爱人,你就会被人爱。

Love and you will be loved。
爱人,你就会被人爱。

为什么看上去弱弱的女人总是比女强人受男人欢迎?
为什么很多男人劈腿后,最终会选择那个看上去更弱的女人?
原因只有1个——富兰克林效应。
感情幸福美满,只是因为懂得这一点

什么是富兰克林效应

1736年的某一天,富兰克林在宾夕法尼亚的议院发表演讲。另一位议员完全反对他的观点,于是也发表了一篇演讲,十分激烈地批评了富兰克林。
这让富兰克林有点措手不及,但是又想争取这位议员的同意。

怎么办呢?他无意中打听到这位议员的家里正好有一套非常稀有的图书。于是他十分恭敬地写了一封信,厚着脸皮向这个议员借书。

没想到这个议员竟然同意了,一个星期后富兰克林还书时郑重地表达了谢意。几天后当他们再次在议会厅见面时,富兰克林是这样描写的:

“他竟然主动跟我打招呼(以前从来没有过),后来我们谈话,他还表示,任何时候都愿意为我效劳。”

从此他们两人化敌为友,终生保持着友谊。所以后世的心理学家们得出一个结论:让别人喜欢你的最好方法不是去帮助他们,而是让他们来帮助你。

这就是著名的“富兰克林效应”的由来。

富兰克林效应对于爱情的影响

法国作家埃克苏佩里的《小王子》是一本有趣的寓言短篇小说,里面最让人印象深刻的是小王子与玫瑰的爱情故事。

故事中的小王子在一个小小的星球上生活。有一天,星球上忽然绽放了一朵娇艳的玫瑰花。

小王子从来见过这么美丽的花,于是他每天细心地呵护,精心地照料。

他当时觉得这是宇宙里唯一的一朵玫瑰,比所有的花都美。

后来,他来到地球,发现仅仅一个花园里就有5000朵几乎完全一样的玫瑰花。

那一刻他终于知道,他所拥有的只不过是一朵普通的花。这个发现,使小王子非常伤心。

尽管如此,他心里还是放不下自己的那一朵玫瑰。

直到有一天,一只小狐狸跟他说:”正因为你为你的玫瑰花费了时间和心血,才使你的玫瑰变得美丽。”

小王子终于恍然大悟:

一朵玫瑰花(一个女孩),重要吗?不重要。天底下有千千万万的玫瑰。可一旦你为这朵玫瑰花花费了时间,它就变得重要了,成了你的千千万万分之一,成了你的唯一。在你看来,它跟其他的玫瑰花,是截然不同的。这就是重要。或者说,这就是爱。爱,就是花费了时间。

网站安全–站长成功路上的最严重的一道绊脚石

来源:a5团购

  运营一个成功的网站有很多要素,定位要做好、美工要优化、推广要到位、要时间的积累。曾经我以为,当这一切都具备的时候,我就成功了,但事实并非如此。

事情是这样的,从最初接触SEO开始,我就一直致力于自己一个商城网站的运营和建设,从2009年开始,差不多已经快3年时间了。一直坚持手工外链,坚持原创内容,也投入了大量精力,自己做客服。努力总有回报,随着百度更新,网站排名越来越好,流量也越来越多。最好的时候,百度指数1000的词,我做到了百度第三位。由于是来的精准流量,每天给我带来的销售额也是相当可观的。我也梦想着,年入30万马上就要实现了,非常欣喜。

但是好景不长,排名上去没到一个星期,网站莫名其妙打不开了。我气愤地去问空间商是怎么回事,答案如下:网站被DDOS攻击,已经关闭了。完全懵了,原本一直致力于网站优化、推广方面的研究,但对网路安全方面的内容却一无所知。突击学习了几天,才大致明白怎么回事情。好说歹说,让从空间商那边备份了网站数据,换了国内某知名IDC的空间,想这回安全性应该高一些了。

