瑞星2012年中国信息安全综合报告
2013-01-23 10:09:49三、个人隐私信息安全
瑞星安全专家介绍,随着几起重大网络泄密事件的发生,个人隐私信息泄露问题已成为社会焦点,国家有关部门对此高度重视,并于2012年底颁布了《关于加强网络信息保护的决定》。在本年度的《瑞星2012年中国信息安全综合报告》中,瑞星根据对黑客、信息贩卖团伙等不法组织的跟踪分析,首次在国内揭露公民个人隐私信息完整的地下产业链。
图13:国内个人隐私信息地下产业链
(一)隐私信息买卖及非法远程监控工具泛滥
1. 隐私信息成为不法分子的生财之道
近年来,各种垃圾短信、推销电话已成为大多数人日常生活中无法回避的烦恼。进入2012年,这类现象呈愈演愈烈的趋势。据了解,个人姓名、住址、E-mail地址、联系电话甚至是身份证号码、驾照信息和车辆行驶证信息等都可以在网上买到。
图14:非法提供个人隐私信息的广告邮件及QQ群
“一套隐私信息可以反复售卖,这种生意一本万利,所以诱惑性极大。”瑞星安全专家介绍,黑客利用社会工程学原理及许多现代化手段大量套取用户信息,然后将这些信息卖给“下家”,而“下家”则利用自己手上的资料群发短信或者利用邮件渠道推销这些隐私信息。同时,他们还会在网上公开发布广告,使用搜索引擎或者聊天工具也可以搜索到他们。
2. 非法远程控制软件盗取私密信息
相较于大面积的个人身份信息泄露,非法远程控制软件则成为了个人机密信息的泄露源头。报告期内,瑞星“云安全”系统就拦截到不少专门提供监听软件的网站。与正规的远程协助软件及企业信息安全监控系统不同,该类远程控制软件会采取一些不正当的手段规避杀毒软件的监测,同时还会修改被监控电脑的系统日志,以实现“隐身”的目的。
图15:非法远程控制软件销售网站
瑞星安全专家指出,“这类软件多数都是带有恶意的远程控制程序,它能由监听者强制安装在被监听的电脑上,并监视对方的所有动作。有些甚至可以读取、修改或转移对方电脑上的任意文件,并强制开启摄像头。最近出现多起名人隐私照片、视频泄露的事件,跟该类软件的盛行不无关系。”
(二)公民个人隐私信息泄露原因分析
1. APT攻击及网络钓鱼成为信息泄露的重要源头
目前,套取个人身份信息的方法主要有两种——APT攻击及网络钓鱼。现今,大多数网站都要求用户提供一些必要的个人身份信息,才能使用某些扩展性服务。而黑客看重的正是存储该类信息的企业服务器。通常,他们会花费几天到几个月不等的时间,对目标服务器进行渗透,然后找到该服务器的系统漏洞,进而获取服务器的控制权限,盗取数据库内的重要资料。网络钓鱼则是仿冒一些知名网站,再利用社会工程学原理,诱骗用户在网站上填写个人信息。瑞星安全专家指出:“无论是APT攻击还是网络钓鱼,都可以大量获取个人身份信息,造成大规模隐私信息泄露。”
2. 第三方外包泄密风险大,涉密人员素质参差不齐
目前,无纸化办公、电子政务等技术逐步成熟,用户的个人信息被大量采集用于公共事业管理及服务行业。许多单位、组织,在维护这些信息系统的时候,都选择雇佣第三方外包公司。然而,这样做虽然节省了人力、物力,却使得用户隐私外泄的危险性加大,各类企业、单位、组织的核心数据库都处于外包公司的管控之中。
与此同时,从行业角度上讲,近年来我国的互联网技术发展极快,市场规模也呈几何式增长,然而从业人员的职业素养却一直落后于行业发展速度。2012年爆发的上海特大个人信息泄露案就是一个典型的例子:涉案人员张某是承接卫生局数据库维护的运维公司技术部经理,他利用工作之便,每个月都会从家里访问卫生局数据库,从中下载大量用户隐私信息,并将这些信息转手倒卖给他人。
除此之外,近年来全国各地的公安机关都开展了打击侵害个人隐私的专项行动,抓获相关犯罪嫌疑人1,700余人。由此可见,提高涉密人员职业素养、加强企业信息安全管理制度的建设已经迫在眉睫。
3. 信息安全防护意识普及率低
虽然部分业内人士表示,目前杀毒软件的普及率已经超过90%,然而信息安全现状却并不乐观。“其中一个重要的原因是信息安全防护意识薄弱”,瑞星安全专家指出,目前无论是个人用户还是中小型企业用户,普遍对信息安全保护缺乏正确认识。许多个人用户认为,只要安装了杀毒软件或者防火墙,就可以高枕无忧。但是,互联网环境却时时变化,近年来网络钓鱼愈演愈烈,各种诈骗手段更是层出不穷,网民稍不小心就会误入不法分子设下的圈套,被套取隐私信息。
而对于企业用户来说,许多企业为了节约运营成本,只安装免费的个人版杀毒软件,这是相当危险的,尤其是一些对保密性要求较高的行业。因为个人版杀毒软件无法解决病毒在企业内网交叉感染的问题,更不可能对病毒大面积爆发、ARP攻击等重大安全事件进行追踪定位,甚至就连简单的杀毒软件升级都不可能做到全网统一。在这种情况下,员工一个小小的违规操作就有可能给黑客带来可乘之机。一旦企业内网遭到入侵,所有存储于IT设备上的数据就将暴露给黑客。
(三)隐私信息泄露带来严重危害
1. 个人身份信息泄露恐导致严重后果
“垃圾短信和骚扰电话并不是最严重的后果。”瑞星安全专家指出,不法分子有可能利用网民的身份证号码、复印件、电子扫描件等信息冒名申请电话卡或信用卡,并恶意透支。除此之外,像汽车驾驶证、行驶证等信息,也可能被不法分子利用伪造“套牌车”。届时,该“套牌车”的所有违法行为,均将记录在被“套牌”的车主名下。
2. 大规模数据泄露今后将严重影响企业生存
在信息化时代的今天,企业间的竞争愈加激烈,用户群已成为许多企业的生存命脉。用户资料一旦泄露,企业所面对的不止是同行业的争抢瓜分,还将面临来自公众的信任危机。同时,对于很多靠虚拟货币盈利的互联网企业来说,用户资料的失窃很有可能意味着用户账号内的虚拟财产被滥用,企业也将面临巨大的经济损失。
(四)立法保护才是个人信息泄漏的根本解决之道
从2012年国内发生的几起个人信息大规模泄露事件上可以看出,互联网行业需要一个明确的法律规定来约束公民个人信息的收集者及相关涉密从业人员。同时,为从根本上震慑非法窃取个人信息的不法分子,网络实名制也势在必行。有业内人士指出:盗取个人隐私信息的不法分子,在网上从事非法活动时多没有登记真实信息,这些人不在公安机关的监控当中,导致一旦出现个人信息泄露事件,执法机关往往面临取证难、查处难的困境,对该类事件的处理效率也会随之大打折扣。
为解决上述问题,人大常委于2012年12月28日通过了《关于加强网络信息保护的决定》。决定明确了一个重要原则,就是国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。同时,该决定还对个人信息收集者的义务作了多项规定。这对肃清行业秩序,建立行业规范,引导行业健康有序发展,起到了至关重要的作用。
