WIXOO

Digest

安全是态度问题?陶然居央视网被黑幕后

作者:饭盒装盒饭 发布时间 10/03/05 来源 太平洋电脑网

  不知你是否认同这样一个观点,安全有时来源于关注,这一点尤其体现在现今这个互联网信息时代。试想,当一件事物越有价值时,我们相应也会越关注它,过高的关注,就会引来足够的资源,进而使事物变得更有价值和更可靠(安全)。缺乏关注会怎样?首先,事物缺乏关注,是其核心缺乏价值的外在表现,缺乏价值使之无法招揽到足够的资源,进而事物将变得更缺乏价值和更不可靠。

  由于工作关系,饭盒经常要去各大门户网站的科技频道逛街,从科技类资讯中,饭盒深深感觉到“躁腾”时代已经到来。躁腾时代不同于折腾时代,如果说折腾时代只属于少数人,那躁腾时代将属于多数人,其景象就像是锅中的玉米粒由于温度渐渐升高,玉米粒正在啪啪的变成爆米花。其实无论是折腾还是躁腾,“导演”手中必须要有一定的资源,在这个互联网时代,躁腾系导演所拥有的资源就是他们手中的电脑和头脑中的学识。我们先来看一下,他们近期都做了些什么。

一些事件

  1、穷人的网站被黑

  两会期间,全国政协委员、陶然居饮食集团董事长严琦“建议关闭社会网吧”的提案引发了争议,就在人们争论之时,陶然居的官方网站被攻破,署名“烟蒂哥”的黑客修改了陶然居的首页,并在修改后的首页上留言称“有洞的补洞,没洞的垒墙,有墙的架好枪,哥我拿大炮轰你”。当饭盒看到这条新闻时,此时,陶然居的网站已经被第二名黑客“光顾”过了,并留下了“哥就像巴黎欧莱雅,你值得拥有”的字样。


陶然居被黑

  有洞的补洞,没洞的垒墙,有墙的架好枪,哥我拿大炮轰你。从这句留言中不难看出,网站的“抗击打性”在民间黑客眼中根本不值一提。

  如果说,提高“抗击打性”是件难以做到的事,那对自己的孩子多几分关注应该不是什么难事。但从陶然居网站被黑一事中我们似乎可以看出一个现象,陶然居对自己的网站似乎并不是那么关心。网站两度被篡改,前后持续12个小时有余,最终的“处理结果”,网站不是被修复,而是变成了无法访问,也许是出于不想将此事闹大这一考虑,让网站off line无疑是最佳做法。

  相关阅读:取缔网吧提案引发网友观点对立 陶然居官网被黑

  2、富人的网站被黑

  2月15日,网友反映中央电视台官方网站间歇性无法登录。最早的一个帖子是18时14分发布的,称央视主页变成了一欧美女子照片,整个事件持续至20时20分钟才被完全修复。许多网友将这一事件与前天播出的春晚联系在一起,认为这是黑客对央视在晚会中过多地植入广告的行为发泄不满。


央视被黑

  央视官网最近的另外一次被黑是在1月30日12时左右,据报道,央视视频互动平台的“星播客”频道突然贴出了一些内容不健康的视频,直到14时才被删除。

  穷人的网站抗击打能力不强还有情可原,毕竟资源有限,建站养站花的是自己用血汗换来的银子,但央视也频频被人攻破就有些让人不解了。据传说,刘谦在春晚上那一口汇源果汁价值6000万,而且是央视“免费”请刘谦喝的。不知,用6000万垒堵墙能难倒多少黑客。

  饭盒前不久有幸参加了一家全球顶级安全厂商的联谊会,会上厂家打趣的说:“我们怎么没有竞争对手呢?”话说的虽然有些自夸,但基本上没错。不知他们与央视有没有合作,不知央视对CCTV.COM这个娃关爱几分。这家全球无敌手的安全公司是谁?如果你有中国银行的电子银行动态口令牌,看一下那个Token的背面。

  相关阅读:央视官网被黑两小时 疑春晚植入广告引不满

事件的背后

  网站被黑只是表面现象,之所以显得弱不禁风是因为后台安防工作不到位。

  1、饭盒并没有维护过WEB服务器,但饭盒可以用亲身经历从另一个角度来讲一讲网络维护——一般企业如何应对潜在的IT安全威胁。数年前,饭盒在一家公司做网管,公司规模并不小,在全国应该有50家左右大卖场,外资企业,CXO们写邮件一律E文,当然这不是一家IT类的公司,但IT最大的老板是VP,所以我们有理由相信,这样的企业在IT日常运营,应对IT突发事件上是有系统化方案的。但现实呢?现实往往是山寨式的解决方案。