不过接下来的事情更令我手足无措,网站更换空间后,一开始几天运转正常,但没过几天,攻击又来了,虽然这次没有被关闭,但访问速度奇慢。原本PV/IP一直维持在5以上,现在一下子降到一点几。想必大部分客户是刚点开网页就关了。接下来,网站排名也掉了。而由于我使用的CMS被爆出有漏洞,居然还给挂上了黑链。真是屋漏偏逢连夜雨!万般无奈,我只好把一个盈利前景大好的网站转手卖了。

痛定思痛,我想这次教训对我以后的发展也是有帮助的。至少,通过这次实践,我明白了自己的模式是行得通的,同时,也了解到做网站不仅仅是推广,网络安全对于网站成功是至关重要的。前一阵的新闻相信大家都看到了,从去年底开始CSDN、51CTO、CNZZ、eNet、UUU9、YY语音、百合网、开心网、人人网、美空网、珍爱网等各大网站用户数据相继被破解,这些大站尚且如此,我们草根站长的小站被入侵实在太简单了。因此,多学习点网络安全防护知识,应对各种网络攻击。保障服务器、网站安全,防止被入侵、挂马非常必要。

哪种语言的密码更容易破解?

虽然很多人都不希望自己的密码被别人知道,但是往往他们最终选择的密码又都是可以被人破解的, 像”12345″。虽然这种类型的密码便于用户记住,但是同样的,它也很容易被攻击者破解,特别是在那些带有自动化的常用选择列表的项目中。剑桥大学计算机科学家Joseph Bonneau最近发表一篇分析近七千万雅虎用户密码的分析报告。

报告中的一张表格就显示了在经过1000次猜测尝试后多少用户密码被破解的比例图。估计非职业语言家们看到这张表格的时候,又会很逗趣地感叹:“怎么中国人民的密码设置地这么机密,而人家印度人却那么差劲!”

另外还有一个特别有趣的现象是, 当使用一本通用字典来破解密码时,破解比例相差不大。从图中可以看出,当使用中文字典破解中国账户密码的时候,这个破解比例大约为4%,而当使用通过自动 点来进行破解时,这个比例将会降到2.9%。似乎每一种语言的使用者都有其相似的偏好。

本文转载自: cnbeta
(本站只作转载,不代表本站同意文中观点或证实文中信息)

海盗湾抛“太空计划”:近地轨道设文件服务器

2012-03-20 09:02  来源: 新浪科技

文件共享网站海盗湾公司logo

文件共享网站海盗湾公司logo

新浪科技讯 北京时间3月19日晚间消息,全球最大文件共享网站海盗湾(The Pirate Bay)今天在官方博客发表声明,透露了一项惊人计划:该网站将发射小型低轨道空间站,将文件服务器安置其中,以逃避政府机构的打击。

海盗湾在文章中称,这些空间站将被无人飞行器送至距离地面数十千米的近地轨道中,其搭载的服务器的传输速率可达100Mbps。该网站认为,这将大大提高政府机构查封服务器的难度。

由于涉嫌侵犯版权,海盗湾一直被瑞典及各国警方列为严厉打击的对象,其服务器多次被查抄。不堪重负的海盗湾终于做出一个艰难的决定:逃离地球,向太空发展。

然而,该网站直言,尚未就此目标制定任何计划。按照设想,这些空间站距离地面的高度仅为几十公里。相比之下,民航客机的飞行高度介于8千米至12千米之间,而我国神舟系列载人飞船的运行高度一般超过300公里。

更令人吃惊的是,海盗湾在文章结尾还表示,“将在全银河系的每个角落存储文件”。这显然已经不属于科技的范畴了,而是跨入了科幻行列。截至目前,该网站仍无法访问。

以下为海盗湾博客全文:

今天早些时候,海盗湾发生了数小时的宕机。不用担心,这次我们没有遭到警方的突击搜查。我们只是进行了一些升级,网站仍在成长中。

我们一直试图解决的技术问题之一是,在哪里安置前端设备。它们将用户流量重新导向一个秘密所在。现在,我们决定“不走寻常路”。

我们将进行如下实验:利用GPS控制的无人飞行器、廉价的远程无线电设备和Raspberry Pi等微型计算机,把一些小型飞行器发射至数十千米高的近地轨道中。这样一来,只有动用飞行器,才能关闭我们设备和系统。这是真正的战争行为。

