在互联网领域,网络安全事件的频发,已经成为人们关注的焦点,最近一段时间内,也发了很多重大网络安全事件。
我说的不是类似Heartbleed、BadUSB、Shellshock这种天灾级别的漏洞,面对这类漏洞,普通用户就像面对台风海啸一般,无法抵御。
我想说的是iCloud艳照门,Snapchat艳照门、Yahoo邮箱用户资料泄露以及最新未证实的Dropbox用户资料泄密事件,它们属于人力可挽救的事故。这些公司大多不在中国,但具备一种典型意义。换句话说:讨论它们,也能对国内产生借鉴意义。
你会发现,这些什么门啊、泄密啊,其实都有共通之处。那就是:厂商声明,此事与我们无关,应该都是用户的错。或者弱密码,或者滥用第三方应用,或者直接不知情。
iCloud艳照门,原因评估是因为用户弱密码,通过iCloud上可以用脚本程序反复测试直接获得正确密码;Snapchat艳照门,原因评估是用户在使用一个名为“Snapsave”的第三方应用,这个应用可以保存Snapchat上的“阅后即焚”照片,它的数据库被黑客攻破,从而导致照片泄露;Yahoo邮箱是一起较早的事件,由于对某个漏洞修复不完全,导致黑客的二次利用;Dropbox则还没有更准确的信息。
坦白的说,这些问题就厂商而言,确实直接责任不大(Yahoo的例外)。但对用户轻飘飘一个声明,于情于理都说不过。我以为有更好的做法。
用户端安全机制的增强。
在iCloud艳照门后,苹果为Apple ID开启了两部认证。如此后,每次登陆iCloud除密码外还需要设备验证或者短信验证。这个功能是极好的,但苹果只为美国等少数几个国家开启了这一功能,并且只作为安全项的一个补充项,并不是全局性质的默认推荐。苹果只做一半的做法很显然不合时宜(Washington Post对此也颇有微词),像Google、Alipay、QQ等多家服务型巨头这方面就做的不错,包括“安全设备”、多重验证、令牌环、密码多次输入错误后停止登陆等等,苹果显然还处在这些厂商的早期状态,对此意识不强。
第三方生态安全的增强。
这次的Snapchat事件,是一个第三方应用的问题,据说最近还有几家也遭遇了这个问题。这很是凸显生态安全。我以为,第三方授权安全是绝对需要注意的。来看看QQ的例子,在前两年腾讯下大力气,将国内有名儿的QQ插件全封杀并告知法律风险。这件事虽然有些霸权主义,但很值得做,因为聊天软件不保证安全那是对用户的伤害,当然更大气的做法是做插件生态,这个事儿不多讨论。Snapchat艳照门事件,显然是因为Snapsave通过bug从而拿到更高权限,从而保存了本该本销毁的照片。插件生态的安全性需要时刻警惕,特别还是这类聊天类高敏感的应用。
整体安全的增强。
Yahoo和未证实的Dropbox事件,是因为被入侵从而丢失用户资料。这两家公司,一家太沉闷一家太新,因而没有针对自身安全的漏洞奖励计划(Yahoo Mail泄密发生在2012年末,Yahoo漏洞奖励计划在2013年末发布)。漏洞奖励计划是厂商对自身漏洞发现者给与一定奖励,从而可以最快了解漏洞并修复,这是业内的一种成熟做法:当白帽能从你手中获得收入,黑客就会更难入侵。但在这之外,像苹果、Snapchat这类安全频发的公司也同样没有漏洞,这是非常令人可惜的。 |
