更多精彩 >

30亿用户数据被盗,http上网漏洞百出,如何构建可信的互联社会?

2018-12-28 17:30:26   来源:投资家网专栏  作者:科技向令说 

摘要:近年来,国内外各大网站频遭攻击。

很多人以为安全软件与病毒的仗已经打完,事实上,远非如此。


近年来,国内外各大网站频遭攻击。去年5月份,国务院app中的H5网页疑似被劫持,页面上出现挂弹窗广告;今年八月份,浙江绍兴警方侦破了“史上最大规模数据窃取案”,其起因是没有全站部署HTTPS加密,从而被黑客钻了空子,导致全国96家互联网公司,约30亿条用户数据被非法窃取;而不久前,Google又因为一个BUG,使得约5200万用户的个人私人数据被泄露。


有别于以往熊猫烧香这种病毒明目张胆的广泛传播方式,上述勒索病毒的攻击行为变得更为隐蔽。很多时候,他们会锁定更高价值的目标,通过http或dns网络劫持进行中间人攻击,甚至在攻击完关键系统、偷取数据之后,还能全身而退不被发现。


显然,以个人隐私数据泄露等事件为代表的网络安全,仍然面临严峻的挑战。不久前, 在2018 网络空间可信峰会上,360浏览器遂公开宣称将创建自有根证书计划,这引起业界广泛的关注。


但自建根证书是一件庞大且系统的工作,且这一行为本身是没有太多的商业价值,因而其更需要诸如360浏览器等老牌互联网科技企业,拥有更强的社会担当。


一、不被重视的根证书,成黑客入侵的重要通道


以前,人们对CA公司产生了过度信任,认为带有https的网站就是可信的。因为其身份校验体系是基于PKI体系,而在这体系中,CA往往一开始就被假定是可信的。然而,CA也是一个商业化机构,在不受监管的条件下,CA公司管理上出现问题也往往造成证书滥发,从而使得证书信用链背上信用债。


早在2013年,斯诺登泄漏的文件曾指出,美国NSA利用一些CA颁发的伪造证书截取并破解大量加密https流量,这使得CA的权威性开始遭受质疑。


直到2017年,以Ryan Sleevi为首的Google Chrome调查小组,发现赛门铁克收购Verisign后的证书部门,错误签发3万张https证书。赛门铁克证书门使得浏览器厂商对CA机构的不信任达到了顶峰,当时国际五大浏览器同时发布不信任计划。最后,全球市场份额第二的赛门铁克证书部门整体出售给Digicert,而全球30%的网站需要更换CA供应商。


CA机构的不靠谱行为,使得人们依靠CA证书辨别网站安全性,也成为了泡影。更何况当前的互联网,不再只是满足人们查询信息、浏览新闻网站门户的需要,还提供了社交、电商等与财务、个人隐私高度相关的服务,那么,打开的网页一旦被黑客入侵,其对用户的危害性也将加倍放大。


然而,和这种安全威胁紧迫性截然相反,国内很多网站对根证书大多不太重视。总体来看,主要呈现以下几大问题:


第一,网站使用者不重视“http”与“https”的区别。相较而言,https多是通过CA认证的网站,安全性较“http”根的要高些。2015年开始,国内大型互联网公司开发的网站都陆续迁移到强制https进行访问。但是,仍然有很多行业的网站并没有使用“https”,譬如酒旅航空领域的艺龙、穷游、中国航空公司等企业网站,并且很多浏览器对这些网站也并没有限制性、或提示性的标记。


微信图片_20181228173203.jpg


第二,浏览器本身也存在着技术及更新升级问题。除了显性层面的网页本身存在的安全性,比如像浏览器内核过时,不及时更新,那么可能存在的高危漏洞就比较多。这一方面,以往360浏览器表现相对较好,拥有15层的安全防御体系,并且360安全卫士也会按月修补高危漏洞。但是,行业内多数厂商仍不太重视。


