sgusers的部落格

□晚報記者 錢朱建 報道 製圖 任萍對上海白領王金龍和張威而言，迷你倉過去1個月漫長而艱辛。但對2000萬信息被泄露的酒店住客來說，他們的舉動卻無異于霧霾中的一縷曙光。今天，距離王金龍和張威發起“2000萬開房數據泄露”首例個人維權訴訟已近1月，兩人仍在等待法院立案。從年初大量網銀賬戶被盜，錢款莫名流入“巨人”網絡，到“棱鏡門”引爆信息安全大反思；從2013信息安全技能競賽，到第三屆上海信息安全周、國家安全委員會成立並確立國家安全大戰略；從央視3·15曝光安卓手機泄露隱私，到信息安全講師拿起法律武器為自己維權。在很多人眼裡，信息安全是個讓人“不明覺厲”的行當。但在信息化和大數據時代，我們每個人因信息安全問題受到的威脅和遭遇的損失卻是實實在在的。如何保護信息安全，對我們來說，才只是一個開始。政策要點十八屆三中全會《公告》提出，設立國家安全委員會，完善國家安全體制和國家安全戰略，確保國家安全。這是一個帶有戰略性、全局性、創新性的重大決策，體現了新一屆領導集體的遠見卓識和大膽變革求新，具有深遠的歷史意義和戰略影響。信息安全是國家安全重要組成。隨著國內外環境的不斷發展和變化，國家安全的範圍已不僅僅限于國防、軍事和外交，其內涵涉及經濟、金融、能源、科技、信息、文化、社會等各個領域。隨著信息化建設在各個領域的不斷推進和深化，信息安全必將成為完善國家安全戰略的重要組成部分。記者手記我的信息安全怎麼辦？進入信息化時代，我們就像在信息的海洋中裸泳。無論生活在世界的哪個角落，一顰一笑、一舉一動，任何蛛絲馬跡幾乎都逃不過別人的眼睛。也許美國情報機構對你毫無興趣，但泰國的某個團伙卻可能早就盯上你的網上賬戶。也許，你安心于各種U盾和安全衛士，但這些“小兒科”在黑客眼裡無異于裝飾品。就像一個叫維克托的長著一張哈利波特臉的英國人所說的，一場生活、工作與思維的大變革正拉開大幕。就像望遠鏡讓我們能夠感受宇宙，顯微鏡讓我們能夠觀測微生物一樣，大數據正改變我們的生活以及理解世界的方式。如果你想問，我的信息安全怎麼辦？業內大佬比較一致的意見是：別太拿自己當回事，都裸泳了，就索性放鬆點曬成小麥色吧。案例壓力：白領維權“開房數據泄露”，頻遇質問“有什麼目的”上海白領王金龍和張威原本只是默默無聞的小人物，兩人在信息安全行業工作10多年，工作穩定收入也不錯。在“0”和“1”的計算機世界里，他們一直循規蹈矩，從未有過叛逆的念頭。但如今，兩人卻被貼上“麻煩製造者”的標簽，因為他們觸動了某些人利益。他們得罪的是那些肆意妄為竊取大�個人信息和隱私，並從中牟利的人；是那些無視客戶隱私，不願多投入成本進行保護的公司。這一切，都源於他們在全國率先發起的“2000萬開房數據泄露”個人維權訴訟。除了原告，兩人還多了很多身份。他們是2000萬開房信息“受害者聯盟”QQ 群（群號207354357）群主；維權公�微信號（PrivacyProtection）維護員；個人信息泄露論壇（gerenxinxi.gotoip1.com/wind/）管理員。王金龍和張威將新建立個人信息泄露論壇命名為“行動起來，捍衛權益”，在這裡，他們收集和個人信息泄露相關的信息，並希望論壇成為大家交流個人信息保護的渠道。“剛建起來，人還不多。”王金龍坦言，過去的1個月讓他心力交瘁，不僅要承擔繁雜的維權事宜，還要承受來自各方的壓力。不止一個人問他，“你這樣做有什麼目的？真的只是要維權嗎？”這個問題回答多了，王金龍自己有時都會忍不住懷疑，單純做一件事真這麼難嗎？安慰：信息安全漸獲重視，技能競賽領獎的都是頂尖高手對上海市信息安全行業協會副秘書長王懷賓而言，愚園路、安西路路口的一家咖啡館更像會客室，盡管他的辦公室就在馬路對面的寫字樓內。喜歡隨意和輕鬆氛圍的王懷賓是搞技術出身，他更喜歡朋友叫他Robin，而不是他的官名“王秘”。