主持人:明白了像您刚才提到这三条,除了这三条,在咱们国家的现行法律当中,直接跟互联网有关的法律,现在大概有多少法条。
邱宝昌:这个也有很多,包括原来最早的叫《信息传播条例》我们的国家的法规,然后就是全国人大的两个决定,现在正在起草了叫做网络电子商务交易相关规定,包括有的部门规章,像国家工商总局电子商务交易有关的规定,所以说我们这个法律也是从没有法到逐步的完善,建立了一个体系,有法律和法规相应的部门规章,但是对于网络的安全的整体的一个立法,包括它的立法的目的,宗旨采取的措施,可能需要一部完善的法律,这次网络安全的法从我们的立法的目的,到适用的范围,以及采取的措施,怎么能够确保在网络信息时代人们的各种信息隐私国家的安全、估价的主权都应该能够得到有法律的保障。
主持人:确实像您提到,现在网络安全不像1998年一样了,甚至对国家主权造成一定的危害。咱们平时经常说这个黑客,说我家电脑被黑了,我们这个系统被黑了,我们这个网站被黑了,想问一下裴博士,我们平时说这个黑,很生动形象一个词,但是这个黑,黑客做了什么,咱们管他叫黑了呢?
裴智勇:那么怎么叫黑了一个人,或者黑了一个网站,目前来说,我们生活中常见有三种主要的形式第一种我们属于入侵,就是黑客入侵了你的电脑系统,或者入侵了你的网站,那么窃走了里面关键信息和关键数据机密,那么还有入侵电脑以后,到刷你的网银账号,那么这种都是入侵式这种被黑,那么第二种被黑,是一种篡改式被黑,比如说某某网站,比如说某某政府网站发动了反共标语,或者是比如说像我们经常截获在政府网站、高校网站,他们有些页面被篡改成了我们叫做钓鱼网站,比如说一个政府网站下面放了一个二手淘宝的交易,某一个高效的网站,下面放了一个充值卡的充值中心,实际上这些都属于入侵这些网站,对网站进行一些篡改,篡改之后,从而危害到公共安全,这也是一种被黑,就是它虽然没有借据,但是它把你的东西给改掉了,把原来的应该有的事情给篡改了。还有一种被黑,实际上就是在互联网领域大家比较熟悉,但是普通公众不太熟悉,一种攻击叫做(英)攻击,那么什么叫做(英)攻击呢,对一个网站同时发起大量的无效的请求,使这个网站就是承受不了这么多访问想瘫痪掉了,像顾客很多网站一瞬间打不开,都是用这种(英)攻击的形式出现的,那么这种使网站通过这种大量的访问,使网站不能打开的攻击,实际上在商业领域非常常见,那么这个包括很多中小网站,经常受到这样一种攻击。
主持人:您看我们经常在欧美的大片当中和英美剧当中很多黑客,可能不像咱们想象那样,它是出于商业的利益,有的时候就是纯一种炫技的心态在做黑客这件事情,那么根据您的观察和分析,在国内来讲这些黑客他们主要的用意和心态分为哪几类呢?
裴智勇:那么应该来说,换在10年以前,可能我们说包括做木马、做病毒所谓的电脑高手,或者这种他们这些黑客,绝大部分都属于这种炫耀技术的性质,他们炫耀炫耀我很厉害,比如说我弄一个病毒让你的电脑强制关机,那么这种东西对于用户的损害很大,但是对于攻击者没有特别大的意义,就是说你黑了别人对你有什么好处呢,其实也没有什么好处,那么实际上来说,最近10年来随着电子商务社交网络,还有网络游戏的发展,实际上这种当你入侵别人的电脑系统的话,你就真的能够获得一些现实的经济收入甚至可能非常的客观,这个可能最近10年来,我们卡到各种网络攻击事件,黑客入侵事件,应该来说90%以上带有明显的商业色彩,和这种逐利的目的,目前来说,纯粹炫耀一下自己的黑客已经越来越少。
主持人:明白了。应该说这个网络安全像您刚才提到的,真的一定要纳入我们的视线范围当中,我们一定要重点关注这些漏洞和隐患了,稍候在一首歌曲之后,我们具体聊一聊,现在在网络上有哪些常见的漏洞,以及我们在生活当中,可能中骗子的哪些招,一起伸出手关注网络安全。
主持人:欢迎回来,这里是国家应急广播高速加油站,今天和法律专家、网络专家一起来聊一聊网络安全。最近不知道大家有没有刷微博,有一个贴子被专发到了11万,也是维权贴非常高的记录。什么原因呢?有一位女士她的手机被中国移动莫名其妙开通了短信保管箱这样一个业务,也就是说她所有的短信都会被中国移动备份一次,而在她的操作当中,每一次取消这个业务,每一次这个业务反过来给她安上,导致什么事情呢,她的手机收到银行转帐验证码之后,犯罪分子能够看到她的验证码,直接在她的账户上转走了几万元。裴博士我知道您也关注到这个事件,您跟我们说一下这是怎么发生的吗?比方说这个女士多次取消这个业务,多次莫名其妙这个业务又回来,为什么出现这种情况呢?