并且,在底层加密算法套件这一块,也很考验浏览器厂商的安全防护能力。比如很多https网站采用了全站加密,但是由于浏览器底层加密算法不过关,被黑客钻空子的现象也比比皆是。


二、自建根证书信用系统,国内浏览器还有几场硬仗要打


微信图片_20181228173149.jpg


在赛门铁克证书门后,浏览器行业巨头Google开始着手自有CA根证书体系搭建。除中国外,Google在全球其他国家和地区相对来说还是处于垄断地位,做这事的阻力比之中国的浏览器厂商要小得多。那么,国内浏览器要创建自有根证书,重新构建证书信用链,还面临着哪些挑战呢?在响铃看来,有这么几点:


第一,对不安全的“http”网站,进行普遍性市场教育,有一定挑战。Web浏览器对用户来讲,大多还停留在“只是使用”的阶段。多数用户只会关注页面的内容,很少会去挖掘幕后的事情。在没被病毒攻击前,“http”网站和“https”网站并没有太大的区别。只有在安全威胁降临的时候,用户才会引起重视。因此,要将“http网站是不安全的”这样一个信息,进行普遍性教育,可能会存在着一定难度。360浏览器在着手自有根证书创建时,考虑到这样的一个大环境,则是通过对用户端进行警示的措施,来倒逼“http”网站使用者引起重视。


第二,技术上,需要浏览器厂商有过硬的病毒过滤技术、AI算法以及足够多的根证书大数据。百度、360、搜狗等浏览器都各有特色,或在内容进行发力,或在安全、AI等技术层面进行发力。但是就网络安全环境的建设,防护依然是当前摆在首要位置的措施,过硬的病毒过滤技术,仍是网络安全的第一道防护线。当然,其中加密算法是影响防护能力的重要因素,360本就以安全软件起家,目前拥有“支持国密算法,支持国密双向证书校验”的优势,而且11年的积累,也有着足够多的根证书大数据。


在CA证书信任危机之下,以安全防护起家的360浏览器自建根证书系统,也是情理之中。一方面,通过操作系统信任的根证书积累数据,另一方面也积极自建根证书信任数据库。但360浏览器的规则显得较为强势,即如果360浏览器认为某根证书有威胁,即便是系统默认信任的,360也会对其移除。因而,其具有一套自己的安全判断逻辑,对自建的根证书信任库赋予了更大的权重。


第三,根证书认证过程中,CA的配合度很关键。互联网要有强大的议价权,则其必须具备一定规模的用户群。拥有近4亿用户的360浏览器,还是具备一定的实力,因而CA有配合的理由。其认证过程,包括CA申请、信息验证、批准请求、预置测试、正式信任五个部分。策略上,360浏览器先是号召CA主动参与,借助技术实现聚集CA机构以及完成初步审核工作,而具体材料的审核则采用人工审核的方式,以更为审慎严谨的态度,来增强360根证书体系的信任度。


显然,360浏览器在做纯公益性的安全体系建设,是真正愿意花大人力、物力来解决这件事情,决心也可见一斑。


三、没有商业价值也要不遗余力去做,360浏览器到底图啥?


近来,社会价值投资联盟以沪深300成分股为对象,从社会、经济和环境综合效益为评估模型,评选出了“义利99”榜单,中国建筑、万科、京东方等企业都囊括其中。他们认为,只有满足了社会的需求,才能真正创造价值,而收益、收获也是自然的结果。


社投盟的这一行径,某种程度上也说明了在当今的企业家价值体系里,对于企业所创造的价值评判,或又多了义的维度。企业家们在掌舵前行方向的同时,可能会更关注自己的企业能从哪些角度切入,怎样赋能用户或合作伙伴。这或许是360浏览器明知创建自有根证书体系,没什么商业价值,但是仍乐此不疲的原因所在。响铃认为,360浏览器做这件事,至少能带来三大正面反馈。