我们刚刚起步,尚未有任何方案。但是,我们不能再局限于仅仅在地面上存储东西。这些低轨道服务器空间站(Low Orbit Server Stations,简称“LOSS”)仅仅是第一步。利用现代化的无线电发射机,我们能从最远50千米外的节点获得100Mbps的传输速率。这能够满足我们正在建设的代理系统的需求。

然而,当时机成熟时,我们将在全银河系的每个角落存储文件,以践行我们的口号–做全银河系最值得信赖的系统。所有用来搭建这一系统的文件都将提供下载。(彦飞)

CSDN用户数据泄露案告破

2012-03-20 17:45:00 来源: 人民网(北京)

核心提示:3月20日,北京警方宣布,经过40多天侦查,破获了CSDN网站用户数据泄露案,疑犯曾某2010年4月利用网站漏洞窃取用户数据。CSDN因技术保护落实不到位,被行政警告处罚。警方由此案还带破另外4起网络案,包括入侵网络商城,窃取用户数据,及登陆微博账号等。

人民网北京3月20日电 历经40多天的缜密侦查,北京警方一举破获CSDN网站用户数据泄露案,并成功带破另外4起网络案件,共抓获并以涉嫌非法获取计算机数据罪刑事拘留曾某等5名犯罪嫌疑人。北京市公安局今天首度披露详细案情和侦破经过。

在积极开展案件侦破工作的同时,北京警方对CSDN网站未落实国家信息安全等级保护制度造成用户信息泄漏事件做出行政警告处罚,这是我国落实信息安全等级保护制度以来的首例“罚单”。

北京警方相关负责人表示,从打击犯罪和行政处罚两方面入手,既有效震慑犯罪分子的嚣张气焰,又依法加强对相关单位信息安全的监管,彰显出首都公安机关全力维护信息安全的决心和能力。

CSDN网站报案 核心数据遭泄露

2011年12月22日,北京警方接到CSDN公司报案,称其公司服务器被入侵,核心数据遭到泄露。北京市公安局网安总队高度重视迅速行动,立即调派精干警力会同相关部门成立专案组,全力开展侦破工作。

警方缜密调查 40多天辗转10余省市

通过对网上泄露的大量CSDN数据在时间等方面进行仔细比对,专案组发现这些数据大部分集中在2009年7月至2010年7月。由此推测,其服务器被入侵时间为2010年7月前。由于涉及被入侵的服务器已于一年前被转做它用,日志未留存、数据无法恢复,当时负责的技术人员又大部分离职,现有人员不了解情况,再加上数据丢失已两年时间,要通过数据来源找到最初入侵者难度很大。围绕着该公司相关员工情况,犹如大海捞针一般,专案组展开了大量细致的调查走访工作。

很快,专案组获得4条重要线索,分别涉及海南、广东、江苏、浙江、黑龙江等十余省市。经过耐心细致地摸排,逐一的调查追踪,专案组排除干扰,从诸多头绪中,最终锁定一条关键线索,曾于2010年9月发帖自曝掌握CSDN数据库,要求与公司进行合作的一名用户进入到专案组视野,但由于时间原因,当时的帖文、聊天内容已经无从查找,案件调查工作看似再度陷入僵局。

案件成功告破 嫌疑人供认不讳

专案组在相关部门大力配合下,通过扎实细致的工作,最终锁定嫌疑人,并于2012年2月4日在浙江温州将嫌疑人曾某抓获。经初步审查,该男子对2010年4月利用CSDN网站漏洞,非法侵入服务器获取用户数据的犯罪事实供认不讳,曾某还交代了曾经入侵过某充值平台及某股票系统的犯罪事实。至此,专案组侦查员,历时40余天,辗转10余个省市,成功破获CSDN数据泄露案。目前此案正在进一步工作中。

