通俗版在此:关于“心脏出血”漏洞的解释性说明

通俗版在此:关于“心脏出血”漏洞的解释性说明针对眼下爆发的OpenSSL漏洞,虎嗅今天(4月9日)早上已发了一篇文章说明其来龙去脉及危害,这里有一篇来自VOX网站的文章,对SSL及该次漏洞进行了更详细的说明,摘编如下,由新浪科技翻译:
什么是SSL?
SSL是一种流行的加密技术,可以保护用户通过互联网传输的隐私信息。当用户访问Gmail.com等安全网站时,就会在URL地址旁看到一个“锁”,表明你在该网站上的通讯信息都被加密。
这个“锁”表明,第三方无法读取你与该网站之间的任何通讯信息。在后台,通过SSL加密的数据只有接收者才能解密。如果不法分子监听了用户的对话,也只能看到一串随机字符串,而无法了解电子邮件、Facebook帖子、信用卡账号或其他隐私信息的具体内容。
SSL最早在1994年由网景推出,1990年代以来已经被所有主流浏览器采纳。最近几年,很多大型网络服务都已经默认利用这项技术加密数据。如今,谷歌、雅虎和Facebook都在使用SSL默认对其网站和网络服务进行加密。
什么是“心脏出血”漏洞?
多数SSL加密的网站都使用名为OpenSSL的开源软件包。本周一,研究人员宣布这款软件存在严重漏洞,可能导致用户的通讯信息暴露给监听者。OpenSSL大约两年前就已经存在这一缺陷。
工作原理:SSL标准包含一个心跳选项,允许SSL连接一端的电脑发出一条简短的信息,确认另一端的电脑仍然在线,并获取反馈。研究人员发现,可以通过巧妙的手段发出恶意心跳信息,欺骗另一端的电脑泄露机密信息。受影响的电脑可能会因此而被骗,并发送服务器内存中的信息。
该漏洞的影响大不大?
很大,因为有很多隐私信息都存储在服务器内存中。普林斯顿大学计算机科学家艾德·菲尔腾(Ed Felten)表示,使用这项技术的攻击者可以通过模式匹配对信息进行分类整理,从而找出密钥、密码,以及信用卡号等个人信息。
丢失了信用卡号和密码的危害有多大,相信已经不言而喻。但密钥被盗的后果可能更加严重。这是是信息服务器用于整理加密信息的一组代码。如果攻击者获取了服务器的私钥,便可读取其收到的任何信息,甚至能够利用密钥假冒服务器,欺骗用户泄露密码和其他敏感信息。
谁能利用“心脏流血”漏洞?
“对于了解这项漏洞的人,要对其加以利用并不困难。”菲尔腾说。利用这项漏洞的软件在网上有很多,虽然这些软件并不像iPad应用那么容易使用,但任何拥有基本编程技能的人都能学会它的使用方法。
当然,这项漏洞对情报机构的价值或许最大,他们拥有足够的基础设施来对用户流量展开大规模拦截。我们知道,美国国家安全局(以下简称“NSA”)已经与美国电信运营商签订了秘密协议,可以进入到互联网的骨干网中。用户或许认为,Gmail和Facebook等网站上的SSL加密技术可以保护他们不受监听,但NSA 却可以借助“心脏流血”漏洞获取解密通讯信息的私钥。
虽然现在还不能确定,但如果NSA在“心脏流血”漏洞公之于众前就已经发现这一漏洞,也并不出人意料。OpenSSL是当今应用最广泛的加密软件之一,所以可以肯定的是,NSA的安全专家已经非常细致地研究过它的源代码。‘
有多少网站受到影响?
目前还没有具体的统计数据,但发现该漏洞的研究人员指出,当今最热门的两大网络服务器Apache和nginx都使用OpenSSL。总体来看,这两种服务器约占全球网站总数的三分之二。SSL还被用在其他互联网软件中,比如桌面电子邮件客户端和聊天软件。
发现该漏洞的研究人员几天前就已经通知OpenSSL团队和重要的利益相关者。这让OpenSSL得以在漏洞公布当天就发布了修复版本。为了解决该问题,各大网站需要尽快安装最新版OpenSSL。
用户应当如何应对该问题?
不幸的是,如果访问了受影响的网站,用户无法采取任何自保措施。受影响的网站的管理员需要升级软件,才能为用户提供适当的保护。
不过,一旦受影响的网站修复了这一问题,用户便可以通过修改密码来保护自己。攻击者或许已经拦截了用户的密码,但用户无法知道自己的密码是否已被他人窃取。
加入文集

互联网安全不眠夜:“心脏出血”,波及网银电商

互联网安全不眠夜:“心脏出血”,波及网银电商文/阳淼 山寨发布会创始人
昨晚(4月8日)是黑客和白帽们的不眠之夜。他们有的在狂欢,逐个进入戒备森严的网站,耐心地收集泄漏数据,拼凑出用户的明文密码;有的在艰苦升级系统,统计漏洞信息,还要准备说服客户的说辞,让他们意识到问题的严重性;当然还有淼叔这样看热闹不嫌事大的,拼命恶补安全常识、寻找专家采访,试图记录这历史性的一夜。
这一夜,互联网门户洞开。
基础安全协议“心脏出血”
北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监,余弦在国内黑客圈资历颇深。他向淼叔介绍了这次事件的起源。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的,并提交给相关管理机构,随后官方很快发布了漏洞的修复方案。4月7号,程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。
他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。
中国有至少三万台机器“带病”
一些安全研究者认为,这个漏洞影响可能没有那么大,因为受漏洞影响的OpenSSL 1.01系列版本,在互联网上部署并不广泛。
国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警:“这一次,狼真的来了”。
余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大论坛中实时跟踪事态的最新进展,更重要的精力放在了ZoomEye系统的扫描上。根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响!443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。
ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,余弦给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。
从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。
自这个漏洞被爆出后,全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。余弦说,这是目前最危险的地方:骇客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果骇客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经 有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
问题的应对与新的问题
目前,ZoomEye仍在持续不断地给全球服务器”体检“,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟;而给那三万多台”带病“服务器重复体检,则只需两分钟。目前,余弦已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要媒体持续曝光一些“带病”服务器,以此倒逼相关公司重视该漏洞。
而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。”
与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。
阳淼的微信公众号是“如是淼闻”(RUSHIMIAOWEN),个人微信为2350285,微博@阳淼,私信开放。文章为作者独立观点,不代表虎嗅网立场

向作者提问

加入文集

今日嗅评:淡蓝只是起点,产业商业化是这个群体的必然选择

今日嗅评:淡蓝只是起点,产业商业化是这个群体的必然选择彩虹背后是朝阳?中国同志产业观察李拓:同志垂直类app虽然是目前的热点,但变现能力有限,而Web端的营收能力仍不可小觑。未来除了app,玩家需要在自己的平台做多款产品,才能存活下去。同志领域B2C的演化形态还处于较为初级的状态,也基本不存在“根正苗红”的同志电商玩家。
如意乐1qq:这个群体的属性很强,长时间的争议导致群体隐约闪现,商业化是这个群体的必然选择,真因为商业化才能够消除隔阂与偏见。
不管同还是非同,针对的都是以人为本的市场,以常识与自然的商业运营模式去运营此类市场,是最好的选择。因为取向与理念的不同,也会造成类似淡蓝的产品会带有别样的吸引力,而这种吸引力反而把市场的核心放在同的群体,也放在了非同的群体里。除了特殊针对性较强的产品之外,比如旅游,比如B2C里的产品都可以延伸至非同市场。例如豆瓣来说,各个群体都可使用,虽然弹射力不强,但目前确实有最好的位置与定位。随着移动端越来越普及,具备鲜明特色的领袖产品也会越来越接近各个群体。谈同即色情也会逐渐的改观,淡蓝只是起点,目的不只是同,还有泛同,以及非同的市场。这种市场定位以及心智认知会让市场不断去探究,最终形成完整和个性化的商业体系与产业链。
HTC继续沉沦!本土化策略缺失成多年顽疾晋男投稿:“HTC在大陆玩儿法只有王雪红说了算,所以谁去都是白搭。且HTC也不会踏实地做中低端”。HTC除了营销之外,最大的问题依然是死守高端不放,其次是中国市场本土化的策略缺失,或者说没有被付诸实施。
Allen-PengYe:没有那么多的人才支撑就不要把鸡蛋都放在一个篮子里,这样你会死得更快;再者,从来不觉得HTC有高端的基因在(从外观上看就知道了),并不仅仅是定价高消费者就会认为你高端了
爱与holic:中国的媒体到现在还没有意识到,无法立足于高端的传统手机厂商,是没有办法在市场盈利,中低端只能走量,带不动利润!
白帽子是如何炼成的?乌云网创始人如是说新浪科技:作为爆料过很多大型网络公司的非营利性机构乌云网,也曾不止一次遭到报复。方小顿说,网络安全需要更多的参与者。对于移动互联网的安全问题,核心不在移动终端,归根结底还是互联网服务的漏洞越来越多。
疯狂零售:对于网络安全,需要道德和良心教育,最后一道屏障才是法律。像西方国家有信仰的人,一般都忠诚于法律,因为比法律的约束力更大的是自己的良心及内心的不安。
cobrafang:只要互联网还存在,黑客行为就是不可避免的,从另一方面来讲,也正是层出不穷的黑客行为激励了互联网安全技术的不断进步。
【热见】京东爱情故事,本不至于发酵如斯刘铮:刘强东在昨天下午重新启用已停更近一年半的新浪微博账号,随即承认与“奶茶妹妹”章泽天的恋情。随着这一发酵已久的八卦尘埃落定,它究竟给京东带来了什么?
北京老梅:京东可以马上打出广告,老板跟妹妹跑路了,京东所有商品一律一折处理!
3942522:强东兄做事不地道。这种绯闻、八卦本不是关注点,前边也只是模糊的印象,先是否定,然后把矛头对准“马云”。然后忽然又来这一出,真是一波三折!公关也好,软文也罢,反击与防反也不过如此。搬起石头砸自己的脚的事情,不管是不是自己情愿。总之,做人要厚道,黑别人的时候先内省下。事情本身,男欢女爱,女神屌丝的与我无关,权当是乐呵乐呵。对品牌影响,创始人影响公司云云,倒不至于吧。一个八卦要是真毁了一个公司,说明公司本身就不咋地!
加入文集

白帽子是如何炼成的?乌云网创始人如是说

白帽子是如何炼成的?乌云网创始人如是说虎嗅注:漏洞事件不仅令携程网深陷漩涡,连最初曝出漏洞的乌云网也成为众人瞩目的焦点,更引起人们对公关以漏洞作为攻击目标的忧虑(《乌云的暧昧地带》)。创始人方小顿有着什么背景?他怎么看国内网络安全环境?本文来自新浪科技,虎嗅进行了摘编。

黑客一词源自英文hacker,最初曾指热心于计算机技术、水平高超的电脑玩家,尤其是程序设计人员,但随着互联网行业的逐渐成熟,黑客的属性也分为白帽子和黑帽子。

方小顿就是白帽黑客中的佼佼者。他是国内著名安全组织80sec的成员。也曾经是百度安全专家,负责对黑客袭击百度网站的抵御工作,曾发现多个知名底层和脚本安全漏洞。

随后他又创立了网络漏洞报告平台——乌云,作为一个厂商和安全研究者之间的安全问题反馈平台,乌云提供给互联网公司很多漏洞及风险报告,帮助他们防患于未然。随着乌云影响力的提高,旗下白帽子团队也达到了近5000人,其中核心黑客超过100人。

