当前位置:首页 > 文章中心 > 纵论天下 > 学者观点

牟承晋:网易数据泄露说明了什么?

2018-01-03 11:29:47  来源:昆仑策研究院  作者:牟承晋
点击:   评论: (查看)

  一、网易数据泄露被公开

  美国一家置于cloudflare云平台的深网论坛,2017年2月28日公布(7月14日修改)的消息称,网易邮件数据库泄露超过2.88亿条记录,包括邮件地址和帐户密码。也许是网易认为中国的网民没有谁能登陆或关注美国深网,迄今没有任何说法。

  回顾,2015年10月19日,乌云网(Woo Yun漏洞报告平台,简称W漏洞报告)披露,多达5亿条网易163/126邮箱的各种敏感数据泄露。我国“国家互联网应急中心(CNCERT)2015年12月20日就此事发出通报,确认W漏洞报告披露的网易数据泄漏100条,每条数据中包含一个邮箱帐号、邮箱密码的MD5加密值、密保问题、密保答案等;帐号/密码匹配正确的邮箱为20个(20%);有部分用户受到影响。

  当时,网易坚决否认泄露数据事实和真相。该事件处理结果不详。似乎是不了了之。而这家举报网易的乌云网(Woo Yun)如今销声匿迹、不知所踪。

  对于不久前美国深网公开的网易数据泄露的严重问题,网易又该作何辩解?目前尚不得而知。

  无论上述美国深网公开的网易邮件数据库泄露与2015年W漏洞报告披露的安全事件有多少关联,网易邮件数据库泄露已是不争的事实。泄露的数据量之大,可能影响的范围和后果难以估量、难以弥补、难以挽救。

  二、网易地址托管美国

  根据对域名解析和路由记录的溯源,基本确认网易的126、163、263地址在美国托管给著名的亚马逊公司(Amazon)的云平台(AWS)。例如:

  

  2017年11月20日,亚马逊公开宣布向中央情报局及其情报体系(IC)成员提供云服务,该项服务被称为“亚马逊云服务平台秘密管区”(AWS Secret Region)。亚马逊称此项服务是“第一个也是唯一的商业云提供商向政府提供全面的数据分类服务,包括非涉密、敏感、涉密、绝密的数据。”

  网易邮件服务器托管在亚马逊的云服务平台(AWS)上,至少IP地址属于亚马逊,网络域名和地址受制于人的风险和后果显而易见!岂止是数据泄露问题,简直就是直接将网易的亿万用户拱手交给美国中央情报局及其情报体系(IC)成员实施全方位、全视角、全时空的监控与监管!

  三、网易数据泄漏的影响

  电子邮件是重要的网络信息资产,也是网络空间主权不可或缺的组成部分。

  网易(NetEase,Inc  WWW.163.com)在中国很有名气。使用126、163、263网络地址的用户遍及全国各地、各行各业,党政军民学应有皆有。网易数据泄露,必然是影响全国政治、经济、社会稳定,关系国家主权和安全的重大事件。

  根据网易公布的2017年第二季度财报,截至2017年6月30日,网易邮箱总注册用户数9.4亿(包括12万家企业,超过600万企业用户),环比2017年Q1净增加1000万,增长率为1.08%;同比2016年Q2增长6000万,增长率为6.82%。

  用户数量如此之大,在电子邮件中所包含的数据将不可避免地涉及国家敏感信息、商业机密、科研秘密、个人隐私。尤其是:

  有相当数量的国家关键信息基础设施单位和部门邮件系统由263云通信(以及126、163)提供托管或代管服务;

  

  有相当数量的国家关键信息基础设施单位和部门及其工作人员使用263云通信(以及126、163)作为工作邮件;

  

  有重要国家机关的邮箱是网易托管,在境外,网易托管的国家机关的邮箱又与该国家机关的网站直接关联,美国人进入我国家机关网站、掌握邮箱数据和动态几乎畅通无阻。

  特别值得注意的是,由于邮件数据实际是在境外异国存储,收发邮件是“发卡式”的网络数据传输,任何所谓的“数据安全”和“数据审计”已缺乏实际意义,且在一定程度上流于表面形式和侥幸的“心理安全”。

  由此可能出现的连锁的潜在安全问题还必然包括:

  境内用户使用这些看似国内的IP地址,而实际上数据是通过境外网络路由传输,数据安全难以得到有效保障。

  一旦黑客直接或间接地利用这些IP地址,对他国进行网络入侵或攻击,中国将如何向受害国及国际社会解释?

