoS警报。根据该黑客组织公布的攻击名单，中国人民银行也赫然在列。
　　然而，正深受DDoS攻击之扰的金融机构并非仅限于此，互联网金融行业或许正在成为最大的受害者——蚂蚁金融、网贷之家等多家P2P平台或第三方信息服务平台接连遭到黑客攻击。
　　今年上半年，全国金融行业(含互联网金融)安全漏洞总量同比增长181.9%。相关人士表示，目前互联网金融行业存在很大的安全隐患，客户信息泄露、支付漏洞、恶意攻击等为云平台的普及带来了新的威胁。
　　“中国P2P网贷成为网络安全的重灾区。”中央财经大学金融学院教授在接受《法制日报》记者采访时说。
　　P2P创业者遭勒索
　　见面地点，秦浩云选择了一家社区医院的中医病房。头、肩膀插满针灸，嘴里谈论着互联网创业、黑客攻击。这样的采访经历，对于记者来说，也算是新鲜。
　　对于如此选择，秦浩云也满是无奈。作为互联网金融行业的年轻创业者，秦浩云正经历创业以来最大的困境——连续两次被黑客攻击，“说是攻击，还不如说是勒索”。
　　几天前，秦浩云的平台遭受第一次攻击，随后客服收到黑客的敲诈，数目不多，1000元。
　　在秦浩云提供的聊天截图中，记者看到，黑客开门见山，“我们封了你们的网站”“通知老板联系我”，并附上了联系QQ。
　　第一次被攻击，摸不清状况的秦浩云“满足”了黑客敲诈勒索的条件。紧接着第二天，他又收到黑客的敲诈条件：
　　“受同行业雇佣封你们的网站”——经过一晚上的了解，心里有谱的秦浩云知道，这是绝大多数黑客的惯用说法，真假不得而知；
　　“受保护网站安全运行费，每月1000元”——黑客团队表示只要交钱，将不再攻击，即使遭遇其他黑客攻击，也有他们“摆平”。
　　交还是不交？交，会不会成为无底洞；不交，网站崩溃怎么办，更重要的是客户资金安全。
　　在紧急磋商之后，秦浩云的团队高价请人加固了网站防护措施，暂时化解这场危机。
　　在秦浩云看来，这些经历说起来轻描淡写，但几天下来，他已经濒临崩溃。“有的平台被敲诈走了七八万元，而且黑客侵袭的不单单是那些实力弱小的P2P平台，连某些防护能力一流的平台也被攻击过。扎完针灸，我要马上和团队讨论防护升级，不能再有下次了”。
　　作为互联网金融平台的年轻创业者，经历过此轮“历练”，秦浩云认识到，互联网金融平台最大的成本不是平台的运营成本，也不是获取客户的支出成本，更不是企业监管上的投入成本，而是作为互联网金融这个特殊行业的平台信誉成本。
　　曾有业内专家这样评析，互联网金融网站作为信誉展示的首要平台，如果因为网站信息泄露、宕机、页面篡改等原因导致用户信任丧失，那么平台也就丢失了本身的信誉，成为无源之水。再精妙的运营规划、再强大的运营投入也于事无补。因此，作为互联网金融企业，决不能让安全技术成为业务发展的绊脚石。
　　“互联网金融平台本身属于一种创新性的金融业态或产品，将金融与科技进行了结合。但如果从安全的角度看，互联网金融的风险肯定更加复杂和多样，至少原有的金融风险一样没有少，还增加了更多的技术风险可能。互联网金融起步于民营企业，来源于金融创新，在快速发展过程中，金融风险与金融安全问题越来越突出。”中国社科院金融所法与金融室副主任尹振涛对《法制日报》记者说。
　　黑客攻击成最大隐患
　　互联网企业那么多，黑客为啥这么喜欢P2P?对此，曾有人作出这样的比喻：如果你看着一个三岁娃娃抱着一箱钱走在街上，你不想抢啊？
　　“互联网黑客等恶意攻击问题一直伴随着互联网技术的发展，这与互联网技术本身有关，并不是互联网金融或者说是中国特有的。在国际上，有很多有关黑客恶意攻击国际知名机构的案例。”尹振涛向记者介绍说，从国内情况看，目前存在两种倾向，一种是寻找漏洞攻击国内知名的大平台，用勒索手段获得非法的利益。大机构一般会稳定投资者情绪，避免事件扩散及声誉受损等，平息事件。另一种是黑客直接攻击安全防范不健全的小平台，直接攻击其支付渠道等，盗取资金。
