據(jù)經(jīng)濟(jì)之聲報(bào)道,趙品翰,是中國(guó)人民大學(xué)附屬中學(xué)初中二年級(jí)的學(xué)生。這一身份看起來似乎普普通通,但是,這個(gè)14歲的少年現(xiàn)在卻在一個(gè)成年人圈子里名聲大噪,這個(gè)圈子就是互聯(lián)網(wǎng)安全平臺(tái)的白帽子群體。通俗的講,白帽子就是所謂善意的黑客,他們會(huì)去識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,但并不會(huì)惡意利用,而是把漏洞公布出來,讓廠商趕緊彌補(bǔ)。
那趙品翰是怎樣在這樣一群人中出名的呢?他對(duì)記者說,事情還要從今年他去天津參加冬令營(yíng)說起:
趙品翰:我在寒假的時(shí)候去天津,接入到一個(gè)未加密的wifi,這個(gè)wifi與天河一號(hào)的內(nèi)網(wǎng)是互相連通的,我就對(duì)天河一號(hào)的登陸節(jié)點(diǎn)進(jìn)行測(cè)試,成功登陸到天河一號(hào)。將全部用戶導(dǎo)出之后,用這些用戶名進(jìn)行測(cè)試,發(fā)現(xiàn)上百個(gè)用戶名都存在弱口令。為了讓天河一號(hào)重視這個(gè)安全問題,我立刻將這個(gè)漏洞報(bào)告給了烏云。提交之后,天河一號(hào)的工作人員主動(dòng)聯(lián)系了我,就漏洞問題進(jìn)行了溝通。
趙品翰所說的天河一號(hào),就是國(guó)家超級(jí)計(jì)算天津中心。它的主業(yè)務(wù)計(jì)算機(jī)是當(dāng)前世界上運(yùn)算速度最快之一的“天河一號(hào)”超級(jí)計(jì)算機(jī)。這種超級(jí)計(jì)算機(jī)是科技部863計(jì)劃重大項(xiàng)目,由國(guó)防科技大學(xué)和濱海新區(qū)于2010年9月聯(lián)合研制成功。主要應(yīng)用領(lǐng)域包括:石油勘探數(shù)據(jù)處理、生物醫(yī)藥、新材料新能源、高端裝備設(shè)計(jì)與仿真、動(dòng)漫與影視渲染、空氣動(dòng)力學(xué)、流體力學(xué)、天氣預(yù)報(bào)、氣候預(yù)測(cè)、海洋環(huán)境模擬分析、航天航空遙感數(shù)據(jù)處理等等。
而根據(jù)烏云平臺(tái)公布的報(bào)告,趙品翰發(fā)現(xiàn)的這個(gè)計(jì)算機(jī)漏洞屬于高危害等級(jí)的成功入侵事件。同時(shí),報(bào)告還公布了國(guó)家超級(jí)計(jì)算天津中心的回復(fù),原文如下:“相關(guān)問題,我們高度重視,已做了處理。問題是由專線用戶自身安全管理不當(dāng)所致,我們已指導(dǎo)專線用戶做了處理,采取的措施包括:將專線與互聯(lián)網(wǎng)隔離,指導(dǎo)用戶強(qiáng)化密碼,刪除系統(tǒng)中的臨時(shí)賬戶等。當(dāng)前,用戶通過登陸節(jié)點(diǎn)在限定資源條件下提交任務(wù),是系統(tǒng)允許的合法操作,后續(xù)我們將加強(qiáng)用戶行為分析、預(yù)警。”
對(duì)于此次事件,我們今天也采訪國(guó)家超級(jí)計(jì)算天津中心方面,他們的一位工作人員說,在他們看來,這不能算是一個(gè)漏洞:
國(guó)家超級(jí)計(jì)算天津中心:實(shí)際上這不是個(gè)漏洞,它(烏云)的標(biāo)題有問題。實(shí)際上他(趙品翰)看到的東西是我們這邊的正常用戶都能看到的。相當(dāng)于我們中心這邊已經(jīng)做了安全管理了,但是我們的用戶這邊沒有做進(jìn)一步的安全管理。我們給用戶建了賬號(hào),密碼是默認(rèn)設(shè)置的,但是用戶沒有修改這個(gè)密碼。
