iTech 2014 黑氣球

OpenSSL“心臟流血”漏洞

2014年4月，安全協(xié)議OpenSSL被發(fā)現(xiàn)嚴重漏洞“Heartbleed（心臟流血）”。通過該漏洞，大量用戶隱藏數(shù)據(jù)可能被盜。

OpenSSL是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協(xié)議。由于OpenSSL正在各大網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站上廣泛使用，其安全漏洞的危害很大。這一漏洞公開僅一天，部分雅虎用戶數(shù)據(jù)就遭泄露。

據(jù)彭博社報道，兩位知情人士透露，美國國家安全局（NSA）至少兩年前就已經(jīng)發(fā)現(xiàn)了OpenSSL的“心臟流血“漏洞，并且利用這項漏洞搜集情報。不過，NSA卻對此堅決否認。

直至年底，很多設(shè)備上的OpenSSL存在的漏洞仍然沒有補上。掃描工具軟件Shodan的發(fā)明者John Matherly通過分析發(fā)現(xiàn)，全球仍有30萬臺服務(wù)器沒有安裝“心臟流血”的補丁，其中有很多設(shè)備可能是“嵌入式設(shè)備”，如網(wǎng)絡(luò)攝像頭、打印機、存儲服務(wù)器、路由器、防火墻等。

“心臟流血”漏洞被發(fā)現(xiàn)之后.亞馬遜、思科、戴爾、Facebook、富士通、谷歌、IBM、英特爾、微軟、NetApp、Rackspace、高通等公司都承諾在未來3年內(nèi)加大資金投入，用于Core Infrastructure Initiative項目。這一新的開源項目由Linux基金會牽頭，用于支撐OpenSSL等關(guān)鍵的開源基礎(chǔ)設(shè)施。

蘇州蝸牛烏龍事件

2014年，一起運營商與虛擬網(wǎng)絡(luò)運營商因協(xié)議條款出現(xiàn)的烏龍事件，讓“虛擬網(wǎng)絡(luò)運營商”行業(yè)受到空前關(guān)注。

5月21日，蘇州蝸牛數(shù)字科技股份有限公司（簡稱“蘇州蝸?！保┰谄涔俜骄W(wǎng)站上宣布正式放號。蘇州蝸牛向用戶推銷其“蝸牛移動免卡”.承諾半年全國語音全免費、送全國3個G流量、所有余量永不清零、零月租無套餐。

5月22日，中國聯(lián)合網(wǎng)絡(luò)通信有限公司（簡稱”中國聯(lián)通”）對此公開叫停，稱根據(jù)中國聯(lián)通和與蘇州蝸牛2013年10月簽署的合作協(xié)議，蘇州蝸牛業(yè)務(wù)正式開通日需雙方書面確認，“目前，中國聯(lián)通未接到蘇州蝸牛正式開通移動通信轉(zhuǎn)售業(yè)務(wù)的申請.雙方尚未確認業(yè)務(wù)正式開通日”。

5月23日， 蘇州蝸牛發(fā)出通告，“接聯(lián)通官方緊急通知，蝸牛移動免卡暫停放號”。此時，有約七千名已選號用戶無法進行發(fā)卡，蝸牛通告說：“為感謝這些曾信賴蝸牛移動的已經(jīng)預(yù)購免卡的用戶，我們建議您進行退款操作，同時我們會額外奉上100元歉意金?！?/p>

新華社的報道這樣寫著：“……有網(wǎng)友認為.中國聯(lián)通暫時叫停蝸牛移動放號，表面上是一起因為協(xié)議的誤會引發(fā)的‘烏龍事件，實質(zhì)上反映了當前虛擬運營商與傳統(tǒng)運營商之間的利益博弈，暴露出通信業(yè)向民企開放的深層次矛盾。網(wǎng)友‘毛啟盈評論說，虛擬運營商動搖了電信運營商流量產(chǎn)生資費這一賴以生存的根基，打破了其長期壟斷的市場地位。臥榻之側(cè)，豈容他人鼾睡？”

新年已至，傳統(tǒng)運營商和虛擬運營商的合作與競爭.還將繼續(xù)上演。

編者按：

“黑氣球”釋名

有陽光也有陰影，有好消息也有壞消息，iTecn年度評選沒有理由對壞消息充耳不聞。把”現(xiàn)象級”的壞消息命名為“黑氣球”，是因為它們色如陰影，腹內(nèi)空洞，卻飄在空中。我們觀察“黑氣球”，是為了戳破它們，認識危害，接受警示，以使新的、類似的。黑氣球”無從飄起。但我們也知道，新事物源源而來，好消息和壞消息都不會斷絕。

12306數(shù)據(jù)庫被“撞破”

2014年12月25日，有人在網(wǎng)上兜售13萬余條12306用戶數(shù)據(jù)，包括用戶姓名、賬號密碼 手機身份證號、郵箱等私密信息。

12月26日，鐵路公安機關(guān)宣布抓獲了12306網(wǎng)站泄密事件的兩名犯罪嫌疑人，公安機關(guān)證實犯罪嫌疑人采用“撞庫”方式非法獲取12306的用戶數(shù)據(jù)

所謂“撞庫”，是黑客通過收集某個或某些網(wǎng)站上已經(jīng)泄露的用戶和密碼信息，嘗試批量登陸其他網(wǎng)站，獲得更多的用戶私密信息 之所以‘4撞庫”有機可乘，是因為很多用戶在不同網(wǎng)站使用的是相同的賬號密碼。

據(jù)業(yè)內(nèi)人士分析.12306網(wǎng)站之所以被黑客 撞庫”得手，根本原因是其賬號安全體系存在缺陷補天漏洞平臺“白帽子”（指從事信息安全防護工作的技術(shù)人員）發(fā)現(xiàn)，12306手機APP的登陸接口存在漏洞，黑客可以輕易繞過其賬號安全防護措施無限次嘗試自動登陸。

時值全國人大常委會2012年12月通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》兩年整.消費者對網(wǎng)站泄露隱私信息追責有法可依，此次12306網(wǎng)站被 撞庫”攻擊，屬于過失泄露，而不是故意泄露對于過失泄露，司法實踐中會采用過錯推定原則，即先推定泄密網(wǎng)站存在過錯，然后由網(wǎng)站舉證，證明自己盡到了安保責任。如不能證明。12306網(wǎng)站就應(yīng)承擔相應(yīng)的法律責任。