　　黑客攻击第三方支付平台的手段多是流量攻击，主要意图是导致用户无法正常访问。而流量攻击无法从根本解决，只能通过流量清洗、加大带宽来应对。
　　然而，流量清洗及防护的价格并不便宜。曾有P2P平台受攻击后，3个小时的DDoS防护就花了16万元。据了解，以某公司的云盾DDoS防护为例，保底包月费用接近4万元，按天的弹性付费根据攻击流量的不同，价格从不到两千元至两万余元不等，具体的收费总额还要看防护情况而定。
　　正是基于被攻击公司不舍得花钱的心态，黑客常常开出数万元至数百万元不等的勒索金额。
　　据调查统计，黑客攻击互联网金融平台的目的主要为窃取数据，占比高达48%，其次为敲诈勒索和商业竞争。
　　秦浩云向记者介绍说，大批互联网金融平台被黑客攻陷，黑客攻击除能引起系统瘫痪外，还将数据恶意修改、洗劫一空；黑客通过申请账号、篡改数据、冒充投资人进行恶意提现甚至资金被盗事件也曾发生。
　　根据中国权威第三方漏洞监测平台乌云网从2014年至2015年8月对P2P行业漏洞数量统计显示，高危漏洞占56.2%，中危漏洞占23.4%，低危漏洞占12.3%，其中8.1%被厂商忽略。除了系统安全漏洞，黑客攻击技术的升级仍然是网络安全最大的隐患。
　　“黑客寻找漏洞攻击国内知名大平台，主要与互联网技术本身相关，即便是大平台，投入再大的人力物力研发系统，也同样会存在不可预知的漏洞。因为，技术总归是人设计的。这只能通过技术的不断迭代去弥补漏洞。”尹振涛向记者分析说，针对安全防范不健全的小平台，则是因为在互联网野蛮生长过程中，埋下了风险隐患，“那些对技术投入小，不重视金融安全风险的平台，受恶意攻击情况就会很突出。同时，‘苍蝇不叮无缝的蛋’,这些平台可能也存在着这样或那样的‘不可告人的秘密’,也给不法分子留下了机会”。
　　有业内人士介绍，有些平台直接在网上购买较为廉价、安全性缺乏保障的网贷系统，这样的平台在安全局势尤为紧张的互联网金融领域，无异于“裸奔”，平台安全岌岌可危。
　　对此，尹振涛透露说：“据我所知，一套这样的网贷系统市场价在20万元左右，这些系统存在大量风险漏洞。之前，也存在一个公司开发的网贷平台系统受到攻击，多家使用的平台受影响的风险事件。主要原因在于，很多小平台风险意识淡薄，只考虑如何做大规模、如何赚取利润。同时，网贷平台本身也有管理层结构问题。在这些小平台，懂技术的不懂金融，懂金融知识的不懂网络技术。”
　　中央财经大学金融法研究所所长黄震也向记者介绍了这样的情况：“有一些平台确实是考虑不周，他们按照产业价格购买他人的软件，或者由技术并不强的公司替他们开发所谓的软件或在他人的软件上修修改改而已。”
　　安全如何不再是痛点
　　监管，是互联网金融发展绕不开的话题。
　　黄震向记者介绍说，对于上述提到的购买廉价技术、安全意识不强的平台，目前没有相关监管，“此前有文件对这些P2P平台提出批评，但具体怎么管，具体的政策还没有出台”。
　　中央财经大学信息学院院长、金融信息安全研究所所长朱建明认为，安全是一个整体，互联网安全措施的级别要与商业价值相一致。互联网金融安全不仅是技术问题，更是管理问题。不仅包括一般的安全问题，更包括业务安全问题。当前行业的普遍观点是，云计算的负载资源能力以及建立在虚拟化平台上的安全设备和安全管理网站有很大优势，大数据安全应该是互联网金融公司安全问题的重中之重。
　　在尹振涛看来，P2P平台、监管者以及投资者应各尽其责：
　　对平台来说，互联网金融安全风险，特别是技术风险问题，这是不可回避的。要从事前、事中和事后三个方面进行完善。事前要重视金融风险和安全问题，投入人力、物力进行防范。事中要有监控手段和方法及相应的机制。事后要有处置预案、补偿机制设计等，尽量减少损失，降低破坏率；
　　随着互联网金融治理的不断深入，自然会淘汰那些技术落后和不健康的小平台，这对整个行业的风险水平会有很好的提升。针对互联网金融特有的性质，监管方面也应该有检测的规章制度，或者互联网金融协会主导或其他第三方评估机制主导的评价机制。当然，在实施过程中，也应该避免出现“卖认证”的问题；