  如果黑客直接或间接地利用这些IP地址,对中国进行网络入侵或攻击,中国又将如何应对看上去是“自己打自己”的错乱局面?

  调查发现,我国某企业将中国所属的75个IPv4地址段(共19,200个IP地址)迁移置于境外,并租用给外国的网络业务和应用。网络域名和网络地址是国家网络空间主权的物理基础和战略资源,直接向国外拱手相让国家网络地址,胆大妄为,无法无天。国家主管部门和安全部门怎能视而不见、听而不闻、有法不依、执法不严!

  四、“天下没有免费的午餐”

  电子邮件综合了电话通讯和邮政信件的特点,是采用储存-转发模式、通过网络通信传送数据、在信箱(电子邮箱)之间交换信息的即时通信。邮件服务的主要基础设施是邮件服务器,用于储存和转发邮件。

  “天下没有免费的午餐”。“免费”邮件并不是真的免费,而是要以信息作为交换或代价。大多数用户乐于接受的是邮件“免费”服务的商业化形式,却少有思考为什么这会是免费的。

  例如,Gmail因扫描邮件内容的关键字作为广告的精准推送,涉嫌非法窃听电子邮件的内容、侵犯个人隐私,面临来自美国和欧洲的多起集体诉讼。

  获取邮件内容的关键字可以作为精准推送广告的信息,也可以作为其它用途。换句话说,只要拥有和管理邮件服务器,获取邮件帐户信息、邮件内容信息、邮件社交信息等是轻而易举的,这就是一类开源情报(OSINT)。

  相关的典型案例包括:

  2012年,时任美国中央情报局局长彼得雷乌斯,因为在其个人Gmail电子邮件帐户中,被联邦调查局监测发现婚外情以及可能泄密的证据而不得不辞职。媒体以此监测过程类比于“棱镜门”的窃听行为。

  2014年,“棱镜门”披露了美国国家安全局“猎杀巨人”(Shot Giant)计划,起初是通过对中国某知名企业邮件系统的渗透,后入侵到该企业的系统,持续地窃取数据长达数年之久,并勾勒出企业领导人邮件的“社交网络分析”。

  2015 年,美国民主党潜在总统候选人希拉里承认,在任职国务卿期间使用私人邮箱,涉嫌违反美国《联邦档案法》,这就是著名的“邮件门”事件。希拉里败选,与此有很大关系。

  五、网易的国家属性

  严酷的网络空间现实,不能不让我们高度警惕:在关注如何缓解因特网(被称之为互联网)受制于美国控制的13个根域名服务器时,国家和数以亿计国人的信息资产正在通过电子邮件源源不断地悄然流失,流向国外,流向对我社会主义中国图谋不利、与我中国人民坚持为敌的境外势力,无时不刻地威胁着我们的网络安全。

  中国之大,竟然放不下网易的邮件服务器?问题似乎并不那么简单。

  网易官网的公司简介称,网易是中国领先的互联网技术公司,始终致力于电子商务及IT产业的持续发展,在开发互联网应用、服务及其它技术方面,始终保持国内业界的领先地位。看起来,网易是一家中国公司。

  网络披露,网易是于1999年7月6日在开曼群岛注册成立的一家离岸公司,根据开曼群岛公司法(2004年修订版)运营。截至2017年12月26日,其“机构所有权”的持股比例为49.09%(纳斯达克:NTES)。也就是说,从注册地来看,这是一家典型的国外公司;从持股分析,控股的不是中国股东。

  网易邮箱注册用户数9.4亿(包括12万家企业,超过600万企业用户),其规模与美国的谷歌公司(Gmail,全球约10亿用户)相当。可以肯定,即使为谷歌提供免费使用的电商平台,谷歌也决不会把Gmail邮件服务器放置在中国。那么,外国控股的网易,将其邮件服务器托管给美国的亚马逊,其究竟是中国公司?还是外国公司?

