Menu
赛尔号卡丹dafa
略偻官海洋之神590微信充值疗鞍叭阜詹啦炎苫澳门百老汇娱乐场地址_闹裙惫偕
密,安全性能才会有所提升。尽管通过“彩虹表”碰撞等方法不存在破解不了的情况,但至少会大大增加破解的成本和时间,降低数据库对黑客的吸引力。乌云平台撰文称,最好的安全应该是自始至终就有人为安全负责,将安全落实到公司的流程制度规范以及基础技术架构里去,形成完善的安全体系,并且持续更新迭代,“如果以前没有这方面制度,就从现在开始建设;如果没有团队,就可以先找一些公司或者外部顾问。但是记住,不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链”。黑色产业链有人负责发掘漏洞,有人负责根据漏洞开发利用工具,有人负责漏洞利用工具的销售,有人负责刷库,有人负责洗库,有人负责销售,还有人利用数据库钓鱼、诈骗、发送垃圾邮件大规模的泄密事件,也使得互联网江湖中最为隐秘的黑色产业链再度引人关注。“熊猫烧香”病毒让公众知道了病毒黑色产业链,而此次的泄密事件则指向了数据交易的黑色产业链。马杰告诉财新《新世纪》记者,最近几年,“黑帽子”黑客圈内的盈利模式发生了一些变化。最早是“挂马”比较挣钱,通过发现漏洞SQL注入,然后想办法获得网站权限,在网页上挂上木马程序,中了木马程序的机器就成为“肉鸡”,通过木马控制“肉鸡”来赚钱。比如说盗号、弹窗、导流量等。“早几年木马猖獗的时候,一个服务器能控制几万台的‘肉鸡’。即使只是IE自动跳转到某一页面,每年也能带来可观的流量和收入。”李铁军说,还有黑客利用系统漏洞和木马进行“钓鱼诈骗”,从个人客户一端入侵网银系统,进行非法转账等。后来,“挂马”和“钓鱼”被各大安全公司打击得非常厉害,特别是免费杀毒软件在个人终端的普及。而这个时候,地下黑客发现,刷库是个更快、更直接的赚钱方法。最近几年,围绕数据交易的黑色产业链正在逐步形成。在地下黑客圈内,一些大型网站的数据库被明码标价,一个数据库整个端下来,价值数百万元到上千万元不等。拖库成功后,到手的数据库可以有很多用途,比如直接卖给被刷库网站的竞争对手。黑客还可以利用部分互联网用户“多家网站一个用户名一个密码”的习惯,去试探别的网站数据库。这叫“撞库”,技术上也很容易实现,只需要编写一个脚本,自动不断用已盗取数据库里的信息去请求登录。由于都是正常请求,被撞的网站也很难防范,所以也会有网站“躺着中枪”。安全业内人士称,刷库之后,黑客拿着数据库去“撞”有虚拟币系统的游戏网站、腾讯,以及网上银行、支付宝及电子商务网站,都是必然会发生的事情。如果撞到了重合用户,将其账号内虚拟资产、网银洗劫一空都是再自然不过了。经过多次倒卖和“洗库”之后,数据库还能被卖给价值链的末梢买家——利用账号信息来发送广告、垃圾邮件、垃圾短信的推销公司。通常情况下,数据库的价格越卖越便宜,流传的范围也就越广,距离曝光也就越近。而在整条黑色产业链中,分工也比较明确。最核心和最难的是发掘漏洞,这对技术的要求最高,能发掘漏洞的黑客也比较少。吕延辉介绍,在地下黑客中,有人专门负责发掘漏洞,有人专门负责根据漏洞开发利用工具,有人负责漏洞利用工具的销售,有人负责刷库,有人负责洗库,有人负责数据库的销售,最后端,还有人利用数据库钓鱼、诈骗、发送垃圾邮件。有网络安全人士估算,目前互联网的地下黑色产业链规模已经达到上千亿元,而安全行业的规模目前还只有几百亿元,“就像毒品的市场规模反而大于麻醉药的市场规模”。失能的法律防火墙周汉华表示,“当网站的资料和个人信息紧密相连,安全却没有保障,这种情况下,实名制是相当危险的”刘辉判断,这次泄密事件将注定会是互联网发展历史上一件大事。一方面是对互联网业务发展模式的影响;另一方面,则是互联网行业安全规范机制的建立已势在必行。“短期内,互联网行业的发展会受到一定的影响。”刘辉说,例如近两年兴起的云计算服务,现在提供云服务的互联网公司必须要重新建立用户的信息,并说服用户上传至云端的资料是安全的。要说服用户,就需要相应的安全承诺及安全认证机制。蒋涛也表示,这次泄密事件相当于给整个互联网业上了一课。“CSDN也是专业的IT社区平台,我们会利用这个平台来加强安全的教育和普及,提升互联网行业的安全意识。”