　　投资者作出选择时，应该尽量选择可靠的大平台，自己增强风险防范意识，特别是互联网技术和移动互联安全问题。
　　郭田勇则提出要提高从业人员的业务审查能力。
　　黄震也提出了类似观点：“按照现在已有的法律法规的标准，对于提供软件和网络服务的服务商严格审查，这是现有的服务要求。”
　　此外，黄震建议，P2P平台可以通过各行业协会提出安全保障要求，“在未来国家正式的监管部门成立后，在监管时可以提出要求，这是可以逐渐实施的方法和路径。大数据时代，数据涉及到个人信息越来越多，需要加强安全保护，数据安全要求规范立法的呼声会越来越高，这是可以理解的，这方面的法律几乎接近空白状态，每个人都感觉没有安全感、有被偷窥的感觉。这方面应先从公司的自律开始，逐渐建立行业的标准和规范”。
海尔是中国第一家达到千亿规模的家电企业，但在国内市场它正面临...
尽管谷歌对于Project Ara始终抱有希望，其发布之初就存在的诸多矛...
风止于草莽之间。风起风止之间，直播大时代的确已经到来，但这门...
喜爱自拍的人认为，自拍的照片能够最大程度展现自己的美貌。
不要为李世石的失败，或者人类的失败惋惜。第37手是机器与人共同进步的开始。TECH2IPO/创见
「 新生活 新科技 新零售」
互联网黑客，除了盗刷信用卡还能偷走你的整栋房子
互联网黑客如何悄悄易主你在伦敦或纽约曼哈顿的房产？他们从没见过你，未来也不会见到你，却能通过挖掘互联网上的信息，弄到你的所有身份资料，然后变卖你名下的房产，他
他叫 Max Hastings，住在英国伦敦，身高一米九，现年 70 岁，退休的年龄，曾经是一名战地记者，现在是个编辑，是个历史学家，也是个写书的作者。比如最近就写了本历史方面的书，有关二战的。但现在我们要说的故事真和他的书一点关系也没有，是关于他家的一栋房产是如何被黑客偷走的。Max Hastings 本来生活得优渥又平静。可是突然有一天，就来了封邮件，打开一看是个陌生律师写的，其中就两个问题，你的妻子是否在伦敦西边有一处房产？她是否已得知该房产已经变卖？ 他妻子 Penelope Hastings 名下确实有一处房产，在伦敦富勒姆区，两年前为子女买的，之后租了出去，从没想过转手，怎么突然就「变卖」了呢？ 事情要从今年 6 月说起，Max 家房子上一个租客搬出去之后，房产中介告诉 Max 说他们又找来了一名租客，名叫 Kevin Hafter，这人自称离婚了，有三个小孩要养，所以希望赶快住进去，合同一下子就签了两年。 中介还说，这位租客手里有介绍信，来自伦敦信誉度很高的评估机构，叫 Van Mildert，按照惯例，有了这封介绍信，租客理所当然属于优质租客。并且 Hafter 自称年收入 11 万英镑，在 Credence Partners 就任资产经理。一切都没有问题，这人付了钱之后，就拿到了钥匙。其中有个细节，Hafter 整个过程都是现金付款，有风险意识的中介应该会留个心眼，但已经拿到佣金的中介并没把这当回事。Hafter 住进去后没过几天就去了位于富勒姆大道不动产中介公司 Foxtons，说要卖房子。他自称是 Penelope Hastings 的代理人，由于 Penelope 现在住在芝加哥，所以全权由他代理。Foxtons 不仅没拒绝，反而热烈欢迎他，毕竟提成高着呢，于是就着手促销这栋房产，由于价格比市场价低一点，很快就有买家找上门。同时 Hafter 的同伙冒充一家律所的房产律师，由律师作为房产卖方。 然后，最关键的部分是，谁来冒充 Max 的妻子呢？这就是这个事件最惊悚的部分，在现代社会，某个人的身份可以轻易被另一个人冒充：Hafter 不知从哪搞到了 Penelope 的个人资料，然后他们找到一个来自伦敦东南部叫 Catford 的女子，她去政务部门把自己名字改成 Penelope Hastings，然后又去申请了护照，拿到护照之后宣称自己就是那个房东。