裴智勇:实际上我们现在看到这个网友叫做"公交机"他发的微博介绍这个事情,实际上他就属于在意外的时候收到一条短信,说自己被开启了短信保险箱的业务,他觉得很奇怪就要求这个运营商给他停止这个业务,但是被停止以后又被强制开启,反复多次以后,他就发现他银行卡被盗刷了,第一次被盗刷了9900,后来两次分别盗刷了2000元,实际上同样的案件在2014年年底的时候,实际上我们接到另外一个韩先生的报案的,也是类似的情况,但是当时我们以为这个可能是一个比较孤立的案件,但是事实上这个"公交机"这个微博发出来以后,实际上在网上已经有很多的网友遭到这样一种网络攻击,目前我们联络到受害者至少已经有5个人,他们都经历了类似的经历,我们通过对用户的手机进行检测以后,第一个用户手机并没有中木马、没有中病毒,而且它也没有访问什么钓鱼网站,也没有收到各种各样的诈骗短信,用户完全在与犯罪分子没有任何的接触的情况下,零接触的情况下发生这样的事件,它的银行卡被盗刷了,这个盗刷这个贩犯罪分子他用的攻击手段是什么呢,通过给用户开启短信保管箱的业务,最后可以阅读到用户所有的短信记录,这样实际上阅读到银行发给用户验证码记录,那么它把验证码和之前盗取用户的网银账号和密码结合使用了,盗刷了用户银行卡。那么实际上我这里给大家熟悉一下这个短信保管箱是一个什么业务,短信保管箱出现在功能机时代,就是非智能手机以前的一个功能,就是那个时候人们的手机存储量不大,很多短信存储不了这么多,这个时候运营商开启一个业务,就是说把这些短信存在服务器上,即使在自己的手机上删除了自己的短信,依然在网上查到只有的这些短信,它实际上是一个短信托管的业务,但是这个业务,目前如果被侵的话,那么也是挺安全的,但是一旦被入侵,意味着用户所谓的收发短信都可以被黑客看到,那么从而就引发了这样一场一个比较新型网络的攻击的形式造成了一些用户银行卡被盗刷的情况。
主持人:没错,咱们现在的问题,聚焦在为什么用户取消了这个功能,而且这个功能一次又一次的回来,是说现在中国移动的后台又出问题吗?
裴智勇:从我们目前跟受害者的沟通和对业务了解,应该来说,这个理论上有几种可能,这种可能不排除有一些具有很高的系统权限的工作人员参与诈骗,但是参与这个犯罪,但是这个可能性是比较低的,再一个有黑客入侵的系统植入了木马。但是应该来说这个成本也是非常高的,它只是理论上成立,也不是特别的现实,那么真正我们觉得可能目前来说,可能最大的原因,系统上存在某一个未知的漏洞,它可以使这个攻击者在后台直接修改用户的使用权限,那么可能是外部服务器的漏洞,导致攻击者可以这样的修改,但是目前来说我们没有把握这个漏洞具体的细则,这也只是我们目前一个猜测。
主持人:我们看到这位"公交机"的朋友,在微博上这样说的,今天我开启了一个市井小市民与工商银行和中国移动漫长法律抗争。邱宝昌趋势假设如果这位女士找到您寻求帮助,这个官司咱们怎么打?
邱宝昌:刚才裴智勇博士讲的多是技术方面的问题,从法律方面来讲,经营者有什么样的义务,消费者接受你的服务享有什么样的权利,第一我们的新消法28条,把金融就是银行证券保险,纳入到消法的调整,我们新消法第18条就明确规定了,经营者应当对消费者的提供的服务或者销售的商品有安全的保障的义务。如果发现有缺陷,有漏洞,或者被盗刷黑客入侵有网络安全问题,这样的问题,你就应该采取措施消除安全隐患,现在技术上的原因刚才裴博士分析了3种,可能有4种、5种,但是对于消费者来说,这个服务是你给我提供的,你作为银行金融服务的提供者,你要确保这种服务是安全的,及时采取对漏洞打补丁,或者是采取一些管理措施或者技术措施,但是反正有一条,你是金融服务的提供者,我是接受者,你有义务来保障我这个接受服务的安全。例如我的财产安全,至于说被反推又去取消包括验证码这就是你的技术问题,什么原因,首先你没有履行消费者权益保护法规定的你要保障消费者安全的这种义务。
主持人:邱老师现在咱们的问题是,可能在工商银行这边它的操作没有存在什么问题,而问题出在中国移动,也就是说根据你刚才的阐释,如果工商银行已经对这件事情知情了,它也有义务,有法律上的义务敦促移动解决这个问题是吗?
邱宝昌:实际上这里面我们网络安全法律也规定,第一你如果发现了,你就有义务来制止或者停止对他采取一些处罚的措施义务,比如你现在已经发现了移动也好,是银行发现移动,还是移动发现银行有问题,因为它这种服务是有几个,一方面有银行的支付,还有手机这种功能,它是一起在提供服务,那么如果你发现是你的移动传输上有问题,还是银行的支付上有问题,总之来讲是一种服务的提供。那么你就有一个采取这种消除故障、消除缺陷,消除消费者有可能财产被盗还有个人信息、商业秘密个人隐私被泄露的这些义务都应该是经营者,作为普通的消费者,它只有一个权利,就是要求你给我提供的服务是安全的,我的财产是安全的,隐私是安全的,个人信息是安全的,至于出在手机端还是出在银行支付端,那么作为你们经营者应该要确保的安全义务。
主持人:那么我们刚才说到,这个漏洞,目前推测出在移动的后台系统,如果我们在打官司取证的时候,移动它拒绝提供这些所谓的数据和它后台一些运作的机制,我们应该怎么办呢?
邱宝昌:因为我这里面支付,包括银行支付通过移动端支付的,如果你是手机的后台是移动的问题产生的,那么这个取证因为掌握在你的手里,包括后台技术其他技术,刚才讲了有一个原则性规定,实际上可以有一个过程推进,如果你不能举出证据,我确实通过手机,这种终端把我的钱转走了,从银行系统转走了,如果你移动这种服务的提供者,不能够证明你没有过错,你就要承担责任,因为我要求,终止这项服务,你没有能给我终止,是什么原因,是第三方原因还是其他的,你的系统安全性受到质疑了。
分享