在這家咖啡館，Robin和大江南北、五湖四海的朋友聊技術，聊行業方向，聊未來趨勢。這一年，最讓Robin操心的是2013信息安全技能競賽。而最讓他欣慰的也是這件事。本次競賽于7月至10月在滬舉辦，今年首次與相關行業主管部門合作，分銀行、證券、保險、國資和綜合五個組進行管理運維賽，有來自各大行業的84支團隊參加。“高手雲集是此次競賽的特點，今年領獎的都是頂尖高手。”上海市信息安全行業協會秘書長王強表示，通過前三屆個人賽的舉辦，大賽已成為信息安全領域的重要比賽，今年增加管理運維賽後，輻射面更廣，也更貼近相關人員日常的工作實踐。Robin說，信息安全是“三分技術、七分管理”的應用工程科學，在企業角度看待信息安全更接近管理學，如何把管理特點在信息安全這個範疇體現出來，業界已有很多可借鑒的方向，如國際著名的信息安全標準-ISO27001，國際註冊信息安全專家資質CISSP等。本次團隊競賽的題目設計方面就融入了這些國際經驗。成績：“白帽”黑客30秒攻破iOS7.0.3，全球第一王琦是上海�震 Keen 安全研究團隊的負責人，也是從往屆“信息安全技能競賽”中脫穎而出的技術高手。過去一年，他用實際行動，詮釋了“白帽”黑客的價值。在業內，黑客分為“黑帽”和“白帽”，“白帽”從事信息安全研究，協助安全漏洞的修復和安全防護；“黑帽”則專注于利用安全攻擊獲得非法利益。KeenTeam 是一支由中國“白帽”安全工作者組成的信息安全研究團隊。團隊成員來自于微軟、摩根、穀歌等世界五百強企業。在今年11月的第三屆上海市信息安全周上，王琦在數十位記者面前現場演示“掃個二維碼，QQ密碼照片全丟失”的驚人場景。11月中旬在日本東京舉辦的全球頂級安全競賽Pwn2Own上，王琦和隊友在不到30秒的時間內成功攻破蘋果最新手機操作系統iOS7.0.3，成為全球首支遠程攻破i文件倉S7.0.3的安全團隊，同時也是中國安全專業團隊第一次參加該比賽並獲勝。大事件“1·2”特大跨境網銀盜竊案，本報十多個版面追蹤今年1月2日，受害人李某在浦東一家酒店內通過12306官方網站訂購火車票，隨後發現銀行卡內3609元人民幣被轉入“巨人”旗下網絡遊戲進行充值，為此報警。今年8月，上海警方宣佈“1·2”特大跨境網銀盜竊案告破。警方抓獲5名犯罪嫌疑人，並將主要嫌疑人王某從泰國曼穀押送回國，還追繳了部分涉案贓款300余萬元。至此，從去年年底持續到今年年初的這場網銀盜竊大案暫告段落。此案中，被害人遍及全國幾十省市，經歷都是在網上交易時被人利用木馬程序竊走網銀內所有的錢。犯罪分子利用著名網絡遊戲公司“巨人網絡”旗下游戲，通過為遊戲賬號充值的方法轉移資金。在接到線索後，本報持續跟蹤，先後做了十多個版面的報道。警方提示，市民可分設兩張銀行卡，一張用作主要銀行卡（如工資卡），一張專門用于網購。在用于網購的銀行卡中，不要存放太多的錢，以降低風險。央視3·15曝光安卓應用盜用戶信息今年央視“3·15晚會”援引複旦大學的研究結果稱，國內58%的安卓應用存在私自獲取用戶信息行為。對於安卓這樣的開源手機操作系統，開發者可以申請獲得對通訊錄等功能進行修改的權限。安卓的開源性也大大降低了應用開發的門檻，使得市場上的安卓App魚龍混雜。與蘋果的iOS系統相比，安卓更沒有類似“App Store”這樣統一嚴格的App上架把關機制，這讓惡意應用有了可乘之機。報道中，複旦大學對300多款安卓應用軟件進行研究，稱80%多的應用涉嫌私自獲取用戶信息。報道中提到的應用包括高德軟件、大�點評和重慶小面等。報道稱，大多數安卓軟件開發企業和移動互聯網開發公司，在用戶不知情的情況下獲取用戶位置、通訊錄等信息，並將這些信息傳送到自己服務器，甚至是不明的第三方單位。