黑帽子指泛指那些专门利用电脑网络搞破坏或恶作剧的黑客,并通过网络漏洞非法牟利,在英文中这些人叫做cracker。而白帽子指对网络技术防御的黑客, 他们可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞,以便系统可以在被其他人(例如黑帽子)利用之前来修补漏洞。

方小顿对白帽子这个职业有着自己的见解。在他看来,白帽子最难的就是坚持自己的理想,不计眼前的利益诱惑,从整个行业着眼为网络安全贡献自己的力量。在他眼里,白帽子是一群挣扎在理想和现实边缘的黑客。

“白帽子”是如何炼成的

2002年,15岁的方小顿便考上了哈尔滨理工大学的化学专业,也是在那一年,他开始接触互联网,接触网络安全。

方小顿称,由于对化学专业没有太大的兴趣,基本上除去上课、睡觉,大学全部的时间都扑在网络安全研究上。从那时开始,方小顿经常给国内顶尖网络安全杂志投稿,稿件多被录用。在大学期间还受聘给某网络安全培训机构的学生授课。

但他并不认为课堂中会出网络安全人才。“网络安全问题本身就存在于破坏规范中,处理网络安全问题的核心就在于不守规矩,所以在规范的教育体系下,很难出网络安全人才。”方小顿指出,网络安全是一门兴趣指引下的学问,他需要黑客亲身去钻研,不能把别人过往的经验总结成课程来学习。

方小顿自己的经历完全可以印证这一点。最初他对网络安全产生兴趣,源于课余时间同学之间在网络上的互相攻击。彼时可借鉴参考的资料基本属于空白,完全依靠自己的钻研。随后他又与大学同学一起黑入一家网站的主页并善意提醒了这家公司存在漏洞问题。这家公司在2006年也为方小顿提供了他大学毕业后的第一份工作。

2008年,方小顿加盟了百度,负责网络安全。在百度,他获得了从大平台的角度去学习认知互联网安全的机会。但百度的主体业务是搜索引擎,由于其在整个互联网领域的局限性,对于2010年的方小顿,留给他施展的空间也极为有限。

方小顿称,离开百度主要还是因为理想,他想利用自己的技术来为更多的互联网公司解决安全问题。他认为,一名白帽子黑客除了要有这方面兴趣之外,另一点就是必须拥有一个正能量的理想。

同样利用技术发现漏洞,黑帽子黑客往往利用漏洞通过不法手段来获取利益,这部分利益能多到哪种程度呢?方小顿称,可能是一个并不起眼的黑客,某一天你就会发现他住上了好房,开起了好车。他表示,目前最强的黑帽子和白帽子收入的差距大概是日薪一万和月薪一万的差距。

正因如此所有白帽子黑客都是站在了理想和现实边缘。方小顿认为,白帽子黑客必须认清自己的核心诉求不一样,在理想和现实中更加重视个人的成长。他同时指 出,以黑帽子黑客赚钱的方式往往会令人变得浮躁,这种心态会不利于自身对技术的学习,从个人技术发展角度讲,这并不是一件好事。

网络安全需要更多参与者

离开百度的方小顿,为了自己的理想在2010年5月创立了乌云。在2011年12月21日,乌云曝出国内知名技术社区CSDN的600余万用户资料被泄露。此后又陆续曝出多玩800万用户信息、7K7K小游戏的2000万用户、网站的1000万用户资料,以及人人网、U9网、百合网、开心网、天涯、世纪佳缘等网站数据库遭遇不同程度的外泄。该事件引起各界人士讨论,一时间网友纷纷修改网站密码,并直呼“修改到手抖”,促使各方更加重视网络安全,乌云平台也因此名声大震。

在此后的这几年,乌云平台不断发布在各个网站发现的漏洞,并且快速成长为一个立足于计算机厂商和安全研究者之间的安全问题反馈及发布平台,同时它也是服务于互联网IT人士技术开发的互动平台。

最近的携程漏洞曝光后,引起极大反响,携程股价一度下跌近10%。乌云再次以强势的姿态冲进人们的视野,并且一次次带给人们更大的震撼。

方小顿指出,目前安全行业环境不够好,与互联网提倡的开放和分享走得很远,不利于整个社区的成长和行业的发展。他透露,乌云在把部分厂商的漏洞公开后,会受到来自厂商的一些报复,最严重的乌云服务器还被拔过线。

他认为,目前信息安全的问题是行业环境的问题,不够公开不够透明的问题导致很难像其他行业一样被人了解和理解,而互联网安全从业者在不了解和不理解的前提下很难将事情做好。

“如果我家里没有上锁,可以说是我自己的事情,无关他人。但如果你是家银行,你管理的东西都不是你的,那就有必要也有义务让用户知道你管理的真实情况。”方小顿解释道,公开漏洞信息另一方面的重要原因是,让同类企业引以为戒,并节省整个行业的安全成本。

他进一步表示,乌云将坚持开放和分享的核心运营思路,通过信息的流动带来社区的活跃,在积累了大量的安全问题基础数据之后,希望能够与白帽子一起除发现问题之后还能为企业解决和规避安全问题。

目前,乌云仍属于一个非盈利组织,网站的主要经济来源由Cncert互联网应急中心和广东信息安全评测中心提供。接近5000人的白帽子黑客全部为乌云义务提供服务。

方小顿认为,互联网安全行业应该受到更高的重视,还需要像国家、企业、媒体以及第三方平台等参与进来。“来自各行各业的人士会从不同的角度分析判断网络安全问题,从而会更容易发现漏洞,减少损失;另一方面,企业的参与也能够从一定程度上改善白帽子黑客的生活质量,对其也是一种正确方向的引导。”

移动安全问题核心不在终端

不过,网络安全参与者的增长速度,显然没有麻烦制造者的增长速度快。随着移动互联网的兴起,一些由手机等移动设备曝出的网络安全问题,已经成为了近两年3·15晚会的常客。但方小顿认为,移动互联网的安全问题核心不在移动终端,归根结底还是互联网服务的漏洞越来越多。

他表示,回归到安全漏洞的本质,漏洞与数据是相对应的,一个不能影响数据的漏洞只能说是个Bug,无论用户用什么手机,它最终只承载了互联网服务入口的使命。

方小顿称,移动安全问题的增多,主要是因为人们越来越频繁的通过手机等移动设备使用互联网云服务。“现在的移动智能终端都在强调一个数据云处理的概念,邮件、照片、通讯录等用户数据都在云端,一旦出了安全问题,还是在云服务器中存在漏洞隐患。”

从目前来看,苹果生态系统的安全性是被普遍认可的。由于iOS系统的封闭性,以及App Store的自有生态体系下,出现任何安全问题,苹果都会快速做出合理的决策反应,从而保证其品牌利益。

而在安全方面经常被诟病的Android设备,在方小顿看来与苹果的安全水平也属同一级别。他解释道,目前品牌Android设备的开放属于一种相对的开放,终端厂商为了自己的品牌利益,会对自己产品中内置应用做出严格的审核,对待自己品牌的应用分发市场也会采取相同的态度,但对于第三方应用市场的产品,终端厂商还是无法进行审查的。

方小顿认为,基于云时代的互联网安全状况,企业在一定程度上应把数据的控制权交还给用户,给用户一个选择权,让用户有权利删除记录,以保障这部分数据的安全性。另一方面,国家或第三方监管机构加强对终端公司的把控,防止企业在用户不知情的情况下收集用户电脑里的数据、记录,甚至从云端下发策略。
加入文集

乌云的“暧昧地带”

乌云的“暧昧地带”2014年3月23日晚6点,乌云漏洞平台(乌云网)曝出携程安全支付服务器接口存在调试功能,可将用户的支付记录保存下来,包括持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin等信息。 由于涉及个人财务信息泄露,引发了社会各界的强烈关注,人民日报、央视网、新浪科技、财经网等媒体争相报道,众说纷纭。

携程日志中存储用户敏感信息无疑是错误和愚蠢的,在舆论将携程推向风头浪尖之时,笔者对乌云网产生了强烈的好奇。翻看乌云网的漏洞爆料历史记录,令人震惊:

2013年10月10日,如家等酒店开房信息泄露;

11月20日,腾讯7000万QQ群用户数据被指泄露;

11月26日,360出现任意用户修改密码漏洞;

2014年2月17日支付宝/余额宝任意登录漏洞,网民账号面临风险;

2014年2月26日,微信敏感信息泄露漏洞,造成海量用户视频泄露,影响堪比XX门……
一系列泄密事件让乌云网,让这个原本默默无闻的网站声名鹊起。人们在质疑相关企业不负责任表现的同时,也对乌云网充满疑问:这究竟是怎样的一个平台,为何能连环曝出各大公司的漏洞?乌云网背后,究竟有多少秘密?

乌云背后的“月之眼”

乌云网(WooYun)成立于2010年5月,主要创始人为百度前安全专家方小顿——这位1987年出生的国内知名黑客“剑心”,2010年2月和李彦宏一道参加湖南卫视《天天向上》节目,因为女友高歌一首而为人所知。此后,方小顿联合几位安全界人士成立了乌云网,其目标是成为“自由平等的”的漏洞报告平台。

在百度百科中,乌云是这样描述自己的:一个位于厂商和安全研究者之间的安全问题反馈平台,在对安全问题进行反馈处理跟进的同时,为互联网安全研究者提供一个公益、学习、交流和研究的平台。

尽管乌云将自己的形象打造为公益的第三方组织,以获取白帽子与社会的信任。但经过查证,乌云网并非一个公立第三方机构,而是纯粹的民营公司,其收入来源于其漏洞披露规则。

对于一般漏洞而言,乌云网规则如下:

1、 白帽子提交漏洞并通过审核后,乌云网会公布漏洞概要,内容包括漏洞标题、涉及厂商、漏洞类型与简要描述;

2、厂商有5天的确认周期(5天内未确认视为忽略,但不公开,直接进入3);

3、确认3天后对安全合作伙伴公开;

4、10天后向核心及相关领域专家公开;

5、20天后向普通白帽子公开;

6、40天后向实习白帽子公开;

7、90天后向公众公开。
据了解,当某些安全服务公司向乌云网支付一定费用之后,就可以提前看到其服务客户的所有漏洞,在未经客户允许的情况下,将漏洞信息泄露给服务公司是否合法?值得一提的是,乌云网所公布的漏洞标题完全来源于白帽子提交,并没有任何审核与修改,“可导致千余服务器沦陷”“近千万的用户数据存在泄露风险”等夸张标题比比皆是,随意一个漏洞经媒体传播皆可以引起大众恐慌。

笔者向一位在安全行业从事多年的朋友了解到乌云一些故事:

1、从最初乌云的存在意义是为了引起各类甲方对安全的重视,这一点毋庸置疑;

2、在发展过程中乌云有了一定的分歧,这种分歧可能源自于内部人的价值取向不一致;或有图名、或有图利、或有图名利双收;

3、这种分歧使得其漏洞披露成了一种变相的挟持手段(筹码),甚至成为了互相PK的斗兽场;

4、从2到3的过程中,相应的行业主管(监管)部门或多或少默许(支持)了乌云的存在。
漏洞披露,更是一场狂欢

在普通公众心中,神秘和危险是黑客的代名词。但在黑客界,所有黑客主要被归为两种类型:白帽子与黑帽子,愿意向企业公布漏洞、不恶意利用漏洞的就是白帽子,而黑帽子则是以盗取信息牟利为生。

“虽说乌云对漏洞的披露有保密期,但事实上我并不需要看什么漏洞详情。任何有经验的黑客,只要看下漏洞标题和简述,就能针对性的去测试,因此在大多情况下漏洞一旦公布,第一时间拿到漏洞细节并非难事。”黑客圈人士、曾在乌云提交过数十个漏洞的Z告诉笔者,“其实你们看到的,都是我们玩剩下的。”

此次携程漏洞的发现者“猪猪侠”是乌云排名最高的白帽子,发布漏洞高达125个。3月22日晚,猪猪侠连续发布了两枚关于携程的严重安全漏洞,而在猪猪侠之前的战绩中,曾发布腾讯、阿里、网易、优酷、联想在内的多家知名企业漏洞,是一位名副其实的黑客高手。关于“猪猪侠”是何许人也,Z并不愿多说,只向笔者透露猪猪侠其实是乌云网内部人士。

乌云:黑客们的乌托邦

“因为未授权的黑盒安全测试是违法的,所以圈内流行这样一种做法:黑客们入侵网站盗取信息,最后只要在乌云网向厂商提交漏洞,就可以洗白。”

Z还向笔者展示了乌云网的一个非公开论坛,该论坛只有获得审核的白帽子才能进入。笔者在这个隐秘论坛中发现,黑色产业、网赚、网络战争等话题都有专门的讨论版块。在2013年12月新浪科技发布的《揭秘乌云网》一文中,乌云网被质疑为“中国最大的黑客培训基地”,如下图:

类似的话题在该论坛中比比皆是,众多白帽子摇身一变,在这个温室中讨论着漏洞利用技术,如何利用这些漏洞去做黑产,游走在法律的灰色地带。

安全漏洞会成为互联网时代最强大的公关武器?

