标签归档:网络安全

黑客称破解Skype源代码发现植入后门监控通信

最近Skype麻烦不断,先被报道出现文字信息发送给第三方不相关联系人,Skype技术部门承认了这个问题,并表示下一版本升级后,软件bug会得到解决。

接着Skype被报道出现比“文字信息偶尔出错”更严重的问题:Skype源代码可能遭黑客破译并已经以BT方式公开下载,让人不安的事情是据称在代码中发现Skype被微软植入了软件后门,用于政府部门监控跟踪Skype通信。早在2008年,来自奥地利的相关政府人员也曾经表示过:监听Skype的通话并不困难。

这一切发生在Skype被微软以85亿美元收购以后,不能不让用户对Skype在保护隐私方面产生担忧。事实上,微软收购Skype以后,Skype已经就不再是以前的Skype了:对Linux平台的投入不像以前那么勤快——虽然还未放弃;微软托管Linux服务器充当Skype超级节点使Skype变得越来越中心化——Skype私有P2P去中心化通信原理是保证信息隐私和通信质量稳定的核心技术。

由于Skype网络电话的跨平台性、价格适中、通信质量稳定、通信安全保障,一直以来是我最喜欢的网络电话软件——没有之一。而最近Skype发生这两件隐私方面的严重问题,让我对Skype开始持保留态度。

继去年国内的CSDN密码门事件,到前不久又美国yahoo的密码漏泄事件,再到最近Skype的沦陷,网络隐私和安全早已变成一个政策和技术等多方面的问题,Tom-Skype式的问题也不仅仅是中国独有的现象。

老祖宗的那句话固然正确:“若要人不知,除非己莫为”,可是如果在网络上没有任何隐私可言,难道不像是在洗澡的时候被人偷窥吗?

密码门泄漏内幕分析与个人应对措施

事件回顾

想必稍微关注互联网的朋友都知道了最近的国内密码门泄漏事件。最初是程序人员经常使用的CSDN网站被黑客公布600万用户名和密码,而且这些密码都是明文存储!这种玩技术的被技术玩的事情有如接生婆把自己家媳妇接生坏了的感觉。

紧接着,多玩网、7K7K、人人网、178、猫扑等网站也疑似“不幸”中招,直至这两天又有国内最著名的天涯论坛4000万用户密码泄漏,达到网上用户信息密码泄漏的新高潮,目前甚至一度传闻新浪微博的用户密码和京东用户信息也遭泄露。

从这一系列的密码门泄漏事件可以预料,精彩绝非到此为止,土木坛子甚至估计将来某一天,新浪微博、腾讯微博、淘宝等账户都可能将遭泄密,正如”不要相信免费”的真理一样:”互联网上没有秘密”,尤其是天朝这块神奇的土地上更是如此。

内幕分析

从这次一系列泄漏事件事件的特点看,显然是一次有组织的活动:都是大型网站说被黑客攻击,事后都说是2009年前采用明文存储。泄密事件真是如此简单吗?其中没有内幕吗?

如果单从技术上来看,大型网站在2009年还采用明文存储密码信息显然不合常理,何况第一个被黑的网站是“专业”的程序员网站CSDN,这只能说明,肯定不是技术方面的事,很可能有政策监管方面的问题,虽然也不能排除网站建设人员另有所图的可能。

有网友透露:“2010年初,某部门要求各大网站上交用户明文密码库,以方便监控国内用户在墙外网站的帐号,谷歌拒绝。之后某部门开始使用明文密码库扫描Gmail,被谷歌发现,随即决定退出中国。随后谷歌迅速部署并面向普通用户推出了Authenticator两步验证。”这条信息的真实性自然难以考证,但即便是阴谋论也并不是毫无道理。

而泄漏的密码选择在这个时候爆出来,并且是分批次地公布,显然另有所图,为什么不在当初2009年左右就公布呢?而选在2011年底,难道真的2012要来临了?密码泄露,可以得出一个最显著的结论:国内各大网站保不住用户信息——无论它是如何宣称自己的技术有多么国际领先。

而最近各地的微博客网站正在逐步推进实名制,一想到这次大规模泄密事件,谁还有信心去进行微博实名认证呢?新浪和腾讯微博真的能保护住用户的信息吗?就算这些运营商想保住,其它神秘力量会不加“指导”吗?因此从这些泄密事件的动机,不难让人联想到与微博实名认证的关系。

事件影响

原来的360和腾讯的隐私之战,还只是两个公司之间的事,而现在更多幕后的东西正在浮现,让网民们不得不相信这一不愿意接受的事实:天朝的网络中没有用户隐私而言,不是技术的原因,而是某些神秘力量的原因。

另一方面,国内的互联网从业者,将来可能面临更大的生存压力。至少能放心使用国内网络服务的人还会有那么多吗?正如有网友在Google+上表示:“这次国内网站大规模的密码库泄漏让我非常深刻的明白一件事,那就是任何墙内的东东都是不靠谱的,不管是不是最技术雄厚的公司,还是小团队。只要是围墙里的就不会有绝对的信任。”

应对措施

如何知道自己的用户信息和密码是不是遭泄漏?借助已公开的数据库,众多技术人士已经做出了在线的查询方式,例如:查询1查询2,……查出来中招的結果也不必慌张:“出来混,迟早要还的”。无论密码是否已遭泄漏,作为一名普通网民,都应对此事件采取措施,亡羊补牢,为时不晚。

虽然我个人曾经在人人网上回复我的朋友:“我不怎么使用国内的网络服务”,我也对我的朋友表示过:“我不怎么用QQ”,但对大多数人来讲,完全不使用国内的网络服务毕竟不太现实,那如何应对这种复杂的网络环境呢?如何保护住自己那赖以生存的密码呢?关于此类问题,月光博客的个人密码安全策略和白板报的怎样上网才安全等众多优秀博文都做了非常好的总结,总的原则即:对密码进行分级设置管理。

在这里强调补充两点:

  • 一定要将国内网络服务和国外网络服务的密码分开设置;
  • 最高级别最重要的邮箱使用Gmail,虽然并无绝对保险的密码和网络服务,但Google相对值得信赖,事实胜于雄辩。

我们不想做坏人,可是有人想拿我们的个人信息做坏事。我们都立志做一介良民,这与个人信息和隐私权神圣不可侵犯并不矛盾。