正逢歲末新初,持續不斷的網路洩密事件震動了中國網際網路界。從csdn密碼洩露開始,到天涯、噹噹、京東、卓越等很多**都不能倖免於難,其中數千萬使用者密碼遭洩露。
在「3w咖啡」與鳳凰網科技合作的「網路洩露門」沙龍上,相關專家認為,此次大規模密碼洩露,暴露出目前我國安全領域存在的問題:國內企業安全意識差,以致黑客盜取密碼成本低。此外,國內相關法律法規的欠缺,也在一定程度上阻礙了企業安全意識的提高。
黑客盜取資訊成本很低
此次密碼洩露事件,規模如此之大前所未有,而受害使用者達千萬,這充分暴露出我國網際網路企業安全意識非常薄弱,而表現出來就是在網路安全上投入很少,給了黑客可乘之機,黑客只要用很低的「攻擊」成本就可以大量獲得非法利益。
「如果乙個**在安全上投入10元,那麼黑客可能需要100塊錢去『破解』,如果投入1萬,那麼黑客的成本就是100萬」,網路安全公司「知道創宇」創始人趙偉表示,目前國內**就是處於投入「10元」的階段。
由此可見,受到黑客攻擊的企業從某方面來說其實是有著不可推卸的責任,趙偉表示,很多企業在建立之初,並沒有意識到「安全維護」這個問題,也沒有給予足夠重視。
除此之外,此次事件發生還有兩個因素,一方面是黑客的趨利化,有利益因素在裡面,同時,網路安全方面的人才匱乏,「黑(黑客)白(安全領域)兩道」的人才博弈也是密碼洩露的原因。騰訊桌面安全事業部高階產品經理張昕表示。
張昕進一步表示,這就需要**培養安全意識,同時應該聽取安全專家的建議,使**安全能夠更進一步。金山安全反病毒工程師李鐵軍也表示,企業間也應該建立完備的安全標準,從根源上解決安全問題。
國內相關法律法規欠缺
密碼洩露事件,除了暴露出**安全意識差,黑客盜取資訊成本低,也反映出我國網際網路資訊保護相關法律法規並不健全。
在討論該問題時,張昕、趙偉、李鐵軍等一致認為,**之所以安全意識差,密碼洩露成本低,也正是和國內個人資訊保護相關立法欠缺有關。在國外,如果使用者的資訊被盜,那麼相關**要承擔更多的責任,使用者可以直接向**索賠損失。而國內則不然,密碼被盜後,相關**只是對網民道歉或者提醒修改密碼,法律並沒有對**洩露密碼的責任做過多規定。
據了解,目前我國很多法律,比如《刑法(修正案七)》、《網際網路資訊服務管理辦法》、《計算機資訊網路國際聯網安全保護管理辦法》等都有涉及個人資訊法律保護的內容。
以《計算機資訊網路國際聯網安全保護管理辦法》為例,其中第二十一條規定,未建立安全保護管理制度的;未採取安全技術保護措施的;未對網路使用者進行安全教育和培訓的……由公安機關責令限期改正,給予警告,有違法所得的,沒收違法所得;……;情節嚴重的,並可以給予六個月以內的停止聯網、停機整頓的處罰……但是其中並未提到使用者因**遭受黑客攻擊密碼洩露,或者使用者因此受到損失,**應該承擔怎麼樣的責任。
同時,在我國司法實踐中,也沒有真正由於密碼洩露**被判罰**相關案例,工信部電信研究院法律專家蔡雄山說,我國目前相關立法中還「存在個人資訊內涵不清晰、個人資訊收集處理程式不完備、 執法手段、處罰措施不足等問題。」
對此,業內人士呼籲,希望國內相關部門出台相關法律法規,先對網際網路企業在安全方面進行約束,比如一定要有相關的基本網路安全方案的才可以註冊,或者一旦使用者因資訊洩密而造成利益損失時,被洩密的網際網路企業要擔責,直接對使用者進行賠付等,希望通過法規要求,從根本上讓網際網路企業能夠重視起網路安全,從而使整個行業的安全水準有很大的提高。
小貼士:
1、應每隔一段時間就定時更換所有密碼。同時,不要在多個**使用同一密碼,
2、在網上註冊的時候應盡可能少地透露自己的個人資料,包括**、住址等
3、設定**密碼時,應至少在8位以上,數字、字母和特殊符號混合,加強密碼強度
windbg除錯 記憶體洩露 不斷上公升
在大型專案中,記憶體洩露並不會立即 crash 會使系統效能不斷下降,甚至因記憶體耗盡而崩潰。排查起來難度也比較大,申請記憶體的地方很多。這裡介紹的這種方法可以迅速定位問題。下面的程式crash64,每秒會申請1m的記憶體,而一直都沒有釋放,產生記憶體洩露 windbg 中有個小工具 umdh可以追...
WhaleCTF之web密碼洩露
whalectf之密碼洩露 前往題目 沒有思路,習慣看一下原始碼,拉到最後,發現有驚喜 這是要讓我密碼爆破嗎?直接把密碼儲存成password.txt,掏出burp來一波爆破 開始爆破 好像是base64加密,拿去base64解密之後 得到290bca70c7dae93db6644fa00b9d83...
微軟系統洩露密碼入侵分析
windows訪問139埠時自動用當前使用者 密碼連線,造成洩露使用者密碼,雖然其密碼是加密的,但一樣可以用來攻擊。下面是smb的密碼認證方式。windows的139口的訪問過程,箭頭表示資料方向 1。客戶端 建立tcp連線 服務端 2。客戶端 客戶端型別 支援的服務方式列表等 服務端 3。客戶端 ...