伴随着互联网的飞速发展,国内地下黑色产业链也在日益庞大,安全漏洞真在威胁到每个人的实际利益。

2014年2月17日爆出支付宝/余额宝任意登录漏洞后,阿里公关迅速出击,拿出现金500万奖励白帽子盖过舆论。在此之后,关于微信支付与支付宝的互相职责安全性差的公关稿连绵不绝。以安全为名,背后实为互联网商业之战的封杀与反封杀、黑公关与反黑事件,正愈演愈烈,而乌云网在其中扮演了推波助澜的作用。

鉴于乌云网连续披露的安全事件引发了前所未有的社会关注,于是最近有专家开始质疑乌云网的漏洞披露规则是否合法:媒体根据乌云所公布的漏洞标题和简述疯狂报道。那么如果有人蓄意发布虚假漏洞,势必企业造成非常恶劣的影响,这个责任谁来承担?一家民营公司,掌握如此多的安全漏洞,并以漏洞披露作为商业模式,其本身又是否踩在法律的灰色地带?

互联网工作组在RFC2026《负责任的漏洞披露过程》草案中提到,“报告者应确保漏洞是真实的。”但当漏洞在乌云网发布之后、企业确认之前,漏洞的真实性与准确性无从知晓。负责任的安全漏洞披露应该是严谨的,任何发现漏洞的技术工作者,应说清楚漏洞的影响范围,以免引起不必要的大众恐慌,比如这次携程信用卡门,即便乌云网因自身需求,急待媒体曝光和炒作,但也理应说明泄露的信息是否经加密,影响的范围是怎样,而不是成为所谓的“标题党”,以安全为名挟持企业。

安全漏洞的公开是必要的,这不仅是对用户的负责,更是对企业安全的监督,但如何真正做到负责任的漏洞披露,是否需要一个更合理的漏洞处理机制,这些问题值得我们深思。
文章为作者独立观点,不代表虎嗅网立场

向作者提问

加入文集

春殇反思:反恐会不会成为网络透明化的催化剂?

春殇反思:反恐会不会成为网络透明化的催化剂?“3·1″暴恐事件令人发指。恐怖分子就生活在我们身边!我觉得,在我们现有的这个社会环境里,这种暴恐行径可能会越来越多。越来越多的极端组织都会选择恐怖主义道路以证明自身的存在,越来越多的无辜者面临恐怖威胁,包括你我和周围的亲人。这也是国安委成立的一个重要原因。

几个暴徒动刀,数百人竟然无一反抗。面对这次发生在春天的暴力事件,天马也在不停问,如果自己在现场,是否可以还手?答案很令人遗憾。我们的这个社会既弱武又抑文,大概我们已经弱化的失去反抗能力和心情了。面对暴徒,我们该如何保护自己?最好的选择大概是把希望寄托预防上,未雨绸缪,防患未然。

网络能否能肩负起防患于未然的大任呢?倘若一个国家有足够的网络工具,通过大数据的技术,是不是可以发现一些暴恐事件的苗头,是不是可以发现一些错误苗头,并及时采取预防和控制措施?

美国人就是这么干的。当前,网络监控最为激进的当属美国。2001年911事件之后不久,美国人基于全球反恐的需要提出了电子监控计划,现在发展为一个庞大的网络和通信监控系统,对网络透明化的努力可谓是无所不用其极。

从电子监控到网络透明化

网络透明化肇始于美国针对反恐而提出的电子监控。911事件令小布什政府焦头烂额。美国认识到最大的敌人不是某个国家,而是防不胜防的恐怖主义,于是全球推行反恐战略。为加强全球反恐,总统提出了一项恐怖分子监听计划(Terrorist Surveillance Program)。

《抉择时刻:乔治·沃克·布什自传》公开了这么做的心路历程,他说:

如果基地组织成员向美国打入或打出电话,我们当然要知道他们是打给谁,说了些什么。而且由于威胁十分紧迫,我们不能让自己困在申请法庭批准的程序之中。我让白宫法律顾问办公室和司法部去研究我能否授权国家安全局,在没有获得《外国情报监视法案》法院授权的情况下,监控基地组织打入和打出美国的通话。2001年10月4日的早上,迈克·海登和法律团队来到白宫椭圆形办公室。他们向我保证《恐怖分子监视计划》是经过仔细设计的,以保护无辜者的公民自由。此项计划的目的是要监控所谓的问题号码,因为情报人员有理由相信这些号码属于基地组织成员。这些号码很多来自在战场上被捕的恐怖分子的手机或是电脑。如果我们无意中拦截了任何单纯的民间通话,这种侵权行为将报告给司法部进行调查。为了保证这一计划只在必要时进行,我们必须定期对计划进行重新评估和重新批准。

我下令推进这一计划。我们考虑拿到国会进行立法,但是对于此项目,接触过高机密简报的两党重要议员均认为监视是必要的,如果我们对此项目进行立法辩论,我们的方法就会暴露给敌人。

我知道《恐怖分子监视计划》迟早有一天会引发争议,但是我仍然觉得有必要进行这个计划。世贸中心残留的瓦砾仍有暗火在闷烧。每天早晨,我都会接到情报信息,报告可能发生的又一起袭击。要保护美国人民的安全,监控恐怖分子与美国境内的通话至关重要 。
显然,这个计划是秘密进行的,很少有人知道。4年后纽约时报曝光了这个秘密监听计划,引起了轩然大波。公众赫然发现该计划的主要内容即授权NSA监听或拦截:(1)美国公民与其他国家之间来往的电话或电子邮件;(2)政府有“合理理由”相信与恐怖袭击有关的某人发出或接收的电话或电子邮件。人们认为该计划扩大了警察监听的权力,无需搜查证就可以进行监听。

美国是个讲究法制的社会,推动情报监视,立法先行,在这个过程中,有两个标志性事件值得留意。第一,2001年10月26布什总统批准了奇葩《爱国者法案》。该法共十章,其中第二章“加强监视程序”,赋予各政府机关和部门更大的监视权。法案规定“为了重要的目的搜集情报信息”,允许政府机构搜 集美国公民或非美国公民的“外国情报信息”。这意味着政府可以在没有达到合理根据的情况下适用《情报法》,而且允许为了获取情报的目的监视美国公民。以这个法案为起点,白宫从立法的角度将秘密监听大大推进了一步,这意味着NSA等机构在执行监听任务的时候,只需向华盛顿的秘密法院说明技术实现和监听目标即可,不需要申请搜查证!爱国者法案的通过,标志着“无证监听”正式合法。

《2007年保护美国法案》的出现是第二个标志性事件。互联网上无国界,美国情报部门面临一个问题,hotmail、MSN等平台上聚集了许多外国用户,外国用户和外国信息要不要监控?当然监控。这个法案的核心内容就是赋予特权:1.不需要获得外国情报监视法庭(Foreign Surveillance Intelligence Court)的令状即可拦截经由美国领土内的电讯设施转接的“外国—外国”电讯。2.不需要令状即可拦截和记录“被合理认为处在美国领土以外的”相关人员的电讯。3.如果政府认为接听电话者是其调查对象,就可以监听此人的跨国电话。毋庸置疑,该法案使美国政府的监视范围更加广泛由此,美国政府能够“合法”监视信息的范围已经远远超越了美国的国界。

关于电子监听,还有个小插曲。布什总统任内,代理司法部长科米与司法部领导层官员原于2004年3月12日请辞,因为他们认为电子监视的命令违法。为挽留他们,布什终止了原意是秘密收集外国情报、却已跨入国内领域的“恒星风”电子监控计划。

富有讽刺味道的是,奥巴马在竞选总统期间曾经批评过类似的项目,但就在他出任美国总统后,这些电子监控项目卷土重来。而且,“恒星风”由一变四,变成:“大道”、“船坞”、“核子”及“棱镜”,NSA收集范围全面拓展至整个现代电讯,并且取得了异乎寻常的高速发展,同时,美国与情报和监视相关的法规和监视行为已经从针对具体的嫌疑人,转向了系统化的大规模信息收集行为。

从哪里才能得到想要的东西呢?政府自然想到了如日中天的科技巨头。但是,如果得不到相应企业的主动配合,FBI和NSA就很难打开“后门”。咋办?美国政府心生一计,立法伺候。为了获取网络巨头内部的数据流,让有关执法机构调取他们想要的任何数据,2008年,美国国会向司法部授权,允许其通过外国情报监视法院发布密令,强制不愿配合的企业“遵守命令”。

网络透明化的推动者:NSA

网络透明化的努力,仅仅依靠国家的力量是远远不够的。为此,美国与私营组织进行了广泛合作,从科技巨头到新兴公司,均成美国政府的座上客,统统被政府纳入合作视野之内。《第五空间战略——大国间的网络博弈》记载了一个故事,2010月1月7日晚,希拉里在国务院举行了一场小型晚宴,请来的是硅谷十大巨头,这次会议始终处于保密状态。 美国媒体过了半个多月,才发了豆腐块大的小消息,但对晚宴讨论的内容却守口如瓶。参会者贾森·利伯曼后来写了一个文章,曝光了会议内容。原来这天晚上,希拉里和硅谷巨头主要讨论了如何利用高科技为外交和国家发展目标服务的问题。 国务院高官和硅谷巨头达成了6点共识,其中一点是构建更好的政府与私营公司之间的伙伴关系,让新兴公司可以更容易、更有效率地将他们的创意介绍给美国政府。

按照斯诺登透露的情况,我们还知道了一个网络透明化的重要的执行机构,美国国家安全局(NSA),正是这个部门推动了美国电子监控的走向。NSA现有雇员3万多人(规模跟谷歌相当),其中,设有一个秘密部门,名为“定制入口行动办公室”(TAO),部门超1000人,TAO下属还有一个独立部门,称作“电信网络技术部门”(Telecommunications Network Technologies Branch),该部门开发的技术可以让TAO黑客神不知鬼不觉的接入目标电脑系统和电信网络,而绝对不会被对方所察觉,真可谓踏雪无痕来去无踪。与此同时,TAO下属“任务基础设施技术部门”(Mission Infrastructure Technologies Branch)则负责开发和生产敏感的电脑和通信监控硬件,以及维护保证相关行动正常运行的基础设施(据斯诺登介绍,TAO过去近15年中一直从事侵入中国境内电脑和通讯系统的网络攻击,借此获取有关中国的有价值情报)。

NSA监控本质是什么?即大数据监控。NSA实现了大规模监控和大范围监控。

所谓大数据监控,是指美国NSA通过世界先进的大数据工具来收集大数据,NSA可从公共、商业等来源扩大通讯数据,来源包括银行代码、保险信息、社交网络“脸谱”档案、乘客名单、选举名册、GPS坐标信息,也包括财产记录和未具体说明的税务资料。监控方法达到了实时监控的程度。后台系统可以准确地判断出何时、何地、何人、在做什么、会做什么。

所谓大规模监控,是指监控数据规模大,NSA联合各国政府监听海底光缆,NSA等情报机构与美国数千家科技、金融和制造企业(美国硬件和软件制造商、银行、互联网安全服务提供商、卫星通信公司和其它一些企业)密切合作,向后者索取敏感信息。除了与高科技巨头广泛合作共享数据,NSA还偷偷入侵雅虎等网络巨头的数据库,简直黑白通吃。

所谓大范围监控,是指监控地理范围大,NSA有策略有选择的监控世界各国,不光监听本国公民网络通信,还监听外国政要乃至外国公民,并对各国政府进行区别对待。

NSA实施的大数据监控跟我们日常理解的一样吗?