这名女子有官方证明文件的复印件，然后就被房产中介当成了正牌房东，把房子「成功」卖掉。年轻的女买家就这么把 125 万英镑转到了位于迪拜的银行账户，换来这栋房产的钥匙。她兴高采烈预约了施工队，打算把房子好好装修一番，还去市政部门注册了水电等账户。在这过程中，她偶然发现这栋房产在土地管理局登记的还是原来的户主。她想联系卖家，但此时 Hafter 团伙已消失得无影无踪了。 从法律意义上，这栋房子主人没变，Max 家虚惊一场。受害者是年轻的女买家，被骗了 125 万英镑，负责销售这处房产的中介 Foxtons 认为责任都在女买家的律师，但还是答应退还中介费。 房东身份被盗用，充分相信现代社会精细化分工的女买家被狠狠坑了一次。这种案件在英国不是孤例，伦敦警署已经开始调查 21 起同类房屋盗卖案件。 在美国纽约的曼哈顿也有 30 起房屋被偷盗房产的案件。比如去年就有位 79 岁的老护士，其曼哈顿的房产被以 75 万美元的低价卖掉，正常市值应该是 100 多万美元。据曼哈顿地区的检察官说，美国房屋数据在网上都是公开的，如房主真实姓名，签名笔迹，真实住址，邮箱和电话号码，律师姓名等，据此信息弄到房主社会安全码也不难。虽然这种骗术 5 年前就开始兴起，但是随着私人房产信息的公开透明，加上电子合同，电子签名等技术逐渐普及，这一两年的房产大盗显然更加猖獗，而且以后可能还会越来越多。 房产大盗总是出没在投机氛围浓厚的大城市如：纽约、伦敦、底特律。尤其是底特律，自从该城市破产以来，一直是房产骗子们的频繁出没地。现在炒房客越来越多。除了一直爱投资房地产的富人，中产阶级也加入炒房大军。原因在于钞票不断贬值，常规养老保险难有收益，普通人投资渠道并不多，而且金融繁荣，次级贷款门槛不高。虽然老百姓曾寄希望于股票投资，但又并没有专业知识，就算付费求助于理财顾问，也很难从股票市场攫取微利。股票市场早就被众多数十亿美元规模的基金统治，他们采用高频大手笔策略，其中的算法其实都是由数学物理专业的博士生开发，他们毕业于剑桥、常春藤等世界最著名高校。实力悬殊可见一斑。 中产阶级奋斗一生，都希望有自己的房产，这是他们最后的尊严：自由，不再受困于租金，不会被房东驱赶。每一代人都是如此，父母一代可能需要出租自己房产养老，追求独立自主的子女也大多会攒钱购房。在人类需求层次论中，第一是吃喝，其次就是住所。这赋予了房地产双重属性，既是庇护所，又是一种投资类别。房地产投资不仅收益稳定，而且看得见摸得着，更能给人安全感。你可以看见自己的房产，看到自己的邻居，看见租金入账的流水，不需要看繁杂的报表，也不需要关注股东大会或者各种 乱七八糟的披露文件。诸多理由导致房价一涨再涨。 有钱人在窃笑。中产阶级积极参与楼市投机，已经推动了全世界范围内的房价，大城市的住房总是供不应求，新房被有钱人买下，这就像百万富翁们的空中保险柜，他们总能保证存进去的钱跑赢通胀，因为所有焦急的中产投机者，一旦有喘息机会就会争相投钱买房吹大泡沫。 这就是房地产背后的经济故事，这很可怕。但如果结合现代科技，事情会变得糟糕的多。 我们的身份信息泄漏情况令人震惊。一方面，通过互联网收集并仿冒另一个人的身份变得如此简单。几乎每一个互联网应用都需要你设置密码以便日后的在线交易。但是其中多数网站都没能好好保管我们的个人数据，假如不幸信息被黑客窃取，网站不会觉得自己有任何责任，「都是黑客的错」，他们一定会这么说。 不仅是存储，在我们社会中，交出自己个人信息似乎是家常便饭一样的事。 在美国，与你合作的每一个生意伙伴都想要一份你的身份证复印件，但他们都没说，是怎么处理这些个人数据的。如果你的小孩去兴趣班，可能就需要收集家长的指纹数据以签署协议。社会安全码被银行和通信公司用作个人识别号和授权码。