保护《传奇》密码

作者:三联生活周刊

(文 / 雷静)

保护《传奇》密码0

(漫画:郑非)

轻而易举的盗窃

1月15日晚7点30分,在上海浦东浦项商务广场14层的盛大网络公司,高层仍在讨论4天前的用户密码失窃案。市场总监瞿海滨告诉记者:“我们现在最担心的是,这对公司商誉的影响到底会有多大?”换句话说——不知道有多少用户会因此事件而流失。

盛大员工11日下午4时许发现,公司运营的网络游戏《传奇》用户ID和密码,被人盗取后公布在西陆等知名网站上。“总共公布的有上百万份用户资料,经过紧急核实,大部分是错误或过时数据,但的确有一部分是真实的。”瞿海滨说。

《传奇》是由盛大网络去年从韩国引进并开始运营的一款收费商业游戏,用户可以自由选择在《传奇》提供的任何一组服务器上,扮演一个游戏中的英雄角色,和来自全国各地的数百万用户展开互动游戏。一个前提是,每位用户每月都要支付至少35元使用费。

用户资料失窃对盛大网络来说并不突然。“去年12月20日公司在进行安全巡检时,在一台服务器上发现利用系统缺陷植入的黑客木马程序,当即将其删除。”瞿海滨说,“从这开始直到今年1月4日,又陆续在多组服务器中发现木马程序,技术小组作了相应处理并开始查核,但没想到对方还是盗取了部分资料并公布出来。”

事发后,盛大网络当即在各大网站发布紧急通告——提请《传奇》用户迅速更改自己密码。在向上海市公安局报案后,公司拿出30万元交给律师事务所奖励线索提供者,“一天不捉此贼,一天不收回此奖金!”。

按瞿海滨的说法,真正受影响——密码已被他人修改或角色丢失的用户并不多,但作为道歉和补偿措施,盛大网络决定从1月14日起的一周内,对所有用户免费。按每月35元费用计算,对每位用户免费一周要少收8.5元。“《传奇》目前同时在线用户数已超过10万,注册用户数突破250万人。”瞿海滨说,即使只有100万用户来享受这一优惠的话,公司要因此少收入850万元。

尽管如此,盗窃事件也足以引起人们对盛大网络管理能力的质疑。瞿海滨对此解释说:入侵时间是在去年12月底,刚好是公司服务随用户人数激增而扩张最厉害的时候。“《传奇》服务器采用分布式架设方法,300余台服务器分布在国内10个城市,这种结构有效提高了用户游戏质量,的确也给服务器技术管理和安全管理带来了很大困难。”

中国红客联盟的核心成员吴威(化名)接受采访时也指出:“服务器分散,再加上网管水平不高,攻击应该说不会是太难。”

网络无安全

让瞿海滨觉得难以接受的是,事发后他们了解到,业界很多公司都发生过类似情况,“但出事后闷声不响,减少自己在经济和名誉上的损失,这实际上纵容了网络上的攻击行为,增加了业界反攻击的成本”。

红客联盟的吴威也比较认同他的观点:“互联网上这种大大小小的攻击很常见。”他列举的一个事实是,去年中美黑客大战期间,红客联盟曾用一个通宵扫描国内一些网站,发现绝大多数都存在安全漏洞,“包括现在很红火的一些门户网站”。

“媒体对黑客的报道出神入化,使一些学生甚至高中生、初中生都梦想成为黑客,一些有漏洞的网站便成了他们的‘试验品’,有人也是纯粹为了获取攻击成功后的那种快感。”吴威在谈及网上攻击的目的时特别提到一点——“真正的高手在行动时,不会没有任何经济上的目的。《传奇》就不排除这种情况。”瞿海滨在接受采访时也说,游戏行业竞争激烈,这次攻击不排除“报复或者受某种商业利用指使”。

“90%以上的互联网存在严重漏洞。”刘恒博士对此说得更为直接。刘从1988年开始关注网络安全问题,现为北京启明星辰信息技术有限公司技术总监。与此相关的是,1月16日,中国互联网络信息中心发布的一份报告显示,有63%用户在过去一年内遭遇过计算机被入侵的情况,对网络安全状况表示不满的用户有1/4。