对NSA而言,大数据就是全网的数据。这跟我们国人常说的大数据有根本不同,注意是“全网”是指网络的全部,既包括互联网也包括其他通信网络,而非某个网站的全部。这些数据的来源有三个:一是合作收集,NSA直接从包括微软、Google、雅虎、Facebook、PalTalk、AOL、Skype、YouTube以及苹果在内的这9大公司服务器收集;二是监控光纤通信数据,NSA与有关国家合作,监控海底光缆传输数据,直接抓取相关信息;三是盗窃,NSA的技术精英可以黑入某些巨头网站直接偷盗。NSA通过黑客手段,秘密入侵雅虎和谷歌在全球的数据中心,每天将数以百万计的资料传回国安局总部。这个计划名称叫做“肌肉发达”,NSA与英国政府通信总部共同操作,复制雅虎和谷歌内网光纤的所有传输数据。为此,法国有7030万部电话遭监控,西班牙6000多万个电话被秘密监听。

或许有人会说,信息可以加密,加密以后的内容,无法监听。可是,美国国安局(NSA)正在研发一种用于破解密码的量子电脑。量子电脑强大的运算能力高出一般电脑逾10兆倍,只消30秒时间就能解决一般电脑100亿年才能完成的问题。一旦研究成功,美国将可以破解全世界任何密码和加密算法。不过肖容说该项目仍处在初级阶段,尚未实现重大突破。前几天的香港《南华早报》提到,中国也在攻克量子计算机项目,目前已经在徽省合肥市已经建造了一个新的设备。我们可以设想,一旦量子计算机问世,当前的网络岂非完全透明?你的加密帐号你的银行密码,你的这宝那宝,管你如何加密,只要你在网络上,还有什么秘密是看不见的呢?

NSA手里的握着真正的宇宙级工具网络是数据的海洋,让网络之水变“清澈”的工具是大数据工具。相比其他国家而言,NSA掌握的工具才是宇宙真理,才是真正的宇宙级大数据工具,而国内一些监控社交网站收集数据进行分享的工具,小的真是弱爆了。NSA手里有个“棱镜”大家都知道的,但棱镜等项目是我们耳口相传的那样子吗?下面简要介绍一下我们根据《大数据时代》一书观点,业界通常将大数据特点归纳为4个V(即Volume、Variety、Value、Velocity):体量大、类型多、价值低、速度快。 每次看到4V的时候,我常常发生惶惑,这不是正是描述NSA棱镜等监控项目的特征吗?

所谓数据体量巨大(Volume)。“棱镜”项目有三个数据中心,年耗20亿美元,据专业人士估计仅仅坐落在犹他州数据中心,就可以存储未来人类100年的信息数据。

所谓数据类型繁多(Variety)。NSA监控的数据无所不包,其中非结构化数据越来越多,NSA处理能力强大的数据库系统、机器学习和Hadoop基础架构三大技术发挥了非常重要的作用。

所谓价值密度低(Value)。价值密度的高低与数据总量的大小成反比。以视频为例,一部1小时的视频,在连续不间断的监控中,有用数据可能仅有一二秒。NSA通过强大的机器算法,能够迅速地完成数据的价值“提纯”。

所谓处理速度快(Velocity)。NSA的数据处理工具不是传统数据挖掘,据一份文件显示,2011年夏天,NSA与英国GCHQ合作可以监控200多条光缆,每条线路的速度都达到10Gbps。在如此海量的数据面前,传统数据挖掘无能为力,而NSA技术独步天下。
棱镜项目自2007年付诸于实施,从未对外公开只言片语。美国情报机构通过接入互联网公司的中心服务器,让自己的情报分析师直接接触所有用户的音频、视频、照片、电邮、文件和连接日志等信息,这个场景类似于好莱坞电影中描述的高科技网络监控的场面。棱镜项目的数据规模多大?大吗?但是,这仅仅骆驼身上的一根毛而已。

NSA大数据工具只有棱镜吗?

NSA不是只有一个棱镜,还有很多数据情报收集工具。与棱镜同出一门的师兄弟还其他有3个:大道、船坞、核子。其中,“棱镜”和“核子”以截取内容为主,“棱镜”专攻互联网信息截取,“核子”则用来截获电话通话内容和关键信息。而“主干道”和“码头”规模相对更大,“主干道”以电话监听为主,而“码头”则以互联网监视为主,两者皆依赖对“元数据”的处理。

此外,NSA还有实时监控系统——“Xkeyscore”。该项目监控范围之大几乎可以涵盖所有网上信息,可以最大限度的收集互联网数据,内容包括电子邮件、网站信息、搜索和聊天记录等等。在Xkeyscore系统中有个名为“DNI Presenter”的工具,能够用来阅读用户所保留的邮件内容,NSA特工人员,既可以利用该工具来阅读Facebook用户的聊天记录过过偷窥瘾,还可以通过简单的输入电子邮件地址等信息,对个人的互联网活动进行实时监控。NSA在演示文档中炫耀称,此项目帮助美国在2008年前抓获了300名恐怖分子。该计划在技术上可以监控任何美国人,分析人员即使没有批准书,也可获得相关数据。用起来那个爽啊,啦啦啦~

NSA如何监控光缆呢?

为扩大监控范围,NSA通过国际合作监听海底光缆。NSA与英、加、澳、新西兰等“五只眼”在全球近150个地点布置700多个监视服务器。其中,英国的政府通信总部对承担全球电话和网络流量的光缆系统进行秘密监控,拦截和存储下海量的个人通话、电子邮件、上网历史等数据,与美国国家安全局共享。英国的政府通信总部去年平均每天处理6亿个电话信息,监听超过200条光缆,并能同步处理至少46条光缆的数据。不可思议的是,根据深喉透露,美国为该项目设立的数百个服务器中,有的竟然设立在中国,具体一点说,是重庆。这个打着反恐旗号的项目,竟向美国情报特工提供中文信息搜集服务。

监控对象是谁?公众和各国政府通信信息。

NSA搜集九大巨头的用户信息,让世界炸了锅。美国情报部门官员解释说,4个监视项目的目标均为“外国人”,但这些项目事实上也几乎将所有的美国家庭监视在内。

NSA监听本国公民通话记录。从2013年4月25日至5月19日,美国电信巨头威瑞森公司(Verizon)须每日向美国国家安全局上交数百万用户的通话记录,涉及通话次数、通话时长、通话时间等内容,但不包括通话内容。

NSA还监听国外政要通信。根据斯诺登披露的有关机密文件,NSA曾鼓励白宫、美国国务院、美国国防部等核心部门官员“分享通讯录”,以便NSA能够将外国政治和军事要员的电话纳入监听系统。这份标注日期为“2006年10月”的文件指,有一位未具名的美国官员向NSA提供了200多个电话号码,其中包括35名国际政要的号码。NSA立即展开了监控工作。

NSA监控世界各国并加以区别对待。爱德华·斯诺登提供的NSA机密文件显示,美方监听对象除法国和意大利等欧盟国家外,范围还扩大至日本、德国、墨西哥、韩国、印度、土耳其、伊朗、沙特阿拉伯等很多国家。其中,还有专门针对中国的监控。斯诺登还出示了许多美国对华信息监控计划,最典型的就是NSA的TAO。

网络透明化能否赐予我们安全感?

我觉得,暴恐事件将进一步刺激互联网国家意识的觉醒,正如9·11刺激了美国。从美国的13年来的努力来看,网络透明化,意味着全民监控,不但监控互联网,还要监控各种通信网络,不光要监控本国公民,还要监控能监控到的所有人。他山之石可以攻玉。你说,网络透明化,会不会可能是中央网络安全与信息化领导小组进行反恐决策时需要考虑的一个方向?

诚然,技术有技术的优势,但技术也有技术的不足之处。天马有个朋友,做网络安全,是一个少有的网络精英,他告诉我,他有权限进入各种网络,甚至可以更改某些帐号为己所用。但他却极少用互联网应用工具,他也打手机,但是每次打完后,都会进入系统删掉自己的记录—这种通话记录,法律要求中国运营商要保存半年,美国要保存5年。之所以这么做,是因为他觉得自己的隐私被侵犯。回到开篇的问题上,网络透明化能否赐予我们安全感,现在成了一个鸡与蛋的问题。在暴恐事件面前,公众需要安全感,所以需要技术进行防范。但是技术转过头来又侵犯公众隐私,这是增加安全感的代价吗?

显然,隐私侵犯是个大问题。上周看到一个新闻,据英国《卫报》报道,英国国家通信情报局(GCHQ)曾在2008至2010年间执行了代号为“视觉神经”(Optic Nerve)的网络拦截计划,拦截用户裸聊内容——期间,大约有数百万雅虎用户的视频通讯被拦截,除了面部照片外,还包含了大量的曝露性器官的色情图片。据说,有3%到11%的截图都包含了“超过可接受度的裸露内容”。——此举令雅虎很愤怒,“我们不知道,也不会容忍报道中的行为。”雅虎发言人表示,“如果这篇报道属实,这代表着对我们用户隐私权的侵犯已达到一个新的高度,这是完全不可接受的。我们强烈呼吁世界各国政府对监视法的条款进行改革。”谈起网络隐私问题,在我身边有不少朋友会说:我不怕监控,我没有隐私,我没做坏事。你不怕,自然可以理解。但我担忧的却另一面,当你的正当权利被蚕食被侵犯的时候,你却放弃了应有的反抗。这是不是一种人性的悲哀?

据中国信息安全网的编辑告诉我说,NSA还有一项机密技术,可在未联网的状态下对电脑进行监控,窃取其信息并且安装恶意软件。NSA可以通过一套并不复杂的硬件设备——也许就是你手边的USB连接线——就可以轻而易举地入侵处于离线状态的电脑。整套监控系统由信号收发器和中继站两个部分组成,两者间利用无线电波进行通信,在理想环境下通信距离可达8英里。这是显然是属于军事进攻技术。这种技术一旦流传到民间,会不会造成社会混乱?