  故事发生在分公司网管L离职后的某一天,总部IT发出通知:“INTERNET代理服务器需关闭2日,以进行升级维护,其间无法访问INTERNET,给您的工作带来不便,望您理解……”。这是发给公司内所有用户的公示邮件,当然其中另有隐情。分公司IT随后就接到了来自总部的电话,因为大家都比较熟悉所以就有话直说了——总公司收到一封恶意邮件,有人称因为对公司的一些事情不满,要采取报复行为,从邮件中可以看出是要对系统方面进行攻击。这时大家都认为是L发的这封邮件,虽然没有任何证据,总部希望分公司IT提高警惕,多留意L。

  公司有没有完善的方案应对这类事情呢?答案是没有。那我们该如何做?我们只好坐在机房中对L进行“人肉”看护,直到L离开。看似滑稽做法,但至少我们还可以做些什么,但在有些事情上,进行“人肉”看护都是做不到的,比如密码管理。大一些的公司会有多套应用系统,有些应用的密码是不可以随意修改的,正所谓牵一发而动全身,试想,一个离职的网管依然知道收款机的ROOT密码,这时的安全就只能寄托于当事人的人品了。

  相关阅读:尴尬一二事 亲历中小企业机房管理

  2、饭盒曾有机会与一名地方政府网站的站长聊过一些关于网站安全方面的事。他并非搞技术出身,仅是接手维护当前的WEB服务器。他的最大烦恼就是网站总被挂马,甚至在GOOGLE的搜索结果中已经给出了提示。反复被挂马相信是很多站长心中的痛。我问他,为什么不去租IDC空间呢?他给出的理由有很多,他始终倾向于买一台新的服务器来独自管理,而饭盒则是强烈建议他去租用IDC的主机。管理分散、缺乏系统化流程标准、技术支持人员本身的问题等等,这可能正是网站安全处境的写照。


IT门户也会被黑

  相关阅读:政府、高校网站成微软视频漏洞攻击“重灾区”

背后的背后

  1、为什么我们的政府、学校、企业等网站的“抗击打性”如此脆弱呢?

  原因之一可能是重视程度不足。东家觉得网站可有可无,有些网站给人的感觉就是在应付作业,在其上找不到任何有价值的信息。当网友打开这样的网站时会如何?猜也猜得出,大呼上当,下回再也不来了,真要有事,还不如直接打电话来得方便。这样一来二去,一些网站直就成了种草的地方,做安全维护是要花银子的,花钱种草吗?东家自然不会准备这项预算。

  中国社科院日前发布了《中国地方政府透明度年度报告(2009年)》,报告称对中国43个省会城市和较大市的政府门户网站集中调查发现,半数以上网站不合格。部分网站只重形式不重内容,栏目空置。有的网站提供的信息陈旧错误,如电话号码、电子邮箱地址有误。

  相关阅读:中国地方政府透明度年度报告(2009年)

  2、精确到秒的政府开销计算器


精确到秒的政府开销计算器

  如果想知道美国德州政府是如何花钱的,上网查询无疑是最便捷的方式。在“开销计算器”页面的右侧有一个飞快增长的数字,数字下面有一段话:“德州政府花您的钱有多快呢?”事实上这个计算器仅仅是根据这个财年德州政府的预算计算而成,例如2008—2009财年德州政府预算是1678亿,如此换算下来,每秒钟政府就要花掉纳税人2664美元。而到了2009—2010财年,政府每秒钟会多花纳税人226.49美元。这些网站精心呈现的数字,旨在提醒大家,政府每秒钟要花我们这么多钱呢,所以有何理由不关心预算呢。

  看来,人们的安全意识与网站价值成正比,结合中国社科院发布的《中国地方政府透明度年度报告(2009年)》这份报告来看,网站为何会长草,黑客为什么能轻易攻破服务器,一下子就明白了。

题外话:背后的背后的背后

  当,你的月收入-(这税+那税+上班车费+房租+按揭还款+吃+喝+拉+撒+手机费+上网费+3G资费+衬衫+仔裤+皮鞋+电费+水费+闭路电视费+请客吃饭费+朋友结婚分钱+朋友孩子满月分钱+回家火车票钱+串门红包钱+零食费+偶尔打车费+医药费+孩子上学费+孩子补习班费+老婆生日买礼物+父母赡养费+父母的药费+孩子的奶粉费+治三聚氰病费+孩子感冒发烧费+孩子需要上网交作业的买电脑钱+电脑中毒之后的修理费+等+等等)=到手中所剩有几?时,不知你还有没有精力去思考,有没有能力去审美,有没有心情关心一些身边的事,比如今天我们聊到的网站安全。

  网站安全是需要成本的,关注本身也是需要成本的,安全除了需要花费真金白银去垒墙,还需要每一个使用互联网的人给予关注,当然更需要网站由“种草”的地方变为“种树”的地方。当一件事物自身具有了价值以后,关注-->资源-->持续完善,才会形成这样一个良性的循环。同事说,安全有时是个态度问题。