多家网站陷入“泄密门” 黑客自曝入侵过程

　　抢速度后遗症

　　安天实验室首席技术架构师肖新光表示，眼下网络泄密的根本原因，从根本上看是过去10年，互联网开发抢速度的后遗症。“互联网一定程度上是以速度生存的，而安全上考虑更多无疑会影响开发的效率和进度，也可能会影响用户的操作体验。因此，国内应用开发脱离安全发展，对安全欠账较多。但未来的10年，安全性将是互联网企业的生存支点之一，这些欠账是需要陆续补上的。”

　　根据安天实验室普查的情况，国内网站账户信息使用明文存放、标准MD5存放的比率是比较高的，而这些方法都是不科学的。黑客杨先生就表示，采用明文保存密码是用户信息泄露的关键，但即使是采用标准MD5进行加密存储，也可以通过彩虹表碰撞，进行破解。

　　肖新光建议，网站可以通过制定整体权限和数据访问的策略;及时安装应用和补丁;提升应用的编码质量，提升对SQL注入的防范;还可将应用服务和数据库服务器分开，将数据库服务器配置为只有需要访问库的应用和管理才能访问。“加强网站安全有很多的策略和方法，但很多需要较大的成本，这并不是大部分国内网站所能承受的。”肖新光补充道。

　　此次泄密风波中，被广泛提及的“明文保存”，正是早年不少商业网站出于方便操作、节省成本而采用的储存方法。

　　此前，工业和信息化部已经就此次事件发布通告，对窃取和泄露用户信息表示强烈谴责。工信部表示，立即启动应急预案，组织相关通信管理局、国家计算机网络应急技术处理协调中心(CNCERT)、网络安全专家和部分互联网企业，了解核实事件情况，评估事件影响和危害，研究提出应对措施。肖新光提醒，目前网络上出现的泄密信息有效性仍需考证，要以管理部门的统计为准。“但里面确实有消息是不可靠的，有些所谓的数据库是一些用于骗P2P分数、甚至推广自身软件的假库。”

[编辑：lamzhe]