你给坏人盯上了

给坏人盯上了

       要是独身一人，拎着几十万现金透明袋子，走在广州的大街上，会怎么样？在信息安全方面，每个人都面临相同的情况。黑客产业链蓬勃发展，保守估计达到上百亿，大部分盯的是个人用户。据说行价每个人的信息，可卖5块钱。一个小型网站怎么也得有几十万的数据，大型网站的数据量就更夸张了。拿个小型网站，几小时就可以赚几百万，这只是普通数据，要是账号金融信息、军工数据一类，价格更是难以估量，技术第一次产生如此惊人的效益，只是这效益以破坏为目的。这个圈子里有太多的传说，一夜暴富，开上跑车，光鲜的背后，都是孤独的夜晚荧光屏前相伴的一堆啤酒罐和烟头。

       很多人觉的这些故事距离自己很远。其实黑客无所不在，他们的影响在你每天的工作生活里。

比如手机，敬请期待7月份信心专刊《手机安全那些事儿》"，如何快速入侵andiod/iphone手机，拿到通讯录，相册，短信等信息，及与手机关联的其它机密数据。

比如微博，新浪微博和腾讯微博是国内影响最大的两家。这几天爆出来的问题，包括以前发生过的，这类应用都容易受到跨站蠕虫的影响。国外的facebook/twitter都曾出现类似问题。表现就是只要登录上自己的页面，或查看消息等操作，就会自己follow某人，或自动发评价，发消息，加评论等许多非本人意愿的操作。有的问题甚至会直接执行本地命令。比如http://www.wooyun.org/bugs/wooyun-2010-07465描述了QQ打开消息或聊天记录，就会触发执行本地cmd命令，类似的问题也影响到新浪微博客户端 及其它IM工具上面。能够本地执行cmd命令，就意谓可以做任何事了，和你坐在桌面前操作机器没多大区别，资料和机器都控制在黑客手中。其它更多有趣的东西，可参考wooyun.org上面的报料。在http://www.wooyun.org/search.php页面搜索新浪、腾讯，或你知道的那些国内知名网站作为关键词，都可以看到很多有趣的东西。一切都不是宣传的那样，真相往往隐藏在雾纱般的表面美好中。

不玩微博的人也有很多，但总得吃饭吧。订餐网站许多都有问题，上几周还有网站存在一个很弱的漏洞，可以直接拿上面60万左右的会员资料。这是小网站。更大的，比如几大快递公司，大部分人应该都用过快递吧？http://www.sto-express.com.cn/sites_details.asp?areaid=1，这是申通的一个sql注入漏洞，到目前也没有修补，实际已经存在很长时间，光上报就5次了。其它快递网站都差不多，没有精力去做好安全。阿里巴巴有很强的安全团队，很多年前就重视安全了，而且业务涉及金融，应该在安全方面做的很好了吧。其实http://www.alifest.alibaba.com/flash_upload.php?modelid=1也有个注入点，http://rate.taobao.com/detail_rate.htm?userNumId=52159911&auctionNumId=5910946847&showContent=2&currentPage=1&ismore=1&siteID=7另外还有淘宝用户信息的泄漏渠道，以及阿里巴巴内网，内部客服，店家小二维护平台等攻击渠道。而其它电子商务网站，比如京东，当当，亚马逊，易讯，china-pub等都不断出现重大安全事件，重大到外人难以想像的程度。国内所谓专业安全厂商也被经常入侵，几大门户几乎常年不断的安全入侵事件。

确实也有人从不用电子商务，买东西只去商场。但有钱人总会旅游出差，坐飞机和火车吧，或者有辆车，比如航空公司，旅游网站，交警违章查询平台，这些渠道都可以找到大量信息。三月份发生在西南的某事件，几小时后就有人通过机票查出若干信息来。有经验的老手，往往通过一个名字，甚至没有名字，只是一个贴子，一幅照片，就找出目标的姓名，工作，家庭情况，银行账号，手机，住址等信息。说到这儿，你想知道姚晨、徐静蕾、徐熙娣小S、杨幂 、谢娜、王力宏、赵薇、何炅 、蔡康永这几人的手机号吗？这是新浪微博top10的名人，按图索骥可以完全了解一个人，甚至他/她真实的性格习惯。

信息的泄露，常常不是自己做的如何好就可以避免。保存在其它网站(应用)的信息，象罗布泊一样神秘，不定哪儿就可陷进去，由沙漠一下变为汹涌的地下河，这些信息彼此交叠，单看一点没多大意义，串起来就是澎湃的河水，能冲跨任何东西。

针对企业或国家的APT攻击，早就报道出来。只要在这个星球上，人人躲不开这种影响。有部电影发生在现实， big brother is watching you。实际上，你早给坏人盯上了。