关于NSA以及美国情报当局大规模监听活动,先后引起了美国公众和国际社会的广泛不安。《华尔街日报》引用现任与前任NSA官员的话称,对美国网络通讯75%的覆盖范围,多于美国官员此前曾经公开的范围。2014年2月,Internet组织为了表示抗议NSA当局,决定设立每年2月11日作为民众反网络监控活动日。这些组织分别包括Mozilla、Reddit、Boing Boing、EFF等部分NGO和私人组织等公司。目前该组织主要采取类似于反SOPA和PIPA立法的方式来对抗各种监控行为。

网络透明化,可以预防暴力和犯罪,它意义更多的在于震慑,属于头疼治头,真正要让社会和谐,我觉得不能寄希望于以暴制暴,还是得从现实出发,缓解或消除各种政治矛盾和社会冲突。面对暴力恐怖事件,我们必须要谴责恐怖主义,但每个人也需要深思造成恐怖主义的社会土壤。

作者微信公号:goto5way
文章为作者独立观点,不代表虎嗅网立场

向作者提问

加入文集

“1·21”域名解析大规模污染,头号可疑IP:65.49.2.178

“1·21”域名解析大规模污染,头号可疑IP:65.49.2.178虎嗅注:1月21日下午15时10分左右,国内互联网根域名服务器发生故障,导致大量网站无法正常访问。虎嗅也未能幸免,处于异常状态近30分钟。
16时18分,国内DNS解析服务商DNSPod 发布紧急通知,确认了此次异常,并明确表示“技术人员已联系相关机构协调处理”。此时根服务器已恢复正常,但由于缓存原因,部分地区异常状态可能仍会持续12小时。
与此同时,“中国网络瘫痪,疑遭黑客攻击”的消息在Twitter、新浪微博及各类媒体上迅速传播、蔓延。随后的几小时内,新闻标题已经升级为“互联网安全专家表示,此次故障或与黑客攻击有关”。
此次故障持续大约20分钟,波及全国十余个省,要实施如此大范围的攻击,难度相当大。
在官方对此故障发表正式公告之前,一切都只是猜测。可以确认的是,这是一次大规模的DNS污染。
DNS(Domain  Name System)中文称作域名系统,是将数字IP地址与字符域名相互映射的互联网服务 。DNS 污染,是指通过制造域名服务器数据包,把域名指往不正确的IP地址。相应的行为被称作DNS劫持。
以下这篇来自新浪科技张楠的报道,尽可能地对此次故障原因进行了探访与分析。
这次故障是怎么回事?
“所有连接在互联网上的设备都必须有一个IP地址,就像每个房子都有地址一样,这样才能让别人找到。”寇博(一家国内流量排名前十的网站运维负责人)向新浪科技解释。“这个IP地址是一段数字,例如120.84.21.23,但是用户上网要记这段数字,太麻烦了,所以有了域名。”
域名就是IP地址的另一种体现方法,而DNS就是将域名翻译成IP地址的翻译器。比如,用户在浏览器中输入Facebook.com,浏览器就会向用户最近的DNS服务器询问,“Facebook.com对应的IP地址是什么?”
这个最近的DNS服务器一般是当地电信运营商的服务器。如果这个服务器不知道,他就会向上一级请求,一般是运营商的全国性DNS服务器。如果这个全国性DNS还不知道会向全球DNS服务器查询。
这一级一级的层级中,最高一级是全球的13台根服务器,名字分别为“A”至“M”,其中10台设置在美国,另外各有一台设置于英国、瑞典和日本。
为了防止上述服务器出现故障造成全球性访问异常,目前世界上很多国家都设有镜像。我们国家在全网的出口也设有顶级的域名服务器。“这次网络出现异常是这个服务器出现了解析错误。”寇博解释说。
为什么有的人正常,有的人异常?
这是因为为了加快用户访问速度,整个系统设有多级缓存,包括浏览器缓存、系统缓存、路由器缓存、DNS服务器缓存等等。
当用户访问一个网站时,其浏览器会自动记录域名对应的IP一段时间,这样用户在第二次进入该网站时,浏览器就不必向上一层级反复查询,直接就可以告知用户结果。同样的,用户的电脑、路由器和DNS服务器都会设置一定的缓存,当然缓存是有时间限制的,到期就要向上级服务器查询最新的记录。
当顶级根域名服务器出现故障时,用户的访问不会马上中断,因为各级缓存还在。当缓存时间到后,他们会向上一级重新查询,这时根服务器的错误反馈才会生效,导致用户访问异常。然而这个缓存时间,因设置不同,差异很大。有的缓存时间只有30秒,有的缓存时间长达12小时。
截至当日下午4点,全国根服务器的解析陆续恢复正常。同样的道理,出现异常的用户也不会马上恢复正常,因为错误的记录仍然在缓存中,最长可能需要等待24个小时,缓存到期后,正确的记录才会生效。
而对于一个大型网站来说,其内容一般不是全都放置在同一域名下。比如图片、数据库一般都采取不同的域名,当有的域名缓存正确,有的域名缓存错误时,就会出现页面加载出来,而图片出不来,或者图片出来,文字数据错乱的情况。
神秘IP地址引发黑客疑云
刘硕(国内最大的数据中心之一的北京机房负责人)向新浪科技介绍说,这次事故的原因是根域名服务器被污染,域名解析请求都被指向“65.49.2.178”这个IP地址。
不过,据刘硕对多个域名的测试发现,Facebook、Twitter等国外域名解析正常,只是国内域名遭到污染。即便如此,受到影响的范围也是空前的,包括百度、新浪、腾讯在内的国内绝大多数网站出现访问异常,根域名服务器故障持续将近1小时。
据粗略估算,受到影响的国内用户超过2亿,平均受影响的时间约在3小时左右。截至21日晚间1哦点,全国仍有十余个地区受DNS估值影响,包括贵州电信、河南电信、香港新世界、江苏电信、北京电信通等。
国内漏洞报告平台“乌云”称,65.49.2.178这个IP位于国外,有证据表明该IP所处于的网络有过发送垃圾邮件及其他有政治目的的黑客活动,不排除此次攻击为黑客所为。
金山的一位安全专家称,经查询65.49.2.178的信息,发现该IP位于美国北卡罗莱纳州卡里镇Dynamic Internet Technology公司。“大量中国知名IT公司的域名被解析到美国某公司,从目前看该事件极可能是黑客攻击行为。”该专家说。
去年8月25日凌晨,中国.cn域名解析出现大规模解析故障。中国互联网络信息中心后来透露,当日零时许,国家域名解析节点受到拒绝服务攻击,经处置,至2时许服务器恢复正常,这是有史以来.cn域名遭受的最大规模拒绝服务攻击。
不过,刘硕和另一位网络安全专家都认为,这次DNS污染事件影响之广、范围之大在国内尚属首例,远远超出一般黑客的能力范围。“很可能与主干网络的设置调整有关。”上述网络安全专家说。

网络又瘫了,咦我为什么要说个“又”字?

网络又瘫了,咦我为什么要说个“又”字?2014年1月21日,中国互联网状况频出。
上午九时许,腾讯被曝出现一系列瘫痪故障,腾讯官方通告称,此次故障涉及微信朋友圈、QQ空间、QQ音乐、QQ会员、QQ邮箱、腾讯手机管家等17项业务。
中国网民难逃腾讯产品,所以,故障来时网络哀鸿遍野。中午时分,@腾讯安全应急响应中心微博称QQ邮箱、微信朋友圈恢复,故障缘于机房网络异常。这早已不是腾讯第一次“机房故障”,所以,网民们似乎更喜欢那个“游戏团队拿了68薪的年终奖,技术团队愤而格式化”的段子。
此后不久,15:10左右,国内互联网三分之二通用顶级域名的根域出现解析异常,大量网站正常访问请求被跳转到几个没有响应的美国IP上,包括百度、新浪、腾讯、支付宝等互联网公司均在波及范围之内。
DNS故障?这才是中国互联网的灾难!
此次故障造成多个省份的用户均出现不同程度的网络故障,cnBeta网站的流量曲线数据急剧下滑50%左右。16:00左右大部分解析异常问题得到解决,但内地省份,如内蒙古,访问依然不够流畅,北方访问异常几率大于南方。金山网络安全专家认为,该事件极可能是人为的黑客攻击行为。
不是第一次?
DNS服务器攻击已成为黑客攻击常态,涉及网络面积广泛,影响巨大。
2013年8月,我国国家域名解析节点遭遇大规模的拒绝服务攻击,“.CN”域名解析异常,访问缓慢或中断,影响时长超10小时。而攻击者只是想借攻击“.cn”来达到攻击一个游戏的私服网站域名。
2007年,不明身份的黑客对全球根域名服务器集中发动攻击,致使美国管理的10台跟服务器中的2台遭受严重攻击,几乎完全瘫痪,给全球带来互联网灾难。这次攻击流量还仅为MB级,若攻击达到GB级别,难有服务器能幸免。
如今,网络早已成为人们生活不可获取的一部分。虽然,近年来技术取得了广泛而长远的发展,抗攻击能力和正常访问能力都有了十足的进步,但从今天的域名解析故障看来,根服务器承载力仍有很大进步空间,对我国网络空间安全而言威胁甚大,而我们对此除了加强防范外,别无他法,申请根服务器落户神州大地。
如何应对?
目前,应对DNS攻击尚无良策。
部分专业技术人员认为,面对突如其来的攻击DNS服务器行为,只有在平日训练具有高战斗力的应急小组,见招拆招,别无他法。
此外,建立根服务器“镜像”也被认为是抗攻击的良方。其意义在于,通过建立“镜像节点”,在服务器被攻击时,启用“镜像节点”加以对抗。
新鲜出炉的CNNIC报告《中国域名服务安全状况与态势分析报告(2013)》称:“截至 2013 年 12 月 31 日,域名系统 13 个根服务器在全球的镜像节点数量共 386 个(较去年同期新增 38 个),其中中国大陆有 F 根、I 根、J 根和 L 根共计 4 个镜像节点。”
不知能否给域名安全带来希望。
你是普通网民?没有什么是你能做的。常用网站无法打开,普通网民也只能等待修复了。
对了,无聊之余可以关注一下股票。2013年,“.cn”被攻击之后,网络安全概念股均受益不少。:)
更多信息安全消息,请关注微信:intersafety
向作者提问

密码将被抛弃:生物识别技术即将投入使用

密码将被抛弃:生物识别技术即将投入使用(原文来自 Forbes,新浪科技编译)
上月撰文称,谷歌正在努力提供一种安全易用的密码替代品。我当时指出,这种方案有可能彻底改变人们保护网络账号的方式。这主要是因为谷歌正在以FIDO联盟成员的身份追求这种U2F(通用第二因素)项目。微软、Facebook、PayPal和万事达等大牌企业都是这个行业组织的成员,他们的目标是推广一种安全登录验证的开放标准。他们认为,一系列开放标准和协议将帮助不同企业的软硬件之间实现兼容,就像USB或WiFi一样广泛普及。
在即将召开的2014 CES上,我们会看到首批采用这套标准的产品,多家厂商都将展示通过FIDO认证的设备。我最近写过,一款名为YubiKey NEO的USB加密狗可以用于登录笔记本和台式机。兼容U2F的存储卡也即将发布,Go-Trust即将展示一款能够提供这种安全功能的microSD卡。
生物识别将在认证领域扮演重要角色。由于每个人都有不同的特点,所以利用这些因素来认证我们的在线身份将对整个安全行业形成巨大的吸引力。语音识别专业公司Agnito将展示Voice ID技术,只需要说几句话就可以认证身份。EyeLock展示的技术则可以用硬件设备扫描虹膜。iPhone 5s的Touch ID已经证明,指纹扫描可以提供新的认证渠道,而且十分适合移动设备。指纹识别技术开发商AxisKey、EgisTec、FingerQ和FPC都将在CES上展示兼容FIDO标准的指纹识别器,而且都可以用在智能手机和平板电脑上。
虽然开放标准仍然处于初级阶段的,但这些产品已经证明了未来世界有可能抛弃密码。当然,最关键的是要让U2F广泛普及,同时降低网络零售商和金融机构的部署难度。虽然苹果公司至今仍未向第三方开放Touch ID使用权限,但这项技术引发的广泛关注已经将生物识别这一概念推向主流。
FIDO联盟的魅力在于,它出台的标准可以实现多种识别方式,从USB密码狗到虹膜扫描。2014年将会有很多密码替代产品出现,借助这些产品,我们或许就再也不用费劲记忆密码了。

