如果不安全,WEB2.0还有明天吗?

评论

王培垠 · 2006年1月2日

WEB2.0时代所带来的眼花缭乱的服务已日渐被人们熟悉并信任。不过这一切改变是这么突然、优雅而又美好,没有人担心这些服务可能会让我们自己处于某种危险当中。遗憾的是针对WEB2.0服务的攻击已经实实在在地发生了。

我们被劫持了

2005年11月4日20时58分,一位网名叫做scavin的网虫(http://www.lzzxt.com/)突然发现他自订阅以来一直运行正常的RSS加油站的RSS源中(http://rss.blogbeta.com/)出现了很多色情内容。

异常的内容立刻刺激了他神经,他当即通知了RSS加油站相关服务提供商。技术人员本以为这只是某个账户被破解而导致的个别现象,但通过排查其他账户,才发现其他一些未曾公开的订阅源也已经遭到攻击,被指向了一些五花八门的色情内容。

虽然技术人员通过手工强制同步后发现部分处理过的订阅源恢复正常,然而通过FeedBurner自动输出的订阅源的问题依然没有解决。时间一分一秒地过去了,用户的投诉和抱怨的消息不断传来,再经过技术人员的艰苦努力之后,攻击终如潮水退去般悄无声息地消失了,订阅源又莫名地恢复了往日的“平静”。

这一切来得突然,去得也突然,不过对手始终没有留下踪影。有人认为这是对RSS服务的一次示威,有人判断可能是服务器的DNS服务被人“黑”了,还有人说是订阅生成程序被攻击了。虽然对于这次攻击行为众说纷纭,但毫无疑问作为WEB2.0代表技术之一的RSS被电脑显示屏后面某位神秘人物活生生地劫持了。

而在以前早有专业的安全厂商趋势科技警告过大家新型的蠕虫病毒会通过RSS进行传播。特别是在新版IE加入RSS功能后,通过RSS的普及,包括蠕虫攻击,RSS劫持,恶意代码相关类型在内的攻击,会相继发生。

Feedsky的负责人吕欣欣谈到此事时讲道:“虽然以前为RSS攻击作了充足的安全准备,但是攻击来得这么快这么强,实在是有点措手不及。”RSS从出现至今已经快6年了,从当初的默默无闻到现在的大红大紫,RSS像一个暴发户一样不愿意别人了解他的弱点。

无独有偶,国外一位叫做Erik Marcus的播客最近也比较郁闷。他自己亲力亲为的两个播送节目Vegan.com 和Erik's Diner也被一个叫作Podkeyword.com的网站抢走了。而国内Blogbus.com、中国博客网blogcn.com等博客服务商也是屡遭攻击。

现在整个WEB2.0的产品和服务正逐渐地流行开来,如果一味地去追求WEB2.0的市场价值前景而忽略它本身的基础安全问题,网络上花样繁多数以千计的WEB2.0产品和服务只能成为黑客攻击和练手的潜在对象以及病毒传播的帮凶。宽带时代的高速路上行驶的WEB2.0应用,要想赚钱首先就不能翻车。

1-a12-1-1.jpg
1-a12-2-1.jpg
2005年11月4日20∶46截图,图片显示RSS加油站的RSS的订阅内容已经被未知黑客替换成一些色情内容。

保卫WEB2.0安全刻不容缓

当对WEB2.0的体验成为自然的时候,人们总是对WEB2.0带来的冲击和利益津津乐道,却鲜有人谈及WEB2.0服务的可靠性和安全。一个时代总会有它自己的烙印,而在生活与互联网的界限日益模糊,针对互联网内容的攻击本身将给我们生活带来巨大的灾难。

你可能难以相信自己的博客内容被偷梁换柱;或者某天打开喜爱的RSS订阅却发现取回的是垃圾信息;抑或是在播客中听到了不知所云的咨询和陌生的声音。如果面对WEB2.0如此脆弱的安全性,那么你还能大胆参与进去吗?基于WEB2.0的商业模式还能得到市场认可么?

在WEB2.0时代,用户把服务打包带走的同时,也把危险打包带上了。网络安全永远是一场没有硝烟的战争,谁都逃不过与那些看不见的影子敌人较量的命运。

网络攻击只是WEB2.0安全问题的冰山一角。此次RSS攻击并未造成很大的影响,原因在于RSS服务还不是很盛行。美国系统网络安全协会(SANS Institute)发布的20大互联网安全隐患排行榜,WEB相关的服务是作为其首要“通缉”的安全问题。未来更是如此。

在WEB2.0的热潮中,关于分享、协作、可信赖的互联网精神正在广大网民中逐渐发酵引起强烈的反响。然而问题在于现在诸多以六度理论为基础的圈子服务倡导实名化,当人们用真实身份上网的时候,个人隐私被偷窥的风险大大增加了,这几日正被媒体热炒的“搜人引擎”信息源虽不是来自WEB2.0,但未来发生类似的事件,几乎是必然发生的事情。

试想一下,当你辛苦写作的博客文章甚至你的声音、容貌都可能被别人无情地剽窃,到那个时候你还敢继续自己的WEB2.0 吗?

随着WEB2.0服务的日益推广,它的安全问题将会逐渐演变为一个社会问题,而并不只是针对服务产品本身的技术攻击才进入我们对WEB2.0安全的关注范围。网络安全只是微观技术层次上的重点,而宏观上还包括知识产权、垃圾信息、个人隐私保护等诸多的社会法律问题,但无论微观或者宏观安全问题他们都把打劫的目标放到了用户体验注意力和隐私等信息安全上面了。

保卫WEB2.0的成长安全刻不容缓,安全问题一天不解决,商业化就是水中望月。

同时,WEB2.0时代的用户也是内容的建设者。为害和受害的可能性都在这个特殊的时代被无限放大到了他们的身上。在WEB2.0时代谈安全,将是一个涉及面更广、程度更深的系统工程,业界在萌芽阶段对它的重视,将会使自己在未来安全战争中处于更有利的地位。