公立学校更是需要你的个人信息，但他们也可能把你的家庭住址交给美国军方或者私有公司。但是，如果你不给他们自己身份证复印件以及家庭住址，你就无法在公共机构开设账户，没法让邮局给自己装个邮箱。 不仅仅是密码，你网上使用到的多数服务都要求设置「安全问题」，用于找回密码。这些问题可能是生日、可能是你的父母名字，你的出生地等等，这些信息都被永久记录，你也无法抹掉它们，这些信息也是黑客的最爱。 所有你填上去的各种个人资料，都被永久存储，其中的安全措施却可能相当简陋。更可怕的是，娴熟的黑客，可以只黑掉几个网站，只搞到你的一两个完整个人数据，便可间接搞到你其他的个人账户。如果他们黑掉你的手机，甚至可以搞定你的银行卡，你的网络支付记录，以及电子合同等个人资料。 如果有一位学者要去访问某所学校，很可能会被要求扫描他的身份证，然而谁也不可能知道校方会怎么处理这份资料，永远也不会知道。例行公事而已，如果你自作多情去问个清楚，就会感觉自己像个傻逼。其实不用仔细想就能知道，结果会是：「我们会把所有数据永久保存，安全措施挺糟糕，如果出现什么意外，当然是后果自负。而且我们可以卖掉这些数据，我们可以展示给任何我们想展示的人。」 移民更容易遇到信息泄露问题。如果是通过中介，你需要把所有你的个人信息告诉中介，但完事之后你无法确信中介已将你的资料全部销毁。有些政府服务由第三方机构承包，你的申请资料就需要提交给这些第三方承包商，如护照的复印件，出生证明，个人生物识别信息，所有这些数据，几乎没有什么安全加密措施，就直接给了他们。这些第三方机构，在保管个人资料方面，几乎没有什么安全防泄密措施，只能说，个人信息安全状况真他妈见鬼！ 当今互联网泄露隐私早已不是小问题，可惜没人勇敢站出来放个屁。那些收集数据的商业公司所考虑的问题并不是「我们会不会毁了某人的生活？」而是「这是我们的责任吗？我们投保了吗，能免于处罚吗？」。 我们整个社会都存在巨大的安全隐患。这可能比 2007 年次贷危机问题更严重。在这个信息时代到处潜伏着风险，黑客攻击也实现了大规模和自动化，他们可以登录你的个人银行，可以潜伏进你的聊天应用看你的聊天记录，看你的征婚交友的资料，以后甚至可以连接到你家的监控摄像头进行偷窥，他们还可以把许许多多零碎的信息拼接起来，然后拿到更多你的个人权限。 如果你也想干点违法的事，那就赶紧来偷盗个人信息做一名房地产大盗，偷房子这种事，目前可能是有史以来最容易的时代，而且随着电子合同的普及，互联网不断渗透到生活的方方面面，以后的每一天，房产大盗都在变得越来越容易！ 本文由 TECH2IPO / 创见（tech2ipo.com）编辑 IMYG 撰写，转载或使用本文素材进行二次创作请参阅
请后参与评论6,685被浏览1,755,040分享邀请回答putty.org.cn)网站进行推广，窃取管理员所输入的SSH用户名与口令，并将其发送至指定服务器上。-1、XcodeGhost 苹果开发者工具被捆绑恶意代码2015年中旬，恶意代码制造者通过在开发者论坛，散布捆绑过病毒的 Xcode 安装包，使得开发者编译出的 App 被注入第三方的代码，向指定网站上传用户数据。0、github 遭受来自我国加农大炮发出的DDOS攻击（百度担当了本次黑锅侠）2015年3月份，攻击者劫持百度广告联盟的JS脚本并将其替换成恶意代码，最后利用访问中国网站的海外用户对GitHub发动大规模分布式拒绝服务攻击。1、大陆境内所有通用顶级域遭DNS劫持（被Big Brother恶意Hack）日，大陆境内所有通用顶级域（.com/.net/.org等）遭DNS劫持，所有域名均被指向一个位于美国的IP地址（65.49.*.178）。根据网络上资料显示，该IP地址属于美国S**hidea公司所有，而S**hidea公司的大客户之一就是著名的加密代理软件XX门的母公司。
2、Lizard Squad劫持联想域名，并泄露部分公司邮件