他说,除了加强自身的安全性,这是CSDN在2012年要去做的重要事情,“互联网上各大网站的关联度越来越高,安全已经不是一家两家的问题,而是全行业的问题”。在全世界,身份的盗用和密码的泄露每天都会出现,但与发达国家不同的是,这次密码泄露事件发生后,各方几乎束手无策。“大家都不知道怎么去保护自己的权利,大家就只能看着发生,等着下一次什么时候发生。”中国社会科学院研究员周汉华对财新《新世纪》记者说,“我们的问题是没有有效的管理手段,没有可以适用的法律。”在亚太网络法律研究中心主任刘德良教授看来,个人信息在网络时代越来越具有商业价值,这也是目前非法收集、加工、买卖和商业性滥用个人信息行为日益泛滥的内在驱动力。针对如此严重的网络的个人信息安全威胁,法律的“防火墙”为何失能以及如何重构,成为一个急需解决的问题。上海一位经侦人员对财新《新世纪》记者介绍,他们曾经侦办过一个利用个人信息实施犯罪的案子。有人发现几百万元银行存款莫名消失,于是报案。此案涉及几百万条的车主信息数据库,这些信息有黑客攻击得到的,也有银行、保险业的内部人泄露出来的。犯罪分子的作案手法是,通过内部泄露或者黑客攻击得到包括车主姓名和身份证号码的用户信息库,找银行的人查开户信息,这个行话叫“包行”,几百块就能做。得到卡号后,然后猜密码,利用黑客软件和银行卡进行比对。从刑事法律来看,2009年《刑法》修正案增加了“非法侵入计算机信息系统罪”的条款,“违反国家规定,侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。同年,全国人大常委会还出台《侵权责任法》,规定网络服务提供者和网络用户利用网络侵害他人民事权益的,应当承担侵权责任;网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。2000年,全国人大常委会又专门制定了《关于维护互联网安全的决定》,重申各种互联网违法的刑事责任和民事责任。在行政监管层面,除了国务院在1994年制定的《计算机信息系统安全保护条例》,作为全国计算机系统安全保护工作主管部门的公安部,也制定了《信息安全等级保护管理办法》以及《计算机信息系统安全保护等级划分准则》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评要求》等30多个标准。多重的法律规定,为何实施效果不佳?周汉华认为,《刑法》的适用门槛比较高,需要“违反国家规定”和“情节严重”的条件,何况这两个条件目前都缺乏相应的标准。而《侵权责任法》的适用,在网络环境下,当事人举证非常困难,而且存在成本投入和收益不对称的情况。周汉华认为,《刑法》和《侵权责任法》都属于事后救济,在网络时代,由于损害的发生是系统性的、不可复原的,所以对网络安全以及个人信息进行全流程的监管才更为有效。目前对于这种全流程的监管,中国既缺乏专门的法律,也没有专门的执法机关,搜集个人资料的企业所应承担的相应的安全责任以及相应的信息流管理行为规范都缺失。“这就是为什么要制定《个人信息保护法》的原因。”周汉华称。据财新《新世纪》记者了解,早在2003年之时,周汉华曾经受当时的国务院信息化办公室委托,主持《个人信息保护法》的立法研究,并且在2005年形成了一份专家意见稿。但时隔多年,这部法律的立法工作迟迟未被启动。刘德良教授认为,在当前中国的法律框架下,把个人信息都纳入人格权的范畴,而不承认个人信息的商业价值也是个人的财产;人格权受到侵害后,原则上也不能要求财产损害赔偿。因此他提出,对于个人信息的法律保护,应该包括隐私上的人格利益和个人信息的商业价值这双方面,将个人信息的商业价值视为个人的财产,未经允许擅自收集和商业性利用个人隐私,既是一种侵犯人格权的行为,也是一种侵害财产权的行为。财新《新世纪》记者张宇哲对此文亦有贡献致命的漏洞2011年的最后一周,风声鹤唳、人人自危,改密码改到手软,从社交网站、门户网站乃至电子商务网站,其庞大的客户信息数据库都在黑客面前不堪一击。这只是黑客产业链的冰山一角。现在所公布出来的数据库,也只是被几乎榨干了所有价值的过期数据库,无从得知哪些更重要的信息已经被黑客掌握。