報道援引專家建議稱，用戶儘量不要在手機上使用有網銀功能的軟件，不要把通訊錄寫得太詳細，並時刻注意自己通話費的賬單，發現異樣應提高警惕。美國“棱鏡門”事件曝光“監聽計劃”前中情局（CIA）職員愛德華·斯諾登將兩份絕密資料交給英國 《衛報》和美國《華盛頓郵報》，表明美國國家安全局有一項代號為“棱鏡”的秘密項目，要求電信巨頭威瑞森公司必須每天上交數百萬用戶通話記錄。過去六年間，美國國家安全局和聯邦調查局通過進入微軟、穀歌、蘋果、雅虎等九大網絡巨頭的服務器，監控美國公民的電子郵件、聊天記錄、視頻及照片等秘密資料。棱鏡計劃（PRISM）是一項由美國國家安全局（NSA）自2007年小布什時期起開始實施的絕密電子監聽計劃，該計劃正式名號為“US-984XN”。美國情報機構一直在九家美國互聯網公司中進行數據挖掘工作，從音頻、視頻、圖片、郵件、文檔及連接信息中分析個人的聯繫方式與行動。監控類型有10類：信息電郵、即時消息、視頻、照片、存儲數據、語音聊天、文件傳輸、視頻會議、登錄時間、社交網絡資料的細節，其中包括兩個秘密監視項目，一是監視、監聽民�電話的通話記錄，二是監視民�的網絡活動。2013年7月1日晚，維基解密網站披露，美國“棱鏡門”事件泄密者愛德華·斯諾登(Edward Snowden)在向厄瓜多爾和冰島申請庇護後，又向19個國家尋求政治庇護。從歐洲到拉美，從傳統盟友到合作伙伴，從國家元首通話到日常會議記錄；美國驚人規模的海外監聽計劃在前中情局僱員愛德華·斯諾登的揭露下，有引發美國外交地震的趨勢。2000萬開房信息被泄露，網上瘋狂下載今年10月，一份名為“2000萬開房數據”的資料被網友瘋狂下載。2000萬條數據大範圍泄露，顯示2000萬個受害人包含姓名、身份證號、性別、出生年月日、手機號及註冊郵箱在內的詳細個人信息。所謂“2000萬開房信息”資料有兩個版本，其中一個容量1.7G的2000萬條數據基本指向2000萬個實實在在的個人，每人1條。此外，還有一個容量7G的資料文件，內容更詳盡，會有某人在某酒店幾年裡的所有開房記錄，故數據量更大。“這些資料剛外泄時，就被下載22萬多次，已經很難衡量。”據信息安全從業人員張威介紹，現在網上有400多個種子提供下載。資料泄露呈幾何級發展，傳播範圍已很難預估。記者注意到，在網上，還有網友根據2000萬開房數據做了統計，從開房人的地域、年齡、星座、姓氏等角度分析，將此事當成調侃素材。“網友用來調侃，不法分子就用來做其他事情。”張威擔心地說，“這些數據中包含的個人信息太精確，肯定會被加以分析利用。業內聲音“信息安全可輕易毀 滅愛情和家庭”個人是企業、社會的最小單位，萬丈高樓平地起，個人信息的基本保障如果無法實現，就像是根基不穩的大廈。“高中女生被疑偷竊遭人肉搜索跳樓身亡”，生命在信息安全面前是多麼的脆弱。“女子網查未婚夫開房記錄開房史逼停婚事”，個人信息安全輕易就可以毀滅我們美好的愛情和幸福的家庭。個人信息泄露維權對於普通民�來說確實荊棘載途，但我們不能視而不見、放之任之，更不能氣餒，我們必須提升自身能力，拿出舍我其誰的擔當精神、肩負我們的歷史使命，監督企業個人信息保護實施成效、推動完善國家政策法規建設，匯聚正能量以迎接新時期個人信息安全面臨的前所未有的挑戰。 ——王金龍信息時代不該是全民 在互聯網上“裸奔”時代“美國的精確打擊武器之所以無往不利，是因為對打擊目標的坐標進行了精准定位，當下，越來越多的商家和不法人員開始依靠挖掘個人信息對普通民�進行精准定位，實施精確的犯罪活動，信息時代，不應該是全民在互聯網上裸奔的時代。沒有完善的個人信息保護機制，什麼雲計算、物聯網，什麼大數據，所有新興技術都是忽悠，所有前沿科技就是扯淡，保護個人信息，保衛底褲，爭取公民權益，這是我們在這個時代中必須承擔的歷史使命。”——張威存倉