日，联想域名遭劫持，业内人士预测可能与联想近期收到的大量公开指责有关，该公司的电脑被捆绑了称为快鱼（Superfish）的加密广告程序，引起大量用户不满。在公众的压力下，联想最终决定删除软件，向受影响的用户道歉。
3、携程信息“安全门”事件敲响网络消费安全警钟
日，携程网被指出安全支付日志存在漏洞，导致大量用户银行卡信息泄露，电商如何对用户信息进行保护引发人们思考。
4、温州地区有线电视大面积被黑，播放敏感反动内容
日，浙江省公安厅官方微博通报，温州有线电视网络系统市区部分用户的机顶盒遭黑客攻击，出现一些反动宣传内容，影响了群众正常收看电视，造成了不良影响。
5、江苏公安厅:海康威视监控设备有隐患 部分设备已经被境外IP地址控制
日，江苏省公安厅下达《关于立即对全省海康威视视频监控设备进行全面清查和安全加固通知》
6、Apache Struts2连续爆多个高危漏洞，影响国内数百万信息系统安全7、[心脏流血]OpenSSL “Heartbleed”漏洞
8、[破壳]Shellshock漏洞
9、[贵宾犬]Google发现SSL 3.0漏洞，让黑客有可乘之机
日，一个存在于 SSL 3.0 协议中的新漏洞于今日被披露。该漏洞被命名为“贵宾犬”（降级传统加密填充提示），通过此漏洞，第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。
10、阿里巴巴宣称遭受互联网有史以来最大的DDOS攻击
11、网易全线线上服务遭受大规模DDOS攻击
13、chinanews被黑涂改首页你不太清楚的用户数据泄露事件仅公安部一年查获被盗取各类公民个人信息就有近50亿条，而这可能只是泄露信息一小部分，2011年，互联网泄密事件引爆了整个信息安全界，导致传统的用户+密码认证的方式已无法满足现有安全需求。泄露数据包括：天涯：31,758,468条，CSDN：6,428,559条，微博：4,442,915条，人人网：4,445,047条，猫扑：2,644,726条，178：9,072,819条，嘟嘟牛：13,891,418条，7K7K：18,282,404条，小米828万，Adobe：1.5亿，Cupid Media：4200万，QQ数据库：大于6亿，福布斯：100万，索尼：1.016亿，机锋网：2000多万，接近10亿多条。
1、快递公司官网遭入侵 泄露1400万用户快递数据日，警方破获了一起信息泄露案件，犯罪嫌疑人通过快递公司官网漏洞，登录网站后台，然后再通过上传(后门)工具就能获取该网站数据库的访问权限，获取了1400万条用户信息，除了有快递编码外，还详细记录着收货和发货双方的姓名、电话号码、住址等个人隐私信息。
2、机锋网2700万用户数据泄露日上午，知名微博账号“互联网的那点事”发布消息称，机锋论坛2300万用户数据泄露，包含用户名、邮箱、加密密码在内的用户信息在网上疯传，提醒用户抓紧修改密码。
3、小米800万用户数据泄露 4、130万考研用户信息被泄露5、智联招聘86万条求职简历数据遭泄露6、12306网站超13万用户数据遭泄露7、汉庭2000万开房记录遭泄露由于安全漏洞问题，导致2000万条在2010年下半年至2013年上半年入住酒店的2000多万客户信息泄露。
开房记录系列以下是近年来自乌云的严重漏洞案例，为互联网行业提供警示：2015年网络安全问题必将上升到一个逐渐被全民关注的转折年。5.9K374 条评论分享收藏感谢收起6617 条评论分享收藏感谢收起互联网安全一窥
稿源：《程序员》杂志
在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。信息本来是安全的，自从有了研究安全的人之后，互联网就变得不安全了。
