(这条文章已经被阅读了 153 次) 时间:2000-06-09 22:21:13 来源:杨光 (北方狼) 原创-IT
昨天刚刚和一个黑客朋友在成都聚了聚,今天就听说了安氏互联网安全系统(中国)有限公司中文网页被黑事件。ISS公司也是全球网络安全界实力最强的大型公司之一了,连美国总统克林顿也要邀请其创始人克瑞斯托弗-克劳斯做自己的私人网络安全顾问。这次国内的黑客趁其到中国访问之际,黑掉ISS公司的中文网站,摆明了是要给克劳斯好看。被修改主页的大意是奉劝ISS不要自负和野心勃勃,中国人有能力保卫自己的网络安全。并且将ISS公司总裁的照片改成了网易公司总裁丁磊的照片。话到是说的冠冕堂皇,可是,浩子在此想问这位自命不凡的黑客一句:这么做,是侮辱了老外,还是侮辱了咱们自己?
国内安全界一直就有一些很不好的风气。正如Frankie曾说的那样:“藏私的藏私,破坏的破坏,低水平抄袭的更是比比皆是,没有几个人真正在安全方面作研究,热衷去重复别人的过程而不去做自己的创造,拿的出手的国内原产的安全文献却寥寥无几。”真正说到技术实力,国内当以30所,绿盟,安络等公司为首。可就算是这几家公司,在安全市场上的占有率也少得可怜,绝大部分的市场都被国外几大著名厂商所占据了。原因很简单,除了技术实力上还是和别人有差距外,国内的安全市场并未建立起来也是重要的因素。记得以前国内“红客”大规模攻击美国,台湾,日本等地站点时,有人洋洋得意的告诉我:那些站点实在是太逊了,漏洞多的无以复加。可是,我们自己的商业站点又怎么样呢?我想,就不用再多说了吧,现在有几家公司真正认识到了安全的重要性呢?
关于IIS中文网站被黑的事件,据最新的消息,那个自以为克劳斯脸上画了个大花脸的家伙搬起石头砸了咱们中国人自己的脚。据IIS发表的声明透露:“安氏中文网页(www.iss.net.cn)设立的主要目的只是为了宣传介绍中文版的ISS产品动态和有关产品资料,详细内容全部链接美国ISS站点(www.iss.net)。中文网页只是一个宣传界面,为中国的用户提供中文服务,并不是一家专业网站。而被入侵的中文网页采用的是虚拟主机(该网页暂时关闭),目前托管在一家ISP服务商,该虚拟主机的安全、性能完全由其负责,安氏(中国)公司不拥有此主机的安全管理和控制权。该ISP服务商的服务器上同时还提供其他十几家公司的虚拟主机服务,到目前为止,该服务商没有安装ISS的任何相关安全产品。所以,ISS认为这并不是一次真正意义上的对ISS的入侵事件,它实际上攻击的是国内的一家ISP提供商。在其声明中,ISS意味深长的说道:“安氏(中国)公司全新的中文站点(www.isschina.com)将于近期推出,公司愿意对能够发现该新网站(www.isschina.com)安全漏洞的朋友给予重奖。”
那个倒霉的黑客忙活了半天,结果黑掉的只是咱们自己的一个虚拟主机提供商“你好万维网”。IIS根本就对此不感兴趣,还主动放出话来:这个主页咱们早就不要了,你费什么劲阿?有本事来试试这个,你攻进来了我还重奖你。写到这里,浩子真觉得有点哭笑不得,本来是想出别人的丑,结果出的是咱们自己人的家丑。何必呢?咱们那一大堆的虚拟主机提供商,大部分是租借电信局的机器,那些机器的安全性能之差,早就是业内公开的秘密了。据一个也是做这行的朋友告诉我:他在租借主机时,电信局的几位技术人员连安装WINDOWS NT一大堆补丁的正确顺序都不知道,就别提对NT常见漏洞的了解与补救了。还有些主机的口令非常之弱,轻而易举就可以被有经验的黑客猜出来。国内网络安全意识之差,可见一斑了。就算是国内的商业站点,政府站点,公允的说,安全性能和国外的相比,也是很有一段距离的。很多大型的网站都曾经遭到过多次攻击。虽然报道的很少,但是损失绝对不小。所以说,与其在那里和国外的大牌厂商叫板,我看还不如把时间拿出来,好好对国内网络界进行安全普及教育。
ISS中国网站这次被“黑”应该说只是暴露了该网站管理上的问题,被“黑”同ISS产品安全防范的能力高低并没有关系。至于那位黑客下一步将如何动作,浩子非常感兴趣,相信他不会就此罢休,也许还将继续和ISS等国外安全公司斗下去。只是奉劝你小心,小心,别再做出这种遭人耻笑的事情,想一想咱们国内安全界真正需要的是什么,好么?