360网站赵武:中国超过三成网站存在后门
王震在新疆8月14日消息,360网站门总监赵武在2013年互联网大会上指出,中国网站至少三分之一存在后门,而后门存活期最长达5年。
针对使用360网站安全服务的网站所做的统计分析显示,中国超过三成网站是存在后门的,而后门存活期曾经有一个达到五年,也就是超过百万网站存在后门。赵武还透露,从安全性看,国内网站和高校的得分情况最低。2013年高考期间一份中国高校网站安全检测报告显示,75%的高校网站被过。
赵武指出了当前网络安全的现状:一方面黑客已经抱团,黑客越来越产业化,导致了批量性高度智能化的犯罪;另一方面,很多中小企业,做业务的过程中首先考虑的是赚钱、发展业务,安全通常被排在后面,导致没有精力应付网络安全问题。
赵武:首先感谢组委会有这次机会让我跟交流关于网站安全的内容。感谢组委会的同时,感谢的人,的可能是互联网的创业者,创新者和创造者。我本身之前也是一个创业出身的人,今天我想讲三个故事。第一个故事,前一段时间我有一个朋友做了一个网站,天天盯着网站的流量数据,突然有一天流量激增,他很高兴,他说我们是不是做了很多市场活动。网站的人没有做任何市场活动,旁边的安全人说了,你们傻了,这是黑客在偷库。他的数据库被黑客下载,下载的过程中导致了流量的激增。这是真实的故事,前段时间的漏洞叫Stucts框架执行命令漏洞。百度、华为、淘宝大企业运营商和互联网公司都被黑客入侵。很多人认为这是特例,我创业不可能遇到这个问题,我的网站不太可能碰到,这是一个特例。
再看一下,互联网创业和传统创业一样,计划的时候很美好,直到有一天出现,比如开了一个餐馆,收保。互联网创业黑客对应传统的地皮,开一个网站赚钱了,很多黑客会对你做,砸你家玻璃等等,在座有没有遇到这种情况。我们基于对互联网搭建了一套管家的服务体系,第一部分我们对互联网做了安全性的。第二针对没有能力解决漏洞的网站我们提供网站卫士,可以为你进行一个防护。第三做了一个我们付费对黑客进行励,购买他手中的漏洞。2011年360做网站安全,我们做了几个工作,2011年对团购做了一个检测报告。到2012年做互联网网站安全报告。到2013年高考期间做了中国高校网站安全检测报告,75%的高校网站被过。
我们可以看一下这是我要讲的第二个故事,国内网站安全性从这里看,和高校的得分情况最低。这是2012年我们通过防护类的服务做了全网的,每个月十几的比例增长,增长的非常快。这是挂木马情况,中国互联网情况,挂木马情况急剧下跌,今年的数据可以忽略不计,确实遏制的比较明显。我不知道大家有没有关注到凌镜计划,美国针对中国的国家层面的,中国的网站特别脆弱。挂木马2012年网络速度是飞升,形式进行了改变。这里是真实情况,有两种网站一种网站知道自己被黑,另一种网站认为自己没被黑。站长本身自己不会打补丁,黑客会做补丁更新。这里是针对高校入侵行为的统计,52%高校被黑的情况是网上,办一些非法博彩,这是目前高校的状况。这里是我们在前两个星期做的统计,这个数据有点吓人,我们针对使用360网站安全服务的网站做了一个统计分析,中国超过三成的网站是存在后门的,而后门存活期曾经有一个达到五年。按这个比例,中国网站至少有三分之一是存在后门的,大家可以查一查。
我们认为对付,网络这种黑客,一个是有效的打击,比如说报案,另外一方面是引导,3月底作了一个活动,我们做了一个励计划,花了一百万收视这些漏洞,这是国内第一家。我们确认没有补丁的漏洞,确认超过500个,我如果是黑客,我要拿到漏洞,可以瞬间拿到150万。接着又发现一个问题,这些黑客其实很多,如何引导,我讲的第三个故事就是其中我们的黑客他是一个初中生,他只是读初一,有兴趣爱好,他没有人引导的情况下,利用漏洞去卖钱,知道这个计划以后,他当时想法,他家里穷想买一个笔记本,我们想能不能直接给他,觉得这种引导还是缺乏目的性。
在座的可以自己对一下,你用搭建网站会用MMS,这个过程中,我们发现有几个现象大家注意的。黑客关注的是最流行的,比如discuz论坛,黑客提交的已经超过78个,这里有一个产生,点名的提一下,如果我们想保住互联网安全状况,应该有一些厂商负责任披露,有一些厂商希望他负责任修复。我们当时做了一个万元户的活动,只要提供一个补丁,我就给你一个五万块钱。我想做一个简单的吐槽,第一是黑客越来越产业化,黑客已经抱团了,他们都是批量性的高度智能化的犯罪。第二,在座的很多中小企业,做业务的过程中首先考虑的是赚钱,发展业务,安全通常是后面,导致没有精力应付网络安全问题。第三,我看到的情况,一个是企业掩耳盗铃,我装作不知道。买产品建团队,如果想喝牛奶,没必要自己养奶牛。我觉得企业尤其是在座的和初创企业,为了满足经济创业的,更好的去应用互联网现有的免费资源,我提到的刚才提到两个产品,第一是出一个检测,第二是出一个防护,最后我想讲讲我们的目标。我们最终的目标希望通过免费的产品和服务,提升中国互联网网络安全现状。网站这方面是黑客的重点,另外一个我们通过安全的防护,保障企业的网络安全,让企业或者单位专心发展,这是我们的目标。谢谢大家。
注:2013互联网大会于8月13日至15日在召开,腾讯科技作为本届互联网大会的战略合作门户和指定合作新闻中心,在现场进行全方位的视频和图文直播。并特设立2个现场专访间,力邀业界专家与企业代表共同探讨产业现状,指点未来趋势。
作为大会微博合作伙伴,腾讯微博上发起了#向CEO提问#的活动,所有网友都可以提前向您关注的互联网行业CEO提问。其中部分问题将被选中,在互联网大会现场提出,并得到嘉宾的正面解答。