  国家利益与商业利益,孰重孰轻?网易邮箱被托管在美国亚马逊(Amazon)的电商平台,可以想见的是,不存在或不会是由于技术原因。

  严重的问题在于,中国的网络数据为什么长期被外国肆无忌惮地控制和利用,中国的网络空间主权与安全问题究竟何时才能从根本上得到解决?中国政府、中国军民究竟应该怎样保卫和维护祖国的网络空间主权与安全不再被外国控制和利用?

  六、网易数据泄漏的反思

  1、网络空间安全问题说到底是主权问题

  网络空间主权意识过于淡薄,坚持与维护主权原则不够坚决、彻底、持之以恒,是我国长期陷入美国因特网主权控制和安全陷阱的根本原因。

  网络空间主权与安全是辩证的统一。主权是安全的根基和旗帜,安全是主权的体现和保障。主权指引正确的安全观和安全行动准则,一切安全措施都必须遵循和维护主权原则,是主权在网络空间的具体再现。没有主权的网络空间安全从来就不存在。不讲主权,网络空间安全只能是迷失心智、迷失方向,只能是为他人作嫁衣裳,只能是空谈误国。

  主权是网络空间安全的第一要务,是我国网络空间安全战略铁打的底线和红线,是原则问题、本质问题、立场问题,任何时候、任何情况、任何理由都不容空谈,不容懈怠,不容交易,不容遮挡掩饰,不容动摇退缩。

  2、没有网络安全就没有国家安全

  网络空间安全关系我国政治、经济、社会、国防安全的全局,关系全民族和全国人民的隐私安全。

  我们必须清醒地认识到,跨境数据传输有两大类:被动传输(被渗透或被入侵),主动传输(拱手相让)。二者相互关联、相互利用、相互作用已经成为常态。要命的是,主动传输总是被忽视,而保垒最容易从内部被攻破!应对安全事件,不解决关键技术问题,不解决根本性、基础性的问题,周而复始地“打补丁”,终究无济于事、劳而无功,花了很多的钱,也“买”不来网络空间的主权、安全和发展利益。

  必须坚决将网络空间的不安全隐患消灭于萌芽之中,对已经掌握和发现的不安全事件,发现一起,严惩一起,决不姑息手软。对故意制造威胁和危害我国主权、安全和发展利益的人和事,应坚决追究其分裂和背叛祖国的罪责。

  3、治理网络安全必须举一反三

  网络域名、IP地址、电子邮件同属于主权国家重要的网络信息资产,没有数据安全就没有网络安全的保障和社会公共利益的维护。电子邮件作为重要的网络信息资产,不仅是信息化的主要标志之一(如社交网络的注册和验证),而且成为开源情报和网络安全的主要目标之一(如 APT的邮件侦测和邮件钓鱼)。

  网络应用主要是三类:域名,邮件,网站。从网易数据泄漏事件可以看出,当邮箱等应用服务在境外,即使自主掌控域名服务也无济于事,即域名服务是被动模式。必须兼顾三个维度(或三个层次):一是管理与治理,涉及网络主权;二是技术与产业,涉及自主可控;三是工程与运营,涉及基础设施。

  在相关实践中发现,网易(126、163、263)邮箱所存在的网络安全态势并非个例,且在相当大的程度上归结于“工程与运营”,其结果却又反制(或反作用)于“管理与治理”和“技术与产业”。对此,我们必须重视举一反三,不可顾此失彼。动态地兼顾以及把握平衡点、定位和防护网络空间的纵深边界(网际),是我们正在面临的严峻和持续的挑战。

  4、必须严格执行《网络安全法》

  第一条  为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。

  第二条  在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。

  第五条  国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。

  第四十二条  网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

  第五十六条 省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施,进行整改,消除隐患。

  第五十七条  因网络安全事件,发生突发事件或者生产安全事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律、行政法规的规定处置。

  (来源:昆仑策网【原创】)

相关文章