IEEE泄10萬會員信息軟硬件工程師安全意識好不到哪里

2013-12-11 11:04:11 北極星電力網　點擊量：評論 (0)

據國外媒體報道，IEEE(電氣與電子工程師協會)泄露10萬名會員的用戶名、密碼和上網活動記錄等信息，其中部分是蘋果、Google、IBM和其他大公司的員工。哥本哈根大學助教拉度·德拉古辛(RaduDragusin)發表博客稱

據國外媒體報道，IEEE(電氣與電子工程師協會)泄露10萬名會員的用戶名、密碼和上網活動記錄等信息，其中部分是蘋果、Google、IBM和其他大公司的員工。

哥本哈根大學助教拉度·德拉古辛(RaduDragusin)發表博客稱，這些敏感信息包含在100GB的IEEE網站日志文件中，在至少1個月的時間里，這些日志文件能被任何用戶公開訪問。

德拉古辛稱，他在緩沖文件中發現的99979個用戶名占IEEE41.1萬名會員的約24%。德拉古辛稱，“這次信息泄露事件是令人遺憾的，在缺陷修正前不知道有多少人獲取了這些信息。如果說讓包含有100GB日志的FTP目錄公開讓人訪問是訪問權限設置方面的一個小失誤，以明碼方式保存用戶名和密碼是更大的麻煩。”

德拉古辛表示，日志文件記錄了1個月內對ieee.org網站的逾3.76億次請求。

德拉古辛提供的分類數據顯示，部分密碼被大量IEEE會員使用，只需利用Hashcat和JohntheRipper等簡單解密工具，這些密碼在不到1秒鐘時間內就能被破譯。密碼“123456”被使用了271次，“ieee2012”、“”、“9”和“password”被使用的次數分別是270、246、222和109次。

IEEE發言人發表電子郵件聲明稱，“IEEE已經得知用戶名和密碼泄密事故，我們已經進行了徹底調查，問題已經得到解決。我們正在通知可能受到影響的會員。IEEE非常重視保護會員和客戶隱私信息安全。我們對這次泄密事件以及由此造成的影響表示遺憾。”

近年來，隨著市場競爭的激烈化與網絡攻擊技術的飛速發展，CSDN數據泄露等安全事件爆發的頻率越來越高，國內外信息安全形勢變得日益嚴峻。在信息攻防戰中，信息系統內部的重要數據通常是攻擊者發動攻擊行為的驅動力和重要目標，同時也是用戶著力保護的對象，圍繞數據機密性與完整性展開的安全保護工作逐漸成為信息安全建設的重心，同時也是橫亙在用戶面前的一道重要命題，引起了用戶、專家、信息安全產品與服務提供商等業界各方的廣泛關注。

數據機密性與完整性難以兩全？

信息安全建設是一項復雜的系統工程，內容涵蓋物理安全、系統安全、網絡安全等等，數據安全是其中較為重要的一個環節。國家標準《信息安全技術-信息系統安全等級保護基本要求》（GB/T22239-2008）明確指出，在基本安全要求中，技術類安全要求與信息系統提供的技術安全機制有關，主要通過在信息系統中部署軟硬件并正確的配置其安全功能來實現。根據保護側重點的不同，技術類安全要求細分為數據保護、系統服務功能保護、通用安全保護三大類，其中數據保護是信息安全建設的重要目標和核心內容。

“保護數據，要保護數據的什么？我們必須清楚，保護數據就是要保護數據的安全屬性不被破壞，也就是保護數據的機密性（C）、完整性（I）和數據的可用性（A）。”信息安全專家陸寶華指出，由于數據的可用性是建立在數據的機密性、完整性及系統的可用性基礎上，而系統的可用性實際上是對系統服務功能的保護，所以，“從保護數據的角度看，我們只要注重保護數據的機密性和完整性就足夠了。”

從安全策略的角度看，數據機密性保護和完整性保護是相互矛盾的：數據機密性是指信息不能被非授權者、實體或進程利用或泄露的特性，可以通過禁止“向上讀、向下寫”的策略，確保數據不會被泄露;而數據完整性是指數據沒有受到非授權方式所做的篡改，同時也沒有出現未經授權的使用情況，如果充許“向上寫、向下讀”，那么高安全等級的數據就有可能被低安全等級的用戶、進程等主體篡改，數據完整性將沒有任何安全保障可言。

那么，在安全風險變化難測的信息化應用環境下，如何兼顧數據的機密性與完整性保護，最大限度地提升數據的安全水平？

“問題”系統難以承載安全構想

在IT系統架構中，操作系統是計算機資源的直接管理者，承載著大量重要的數據信息和關鍵的業務應用，在數據保護中占據著非常重要的地位。為了提升數據的安全性，國家標準《信息安全技術-操作系統安全技術要求》（GB/T20272-2006）對數據機密性和完整性制定了詳細的規范，例如在三級操作系統的數據機密性保護方面，要求“非授權用戶不能查找系統現已分配給他的記錄介質中以前的信息內容”;數據完整性方面，GB/T20272-2006建議為主體和客體設置完整性標簽，并建立完整性保護策略模型，保護用戶數據在存儲、傳輸和處理過程中的完整性。此外，GB/T20272-2006還從磁盤掃描、邏輯隔離等方面制定規范，增強三級操作系統對數據機密性和完整性的保護力度。

然而，在實際應用中，國內普遍使用的操作系統大多數來自國外，根據TCSEC標準安全等級為C2級，低于國標GB/T20272-2006第二、三級操作系統的安全水平，存在超級管理員（root/Administrator）權力過度集中的問題，攻擊者一旦通過非法手段獲得管理員權限，就可以對數據機密性和完整性進行破壞。