据悉,赵品翰,是中国人民大学附属中学初中二年级的学生。这一身份看起来似乎普普通通,但是,这个14岁的少年现在却在一个成年人圈子里名声大噪,这个圈子就是互联网安全平台的白帽子群体。通俗的讲,白帽子就是所谓善意的黑客,他们会去识别计算机系统或网络系统中的安全漏洞,但并不会恶意利用,而是把漏洞公布出来,让厂商赶紧弥补。
那赵品翰是怎样在这样一群人中出名的呢?他说,事情还要从今年他去天津参加冬令营说起:
赵品翰:我在寒假的时候去天津,接入到一个未加密的wifi,这个wifi与天河一号的内网是互相连通的,我就对天河一号的登陆节点进行测试,成功登陆到天河一号。将全部用户导出之后,用这些用户名进行测试,发现上百个用户名都存在弱口令。为了让天河一号重视这个安全问题,我立刻将这个漏洞报告给了乌云。提交之后,天河一号的工作人员主动联系了我,就漏洞问题进行了沟通。
赵品翰所说的天河一号,就是国家超级计算天津中心。它的主业务计算机是当前世界上运算速度最快之一的“天河一号”超级计算机。这种超级计算机是科技部863计划重大项目,由国防科技大学和滨海新区于2010年9月联合研制成功。主要应用领域包括:石油勘探数据处理、生物医药、新材料新能源、高端装备设计与仿真、动漫与影视渲染、空气动力学、流体力学、天气预报、气候预测、海洋环境模拟分析、航天航空遥感数据处理等等。
而根据乌云平台公布的报告,赵品翰发现的这个计算机漏洞属于高危害等级的成功入侵事件。同时,报告还公布了国家超级计算天津中心的回复,原文如下:“相关问题,我们高度重视,已做了处理。问题是由专线用户自身安全管理不当所致,我们已指导专线用户做了处理,采取的措施包括:将专线与互联网隔离,指导用户强化密码,删除系统中的临时账户等。当前,用户通过登陆节点在限定资源条件下提交任务,是系统允许的合法操作,后续我们将加强用户行为分析、预警。”
对于此次事件,我们今天也采访国家超级计算天津中心方面,他们的一位工作人员说,在他们看来,这不能算是一个漏洞:
国家超级计算天津中心:实际上这不是个漏洞,它(乌云)的标题有问题。实际上他(赵品翰)看到的东西是我们这边的正常用户都能看到的。相当于我们中心这边已经做了安全管理了,但是我们的用户这边没有做进一步的安全管理。我们给用户建了账号,密码是默认设置的,但是用户没有修改这个密码。
而乌云平台联合创始人孟卓表示,他能理解超算中心为什么这么说,但问题没这么简单:
孟卓:如果真的要钻牛角尖,问这到底是不是个漏洞, 我觉得它其实不是。但这仍然是一个事件,因为国家这么重要的一个机构的办公场所,有一个wifi竟然是没有密码的,任何一个路过的人都可以进去。第二,白帽子发现里面有很多用户有弱口令,密码很容易被猜出来。第三,进去的人虽然没有接触到敏感信息,但可以恶意调用庞大的计算资源,用户也上传的一些机密的计算任务也可能被泄露,只是白帽子没有证明到这一步,在发现漏洞之后就直接报告了。所以超算中心可能就没有意识到后面可能带来的附加影响。
中科曙光高级副总裁聂华告诉我们,国家超级计算天津中心是国家构建的超级计算环境在北方的一个重要节点,它通过付费服务的方式,帮助国内的各大企业和科研机构进行数据处理,其中某些信息很可能具有敏感性:
聂华:这上面有没有敏感信息,取决于它的用户所放数据的敏感程度,比如有石油公司的勘探信息放到天河一号进行处理,这个信息就有敏感性。可以说,需要如此大规模处理数据的公司和科研机构一定都希望自己数据的安全得到必要保障的。
超级计算机的特点是计算能力超强,这是由其自身的硬件配置决定的。但超强计算并不等于超强防护,它的安全还是要依靠一整套的系统,包括软件、硬件和工作制度。乌云平台联合创始人孟卓认为,国家超级计算天津中心有必要重新设计他们的安防措施:
孟卓:首先wifi没有密码是万万不可的,因为任何一个人以前想要攻击天河一号都会很麻烦, 现在只需要在它附近那一台笔记本和手机就可以了。第二,像这种敏感的单位对设备接入都应该进行审计,在有新设备接入时,必须知道它有什么目的。第三,超算中心有义务让自己的用户修改原始密码,并且让用户把密码设置得强力一些。
同时,中科曙光高级副总裁聂华认为,国内的各大超算中心其实都应该重新思考自己的安防问题:
聂华:超算中心过去比较倾向于进行科学计算,从它诞生那天起,可能就对安全的重视就不够。但是现在国家部署的这些超算中心已经开始面向云计算、云服务,比如政府数据的政务云服务。这个领域介入后,对安全防护的等级要求是非常高的。下一步国内的各大超算中心都应该加大安全防护,让大家能够安全使用,让超级计算机从传统的科学计算专变为贴近百姓应用的、可信赖的,信息服务主机。