|
黑客元老推演“網(wǎng)絡(luò)大泄密”:這些數(shù)據(jù)早已沒有利用價(jià)值 ????“一點(diǎn)都不意外,這在我們?nèi)锪鱾骱芫昧??!敝袊椗陕?lián)盟網(wǎng)的創(chuàng)立者、鷹派代表萬濤如此評價(jià)近期多家網(wǎng)站用戶信息遭泄露一事。萬濤曾參與組織了2001年中美黑客大戰(zhàn)。 ????萬濤告訴早報(bào)記者,這些用戶信息在業(yè)內(nèi)已經(jīng)是公開的,只是最近有好事者將其公布在網(wǎng)絡(luò)上。他表示,上述信息已經(jīng)沒有任何利用價(jià)值,“不可能誰拿了這個(gè)庫還能賺錢?!?/p> ????中國最早的黑客組織綠色兵團(tuán)創(chuàng)始人、現(xiàn)COG信息安全組織創(chuàng)建人龔蔚更是直言,此次遭泄露的信息應(yīng)該只是“冰山”一角。 ????“有點(diǎn)挑戰(zhàn)實(shí)名制的意味” ????12月21日晚,國內(nèi)知名IT社區(qū)CSDN發(fā)布公告稱,部分用戶數(shù)據(jù)遭泄露,用戶名和用戶密碼或已公開,提醒用戶修改密碼。之后,國內(nèi)另一知名社區(qū)天涯也發(fā)布公告稱,因遭到黑客攻擊,多家網(wǎng)站的部分用戶數(shù)據(jù)庫外泄,天涯也是受害者之一,懇請用戶修改天涯社區(qū)賬戶密碼。 ????細(xì)心用戶不難發(fā)現(xiàn),事發(fā)后天涯和CSDN均表示,被泄露的數(shù)據(jù)庫是截至2009年用于備份的用戶信息,并非最新的用戶數(shù)據(jù),不禁讓人聯(lián)想刷庫(注:黑客術(shù)語,指黑客入侵網(wǎng)站服務(wù)器,盜取數(shù)據(jù)庫內(nèi)的資料,也被稱為“拖庫”)是否發(fā)生在數(shù)年前,眼下所見的都是被人榨干最后一滴水的陳年資料。 ????的確就是這樣。 ????萬濤表示,這些庫很早就被拖庫了,現(xiàn)在只是有人借助于網(wǎng)絡(luò)將其公開,“這種明文密碼的庫,和現(xiàn)在的數(shù)據(jù)庫不同,不可能有誰拿了這些明文密碼的庫再來賺錢,公開這個(gè)更像是一個(gè)娛樂的心態(tài)?!?/p> ????所謂的明文密碼,就是指直接將用戶輸入的密碼,不經(jīng)過任何加密,直接存儲到數(shù)據(jù)庫中,這種保存方式的安全性可想而知,但目前大部分網(wǎng)站均采用加密保存。 ????當(dāng)初是誰刷庫、賺了多少錢或許很難知道,不過現(xiàn)在將這些原本業(yè)內(nèi)公開的“秘密”放在公眾前的目的似乎比較容易猜測。 ????龔蔚向早報(bào)記者表示,此次大規(guī)模信息泄露事件不像是有組織的行為,“我看不出這個(gè)事情最終的受益者是誰,也看不出來有組織性?!饼徫挡聹y,這更像是一個(gè)蝴蝶效應(yīng),擁有CSDN數(shù)據(jù)庫的人可能對這些所謂的“秘密”感到好奇,忍不住將其上傳至網(wǎng)絡(luò),而在看到CSDN用戶數(shù)據(jù)被公開后,手中握有天涯數(shù)據(jù)庫的人不得不將同樣為明文密碼的用戶信息公布,“因?yàn)樵俨还嫉脑?,那些用戶就會更改密碼了。” ????不過,龔蔚擔(dān)心這次公布的或許是手下留情,并未公布最新的數(shù)據(jù)內(nèi)容。 ????值得注意的是,在上述網(wǎng)站用戶信息被公開前數(shù)天,北京市剛出臺了《北京市微博客發(fā)展管理若干規(guī)定》,要求微博實(shí)現(xiàn)實(shí)名制。