起初，研究计算机系统和网络的人，被称为&&，他们对计算机系统有着深入的理解，因此往往能够发现其中的问题。&acker&在中国按照音译，被称为&黑客&。在计算机安全领域，黑客是一群破坏规则、不喜欢被拘束的人，因此总想着能够找到系统的漏洞，以获得一些规则之外的权力。
对于现代计算机系统来说，在用户态的最高权限是（），也是黑客们最渴望能够获取的系统最高权限。&&对黑客的吸引，就像大米对老鼠的吸引，美女对色狼的吸引。
不想拿到&&的黑客，不是好黑客。漏洞利用代码能够帮助黑客们达成这一目标。黑客们使用的漏洞利用代码，被称为&&。在黑客的世界里，有的黑客，精通计算机技术，能自己挖掘漏洞，并编写；而有的黑客，则只对攻击本身感兴趣，对计算机原理和各种编程技术的了解比较粗浅，因此只懂得编译别人的代码，自己并没有动手能力，这种黑客被称为&&，即&脚本小子&。在现实世界里，真正造成破坏的，往往并非那些挖掘并研究漏洞的&黑客&们，而是这些脚本小子。而在今天已经形成产业的计算机犯罪、网络犯罪中，造成主要破坏的，也是这些&脚本小子&。
中国黑客简史
中国黑客的发展分为几个阶段，到今天已经形成了一条黑色产业链。
笔者把中国黑客的发展分为了：启蒙时代、黄金时代、黑暗时代。
首先是启蒙时代，这个时期大概处在世纪年 代，此时中国的互联网也刚刚处于起步阶段，一些热爱新兴技术的青年受到国外黑客技术的影响，开始研究安全漏洞。启蒙时代的黑客们大多是由于个人爱好而走上 这条道路，好奇心与求知欲是驱使他们前进的动力，没有任何利益的瓜葛。这个时期的中国黑客们通过互联网，看到了世界，因此与西方发达国家同期诞生的黑客精 神是一脉相传的，他们崇尚分享、自由、免费的互联网精神，并热衷于分享自己的最新研究成果。
接下来是黄金时代，这个时期以中美黑客大战为标志。在这个历史背景下，黑客这个特殊的群体一下子几乎吸引了社会的所有眼球，而此时黑客圈子所宣扬的 黑客文化以及黑客技术的独特魅力也吸引了无数的青少年走上这条道路。自此事件后，各种黑客组织如雨后春笋般冒出。此阶段的中国黑客，其普遍的特点是年轻， 有活力，充满激情，但在技术上也许还不够成熟。此时期黑客圈子里贩卖漏洞、恶意软件的现象开始升温，同时因为黑客群体的良莠不齐，也开始出现以赢利为目的 的攻击行为，黑色产业链逐渐成型。
最后是黑暗时代，这个阶段从几年前开始一直延续到今天，也许还将继续下去。在这个时期黑客组织也遵循着社会发展规律，优胜劣汰，大多数的黑客组织没 有坚持下来。在上一个时期非常流行的黑客技术论坛越来越缺乏人气，最终走向没落。所有门户型的漏洞披露站点，也不再公布任何漏洞相关的技术细节。
伴随着安全产业的发展，黑客的功利性越来越强。黑色产业链开始成熟，这个地下产业每年都会给互联网造成数十亿的损失。而在上一个时期技术还不成熟的 黑客们，凡是坚持下来的，都已经成长为安全领域的高级人才，有的在安全公司贡献着自己的专业技能，有的则带着非常强的技术进入了黑色产业。此时期的黑客群 体因为互相之间缺失信任已经不再具有开放和分享的精神，最为纯粹的黑客精神实质上已经死亡。
整个互联网笼罩在黑色产业链的阴影之下，每年数十亿的经济损失和数千万的网民受害，以及黑客精神的死亡，使得我们没有理由不把此时称为黑暗时代。也许黑客精神所代表的、、，真的一去不复返了！
黑客技术的发展历程
从黑客技术发展的角度看，在早期，黑客攻击的目标以系统软件居多。一方面，是由于这个时期的技术发展还远远不成熟；另一方面，则是因为通过攻击系统软件，黑客们往往能够直接获取权限。这段时期，涌现出了非常多的经典漏洞以及&&。比如著名的黑客组织，就曾经编写过一个攻击的，并公然在的中宣称曾经利用这个入侵过（美国中央情报局）。
下面是这个的一些信息。
有趣的是，这个还曾经出现在著名电影《黑客帝国》中：
电影《黑客帝国》
放大屏幕上的文字可以看到：电影《黑客帝国2》中使用的著名exploit。
在早期互联网中，并非互联网的主流应用，相对来说，基于、、、等协议的服务拥有着绝大多数的用户。因此黑客们主要的攻击目标是网络、操作系统以及软件等领域，安全领域的攻击与防御技术均处于非常原始的阶段。