网络虚拟世界与现实世界的界限正在模糊,当虚拟空间能够体现越来越多现实世界利益时,虚拟世界中的漏洞,就成为黑客攫取价值的源泉。拖库攻击专门针对网站数据库中的账户进行窃取,可以追溯到2001年。从事数据库安全服务的安恒信息技术有限公司(下称安恒信息)一位技术负责人介绍,随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏账号攻击的逐步兴起,并发展成庞大的虚拟资产交易市场。这种针对数据库记录的窃取,被一些攻击者称为“拖库”。在成为黑客专有名词之前,拖库(Drag)一词多用于数据库程序员从数据库导出数据。如今,“要致富,先拖库”已经成为黑客圈内的流行语。2004年-2007年,相对于通过木马传播方式获得的用户数据,攻击者采用入侵目标信息系统获得数据库信息,其针对性与攻击效率都有显著提高。在巨额利益驱动下,网络游戏服务端成为黑客“拖库”的主要目标。2008年-2009年,国内信息安全立法和追踪手段升级,攻击者针对中国境内网络游戏的攻击日趋收敛,残余攻击者的操作手法愈加精细和隐蔽,攻击目标也随着电子交易系统的发展扩散至电子商务、彩票、境外赌博等主题网站,并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业价值,成为攻击者的“拖库”的目标。2010年,攻防双方经历了多年的博弈,通过收集分析管理员、用户信息等一系列被称作“社会工程学”手段的攻击效果被广大黑客认可。由于获得更多的用户信息数据有利于提高攻击的实际效率,攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站,并在地下建立起“人肉搜索库”,只要获知某用户常用ID或电子邮件,可以直接搜索出其密码或常用密码密文。一家国际安全公司中国区总裁对财新《新世纪》记者说,天涯、人人网这类站点的账号信息主要通过后台庞大的数据库进行存储,通过前台页面交互和数据库接口进行数据访问。由于信息需要通过网络传输,到达操作系统中的数据库文件,因此在传输、调用和存储等环节都会被黑客利用。防不胜防各大网站为自己设置的保护方式包括防火墙、杀毒软件以及入侵预防系统,但黑客依然如入无人之境。传统的网络安全设备对于应用层的攻击防范,作用十分有限。防火墙的工作方式,是根据数据包的IP地址或服务端口(Ports)过滤数据包,而不会深入数据包检查内容。因此,它对于利用合法网址和端口却从事破坏的活动无能为力。每种攻击代码都具有只属于它自己的特征,病毒之间通过各自不同的特征互相区别,同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒,但这意味着它无法应对新“研发”出来的病毒。作为防火墙和杀毒软件的补充,入侵侦查系统(Intrusion Detection System,IDS)或入侵预防系统(Intrusion Prevention System,IPS),可以同时结合考虑应用程序或网路传输中的异常情况,来辅助识别入侵和攻击。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据。以前在网络安全公司做技术负责人、现在一家证券公司做IT维护主管的邬晓磊告诉财新《新世纪》记者,一般来说,网站都要加防火墙和检测设备,但是光设备也不一定完全有用,还要看服务器中的设置是否有问题,应用程序上是否有漏洞。服务器漏洞多数是操作系统本身的问题,应用程序的漏洞则是编程严谨性的问题。他认为,程序员写程序以完成功能为主,一般不会太注意安全性。由于Web应用的登录入口表明了与用户数据表之间的关联性,通过入侵Web网站获得数据库信息,是针对网站数据库攻击的主要入手点。常见的攻击手法包括,寻找目标网站程序中存在的SQL注入、非法上传、后台管理权限等漏洞。这些漏洞均是应用层或者说是代理层面的安全问题。如果程序员在编
星际争霸2合作任务dafa
赛尔号泰拉图斯dafa
www.dafa.nwt
西普大陆尼德霍格dafa
dafa888sc
赛尔号泰拉图斯dafa
www.dafa.nwt
西普大陆尼德霍格dafa
dafa888sc