一位自称是黑客的计算机专业人员甚至告诉记者:“攻击者可以像别人偷拍璩美凤的私生活一样监视你在网上操作,如果他愿意这样做的话。”事实上这并不夸张,在网泰金安信息技术有限公司,技术总监王献冰给记者演示的结果是:在不到一分钟时间的操作后,若干个OICQ号码和密码就源源不断地进入他指定的邮箱内。“这只是最基本的,稍懂一些专业技巧的人就可以完成。”一直从事网络安全研究的王献冰说。

2001年由国家有关部门出版的《国家信息安全报告》,曾将信息安全度从1分到9分共分为9个等级,其间对中国信息安全的打分是5.5分——介于相对安全和轻度不安全之间。“我认为过于乐观。”刘恒说,“这种评价很有些瞎子摸象的味道——你摸到的只是一个部分、一个领域,并不能代表总体情况。”对网络安全讨论,刘恒认为已经“没有太大意义”,证券业、银行业、电信业、电子商务、电子政务等领域的信息安全隐患,与用户切身利益的联系更加密切。

“就在前几天,我还为一些证券界人士演示过针对证券系统网络漏洞可能进行的攻击,有人看完后完全是目瞪口呆。”在金融、证券、电信等多个领域做过信息安全服务的刘恒说,“网上交易时个人的信用卡账号和密码,每个商家的信息数据,一些政府的资料都在网上传递,完全有可能被截获。”

与此相关的一则报道是,去年9月,北京、广州等地连续发生多起盗买银广厦股票案。仅以受害者杜先生为例,其股票账户上的爱建股份12000股和华东医药10000股,在毫不知情的情况下,被同时分两笔盗买为17000股的银广夏,成交价格为22.45元,直接经济损失达30万元左右。有中科院、公安部等机构专家参加的一次研讨会认为,股民账户密码被人盗用是事件发生的主要原因之一。

意识与人才的缺乏

“应该说,国内网络安全公司在技术上是有保障的,问题在于人们的意识。”刘恒说。吴威则告诉记者:他们平常在扫描发现一些网站的安全漏洞后,经常会以个人或者联盟的名义提醒对方,“但实际上效果不太明显,很多网站意识不到,并不会理会这些。”

“有些是根本不知道安全的重要性,有些是知道重要但又舍不得投入。”网泰金安的技术总监王献冰说,在此前的工作接触中,他曾经了解到一家银行因为网络安全问题失窃几百万元,另一家政府部门在网络数据传输时被人截获。“亡羊可以但一定要补牢,但事实上有些并没有真正做到这一点。网络安全是动态的、长期的,不能说你今天买了防火墙就能确保永远不出问题。”刘恒对此的另一个表述是:“网络安全不是有没有的问题,而是一个过程。”

从用户角度,网民对网络安全的重视程度也并不乐观。刚刚公布的互联网发展状况统计报告显示,有8.5%的用户对安全措施不清楚或什么措施都不采用,有54%的电子邮箱用户从来不换密码。

“从另一个角度看,现在病毒频繁也可能是一件好事。”吴威说:“这样可以提醒大家渐渐认识到网络安全的重要性。”当然,对安全的重视可能会意味着投入的增加,业界的一项统计说,在美国网络安全费用占网络工程总费用的20%,而在目前的中国,这个数字在1%以下。

网络专家、中科院高能所许榕生研究员指出:“网络安全的攻与守完全是高素质人才的对抗。”业界普遍流传的一个数据是,国内现有信息安全专业人才在3000人左右,并不能满足需要。因此,很多大型网络系统的管理员只是刚刚毕业的计算机专业学生。《传奇》用户资料被窃事件发生后,也有网友对各服务器管理员素质提出质疑,盛大网络公司对此公布的一个数据是:在《传奇》运营三个月的时间里,已先后解雇11名服务器管理员,显然这与他们的素质有关。

另一个与人才有关的事实是,在现在的多数网络安全公司雇员中,有相当一部分来自民间黑客。“目前从事信息安全工作的,95%以上都是自己摸索然后才转入这一领域的。”王献冰说,“以前主要是人才来源匮乏,好在一些大学从去年起已陆续开设了信息安全专业,这一矛盾有望得到缓解。”

刘恒提供的一则美国的报道说,在整个21世纪最炙手可热的职业中,网络安全专家排在第一位。“在中国,真正称得上是安全专家的人少之又少。”刘恒说,如果将这方面的从业者分为ABCDE五个等级的话,多数人都处在CDE这底三层,“成为一名真正的安全专家,不仅要有知识、技术,更需要经历。”