近日,一则关于清华大学网站被黑的消息在网上引起轩然大波,在被黑的清华新闻网上,黑客捏造了一篇清华大学校长顾秉林接受采访的新闻报道,批评现行教育制度。清华大学作为国内最为知名的教育机构,其网站被黑,自然引起社会的高度关注,而黑客黑掉该网站后,并没有攻破网站,致使网站瘫痪或者采取其他更为严重的手段窃取数据等,而是在新闻网发布了一篇假冒清华大学校长接受采访的文章,这看起来就更加令人匪夷所思,因此,其受到的关注度就更高了。抛开教育制度这个问题不谈,联想到近年来中国移动网站、地震网站、家乐福网站、工行网站等网站纷纷被黑,我们不禁要问,是这些网站太引人注目,树大招风,还是网站本身的安全存在诸多问题,以至于脆弱得不堪一击?为何媒介网站频频被黑?
一、现状:企业、媒介网站频频被黑
企业、媒介网站被黑应该说我们并不陌生,通常这类黑客并不是想获取网站的控制权限,也不是想窃取网站的核心数据,也不是以赢利、赚钱为目的,而是想通过这种安全界独有的形式来唤起大家对某个事件的高度关注:
早在2006年09月11日,中国移动网站被黑,首页显示的不是“移动信息专家”,而是一行涂鸦:“恳请移动的话费能便宜点不……”。这次黑客事件不仅仅涉及到中国移动网站(http://www.chinamobile.com/),同时还包括中国移动旗下品牌动感地带网站(http://www.m-zone.com.cn)也被黑。此次事件后,很多网友开始担忧:“中国移动的网站也会被黑,系统是不是足够安全?”
图1 中国移动网站被黑
2007年年初,工行网站被黑,工行页面被修改得面目全非,诸如“中国工商银行宣布破产”、“用牡丹卡嫖娼享受9.5折优惠!”等字样也屡见不鲜。此次事件后,有不少网民提出质疑:这样的银行上市了又能怎样?不健全的安全体系只能让顾客失望!看来,网站被黑对企业的负面影响是非常大的,尽管那次攻击只是常见的跨站式XSS处理不当造成,微软、雅虎、亚马逊等公司都出现过此类问题,尽管可能工行网银的安全应该不会构成威胁,但带来的负面影响和企业形象的损失都不容低估。
图2 工行网站被黑
今年4月17日,家乐福中国首页曾经被黑,出现“抵制家乐福”的口号。家乐福网站页面上方出现大片白色背景和黑色字体,以诗歌的形式号召中国消费者抵制家乐福。诗歌的大体内容为,“如果你为了看到自己国家的火炬,而被警察扔催泪弹”、“如果桥上的巴黎人都向你扔垃圾”……“如果……你都没有反应,那我无语了。”
图3 家乐福网站被黑
如今,这次黑客攻击已经转向了知名的大学网站,并借此抨击当前的教育制度。
图4 清华大学网站被黑
类似的黑客攻击例子我们不再穷举,从以上几个攻击案例中,我们可以看到很多共同的地方:其一,黑客攻击后通常都是发表一定的言论,以引起社会的关注,没有进行实质性的破坏;其二,黑客选取的网站都是一些公众性的,在社会和网民心中都很有影响力的网站,这些网站要么是企业网站,要么是媒介网站。那么这些网站被攻击除了反映出一定的社会问题外,是否也凸显出这些网站本身的安全性太弱,还是黑客水平太高呢?