而烏云平臺(tái)聯(lián)合創(chuàng)始人孟卓表示,他能理解超算中心為什么這么說,但問題沒這么簡(jiǎn)單:
孟卓:如果真的要鉆牛角尖,問這到底是不是個(gè)漏洞,我覺得它其實(shí)不是。但這仍然是一個(gè)事件,因?yàn)閲?guó)家這么重要的一個(gè)機(jī)構(gòu)的辦公場(chǎng)所,有一個(gè)wifi竟然是沒有密碼的,任何一個(gè)路過的人都可以進(jìn)去。第二,白帽子發(fā)現(xiàn)里面有很多用戶有弱口令,密碼很容易被猜出來。第三,進(jìn)去的人雖然沒有接觸到敏感信息,但可以惡意調(diào)用龐大的計(jì)算資源,用戶也上傳的一些機(jī)密的計(jì)算任務(wù)也可能被泄露,只是白帽子沒有證明到這一步,在發(fā)現(xiàn)漏洞之后就直接報(bào)告了。所以超算中心可能就沒有意識(shí)到后面可能帶來的附加影響。
中科曙光高級(jí)副總裁聶華告訴我們,國(guó)家超級(jí)計(jì)算天津中心是國(guó)家構(gòu)建的超級(jí)計(jì)算環(huán)境在北方的一個(gè)重要節(jié)點(diǎn),它通過付費(fèi)服務(wù)的方式,幫助國(guó)內(nèi)的各大企業(yè)和科研機(jī)構(gòu)進(jìn)行數(shù)據(jù)處理,其中某些信息很可能具有敏感性:
聶華:這上面有沒有敏感信息,取決于它的用戶所放數(shù)據(jù)的敏感程度,比如有石油公司的勘探信息放到天河一號(hào)進(jìn)行處理,這個(gè)信息就有敏感性。可以說,需要如此大規(guī)模處理數(shù)據(jù)的公司和科研機(jī)構(gòu)一定都希望自己數(shù)據(jù)的安全得到必要保障的。
超級(jí)計(jì)算機(jī)的特點(diǎn)是計(jì)算能力超強(qiáng),這是由其自身的硬件配置決定的。但超強(qiáng)計(jì)算并不等于超強(qiáng)防護(hù),它的安全還是要依靠一整套的系統(tǒng),包括軟件、硬件和工作制度。烏云平臺(tái)聯(lián)合創(chuàng)始人孟卓認(rèn)為,國(guó)家超級(jí)計(jì)算天津中心有必要重新設(shè)計(jì)他們的安防措施:
孟卓:首先wifi沒有密碼是萬萬不可的,因?yàn)槿魏我粋(gè)人以前想要攻擊天河一號(hào)都會(huì)很麻煩,現(xiàn)在只需要在它附近那一臺(tái)筆記本和手機(jī)就可以了。第二,像這種敏感的單位對(duì)設(shè)備接入都應(yīng)該進(jìn)行審計(jì),在有新設(shè)備接入時(shí),必須知道它有什么目的。第三,超算中心有義務(wù)讓自己的用戶修改原始密碼,并且讓用戶把密碼設(shè)置得強(qiáng)力一些。
同時(shí),中科曙光高級(jí)副總裁聶華認(rèn)為,國(guó)內(nèi)的各大超算中心其實(shí)都應(yīng)該重新思考自己的安防問題:
聶華:超算中心過去比較傾向于進(jìn)行科學(xué)計(jì)算,從它誕生那天起,可能就對(duì)安全的重視就不夠。但是現(xiàn)在國(guó)家部署的這些超算中心已經(jīng)開始面向云計(jì)算、云服務(wù),比如政府?dāng)?shù)據(jù)的政務(wù)云服務(wù)。這個(gè)領(lǐng)域介入后,對(duì)安全防護(hù)的等級(jí)要求是非常高的。下一步國(guó)內(nèi)的各大超算中心都應(yīng)該加大安全防護(hù),讓大家能夠安全使用,讓超級(jí)計(jì)算機(jī)從傳統(tǒng)的科學(xué)計(jì)算專變?yōu)橘N近百姓應(yīng)用的、可信賴的,信息服務(wù)主機(jī)。