1、可以为行业净化网络环境,提供一个新方向。在互联网成为各行各业标配的同时,互联网企业也随之壮大,但是网络环境依然存在着诸多威胁。比如黑客可以通过利用浏览器和flash的0 day漏洞,加载含有越权漏洞的代码控制计算机系统;可以通过网页脚本,访问恶意网页的计算机进行挖矿。利用杀毒软件阻击黑客攻击是一方面,但如果换个角度,如360浏览器和谷歌所进行的根证书信任库建设的浩瀚工程,从病毒通道层面进行阻击,也不失为一个好方向。


2、可以更深层次引导行业发展方向,创建更“干净”的盈利模式。从Google、百度等浏览器巨头的盈利模式来看,广告收入依然占据大头。像Google模式中,更是将精准触达率作为广告收费的标准,这是站在用户角度思考问题,因而更看重用户的体验感。这也是中国浏览器发展的方向,因此,360浏览器重塑根证书认证信任链,亦是在为用户创建一个信任、安全的社区生态,从而增强用户对内容的信任度。最高级的广告应该是润物细无声,未来,广告的部分理应让渡给内容及用户体验,并且精准触达,AI及算法为这种盈利模式更为精细化提供了可能。这样一来,相较于以前,广告渗透转化的效率也会因干净的环境而变得轻松一些。


3、用户有了更信任、更安全的上网环境后,又能反哺浏览器。当前,业内主要浏览器都将重心锁定在内容和分发上,实际上对用户来讲,安全也是很重要的一个方面。事实上,大多用户在这一方面,本就是假定信任浏览器厂商的。因而,像百度、360浏览器等常用浏览器厂商,他们肩上的担子也就更重。


诚然,改善内容输出的精准性、丰富性以及获取信息的便捷性,确实能改善用户使用体验。但网络安全,则决定着用户使用该浏览器的频率,毕竟电脑总是被黑客攻击是一件很闹心的事情。因而,内容与安全应该是两手抓,毕竟由用户使用的安心度,所带来的“流量黏性”的指标反哺,更为难得。


从短期来看,360浏览器自建根证书体系并不赚钱。但是,长远来看,却能够赢得更多用户的信任。而且,在主动承担行业责任的时候,也使得360浏览器本身的威信能得以提升。未来,在互联网信任体系中,浏览器等工具类厂商所能创造的社会价值,将变得更加重要。


猜你喜欢

支付宝:全球用户数亿超过9亿,比2016年增长一倍

用户支付宝

​11月28日消息,支付宝正式对外宣布,支付宝全球用户数已经超过9亿,其中,在国内的活跃用户中,70...

2018-11-28

用户流失?增长乏力?2018易观A10峰会打算这么干...

用户易观

由易观主办的“2018易观A10大数据应用峰会”,将于2018年10月26-27日在北京盛大启幕。

2018-09-14

原创

区块链的利润分配:20%归金融,80%归生产!

区块链

近日,据Cointelegraph auf Deutsch报道,德国联邦议院金融稳定委员会(AFS)...

2018-06-29

曾响铃

响铃:从艾媒季度监测报告,看混战后在线音乐的稳态格局

QQ音乐网易云音乐虾米音乐在线音乐

在“大共享,小独家”的音乐版权格局下,音乐生态正成为竞争的主基调。

2018-06-29

原创

站在改革开放40年的节点上,大企业如何引领高质量发展

企业创业者中关村西区论坛天津大学

今年6月15日,中关村西区论坛首次移师天津,在津门大地上,掀起中国大企业把脉时代动向、引领高质量发展...

2018-06-29

原创

投资家网快讯 | 加推科技获红杉、IDG资本领投1.68亿A轮融资

IDG红杉资本中国基金加推科技

投资家网6月29日消息,加推科技公司宣布近日完成1.68亿元A轮融资,领投方为红杉资本中国基金、ID...

2018-06-29

智能相对论

“互联网+教育”陨落后,AI加持下的智慧教育怎么才能全面落地?

AI智慧教育

近日,随着教育部《高等学校人工智能创新行动计划》的提出,5G、云计算、大数据等技术发展日臻成熟,人工...