萬濤笑稱,有點(diǎn)像對實(shí)名制挑戰(zhàn)的意味。 ????黑客是如何偷的? ????即使這些用戶名和密碼已經(jīng)沒有利用價(jià)值,即使這些密碼現(xiàn)在成為茶余飯后的笑談,不少人還是很好奇黑客究竟怎么去刷庫的,尤其是偷取一個(gè)知名IT社區(qū)的數(shù)據(jù)庫,這更像是一種赤裸裸的挑釁。 ????龔蔚解釋稱,數(shù)據(jù)庫被盜完全是出在網(wǎng)站自身的環(huán)節(jié)上,只要整個(gè)網(wǎng)站中有任何一個(gè)漏洞,都能通過這個(gè)漏洞通向核心的數(shù)據(jù)庫。這好比“木桶原理”,“任何一個(gè)短板都會決定你的最終水位,任何一個(gè)環(huán)節(jié)有問題都可以導(dǎo)致數(shù)據(jù)庫被盜?!?/p> ????簡單而言,用戶在登錄網(wǎng)站輸入密碼時(shí),通常含有密碼的數(shù)據(jù)會傳回?cái)?shù)據(jù)庫進(jìn)行比對,這些數(shù)據(jù)早在用戶第一次注冊時(shí)就已存在,并且通常是以加密的方式存儲。 ????拋開此前的明文密碼不談,目前的密碼數(shù)據(jù)庫均是通過哈希函數(shù)的方式進(jìn)行加密,存儲的數(shù)據(jù)是用戶密碼的哈希值。 ????但是哈希函數(shù)并非萬無一失,兩個(gè)不同的密碼可能哈希值會一樣,這種情況被成為“碰撞”,而這正是黑客用來竊取數(shù)據(jù)庫獲得信息的途徑。 ????龔蔚稱,目前的加密算法,即哈希函數(shù)都是公開的,除非自己設(shè)計(jì)一個(gè)很好的能夠避免出現(xiàn)“碰撞”的哈希算法,否則現(xiàn)有的大眾哈希函數(shù)都可以通過“碰撞”的方式進(jìn)行破解。 ????為什么有些網(wǎng)站對于數(shù)據(jù)庫泄露并不擔(dān)心,因?yàn)檫@些網(wǎng)站認(rèn)為自己的數(shù)據(jù)庫是經(jīng)過加密的,即使你拿到了數(shù)據(jù)庫,如果無法通過哈希算法解開數(shù)據(jù)庫,也無濟(jì)于事。 ????如果設(shè)計(jì)出了碰撞幾率低的算法,但黑客手中掌握了大量的碰撞庫,這些都是常用密碼所對應(yīng)的哈希值,一旦有密碼數(shù)據(jù)庫泄露,黑客就會比對其中的哈希值與手中的碰撞庫,如果匹配成功,就能找到用戶的原始密碼。 ????龔蔚表示,可以將偷取的過程形容為四個(gè)過程:第一是否能進(jìn)得來;第二個(gè)是就算進(jìn)得來,但能否看得見;第三是就算看得見核心數(shù)據(jù),但能否拿得走;最后一步是就算能偷取整個(gè)數(shù)據(jù)庫,但最終能否解得開。 ????雖然目前公開的明文密碼已經(jīng)沒有利用價(jià)值,但通常而言,刷庫只是黑客產(chǎn)業(yè)鏈中的一部分,接下來還有“洗庫”,即對數(shù)據(jù)庫中的資源進(jìn)行層層利用。龔蔚介紹,這個(gè)產(chǎn)業(yè)鏈價(jià)值比較大的是,第一波進(jìn)行虛擬幣等信息的剝離,例如支付寶和QQ等,拿到用戶的賬號后就會進(jìn)入賬戶嘗試,如果有虛擬金錢就會轉(zhuǎn)走,或?qū)Q號倒賣;第二次“洗”是對于個(gè)人信息的收集,有些賬戶可能包括個(gè)人信息內(nèi)容,這些會賣給那些需要的人;第三次“洗”是關(guān)聯(lián)手機(jī)號的信息,賣給轉(zhuǎn)發(fā)垃圾短信的,這樣一層層“洗”下去直到?jīng)]有價(jià)值為止。 ????