网站安全存隐患 予以行政警告处罚

事件发生后,北京警方对CSDN网站开展了调查,发现其未落实国家信息安全等级保护制度,安全管理制度和技术保护措施落实不到位是造成用户信息泄漏的主要原因。市公安局向CSDN网运营公司提出了具体整改要求,并依据《中华人民共和国计算机信息系统安全保护条例》相关规定,对北京创新乐知信息技术有限公司做出行政警告处罚。

自今年1月起,北京警方对全市106家互联网网站开展信息安全检查工作,发现并现场纠正206处安全隐患,有效提高了首都互联网网站安全管理水平。

严打涉网犯罪 北京警方成效显著

去年以来,北京警方坚持深化民意主导警务工作理念,全面落实打防管控一体化工作机制,充分利用网络资源,深挖涉网违法犯罪线索,大力提高网上综合管控能力,不断加大涉网犯罪打击力度,净化网络环境,全力维护网络安全。截至目前,共侦破网上诈骗、网络赌博等网络违法犯罪案件3500余起,打掉各类犯罪团伙15 个,抓获犯罪嫌疑人3600余人。

针对微博等新媒体,北京警方创新建立网上执法服务管理新机制,通过“首都网警”实名微博对传播、散布有害信息,涉嫌轻微违法的行为进行警示,提醒网民自觉遵守国家法律规定,共同抵制有害信息传播。

北京警方提示,当前,黑客攻击破坏活动趋利性日益明显,已形成由制作提供黑客工具、实施攻击、盗窃账号、倒卖账号、提供交易平台等各个环节分工合作的利益链条。希望广大涉网公司提高防范意识,加强技术安全保护措施。北京警方将进一步加大工作力度,严厉打击此类违法犯罪活动,全力维护互联网信息安全。

相关4起带破案件

1.侦破某商城被黑客敲诈案

2011 年12月27日,北京警方接某公司报案称:有人以持有该公司用户数据为由敲诈勒索270余万。网安总队立即协助朝阳分局对此案展开深入调查,经过民警连夜侦查,于30日上午将犯罪嫌疑人要某在陕西抓获。经突审,该人供述于2011年4月至今,利用该商城网站存在的漏洞,非法获取该商城大量用户数据信息,并以此为由敲诈勒索的犯罪事实。

2.侦破某公司信息系统被破坏案

2011年12月22日,北京警方接某公司报案称,该公司微博网站有不同账号发布大量相似广告信息,登陆成功的账号共发表广告微博数量 20万条左右。经初步估算,该公司损失总计约为100万余元。经过大量的调查走访,网安总队会同相关部门将犯罪嫌疑人蔡某抓获。蔡某交代了利用非法获取的网站数据,大肆在该网站微博上进行测试,并利用成功登陆的用户名发送大量的微博广告牟利。

3.两家网站被非法获取计算信息系统数据案

在追查CSDN数据库泄露源头过程中,网安总队侦查员又先后发现分别入侵两家网站服务器的嫌疑人吴某、董某,经连续工作将二人一举抓获。经讯问,嫌疑人吴某供述利用某网站漏洞,使用工具非法获取大量用户数据的犯罪事实;嫌疑人董某供述了非法入侵某网站服务器获取大量用户数据的犯罪事实。

(本文来源:人民网 作者:赵艳红)

传谷歌地图未获牌因安全审校人员未符合相关规定

2012-02-02 09:26  来源: 每日经济新闻

此前国家测绘地理信息局印发的《关于进一步加强互联网地图服务资质管理工作的通知》(下文简称《通知》)要求,2月1日起未申请互联网地图服务资质的单位一律不得从事互联网地图服务。

国家测绘局相关人士:正在审批

昨日,国家测绘局相关负责人员对《每日经济新闻》表示,国家测绘地理信息局正在按法定程序对谷歌地图获得资质进行审查,在资质审批过程中,其互联网地图服务可维持现状,但不得增加新的互联网地图服务内容。