音乐、电影、游戏、安全……中国互联网产品的免费史

音乐、电影、游戏、安全……中国互联网产品的免费史作为一个从2001年开始上网的网民,我感受到真正的互联网历史更多不是活在报道中,而是活在网民的见证中,活在我们的记忆中。互联网的事情发生的太快,昨天还在欢呼今天就已经消失,我们不停追逐着新鲜,而遗忘则已成为常态。本篇文章,我希望能从“免费”的角度,来看另一种互联网历史。
一,音乐
音乐其实在中国一开始也是收费的,早期由于存储和网络宽带的不发达,音乐依靠卖磁带,CD,电视台点播等方式来向用户收费。后来则是依靠下载收费,曾经的CP(内容提供商)与SP(服务提供商)混合的短信收费就是音乐收费下载的好时代,用户可以通过短信收费的模式下载音乐。曾经各大供应商为了版权一直都在不停打官司,不能说中国那时也进入了iTunes的好时代,只能说是由SP利益催生的一种特定历史下的产物,用王朔的话说“看上去很美”。果不其然,之后逐渐有了各大免费听音乐的盗版网站,可以免费收听音乐,盗版音乐就此崛起。

目前的音乐已经全面免费,各大音乐提供软件都利用了“避风港”原则,使得用户可以免费收听MP3等格式的音乐。所以像酷我,QQ音乐等都是不开放海外收听的,只有大陆用户才可以使用,海外是有版权问题的。当然百度除外,百度已经逐渐洗白,百度早期也是“避风港”的做法,但后来逐渐买下了版权。
曾经音乐人是当然不愿意将自己辛苦制作的音乐免费出来的,这曾经是他们最大的收入来源。当然目前明星所在公司也是不愿意免费的,但又不得不免费。高晓松们嚷着要向听众收钱,结果自然是竹篮打水一场空。
为什么现在音乐版权所在公司对盗版的容忍能力变得如此之高?要知道如果公司想要整治盗版,在当前法律环境下也是相当容易的。很明显,在娱乐圈竞争如此空前惨烈的情况下,封杀盗版音乐已经等于封杀音乐人,而音乐人已经不再依靠原创音乐获得收入,他们的收入更多的来自于演唱会,代言,电影,活动等等。
周杰伦就是一个跨时代的代表,是最大受益者,不仅在非网络时代赚到了极大的版权费,还在网络CP混合SP的初期赚到了更大的网络版权费(TOM曾以1200万签下周杰伦4首歌两年版权),最后又在网络盗版时代成功转型,演唱会,做代言,拍电影,出席活动等等。
用罗振宇的话来说,网络让内容变得不值钱,但是让人变得值钱了。2012年,福布斯名人榜综合第一,周杰伦,16130万。
那么再盘点下各大音乐软件的赢利方式。
虾米:增值赢利与线下活动。
酷我:增值赢利、游戏赢利、弹窗。
豆瓣FM:增值赢利、中途广告。
QQ音乐:增值赢利 。
搜狗音乐盒(该项目基本已被搜狗停止):不盈利。
百度音乐(收购千千静听并且已购买版权):暂无突出的赚钱手段。
二,电影
在上网从调制解调器时代脱离,进入宽带时代时,也就是意味着宽带已经有所成熟,此时连盗版拷贝光盘也开始衰落。我们在家看电影,获得电影资源的方式有并存的四种。第一种就是去音像店租或者买正版光盘,第二种就是去音像店或者电脑城之类的地方购买盗版光碟,第三种是在线付费看电影,第四种就是去网上下盗版电影。前三种收费,最后一种免费且用户增长趋势最快。下载电影方面最常见的格式有三种,RMVB,RM,AVI,而最常见的下载和今天一样就是直链、BT、ed2k链接,最常用的工具有二,网际快车、迅雷。下面从三个方面入手来谈电影免费这块。

1,互联星空的错失、播放器和本地在线视频的崛起

在线付费收看电影的模式在宽带时期已经出现,比如最著名的中国电信旗下的互联星空就实现了收费在线观看。其收费政策是按月收费,付费用户可以在网站上随意收看各种电影。

现在回头看互联星空的收费政策无疑是非常失败的,下面打算讨论失败的原因并兼谈播放器历史。
第一,缺少此类产品的付费习惯。网民虽然对于虚拟服务付费已经有所成熟,比如QQ秀,游戏,杀毒软件之类的充值。但这种电影收费的全新模式,毫无用户基础不说,最关键的是根本没有抓住用户的真正痛点,痛到要为之付费的程度。
第二,光盘盗版和网络盗版的横行也是对于收费的压力,此时的盗版音乐已经在网上形成规模,而电影同样会受音乐的连带影响。
当然也正是网民疯狂的下载盗版电影的也同时,成就了一批国内优秀的视频播放软件。当时的RealPlayer虽然可以播放rmvb格式的影音文件,但是其复杂与繁重让用户电脑不堪负荷,并且不支持其他格式,当时处于其他小的视频格式混战时代,诸如3gp\mpg\mov\avi\asf\wmv\flv……在当时要想观看其他格式只有两种方法,要么是下载专门的播放软件,要么就是用格式转换器,但是格式转换器是要收费的,还需要破解,而使用破解软件则还有可能中毒使电脑成为肉鸡。
所以用户更想要一个通杀所有视频格式的播放器,于是暴风影音就应运而生。暴风影音横扫一切格式,深得网民喜欢。
回过头来看暴风影音就是最大受益者,其次有射手影音,QQ影音,以及迅雷看看的后来居上。而随后,暴风影音以及迅雷看看迅速转型成本地在线播放器,获得极大成功。
同时死亡的有先驱者金山影霸播放器,豪杰超级解霸,realplayer。在我的记忆中,每次买的盗版光碟中都会默认安装一个金山影霸播放器或者豪杰超级播放器,至今已成往事。
第三,浏览器端的不适应。当时的网民仍然处于懵懂状态,曾经在家看电影都是去音像店租或者购买光盘的,买了光盘之后已经习惯于在VCD/DVD上观看,对于电影依然有一种“载体”情节,下载的电影rmvb文件就像“光盘”,本地播放器就像“VCD/DVD”,电脑就像”电视机”。也就是说当时的网民还一下子无法在心理上接受电影脱离载体感受,在心理上仍然需要一个本地播放器来感受到电影的存在。所以那时候就用浏览器端线观看这种相当前卫的模式对于早期的用户来说是非常不适应的。或许互联星空如果按次下载收费,然后开发自己的播放器,就是另外一种景象了,当然一切仅仅是如果。
也就是这种“载体”情节也左右了中国互联网在线视频好多年,这也是当年客户端在线视频软件能够主宰市场,而不是浏览器端在线视频能够主宰视频的原因。也就是在那时,成就了PPlive(现在改名pptv),PPS,风行,暴风影音这类本地在线电影播放软件的崛起。
当然这种在线播放软件客户端主宰的年代随着土豆,优酷,酷6等一系列在线视频的出现才宣告结束。而PPLive们也开始了朝浏览器端的转型。
2,从灰色领域崛起的快播
为了获得免费电影,网民用尽了手段。那些普通电影非常容易能够下载到,但是那些比较特别的如成人片子下载起来就很麻烦了。以前这些片子只需要去成人用品店或者小地摊上购买即可,但是到了互联网的大免费时代,这种需求自然会更加爆炸式增长。因为成人片的挑选模式和挑选普通电影的方式有很大不同,成人片更多的是一种毫无目的挑选,并且越多越好。
免费看成人片的巨大市场需求成就了一大批色情网站以及大名鼎鼎的qvod快播。
在快播诞生以前,想要看片的同学都是需要将片子下载后才能观看,等待时间相当漫长,而快播则利用P2P原理实现了在线播放,使得用户的等待时间大大降低。
快播是这样起家的,站长在自己的站点上放上各种各样的片子,然后只能用快播独家播放与下载。如此一来,利用SEO占据谷歌与百度的排名,当用户搜索各种色情关键词时都能发现与快播相关的网站,然后快播也自然的到了推广,这之后再与站长进行分成。
直到今天,一提到快播,很多男同学都能会心一笑。
3,免费在线电影大时代
在今天我们想看任何电影已经基本免费,除了个别太老找不到的或者是正在电影院上映的。各大视频网站已经为用户买下了版权,用户想看就随时看,看的都是正版再没有任何道德负罪感。而视频网站也通过前置广告获得盈利。
凯文·凯利在《技术元素》中说到中国的电影市场这块,在中国上映的电影盈利的最大可行性就是电影院,因为电影院提供了一种与家庭完全不同的体验。
那么我在思考当今电影已经基本免费的情况下,除了大数据广告如何寻找新的盈利模式,这是至关重要的。罗振宇曾经讲过一个列子,某家电影院实现小包场,在这个小包场里面专门播放一些老电影,而观众只有两个上了年纪的人。这就是一种相当不错的盈利模式。
在这个好时代,我们都可以轻松的看到免费的正版电影,电影变免费了,但人性没变,所以可以做的体验经济也应当更多。对用户免费后的电影行业未来能爆发出怎样的活力?电影人又能爆发出何种活力?都让我们拭目以待。
三,游戏
其实谈到游戏免费,要兵分两路。一路是单机游戏,一路是网络游戏。
1,单机游戏
说到单机游戏,那只能说是心痛。曾经有篇文章叫《是谁毁了国产单机游戏——盗版?网游?》指责盗版的横行毁灭了国产单机,不得不让人对很多优秀的国产单机游戏感到惋惜。
要说单机游戏和免费有什么关系,那还真没关系,只能说单机游戏和盗版有很大关系。看下面这张图就知道为什么所有在中国的单机游戏想要收费必将空手而归。

想当年互联网尚未普及的时候,盗版游戏就已经非常猖獗,五元一张游戏光盘就能买到一个拷贝的游戏。那时候在全国各大电脑城卖的最火爆的不是电脑,而是游戏光盘。
回忆2002年那个时候我玩游戏还是挺珍惜的,毕竟五元钱对我这个学生来说不是一笔小数目,挑一个好游戏就像挑选一张回家看的VCD一样,都是十分精挑细选的。但是到了互联网宽带时代就不一样了,下载站verycd上诞生了一位叫做Renchongyi的神人,人称R大,将各种国外的收费游戏免费发布到verycd上,使得我们这些网民下载到了大量免费游戏。为了纪念R大,有网友写了篇文章叫《大网络传奇人物.R大》。
当我能够下载到各种游戏后,厌倦之情也油然而生,连通关都嫌麻烦,直接开启可以作弊的游戏内存码修改器,修改游戏关键数据一路通关到底。顿时觉得单机游戏的乐趣也全然消失。
现在回头在来思索这些事情,盗版游戏让我们免费享受到了游戏团队们精心制作的游戏,但是开发游戏的商家却赚不到钱这是确实一件相当令人沮丧事情。要说原罪的话,我们这代网民确实带着原罪出生。但正是这份原罪却在倒逼着未来的游戏寻找着全新的更繁荣的商业模式,这或许就像老子说的“祸兮福之所倚”吧。
2,网络游戏