“刷庫和洗庫的分工很明確,洗庫的人不會去刷卡,而且有專人負(fù)責(zé)對于各類不同賬號的嘗試,例如有人擅長操作QQ等?!饼徫嫡f道。 ????一旦黑客手中的用戶庫頗具規(guī)模后,就可以分析用戶。萬濤稱,由于人的習(xí)慣性因素,密碼不可能改來改去,總有一些關(guān)聯(lián),當(dāng)有了用戶資源后,可以生產(chǎn)字典,用于“暴力”破解。 ????“網(wǎng)站也不知漏洞何在” ????讓人不安的是,即使包括天涯和CSDN在內(nèi)的社區(qū)都已提醒用戶修改密碼,但對黑客而言,用戶如何修改密碼并非關(guān)鍵,黑客的目標(biāo)在于網(wǎng)站的數(shù)據(jù)庫,無論用戶密碼是什么,一旦通過“碰撞”破解哈希函數(shù),那用戶再怎樣修改密碼也是無用功。 ????掌控權(quán)并非在用戶手中,而且到目前為止上述網(wǎng)站也沒有公布到底是哪個(gè)環(huán)節(jié)出了問題。 ????龔蔚認(rèn)為,沒有公布原因就意味著網(wǎng)站自己也不知道哪里出了問題,“好比你錢包被偷了,但是不知道是在哪里被偷的,只知道買一個(gè)新的錢包,并稱更安全?!?/p> ????萬濤透露,數(shù)年前曾爆發(fā)過多起數(shù)據(jù)庫被刷庫的事件,只是由于網(wǎng)絡(luò)傳播力度不如現(xiàn)在,知道的人并不多,且對于一個(gè)發(fā)生過拖庫的網(wǎng)站而言,說不定已經(jīng)被人植入木馬或者留下后門還不知道。 ????但為何這些網(wǎng)站還是沒有吸取同行的教訓(xùn)?龔蔚表示,大型網(wǎng)站往往為了搶占用戶資源而過快擴(kuò)張,例如各個(gè)門戶網(wǎng)站的微博,這些都可能會留下遺留癥。萬濤稱,門戶網(wǎng)站對于安全的態(tài)度取決于用戶對它的價(jià)值,門戶網(wǎng)站在安全上的確投入很多,但一般都是保證內(nèi)容不被篡改。 ????“舊債總是要還的?!比f濤說,很難讓一項(xiàng)業(yè)務(wù)在沒掙錢的情況下去付出更多的安全成本,這是目前安全文化的一個(gè)狀況,不僅僅是IT行業(yè)。 ????此次的用戶信息泄露更像是對實(shí)名制的一種挑戰(zhàn)。萬濤認(rèn)為,目前整個(gè)法律體系根本不適應(yīng)互聯(lián)網(wǎng)的發(fā)展,尤其是在目前的體系下,把實(shí)名制寄托給運(yùn)營商有很大問題,“過分強(qiáng)調(diào)實(shí)名制是有風(fēng)險(xiǎn)的,目前對它的風(fēng)險(xiǎn)估計(jì)不足。” ????【明文密碼】 ????簡單來說,明文密碼就是沒有隱藏、顯而易見的密碼,與之相對的是暗碼,或稱密文密碼,指的是系統(tǒng)收到你的密碼后,通過某種加密算法進(jìn)行編譯后,對編譯結(jié)果進(jìn)行保存。如果你的密碼為12345,則明文密碼顯示為12345,暗碼顯示為*****。如果告訴你*****而不告訴你解碼規(guī)則,你就很難翻譯出12345。 ????【專家支招】 ????一、經(jīng)常更換密碼;二、網(wǎng)站登錄密碼要區(qū)別于注冊郵箱密碼,以免被黑客登錄郵箱,暴露更多個(gè)人信息;三、重要網(wǎng)站采用賬戶安全保護(hù);四、涉及到銀行或其他金融類的用戶名、密碼,要區(qū)別于一般網(wǎng)站的用戶名、密碼。 ????重要性分級建議:網(wǎng)銀、網(wǎng)絡(luò)支付平臺(支付寶,財(cái)付通等)、QQ/微博/實(shí)名SNS網(wǎng)站、其他網(wǎng)站。(記者 是冬冬) |