自从3月18日263集团宣布终止所有免费邮件服务以来,除了在互联网界引发了一场"地震"以外,263此举招徕最多的恐怕是声声责难和官司缠身以及客户流失数字的报告,然而,最近又有观众打来电话说,263邮箱存在重大的安全隐患,这无疑是对263邮箱所谓的高速度、高可靠性、高安全性的极大挑战,到底263邮箱存在什么样的安全隐患呢。
在某网络公司技术部担任系统工程师的陈正平98年底就开始使用263电子邮箱,可以说对263天下邮情有独钟,但在使用过程中发现了一个经过简单操作就能进入别人邮箱方法。
263邮箱用户:只要会操作计算机的人都能做到这一点,而且太简单不过了。
电子邮件从诞生到现在已经有三十年的历史,方便快捷安全可靠是近几年电子邮箱使用人群迅速增加的主要原因,陈正平说的如此简单,到底是什么方法呢?
陈正平:比如说我现在打开我的邮箱,你看,这个地址栏里边这个记录,等我把这个窗口关掉过后它就会保留在计算机里面,我把邮箱关掉过后,等我离开以后,别人就可以根据把这个记录给调出来,然后就直接进入到我的邮箱里去,这个记录它会存在于计算机的硬盘里面,有一个历史记录。
如果按照陈正平所说,无论263邮箱免费用户还是收费用户,只要在公用电脑上浏览信件,别人可以通过历史纪录轻松进入,私人信箱就很有可能成了一个公用信箱。那么这种情况是否普遍存在是否属于正常现象呢?我们走访了中科院信息安全专家卿斯汉。
中科院信息安全技术工程研究中心 卿斯汉 主任:我们觉得这个问题很早就提出来了,这个我们从专业术语上讲叫重放攻击,重新播放一下你过去的一些内容,通过这个手段来进入别人的机器,或进入别人的网站,这个问题很早以前就提出来了。那么重放攻击我们要防止它,在技术上也很成熟,我们的办法就是加一个时间戳,第一次进入和第二次进入的时间是不一样的,通过时间来分隔它。
其实早在两年前陈正平就发现了这个漏洞,直到263要对电子邮箱实行全面收费之际,他认为是到了非说不可的时候了,陈正平曾经致电263,却没有得到满意的答复。
他不用我的密码就能进入我的邮箱,这就是你们升级后的邮件系统,不可能它不可能出现这种情况。
这不可能是吗?
对。
正是这个263认为不可能发生的低级漏洞,当我们在采访过程中向被采访者进行演示后,人们的表情除了惊讶还是惊讶,主要原因大概是几乎没有人在公共场所用完计算机后会想到删除历史纪录。
网吧技术人员:很少,可以说是寥寥无几。
网民:我在家里或公司里上网的时候,我从来没有对历史记录什么的,我从来不动它,我现在就开始想我又没有在网吧里。
的确如此,作为中国最早的免费邮件服务提供商263已经拥有数千万邮件用户,出现这样情况是大家不愿意看到的,就在记者将要联系263了解此事时,事情发生了变化,4月5日也就是记者开始调查此事的第三天,263突然宣布,安全隐患已经消除。
263网络集团市场总监 毛新:昨天下午大概三四点钟,有一个用户打电话过来,说它可以用上面那样的一个方法,他可以重复进入他的信箱,我们这边技术人员就开始测试,测试之后发现是这个问题,发现这是一个安全隐患,于是就连夜组织技术人员开始制定解决方案,并且连夜进行处理,到今天早晨,这个安全隐患就排除了。
据毛新介绍,263天下邮用户目前使用的邮件系统是5年前开发研制的,这套系统的使用也是一个不断优化不断更新的过程,现在人们可能最为关心的是,真正到了5月21日,263用户还要使用现在这个补丁套补丁的邮箱吗!
263网络集团市场总监 毛新:现在用的这套免费邮件系统是我们购买的,到5月21号之后,263要全面的升级,升级以后所用的那套系统是我们开发的系统,就不是这套系统了。
漏洞已经弥补,用户的担心也可消除,但这件事情却给我们留下了很多问题值得思考。
中科院信息安全技术工程研究中心 卿斯汉 主任:网络时代安全是有着非常非常重要的地位,共享和安全是一对矛盾,怎么解决这个矛盾一定要提到议事日程上来。263现在及早解决这个问题比今后晚了在纠正,出了问题在纠正要好得多。其它一些网站也要重视这个问题。另外,也引起我们国家一些主管部门的重视,琢磨将来怎么样对网站进行安全认证。
中科院研究生院网络经济学专家 吕本富:这个整个问题可以叫作信息系统的监理与审计问题,这是个大问题,就是说不仅是硬件产品需要监理审计,那么软件工程包括这种服务过程它也需要监理和审计。那么目前在国内确实还没有做这样的工作,或者说做得比较少。
收费不收费也许并不是主要问题,用户选择交钱使用收费邮箱,除了更改联系方式带来的麻烦以及习惯外,可能安全、快捷也是重要的原因。现在令人欣慰的是263的这一漏洞得到了及时的弥补,但软件系统在使用过程中总会发现一些bug,如何建立一个对网站服务进行监测评估的机制,让网民不必在担心中享受服务应是我们今后共同努力的目标。
信息链接:
互联网研究室首席分析师 方兴东:让客户认为有价值的时候在收费才自然而然。
中科院研究生院网络经济学专家 吕本富:邮件安全是今后竞争的焦点。
|