相对于那些攻击系统软件的而言，基于的攻击，一般只能让黑客获得一个较低权限的账户，对黑客的吸引力远远不如直接攻击系统软件。
但是时代在发展，防火墙技术的兴起改变了互联网安全的格局。尤其是以、华为等为代表的网络设备厂商，开始在网络产品中更加重视网络安全，最终改变了互联网安全的走向。防火墙、技术的兴起，使得直接暴露在互联网上的系统得到了保护。
比如一个网站的数据库，在没有保护的情况下，数据库服务端口是允许任何人随意连接的；在有了防火墙的保护后，通过可以控制只允许信任来源的访问。这些措施在很大程度上保证了系统软件处于信任边界之内，从而杜绝了大部分的攻击来源。
2003年的冲击波蠕虫是一个里程碑式的事件，这个针对操作系统服务（运行在端口）的蠕虫，在很短的时间内席卷了全球，造成了数百万台机器被感染，损失难以估量。在此次事件后，网络运营商们很坚决地在骨干网络上屏蔽了、等端口的连接请求。此次事件之后，整个互联网对于安全的重视达到了一个空前的高度。&
运营商、防火墙对于网络的封锁，使得暴露在互联网上的非服务越来越少，且技术的成熟使得应用的功能越来越强大，最终成为了互联网的主流。黑客们的目光，也渐渐转移到了这块大蛋糕上。
实际上，在互联网安全领域所经历的这个阶段，还有另外一个重要的分支，即桌面软件安全，或者叫客户端软件安全。其代表是浏览器攻击。一个典型的攻击场景是，黑客构造一个恶意网页，诱使用户使用浏览器访问该网页，利用浏览器中存在的某些漏洞，比如一个缓冲区溢出漏洞，执行，通常是下载一个木马并在用户机器里执行。常见的针对桌面软件的攻击目标，还包括微软的系列软件、、多媒体播放软件、压缩软件等装机量大的流行软件，都曾经成为黑客们的最爱。但是这种攻击，和本书要讨论的安全还是有着本质的区别，所以即使浏览器安全是安全的重要组成部分，但在本书中，也只会讨论浏览器和安全有关的部分。
Web安全的兴起
Web攻击技术的发展也可以分为几个阶段。在Web&1.0时代，人们更多的是关注服务器端动态脚本的安全问题，比如将一个可执行脚本（俗称）上传到服务器上，从而获得权限。动态脚本语言的普及，以及技术发展初期对安全问题认知的不足导致很多&血案&的发生，同时也遗留下很多历史问题，比如语言至今仍然只能靠较好的代码规范来保证没有文件包含漏洞，而无法从语言本身杜绝此类安全问题的发生。
SQL注入的出现是安全史上的一个里程碑，它最早出现大概是在年，并很快就成为Web安全的头号大敌。就如同缓冲区溢出出现时一样，程序员们不得不日以继夜地去修改程序中存在的漏洞。黑客们发现通过注入攻击，可以获取很多重要的、敏感的数据，甚至能够通过数据库获取系统访问权限，这种效果并不比直接攻击系统软件差，攻击一下子就流行起来。注入漏洞至今仍然是安全领域中的一个重要组成部分。
XSS（跨站脚本攻击）的出现则是安全史上的另一个里程碑。实际上，的出现时间和注入差不多，但是真正引起人们重视则是在大概&年以后。在经历了&的蠕虫事件后，安全界对的重视程度提高了很多，威胁甚至把排在榜首。
伴随着Web&2.0的兴起，、等攻击已经变得更为强大。攻击的思路也从服务器端转向了客户端，转向了浏览器和用户。黑客们天马行空的思路，覆盖了的每一个环节，变得更加的多样化，这些安全问题，在本书后续的章节中会深入地探讨。
Web技术发展到今天，构建出了丰富多彩的互联网。互联网业务的蓬勃发展，也催生出了许多新兴的脚本语言，比如、、等，敏捷开发成为互联网的主旋律。而手机技术、移动互联网的兴起，也给带来了新的机遇和挑战。与此同时，安全技术，也将紧跟着互联网发展的脚步，不断地演化出新的变化。
本文节选自《白帽子讲Web安全》，吴翰清著，由电子工业出版社发行。
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页