关于网络游戏免费,要谈的其实也就是关于RPG游戏类的时间免费。
早期大红大紫的网络游戏《热血传奇》是遵循着按消耗时间点数的式收费,盛大和点卡供应商育碧决裂后自建网吧式销售渠道,获得了比之前更巨大的成功,而就在盛大如日中天之时,《传奇》源码从意大利服务器泄露,有了这些代码之后,很多人开始搭建了传奇私服,而私服与传奇的最大区别在于时间不收费,依靠卖经验和等级收费。
所以这里存在一个误解,很多人以为是史玉柱的《征途》开辟了RPG网络游戏免费时间的先河,其实压根不是,而是私服就已经开出先河。只是私服在地下,拿不上台面,但私服的按装备收费却已经是非常成功的模式。
史玉柱《征途》在商业模式上的成功,更多的是实现了已经成功的私服模式而已。
所以,道具收费模式的开山鼻祖不是《征途》,而是以广大草根之力建立起来的各个传奇私服的模式才是鼻祖,这是被整个商界所抛弃的真正历史。
如今在中国,除了熟知《魔兽世界》《梦幻西游》《大话西游》系列等少数几款依然在火爆的游戏外,其他游戏已经全部时间免费。而免费游戏的设计非常符合人性的弱点,你以为不要钱,但是只要等你陷进去,你必会掏钱,淘的钱也许更多。有人曾经算过一个网易的《天下》游戏中某个职业想要得全部顶级装备需要1000万人民币才能获得。
四、安全

谈到安全免费,最大的主角无疑是360。以下是360的故事。
1,对付IE插件的360崛起,周鸿祎傅盛内斗
当年的IE插件,全都是利用特殊非法手段安装到用户浏览器上的东西,手段有下载某某软件时给你捆绑安装,看色情网站给安装,正常浏览被挂马的网页时给安装上,QQ病毒群发好友消息安装,作为肉鸡直接远程安装。而这些插件的恶性特点是让用户打开网页的速度变慢,随时容易打开色情广告网页,病毒木马网页等等。
想必共同经过那时代的网民一定有共同的痛苦记忆。
而在奇虎的傅盛做了一个360,开始对这些插件下手。是的,这个傅盛,正是现在金山的那个傅盛。
以下是林军《激荡十五年》的内容:
“社区搜索和生活搜索等诸多被周鸿祎寄予厚望的业务均没有获得预期,相反,由傅盛领衔的360安全卫士却在不受关注中和重视中悄然崛起,并在2006年那场由周鸿祎主动挑起的口水仗中迅速做大,成为奇虎的主营业务。不过,随着360安全卫士在奇虎内部地位的突出,作为创始人的傅盛却地位尴尬起来,在经过多次内部批斗会式的交锋后,傅盛开始隐退……“
通过这段我们也明白了后来众所周知的故事,360上市之前,周鸿祎要求以1元钱收回傅盛手里的奇虎股份的事情。足以见得二人交恶程度。
那么回头看周傅这件事,其实是傅盛为安全软件行业开个了好头,奠定了奇虎公司的最初发展方向,以至于才有了后来360在安全行业如此高的地位。也就是说没有傅盛就压根没有360,也更不可能有360上市的今天。离开360的傅盛,在360上市前被要求以1元钱买回奇虎股份的傅盛,每次想到这些不知会怎么想。这或许是傅盛永远的痛,也是他出任金山CEO和360分庭抗礼的原因吧。
但是话又说回来,如果360没有周鸿祎又是否能够做到像今天这样?如果是傅盛带领360继续走下去是否也同样能够做到上市的地步?这一切已经不会再有答案,答案飘在风中,这里是丛林,成王败寇是法则。
直到今天周傅二人仍然在缠斗,我们看到有周鸿祎的地方就有傅盛。详见程苓峰的那篇《傅盛对周鸿祎的“贴身”策略》。
2,windows优化大师们的失之交臂
其实当年360干了一件事,而这件事也是“windows优化大师”和“超级兔子”错失的最大机会,当年专注做windows系统优化的软件只有”windows优化大师”和”超级兔子”最受用户喜欢,拥有极大的装机量。而他们都能够进行对电脑的全面控制,防止锁定IE主页,网络加速,修复注册表,清理物理内存等等。但是他们却都没有去认真做,清理IE插件这件事。
现在分析windows优化大师们的失败,一直到2006年windows优化大师们还依然还停留在单机时代,即围绕计算机做好计算机加速服务,而盈利模式则是通过收费获得更多高级服务。典型的软件式思维!也注定了其在网络时代的注定失败。在网络时代,最让用户抓狂的不仅仅是计算机,还有网络所衍生出来的问题,如何做好网络的安全才是重中之重,IE插件与后门木马才是最大关键。
第一块被360吞食的市场正是windows优化大师们的电脑优化市场,360仅仅通过一个清理插件的小功能获得了大量用户,随后360将自身拓展成全方位的电脑管家,将windows优化大师们原来就有的功能整合进来,而windows优化大师们在360的出现后也迅速失去市场。
3,免费杀毒
360曾经和各大杀毒软件都有过蜜月期,以卡巴斯基为例,曾经使用360的用户可以免费获得卡巴斯基的激活码,免费使用半年。而360官网也大力推广各大杀毒软件,与各大杀毒软件有过很好的合作。
360与杀毒软件合作那会儿,很好的宣传了自己,而杀毒软件也很好的得到了宣传。但是在商界没有永远的敌人,也没有永远的朋友,只有永恒的利益。之后就是大家知道的360推出免费杀毒,血洗业界。江民,瑞星,诺顿,卡巴斯基等杀毒软件再无出头之日。
为什么360要推出免费杀毒?从用户的角度来说当然是好事,但是无利不起早。免费游戏时间是因为游戏商想要从游戏中赚到更多的钱,商业中不可能有人会白白对你好。360不可能通过免费杀毒来获得收入,那么究竟为什么360要免费?背后动机是什么?
从后来的效果中,我们看到了端倪。360一旦免费,则意味着与全部杀毒软件商为敌,势必掀起舆论的惊天巨浪,而360站在舆论的绝对有利方定会获胜,更多的用户则会纷纷转向360。
当360积累了如此众多的用户后,360也终于迎来了其免费的商业模式,渠道的导流,导航,搜索,游戏等等,这种免费的商业模式和QQ有点像。
不管怎么样,360已经改变中国互联网历史。
关于互联网免费的历史,或许每个人都有一份不同的记忆,因为互联网的事情来去都太快,我们还没来得及看清就已经消失,没有谁为他们记录,留下的只是一堆陈旧的门户新闻稿。在现实中消失的东西留下的痕迹就已经十分模糊,而在互联网消失的东西其痕迹会更加让人看不清,以至于让人怀疑是否存在过。
同样的,在历史车轮碾过后,今天的一些如火如荼的互联网产品,或许在未来也注定会消失吧。这些互联网生物与我们人的寿命比起来显得短寿多了,朝菌不知晦朔,蟪蛄不知春秋,它们来来去去,它们朝生暮死。
向作者提问

周鸿祎:我们是得罪了一些人,以后会再注意的

周鸿祎:我们是得罪了一些人,以后会再注意的360公司主办的2013中国互联网安全大会(ISC)在北京国家会议中心举行,360董事长周鸿祎在会上发言,如下内容基于发言稿整理:
网络不可能实现永远的安全
从最近我们监测到的网络攻击类型和最新网络新出来的安全事件发现,其实网络不可能实现真正的安全,网络也不可能实现永远的安全,就像没有最锋利的矛和最安全的盾,有人的地方就会有犯罪,现在的网络犯罪已经不是几十年前黑客为了秀自己的能力,今天的网络犯罪或网络攻击大到背后代表着国家的利益,小到企业的不正当竞争,以及为了获取利益在往上对网民做出各种攻击行为。
终端安全未来会变得越来越重要
现在我们看到一个趋势,传统的防火墙、路由器在服务端上的安全做得相当好,使得现在大量的攻击,大量的入侵越来越多地按照趋势来看不再发生在网络底层,而是更多地发生在应用层。很多攻击和威胁只有在用户的终端电脑上才会真正地发挥作用。今天公司的员工都在使用往上的云盘,你不可能不让员工用网络相册、网上存储。这些云服务实际是给企业边界打开了很多缺口。边界的概念已经变得非常含混。
要真正解决终端安全,我们觉得在云端做这些判断会是安全的趋势,所谓云安全。云安全和终端安全的结合,我们认为肯定是未来安全的一个方向。
移动安全和网站安全
对每个使用手机的人来说威胁无处不在,过去大家电脑上中个病毒很多情况是损坏个文件,电脑慢一点,慢一点也能用。但今天手机上安全问题可能不是手机慢一点的问题,可能很多敏感的数据,个人通信记录都会面临严峻的挑战。三年之内各种家用电器都会和移动联网,这些设备被攻击,那就不是手机上有几个流氓软件窃取你的隐私,可能会真的面临财产的损失或生命的威胁,所以移动安全的挑战我认为是非常大的。
360以前不太关注网站安全,比较关注消费者服务,但这两年里我们看到越来越多的网站被拖库,越来越多的网站用户密码数据库被黑客拖库了。我们发现国内75%以上的网站都存在不同程度的高危漏洞,30%的网站是存在后门的,这就会给黑客攻击者带来可趁之机。这和终端安全就形成循环。未来网站安全变成整个企业安全和个人安全非常重要的一个环节。
360做免费杀毒是不是砸了大家的饭碗
360刚做免费杀毒的时候被行业内看成麻烦制造者、捣乱者、搅局者,希望大家想想,360这几年通过免费安全,我们整个提升了中国互联网安全防护指数,教育了消费者对安全的认知,我们把市场的盘子扩大了,给我们很多企业其实提供了更多机会。免费安全不是在颠覆安全行业,而是在重塑和扩大整个安全行业。
泛安全的领域会发现许多新的机会
木马病毒宏观上来讲各种攻击确实越来越多,但对某一个个体微观来说不可能天天遇到安全的问题,他遇到的还有很多是泛安全的问题,而在中国泛安全的问题往往有时候比安全的问题还要更大。
很多正规App,也是正规公司做的,在手机里要有不相称的权力,读你的短信,读你的通讯录,读你的定位,这样的行为你管理不管理。今天中国垃圾短信和骚扰电话成为公害要不要解决呢?在中国祸害用户的可不只是那些木马作者和做恶意软件的作者,和黑色产业链相比,我觉得某些名门正派的大公司还不如他们呢。虚假网站、欺诈网站靠什么推广呢?靠搜索引擎啊,医疗广告在搜索引擎这个行业的收入比重占到了40%。
我想表达一点,做安全,当你真的做到一定规模,真的说要帮老百姓不仅仅是杀毒问题,还要解决上网,手机遇到很多问题时,你会发现挑战是巨大的。今天我分享这个东西想达到两个目的,未来每个安全公司都要互联网化,360作为互联网公司,我希望能把这些互联网化的思想像AK-47一样发给大家,做人民的网络安全战争,不只是360一家对付黑色或灰色的行为,希望能把大家都发动起来。