搜狗地图总经理孔祥来则对《每日经济新闻》表示,地图更新服务是衡量地图互联网应用提供者最重要的指标,这或许对谷歌的地图业务是一个致命的打击。

事实上,自从国家测绘局2010年5月推出了全新的互联网地图认证系统,网络地图服务提供商必须向国家测绘局申请牌照。根据规定,外企申请地图营业牌照至少需要两个重要条件:第一是将存放地图数据的服务器设在中华人民共和国境内;第二是依法采取合资、合作的形式进行审批,即:外国组织或个人来华从事互联网地图服务的必须依法设立合资企业,而且必须是中方控股。此前,谷歌地图的牌照申请工作就一直不顺畅。

此后,国家测绘局对外资互联网企业申请地图服务资质略微松绑。将原来的规定:必须设立中外合资或者合作企业,修改为只允许设立中外合资企业;中外投资者的出资比例,由必须中方控股(中方投资比例占51%以上)修改为外方投资者的出资比例最终不得超过50%。这一改变,让面临僵局的谷歌地图迎来了新的转机。

2011年6月份,国家测绘局的相关人员向《每日经济新闻》透露,谷歌已经以北京谷翔信息技术有限公司的名义向国家测绘局提交了申请。然而,时隔半年之久,谷歌的牌照申请迟迟未获得审批。

孔祥来对《每日经济新闻》表示,按照相关规定,提交申请的企业需要提交一系列的材料,包括符合认证工程师培训并通过相关资格考试、地图内容审查等申报环节,一般来说,符合上述条件者,1~2个月便可以获得牌照。

一位知情者向《每日经济新闻》透露,谷歌之所以至今还未获得牌照是因为谷歌申报材料中,安全审校人员未符合相关规定。

“除此之外,独立的地图引擎、地图服务器的审核,谷歌均符合相关的规定。”上述知情人士进一步指出,根据《测绘资质分级标准》规定,谷歌要申请甲级资质互联网地图服务单位应具有经国家测绘局考核合格的地图安全审校人员5人,而谷歌的安全审校人员未符合规定。上述知情人士拒绝透露谷歌安全审校人员未符合规定的细节。

另一方面,《每日经济新闻》从国家测绘局渠道了解到,2011年,国家测绘局曾两次在西宁举办过相关资质培训考核,一次是6月16日~6月18日,另外一次则为8月31日~9月2日。

“也不排除谷歌在此期间安全审校人员已经获得相关的资格,而正在重新走行政程序。”上述知情人士表示。

针对上述事实,《每日经济新闻》多次致电谷歌中国公关负责人王锦红,其电话一直未接通。而针对谷歌牌照的其他内容,其公关人士表示,目前并无具体的新内容共享。

地图业务将持续受冲击

据国家测绘局相关人士透露,截至2012年1月31日,全国共有151家单位获得了甲级互联网地图服务测绘资质证书,有128家单位获得乙级资质证书。

“国家测绘地理信息局已基本完成了对目前已知互联网地图服务单位的资质发证工作。”国家测绘局相关人士表示。

这也意味着,正在申请审批流程的谷歌能否获得牌照也成为其未来命运的最后一搏。事实上,这种长期没有结局的审批正冲击着谷歌的地图业务。

根据国家测绘局的说法,谷歌互联网地图服务虽然可维持现状,但不得增加新的互联网地图服务内容。

孔祥来对《每日经济新闻》表示,对于互联网地图服务商来说,更新的内容来自两部分,第一:是上游互联网地图数据提供商高德和四维图新两家地图内容的更新;第二则是各地图厂商在餐饮、旅游、酒店等垂直领域的内容更新。

“高德和四维图新一年也就更新4次,这对谷歌地图影响不大,真正受影响的是谷歌自身对垂直领域内容的更新。”孔祥来对此表示,由于大部分的地图服务商均需要通过不断更新其对垂直领域合作伙伴整合而获得高增长率。

而这也意味着,谷歌地图在停止更新之后或受到重挫。来自谷歌合作伙伴也有自己的担心。领团网CEO王启亨对 《每日经济新闻》表示,目前该公司在PC端领域已经取消了同谷歌的合作而转投搜狗,但是在手机端依然还是适用谷歌地图。

