韓國網路實名制：資訊安全難保 廢除呼聲高漲

韓國是世界上互聯網服務最發達的國家之一，率先實施了網路實名制。然而隨著公眾對個人資訊安全的憂慮不斷上升，網路實名制是否合理也成了當地社會一個熱點話題，政府方面在公眾輿論壓力下已開始重新審視這一互聯網管理制度的存廢問題。

網路實名制在某種程度上，確實有利於減少欺詐、誹謗、人身攻擊等惡性事件的發生。韓國當局為具體實施這一制度，還專門設立了倫理委員會等專門的執法部門，它們可根據網上侵權行為的記錄進行責任認定和查處。有了良好的網路環境，韓國不但能更好地發展互聯網產業，與互聯網相關的一些社會問題也得到遏制。

　　然而，針對這一制度的反對聲也一直存在。事實上，韓國實行網路實名制5年來，雖然有效遏制了部分惡性網路事件的發生，但並未真正大幅減少網路上的辱駡性跟帖。國立首爾大學的一項統計表明，實名制實施以來，韓國網路上的辱駡性跟帖數量僅減少了兩個百分點。因此，反對者認為，為了這點“微不足道”的成績，韓國政府與社會卻付出了巨額的管理成本，有點“得不償失”。

　　目前，當地輿論最關注的主要還是網路實名制帶來的使用者資訊安全洩露危險。目前，韓國政府的廣播通信委員會要求日均訪問者數量超過10萬的131 個網站實行實名制。網路實名制下，各大網站保存了互聯網使用者的大量資訊，這包括姓名、生日、電話、住址等，這些資訊一旦洩露，很容易被犯罪分子利用。

　　最近幾年韓國頻繁發生嚴重的互聯網使用者資訊外泄事件，僅在去年7月份，韓國門戶網站Nate和社交網站賽我網就有3500萬個使用者的資訊被駭客竊取。相比網路實名制所強調的社會責任，人們更關心個人資訊的安全。因此這些事件被曝光後，當地社會對廢除網路實名制的呼聲也越來越強烈。

駭客偷你的密碼幹什麼

週三的新聞聽起來像是標準的矽谷冷笑話。俄羅斯駭客竊取了600萬LinkedIn帳戶密碼。難道他們把“世界上最大的職業網路”誤翻成了“大家都在用的職業網路”？他們下一步要黑哪一家，Google+麼？竊取這些帳戶之後，他們還打算幹嘛，到黑市上賣簡歷嗎？嫌LinkedIn邀請註冊郵件還不夠多，所以要利用連絡人列表來發垃圾郵件麼？

漠不關心者有之，冷嘲熱諷者有之，但是還有一小掇人高度重視這次LinkedIn被攻擊事件：安全專家。

上文幾個惡搞問題最有可能的答案是：不、不、是的、是的。第一個問題，俄羅斯駭客又不傻，他們才不關心你到底有沒有在用LinkedIn。第二個問題，他 們並沒有緊接著攻擊谷歌——穀歌太難攻了——而是攻擊了人氣很旺的約會網站一派和諧（eHarmony）。第三個問題，竊取簡歷等個人資訊幾乎可以肯定是 駭客計畫的一部分，那可是潛在的金礦。第四個問題，偽裝熟人發郵件是駭客請君入甕的主要手段。這比自稱是奈及利亞王子的郵件可信多了。

目前還不清楚此次攻擊所造成的影響。LinkedIn和一派和諧現在還沒有給個說法，也許是因為他們根本還沒查出來究竟哪裡出了問題。不過電腦安全方面的專家越來越肯定，這起事件本身遠比這兩家公司所說的要複雜險惡。

警告：註冊了LinkedIn或者一派和諧的用戶要小心了。如果你在其他網站上用了同樣的用戶名，特別是像貝寶（Paypal）和臉譜這樣的高危網站——就更要特別小心了。如果註冊了這兩個網站，就要馬上去改密碼。（別輕舉妄動，先看完這篇文章再改！）

最初的攻擊報導顯示，約有650萬LinkedIn使用者密碼被放到了網上，不過還沒有電子郵箱位址可以追溯到具體帳號。這看上去讓人松了一口氣，不過又引 出了一大串疑問：駭客把大家的密碼放出來給所有人看，這葫蘆裡究竟賣的是什麼藥？這些密碼一旦公之於眾，誰還會繼續用呢？如果沒有遭到“破解洩漏”的使用者 密碼就安全嗎？

安全專家作了這樣一個驚人的假設：駭客把這些密碼公佈出來，是為了讓公眾幫助他們破解其中一部分密碼。如果使用者密碼不在公佈之列，很有可能意味著用戶的賬 戶已經不安全了。駭客有可能已經暗中掌握了密碼。如果假設成立，駭客沒有公佈電子郵箱位址等個人資訊也就合情合理了。駭客並非沒有得到這些個人資訊，而是 他們將其“雪藏”了，為的是有朝一日能到黑市上賣給犯罪駭客組織。