黑客:站在十字路口的孤独者

黑客:站在十字路口的孤独者说在前面:本文有感而发,并无对任何人和产业的诋毁。只是说说自己内心对选择的一点感触,请各位不要对号入座。
十年前,别人说我是个黑客,我会觉得很骄傲;十年后,有人说我是黑客,我会立刻纠正他。十年前,可以随意看到身边的人意气风发的给人讲自己是个黑客,做过哪些入侵;十年后,曾经圈内叱咤风云的人物都已经销声匿迹,低调的做着自己的事儿。
十年的时间,黑客圈巨变,刑法修正案对黑客行为的立法让这个灰色的圈子彻底变黑。掌握web安全技术的传统黑客们孤独的站在十足路口,一边是充满诱惑的黑产圈子,一边是严厉的法律制裁和身边朋友进监狱的案例。究竟该何去何从?一念之差可能人生的轨迹就会有天渊之别。
相信圈内的朋友都有过这样的内心挣扎,做黑产、“项目”每年能赚到几百甚至上千万,而做白每年苦逼的能赚到几十万就算不错。究竟要怎样选择?哪条路才是对的?我也曾经挣扎过,但内心的传统观念还是让我选择了保守,去做一份web安全的工作,去做一款web安全的产品,踏踏实实的赚每一分钱,舒舒服服的睡每一个觉。
熊猫烧香的李俊开网络赌场再次入狱印证了我当初选择的重要性,也让我出了一身的冷汗。初始道路的选择不是像职业规划那样简单的行为选择,而是内心对于自我的深度定位和对底线的明晰划分。说简单一些,十字路口,内心的挣扎就像有一部电影中决定是否把自己出卖给魔鬼来换取永生一样。一旦选择了黑,内心也会随之变化,就会认为自己成为了那个世界的人,就会习惯那个世界的规则。李俊就是那种自我心理暗示极强的人,自我认定为不普通的人,自然也不会习惯普通人的生活,再次打擦边球再次被捕,虽说有运气差的因素,但某种程度上来说是必然的。
一旦选择了黑,就会背负原罪,而且一生无法洗白。所以,十字路口的抉择对一个人的影响其实是一生的。
还有一件事对我的触动很深,让我觉得我现在所做的事情是极有意义的。付费漏洞收集平台的最大作用本来是为了最快最全的收集漏洞,但其实对站在十字路口的人却有了灯塔的作用,虽然是点点光芒不像黑产霓虹灯那样绚丽夺目,但在选择的天枰上这点点光芒确实可以改变很多人的人生轨迹。
每天都有很多白帽子向我们提交很多漏洞,我们评估验证后给他们付费。一天我偶然接触到了一个漏洞提交者,短暂交流后发现他居然是个初中生。他的技术非常非常初级,只能找到一些很浅的漏洞,所以能付给他的钱也很少。他对我说:自己的家庭条件不好,自己学习努力挖漏洞就是想赚钱买一台笔记本电脑。
那一刻我的心被触动了,久违了的触动,仿佛看到了自己之前的影子,鼻子一酸当时就想对他说送他一台。但一转念,我决定用另一种方式帮助他实现自己的目标。我开始对他进行一些技术上的指导,帮助他找到更多更严重的漏洞,同时在心理层面引导他走白帽子的路。因为我很清楚,挖漏洞提交赚钱比做黑产赚钱要难的多也要慢的多。这个孩子就像是一个站在十字路口的人,笔记本就是他的清晰目标,向左只需1步就可以拿到笔记本,向右却需要100步。
让我感到欣慰的是,这个小小的白帽子(我想此刻可以这么称呼他了)挖出的漏洞等级越来越高,从最基本的XSS到了高危SQL注入。他本人也非常勤奋,略算一下,近3个月的时间他得到的漏洞奖励也基本可以买到一台主流配置的笔记本电脑了。
我不确定自己是否真的能影响这个小朋友一直走白的道路,但我对自己工作的认识全然不同了,我现在要做的就是做大付费漏洞收集平台,让更多的漏洞到我的手上,让更多的人在选择的十字路口能够看见这边的点点星火。

2012年,中国被境外控制的计算机主机达1420万台

2012年,中国被境外控制的计算机主机达1420万台在6月28日的外交部例行记者会上,有记者问,目前中国已有5亿多网民,位居全球第一。作为一个互联网大国,中国如何看待网络安全问题?
外交部发言人华春莹说,……中国互联网始终面临黑客攻击、网络病毒等违法犯罪活动的严重威胁。
她称,据统计,仅2012年中国被境外控制的计算机主机就达1420余万台。在上述受攻击的计算机中,不仅涉及大量网民,而且涉及金融、交通、能源等多个部门,对我国经济发展和人民正常生产生活造成严重危害。可以说,中国是遭受网络攻击最严重的国家之一。为此,中国政府高度重视网络安全问题,反对任何形式的网络攻击行为,已经制定了相关的法律规定,明确禁止和打击黑客攻击活动。
华春莹表示,中方一贯认为,网络安全是一个全球性问题,各国在网络空间是一个你中有我、我中有你的“命运共同体”,网络空间需要的不是争斗,而是规则与合作……中方希望有关方面停止对中方不负责任的攻击和指责,从自己做起,采取实际行动,增进各方互信与合作,共同维护网络空间的和平与安全。
众所周知,美国方面一直指责中国对美国多个领域开展网络攻击。今年5月6日,五角大楼首次直接宣称,中国政府和军方对美国实施计算机攻击,包括从联邦机构窃取情报的行动。没料到不久后爆发的斯诺登事件,给中国送上一手好牌。斯诺登在香港称,美国国家安全局(NSA)“无所不为,从侵入中国手机运营商,到窃取你的所有短信数据”,今年1月还侵入位于清华大学的中国电信主干网络之一。随后,新华社发表评论指责“美国才是这个时代最大恶棍”,并称“美国欠全世界一个解释”。

由“棱镜门事件”审视思科的角色扮演

由“棱镜门事件”审视思科的角色扮演日前,美国中央情报局(CIA)前秘密特工爱德华·斯诺登(Edward Snowden)披露了美国国家安全局(NSA)的“棱镜”(PRISM)监视项目和Verizon元数据收集项目,并指称美国美国的黑客部队已经高度渗透到中国的网络内部。  
6月10日,美国《外交政策》杂志披露在美国国家安全局(NSA)内部,隐藏着一个秘密的对华黑客小组,名叫“获取特定情报行动办公室”(Office of Tailored Access Operations)。大约15年前,该部门就已经成功渗透进中国的电脑和电信系统,获取了一些有关中国内部动向的最佳、最可靠的情报。 
15年前。请注意这个时间点,即1998年,当时思科CEO约翰·钱伯斯首次访华,我还专门到清华大学聆听过他的主题演讲。那时候我正学习广域网,接触过3com路由器,但尚不知思科为何物,凭兴趣听了一耳朵。不久后,思科大举进入中国。不过,值得注意的是,早在1997年 中国国家金融数据通信骨干网采用Cisco StrataCom IGX交换机。NSA黑客小组获知的中国情报,莫非是源于此间?(仅仅猜测)
思科对于中国互联网基础建设而言,扮演什么角色?
可以说,思科公司是看着中国网络长大的。思科积极参与了中国几乎所有大型网络项目的建设,这些项目既包括163网、169网、中国金融骨干网、中国教育科研网以及海关、邮政等系统网络的建设,也包括中国电信、中国联通和吉通公司等电信运营商的网络基础建设,其产品在我国骨干网络的核心节点上占据着垄断地位—从过去一直垄断到现在。
其实,黑客之所以具有入侵各国的网络超能力,在很大程度上仰赖于美国数通产品所设置的侦听功能。天马来行空在《全球顶级网管:美国“合法”监听互联网》一文中分析过美帝在网络情报搜集和监听等间谍活动方面,建立了庞大而完备的体系。美国法律要求电信运营商必须提供监听服务,美国境内的通信设备生产商、通信服务提供商,均具备从事网络监听和间谍活动的义务和动机。这意味着,任何一台用于通信的设备,只要打上了“Made in USA”的标签,就意味着需要接受上述法令的要求。
思科公司是美国也是全球最大的路由器、骨干网络设备制造商,在行业中处于领军地位,自然也是奉公守法的美国模范企业。
于是以下描述并非不可能成为现实——
思科公司在网络监控领域的技术实力,全球领先。思科公司在美国政府的要求下,开发了极其强大的网络监控管理产品,并将这种能力嵌入到了其网络产品中。美国政府借反恐之由,设定法令要求对所有网络活动进行监控。思科公司的设备遍布全球重要机构,借助于思科公司及其庞大的技术服务队伍,某些组织能够很方便的开展相应的间谍活动。
对于美国政府而言,思科扮演什么角色?
思科是美国政府和军方的通信设备和网络技术设备主力供应商,双方关系密切超过华为中兴之与天朝。《华尔街日报》美国公开政治中心的数据显示,美国525名国会议员之中有73位在思科集团中拥有投资。根据美国政治捐献数据库(opensecrets.org)的数据统计显示,思科从1998年就开始游说美国国会,15年来累计金额高达1572.52万美元。华为、中兴从2005年开始断断续续的投入经费用于游说美国国会,华为累计投入223.5万美元,中兴投入46.2万美元,同期思科的投入为1202万美元,是华为的5.3倍、中兴的26倍。
思科不光是跟政府是铁哥们,跟美国军方也是好基友,双方合作过很多票生意。早在2005年,思科跻身美国联邦政府部门有史以来最大规模的音视频会议项目。这个服务于美国军方的项目由美国第五大军火公司格鲁曼公司(Northrop Grumman)总包,该公司邀请了思科公司共同建设一个为世界各地美军提供视频通信服务的网络,思科公司的“IP视频会议 3540多点控制单元”和MeetingPlace系统将成为这个网络的基础。在2009年,思科与美国国防部共建“太空互联网路由”(IRIS)项目。该项目是美国国防部联合能力技术验证项目的一部分,由思科和Intelsat卫星公司负责实施。IRIS项目最终将会让电缆和光纤均无法到达的地区能够以低廉的花费和更加方便的方式接入高速互联网,与美国军方的EOIP(Everything over IP)计划一拍即合。
美国政府借助思科这类能够掌控、监控网络核心节点的企业,可开展相应的网络作战。作为主要通信设备供应商,思科与美国政府、军方和国防部有重要而长期的合作。近几年,美帝老是指责中国黑客行为,甚至迁怒于蓝翔技校。其实,这完全是贼喊捉贼,美国是“网络战”理论的缔造者思想者和革命实践者,天朝最多是山寨一把。美国网络战系统中,思科是必不可少的重要角色。2006年2月6~10日,美国进行了一场历史上规模最大的“网络风暴”(Cyber Storm)网络战演习。演习由美国国土安全部指挥,美国国家安全委员会。国务院,国防部、司法部、财政部、国家安全局、联邦调查局、中央情报局等115 家政府部门参与,思科是演习的重要设计者之一。
一个会令肉食者睡不着觉的问题来了。在战争状态战中,美国政府极有可能利用思科在全球部署的产品,利用思科对于网络设备、通信设备等的掌控与监控能力,对敌国实施致命打击。例如,思科设备的操作系统中预留GDB模式,方便在现网设备上植入恶意软件,在发货前和客户安装后都能够进行篡改设备功能。此外,在信息安全领域,思科有一种广为诟病的做法,即在自家网络产品中预留大量存在的后门,一旦被人利用,后果不堪设想。例如ROMMON模式,任何人只要可以连接思科的路由器,即使他并没有这台路由器的用户口令,也可以通过这个功能将用户口令恢复成默认的出厂配置,从而绕开认证鉴权机制,安然进入系统中,要监视某某通信,还不是小菜。我国出色的科学项目GFW,就是利用思科设备的这个功能建立的。为了这个,思科可没少挨老美的骂。如果说爱德华·斯诺登因为披露了棱镜项目就成了叛国者的话,那么从信息安全的角度来看,思科还真是美国派到天朝来的“奸细”。哈哈。