根据易观国际的数据分析,在中国,谷歌地图在PC端只有不到10%的市场份额,但在手机端市占率达87.6%。

据王启亨透露,鉴于谷歌地图命运的不确定性,该公司目前正在研究手机端如何切换到其他例如搜狗、百度地图上。

易观国际分析师阎小佳则表示,谷歌地图受牌照影响最大的受害者有可能是部分手机地图用户和众多涉及地图API调用服务的中小网站。最有可能的受益者是地图API市场的高德、百度、搜狗、腾讯等;另外一个细分市场手机地图受益者则是高德地图、百度地图等主流竞争者。

行业专家龙威廉也指出,如果关闭谷歌地图网站,不仅会殃及国内大量地图服务的商业网站,还会影响国内所有的iPhone和Android等智能手机用户。他认为,目前流行的苹果iPhone手机以及应用Android系统的智能手机都内置了谷歌地图,“一旦谷歌地图无法运营,中国数百万高端智能手机用户以及数百家商业地图网站势必受到强烈冲击。”

对此,也有业内人士认为,移动互联网是谷歌的重点,尽管谷歌方面获得牌照还存在某些障碍,但谷歌不会对互联网地图服务轻言放弃。

CSDN承认对安全重视不够 用户非计算机专家

2012-01-09 09:32 来源: 中国青年报

2011年年底,“改密码了吗”成了一句网络流行的问候语。事情的缘起是,2011年12月21日,国内最大的程序员社区网站CSDN被爆出有超过600万用户的注册资料遭泄露。随后还有消息说,有多家网站的用户信息也被泄露,于是很多网站提醒注册用户,尽快修改注册密码,尤其是在不同网站注册的账户,不要使用相同的密码,以防被黑客破解。

这场密码危机引发了IT界的大讨论:那些放在互联网虚拟世界的个人信息究竟该如何保护?在很多专家看来,此次密码泄露事件正在拷问我国的互联网安全。

1月6日召开的中国计算机学会青年计算机科技论坛上,CSDN总裁蒋涛坦言,作为一个论坛性质的社区网站,过去确实忽视了网络安全问题。

国家网络信息安全技术研究所所长杜跃进则指出,网站对互联网安全的重视程度并没有跟网络日新月异的发展同步。可以说,互联网安全一直没有受到应有的重视。其短板问题还体现在法律法规方面。北京邮电大学教授李欲晓介绍说,根据现有的法律,网民很难就自己的信息被泄露进行维权。

CSDN承认对安全问题重视不够

论坛上,蒋涛首次披露了该网站的安全审计报告。而在过去的10多天里,蒋涛被反复追问的问题是,用户的信息是怎么被泄露出去的,哪个环节出了问题?

蒋涛介绍说,去年12月21日,泄露事件被披露的当天,CSDN就请了一家网络安全技术公司对网站安全进行审计。根据安全公司提供的审计报告,此次CSDN资料泄露事件暴露出该网站的四个安全问题:第一是开源系统等第三方系统存在漏洞,导致CSDN系统存在安全风险;其次是应用程序存在跨站脚本漏洞;第三,网站存在大量系统后台认证漏洞,如安全等级较弱的口令等;第四,一些已经停用但还在线上的老系统由于安全级别低,泄露了大量信息。

CSDN是一个以论坛用户为主的社区,负责人蒋涛一直认为,这样一个程序员讨论技术问题的网站,对黑客来说没有太多的商业利益可以挖掘,所以并没有高度重视网站的安全问题,直到此次用户资料被泄露。

蒋涛说,他们有将近100台服务器,但只有3个运维人员。运维工作包括老的系统漏洞升级、数据备份、认证管理等,3个人根本做不过来,最终导致隐患爆发。

在谈到未来解决密码泄露措施时,蒋涛介绍说,为了减小数据泄露的风险,提高网站系统的安全性,CSDN目前正在向安全部门申请信息系统等级保护,以接受信息安全监管部门的监督管理。