賽門鐵克專家馬里安·梅裡特（Marian Merritt）稱，有組織的駭客攻擊大多是由犯罪團夥策劃的，意在謀財。其次是“駭客活躍分子”組織所為，比如“匿名（Anonymous）”和 “LulzSec”。這些團夥的主要目標是噁心、揭露、阻遏以及恐嚇他們的攻擊目標，主要與駭客意識形態格格不入的大公司。攻擊LinkedIn的手法跟 LulzSec有相似之處，比如去年夏天索尼公司100萬使用者個人資訊失竊。不過，沒有任何駭客活躍分子聲稱對此事負責，而且這些資料最先公佈在俄羅斯專 注于密碼破解論壇的事實表明，公開密碼只是此番攻擊的副產品，而決不是主要目標。

這些網路騙子拿到密碼想幹什麼呢？資料安全企業Sophos的高級安全顧問賈斯特·維斯涅夫斯基（Chester Wisniewski）說，用途很多。對於全世界的駭客來說，大批量洩漏的密碼正好可以拿來更新他們所謂的“彩虹表（rainbow table）”——巨大的資料庫，可作為破解加密密碼的數位鑰匙，稱之為“雜湊（Hash）”。最安全的網站使用另一層密碼加密，稱之為“放鹽 （salting）”，如此一來，同樣是用了“123456”這串密碼，兩個使用者的雜湊是不一樣的。可是LinkedIn沒有這樣做，結果就是同樣的鑰匙 可以解鎖一大批使用同一個密碼串的使用者，此法不僅可以用在LinkedIn上，還可以用在採取同一種雜湊演算法的網站上。（一派和諧的演算法甚至更弱，同樣沒 有“放鹽”。）

如果駭客同時擁有使用者的電子郵箱位址和密碼——多數分析師懷疑他們會這麼做——這些資訊同樣可以直接針對LinkedIn和一派和諧用戶。網路騙子得手之 後，首先要做的是運行軟體，用同樣的電子郵箱位址和密碼組合來登錄其他網站，看看是不是可以得到大家的財務或者社交帳號。

LinkedIn帳號上的個人資訊也是某種網路攻擊的理想目標，稱之為“魚叉式網路釣魚（spear phishing）”。前國家安全局安全分析師馬庫斯·卡雷（Marcus Carey）說，釣魚者的如意算盤是引誘他人下載流氓軟體或者通過發送貌似正常的郵件讓收件人洩露敏感資訊。馬庫斯如今是網路安全企業快 7（Rapid7）的研究員。這些消息看上去是老闆或者同事發來的，或者偽裝成一封與使用者業務相關的電子郵件，比如要求報價或者特定服務。由於這類郵件不 像是垃圾郵件，攻擊目標往往會放鬆警惕。

因為魚叉式網路釣魚需要網路罪犯的照看和單獨關注，所以僅會針對高價值目標——比如專家或者企業高管。這些人恰好又是LinkedIn的核心會員。

還有一種釣魚幾乎始終伴隨著類似針對LinkedIn還有一派和諧的攻擊，從某種角度來說，它是最詭計多端的。網路上圖謀不軌者知道，很多人會讀到包括本 文在內的文章，並且會隨之修改密碼。正確的辦法是直接登錄LinkedIn或者一派和諧網站去修改。錯誤的做法是點擊一封看似來自官方的郵件中的連結，然 後被這個連結帶到一個冒充的官方網站，並且照上面的提示重置密碼。如果駭客在此之前沒有得到密碼，那麼只要使用者老老實實的照著他們設下的圈套輸入密碼，他 們就得逞了。別被騙了。密碼被人偷走就夠鬱悶的了。把密碼親自送上門就更悲摧了。

駭客組織Anonymous揭秘：搞癱PayPal僅需1人

6月1日消息，據國外媒體報導，近日出版的關於駭客組織Anonymous的書籍《我們是Anonymous》披露，2010年該組織攻擊線上支付網站PayPal僅動用了一名駭客，就將PayPal網站攻擊至癱瘓。

2010 年12月，自發組織的駭客團體Anonymous對線上支付網站PayPal發起了攻擊。PayPal此前曾是維琪解密接受外界捐款的主要管道之一，但在維琪解密公開大量美國國務院內部資訊之後，PayPal切斷了維琪解密接受外界捐款的管道。隨後PayPal主站被攻擊至癱瘓，再一次讓全世界看到了 Anonymous的影響力。

然而，在《福布斯》雜誌倫敦辦事處主管巴米·奧爾森（Parmy Olson）的新書《我們是Anonymous》中，這一事件的真相卻不是人們想像的那樣。關閉PayPal網站事實上只動用一個駭客和他所掌控的僵屍網路。“他然後下令停止攻擊，然後就去吃早餐了。”這本書這樣寫道。

雖然真相如此簡單，但Anonymous卻向外宣稱，關閉PayPal是一群躲在黑暗角落裡的駭客集體完成的壯舉。“我們向媒體撒謊，以使故事顯得栩栩如生。”一個名為Topiary的消息人士稱。
《我們是Anonymous》這本書還揭露了眾多不為人知的有關這個駭客組織的內幕。這本書披露，Anonymous團體成員大多從備受爭議的論壇4chan 上徵集。Anonymous及其頭領LulzSec吸引來的追隨者往往有兩種，一種是純粹惡作劇的年輕人，另一種是懷有政治目的的駭客。例如一個自稱 Sabu的紐約駭客最初是一名激進的革命主義人士，加入Anonymous之後成為煽動該組織入侵突尼斯高級政府官員的網站的主要人物。