2018-06-29

原创

投资家网快讯 | 打造最强儿童AI大脑,图灵完成3.5亿B+轮融资

AI图灵中一资本前海梧桐母基金

投资家网6月29日消息,专注于打造最强儿童AI大脑产品研发的人工智能公司图灵宣布完成3.5亿元人民币...

2018-06-29

原创

投资家网快讯 | 奢侈品共享平台“星洞”获6000万元Pre-A轮融资

青山资本章子怡天图投资前海母基金

投资家网6月29日消息,全球奢侈品共享平台“星洞”获6000万元Pre-A轮融资,天图投资领投,前海...

2018-06-29

原创

优信上市首日股价逆市涨逾7%|投资家日报

百度拼多多优信

优信昨晚(6月27日)正式登陆纳斯达克,股票代码“UXIN”,开盘价10.4美元,较9美元的发行价上...

2018-06-28

原创

51%攻击!比特币现金危险在即!这个币圈“恐怖分子”卷土重来!

比特币币圈

在比特币诞生之初,中本聪为这个“游戏”设计了一个有意思的规则——51%攻击,这个巧妙的设计使得在比特...

2018-06-28

原创

疯狂!这支NBA队伍居然在球场上“挖矿”

区块链

香港证监会(SFC)近日发布2017-2018年报,在年报中,香港证监会表示,新技术将会给投资者带来...

2018-06-28

投资家网(www.investorscn.com)实时提供专业的创业、投资资讯和深度分析。长按右侧二维码添加"投资哥"可与小编深入交流,并可加入微信群参与官方活动,赶快行动吧。

创米科技李建新:智能门锁行业需要有责任感的企业共同把蛋糕做大

作为智能家居的重要组成部分,智能门锁开始走进千家万户。6月5日,创米科技在北京“创米小白2019发展...

栗浩洋公布松鼠AI五年成绩单:覆盖200多个城市,注册学生200万

乂学教育/松鼠AI创始人栗浩洋在大会上发表精彩演讲,他表示,“希望用AI给教育行业带来一个真正的改变...

英诺李竹:未来中国有三大红利,我看好两个方向,给创业者三点建议

李竹预测,未来3年、10年,甚至是20年,将有三个主要红利出现。

智能门锁践行者nokelock:4年坚持自主研发,为B端C端带来极致体验

2020年时,智能门锁需求量或将突破3500万套,若以产品单价1000元计算,智能门锁无疑会催生出一...

他14岁辍学借600元开始创业,32年后身价300亿缔造400亿家居帝国

1966年,车建新出生在江苏常州一个普通的农村家庭,家里条件很差,童年时的车建新并没有多少玩乐的时光...

“中信双创x下城国投”投融资对接会,联手动点科技响彻2019全国“

“中信双创x下城国投”投融资对接会,联手动点科技响彻2019全国“

​2019年全国“大众创业·万众创新”活动周系列活动之一的“中信双创x下城国投”投融资专场活动,在杭...

浙江德清县副县长金明龙一行到访投资家网

浙江德清县副县长金明龙一行到访投资家网

2019年6月12日下午,浙江德清县副县长金明龙一行来我司考察,就招商合作与投资家网合伙人李琳进行了...

大授权时代,品牌IP该怎么玩?

大授权时代,品牌IP该怎么玩?

近日,美国拉斯维加斯国际授权展(Licensing Expo)在美国拉斯维加斯举办,Licensin...

券商首席空降,深度解读科创板|野马财经科创论坛火热启动!

券商首席空降,深度解读科创板|野马财经科创论坛火热启动!

券商首席空降,深度解读科创板|野马财经科创论坛火热启动!

【移动战略说·第十五期】创业者面临的机遇与挑战(成都站)

【移动战略说·第十五期】创业者面临的机遇与挑战(成都站)

经济高速发展的时代,消费者需求越来越高,创业政策的放宽,大量谋求改变命运的创业者涌入市场,创业早已不...