此外,CSDN还会强化网站核心服务的安全,把网站的非核心服务与核心业务进行隔离,以减小系统安全风险。同时,CSDN将采取相关措施,加大黑客获得数据的成本,降低网站数据对黑客的价值。据了解,CSDN也将在网站后台引入安全审核机制,从内部杜绝数据泄露的可能性。

互联网安全警钟早已敲响

有网民说,CSDN密码泄露事件敲响了中国互联网安全的警钟,但在杜跃进看来,过去10年间,警钟早已敲响多次,但互联网安全一直没有受到应有的重视。

杜跃进说,在互联网发展的初期,网站安全可能就是个面子问题:被黑客攻击了,网站面子上不好看。但随着互联网日新月异的发展,网络成为人们日常生活的一部分,那些与百姓生活密切相关的网站一旦受到攻击,有可能影响到社会的运转。遗憾的是,网络在社会生活中的地位越来越重要,但网络的安全问题却没有得到足够重视。

根据杜跃进的分析,过去10年来,黑客对网络安全的攻击水平步步提升。最早可能就是把网站黑了,或者篡改一下网站的内容;后来,就出现了趋利性的攻击,比如钓鱼设套,挂木马盗取用户的账户;再后来,就出现了窃取网站后台数据牟利的行为。但网站的安全防守并没有与黑客的攻击水平同步升级。

在杜跃进看来,在网络安全较量中,攻击者屡屡得手有三方面的原因。首先是网站的安全意识淡薄。网站经营商或者是服务提供商既不重视安全问题,也不知道该怎么做。杜跃进举例说,不久前他曾被邀请去参加一个网络媒体大会,轮到他讲安全问题时,很多单位的负责人都走了。于是他就问:“如果发生重大网络安全事件该怎么办?”因为能做决定的领导不在!

其次是技术上的短板。再者是制度缺陷,很多网站认为安全不是什么大问题,以至于制度安排上没有体现对安全的重视。

法律短板致用户维权难

这次CSDN密码泄露事件,个人用户是直接受害者。李欲晓认为,此次事件中,用户隐私权和名誉权都受到了不同程度的侵害,但要维权却困难重重。

李欲晓分析此次CSDN密码泄露事件中的法律责任时认为,在此次事件中,网络服务提供者和黑客攻击者显然有责任,但由于与网络安全相关的立法滞后,目前追究网站和黑客的法律责任较为困难,现有的法律法规对国家安全、个人权益的保护都有缺失。

据李欲晓介绍,目前我国很多法律条款,比如《刑法修正案(七)》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等都有涉及个人信息法律保护的内容,但是其中并未提到用户因网站遭受黑客攻击密码泄露,或者用户因此受到损失,网站应该承担怎么样的责任。

一个严峻的现实是,目前的法律对黑客的破坏行为可能难有约束力。

早在2009年《刑法修正案(七)》新增的“侵犯公民信息安全罪”,就已经对黑客、商业网站或者其内部人员恶意泄露用户信息牟利的行为作出追究责任的规定。因此,黑客此类行为构成犯罪,但问题的关键是“黑客在哪儿,他们是谁?”黑客都追不到,该如何定罪。

对用户来说,可以向公安机关报案,但依据现有的法律只能寻求民事赔偿,而且个人如何通过技术手段查到黑客身份,或者界定经济损失都存在很大难度,个人用户维权非常难。李欲晓说:“因为电子证据技术性太强,而且很容易被篡改,所以取证很难。”

在论坛现场有人提问李欲晓,如果因为密码泄露导致银行账户的资金被窃取,能不能起诉银行或者网站。李欲晓直言,依据现有的法律法规可以进行这方面的诉讼。但起诉之后不一定会得到有利的判决,因为在侵权责任法和民法方面,还没有明确的规定。

用户不是计算机专家

杜跃进介绍说,解决互联网安全问题,政府的推动作用非常重要。政府应该在政策、标准制定、监督、检查等方面起作用。比如说,代码安全不被重视,政府可以提要求,一定级别的代码要经过第三方监测。

李欲晓说,目前我国网络法律还不健全,国家应加强网络法律建设,尤其是出台网络安全的相关法规,保证网民能够在一个安全可信环境下去享受互联网提供的便利。

杜跃进说,除了政府的推动,网站服务商本身也要有长远战略与社会责任,尤其是面对新的黑客威胁,单靠用户安全意识不断提高并不能解决问题。永远不要期待用户安全意识能提到足够高的水平。用户就是用户,不是计算机专家,不能要求他们整天想着计算机有什么毛病。

作为被黑客攻击的受害者,蒋涛建议,应在业界建立共享安全技术联盟,大家共享安全公共知识库,共同提升开发人员的安全技术水平。

李欲晓则认为,网络安全需要一个整体的网络安全环境,“我们已经进入网络社会,现在有5亿人在使用互联网,每个用户的生活和财产信息、个人隐私全在网上。但是我们在各个方面似乎准备得还不充分,无论是网络服务企业还是网络安全企业,包括网民自己,都应该想想今后面对这样的网络社会该做什么准备”。

黑客攻破Apache.org官网 安全问题发人深思

系统安全

感谢素包子的投递
Apache是全球使用最多的Web Server之一,近期Apache的官网被黑客入侵了,素包子根据apache网站的描述,分析了下黑客的思路。大概包含5个过程,虽然道路曲折,但黑客快速通关,一步一步的接近目标,有很多可圈可点的地方,还是相当精彩的。可惜最后people.apache.org没搞下来,否则可以写小说拍电影了,不过男女主角不能是aXi和aJiao。

1、通过跨站漏洞社工了几个管理员,获得JIRA(一个项目管理程序)后台管理权限,并修改相关设置,上传jsp木马。
2、在后台看到其他用户的帐号,通过登陆入口暴力跑密码,破解了几百个帐号。
官方说是“At the same time as the XSS attack”,我不这么认为,我认为是获取后台之后,能看到帐号了,才可以高效率的破解密码。如果不通过后台就可以破解几百个帐号,那这个事情早就发生了。
3、部署了一个JAR,可以记录登陆帐号及密码,然后用JIRA的系统发邮件给apache的管理人员说:“JIRA出现故障了,请你使用邮件里的临时密码登陆,并修改密码”,相关人员登陆了,并把密码修改成自己常用的密码,当然,这些密码都被记录下来了 :)
4、正如黑客所算计的,上述被记录的密码中,有密码可以登陆brutus.apache.org,更让黑客开心和省心的是,这个可以登陆的帐号竟然具备完全的sodu权限,提权都不用提了,直接就是root,真是爽的一塌糊涂啊。而这个被root的brutus.apache.org上面跑着JIRA、Confluence和Bugzilla。
5、brutus.apache.org上的部分用户保存了subversion的密码,黑客用这些密码登陆了people.apache.org,但是并没获得其他权限。这个people.apache.org可是apache的主服务器之一,如果root了这个机器,那基本可以获得所有apache主要人员的密码了。可惜,黑客们功亏一篑。
整个故事到此结束,下面说说Apache是如何发现自己被入侵的。
根据apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”,我猜测apache是因为黑客重设了用户密码这个行为才发现被入侵的。
如果说的是黑客重设的是JIRA的密码,那么就是因为黑客做戏没做足全套导致的,可能apache管理人员上去看之后,发现没啥问题,被忽悠了。
如果说的是黑客重设其他密码,我想不到整个过程中还需要重设什么其他的密码。
我还是对apache的安全措施非常好奇,到底是如何发现的?到底是相关人员安全敏感度高呢,还是黑客留下了一些痕迹被安全检查措施发现了。如果是后者的话,检查周期又是多长呢?24小时?
经验教训:
回头再看看黑客的整个攻击过程,素包子相信在细节上会有很多可以吸取教训的地方。从长远来看,可以加强安全意识培训、实施SDL安全开发生命周期、日志集中分析、主机入侵检测系统等等,这些都是需要企业的安全部门长期投入去做的事情;相对短平快的方法是要求重要的人员、重要的应用、重要的系统使用双因素动态密码认证。
更多Apache官网被黑内幕,请访问素包子的网站 http://baoz.net