黑客元老推演網絡大泄密:數據早已沒有利用價值
“一點都不意外,這在我們圈里流傳很久了。”中國鷹派聯盟網的創立者、鷹派代表萬濤如此評價近期多家網站用戶信息遭泄露一事。萬濤曾參與組織了 2001 年中美黑客大戰。
萬濤告訴早報記者,這些用戶信息在業內已經是公開的,只是最近有好事者將其公布在網絡上。他表示,上述信息已經沒有任何利用價值,“不可能誰拿了這個庫還能賺錢。”
中國最早的黑客組織綠色兵團創始人、現 COG 信息安全組織創建人龔蔚更是直言,此次遭泄露的信息應該只是“冰山”一角。
“有點挑戰實名制的意味”
12月 21 日晚,國內知名 IT 社區 CSDN 發布公告稱,部分用戶數據遭泄露,用戶名和用戶密碼或已公開,提醒用戶修改密碼。之后,國內另一知名社區天涯也發布公告稱,因遭到黑客攻擊,多家網站的部分用戶數據庫外泄,天涯也是受害者之一,懇請用戶修改天涯社區賬戶密碼。
細心用戶不難發現,事發后天涯和 CSDN 均表示,被泄露的數據庫是截至 2009 年用于備份的用戶信息,并非最新的用戶數據,不禁讓人聯想刷庫(注:黑客術語,指黑客入侵網站服務器,盜取數據庫內的資料,也被稱為“拖庫”)是否發生在數年前,眼下所見的都是被人榨干最后一滴水的陳年資料。
的確就是這樣。
萬濤表示,這些庫很早就被拖庫了,現在只是有人借助于網絡將其公開,“這種明文密碼的庫,和現在的數據庫不同,不可能有誰拿了這些明文密碼的庫再來賺錢,公開這個更像是一個娛樂的心態。”
所謂的明文密碼,就是指直接將用戶輸入的密碼,不經過任何加密,直接存儲到數據庫中,這種保存方式的安全性可想而知,但目前大部分網站均采用加密保存。
當初是誰刷庫、賺了多少錢或許很難知道,不過現在將這些原本業內公開的“秘密”放在公眾前的目的似乎比較容易猜測。
龔蔚向早報記者表示,此次大規模信息泄露事件不像是有組織的行為,“我看不出這個事情最終的受益者是誰,也看不出來有組織性。”龔蔚猜測,這更像是一個蝴蝶效應,擁有 CSDN 數據庫的人可能對這些所謂的“秘密”感到好奇,忍不住將其上傳至網絡,而在看到 CSDN 用戶數據被公開后,手中握有天涯數據庫的人不得不將同樣為明文密碼的用戶信息公布,“因為再不公布的話,那些用戶就會更改密碼了。”
不過,龔蔚擔心這次公布的或許是手下留情,并未公布最新的數據內容。
值得注意的是,在上述網站用戶信息被公開前數天,北京市剛出臺了《北京市微博客發展管理若干規定》,要求微博實現實名制。萬濤笑稱,有點像對實名制挑戰的意味。
黑客是如何偷的?
即使這些用戶名和密碼已經沒有利用價值,即使這些密碼現在成為茶余飯后的笑談,不少人還是很好奇黑客究竟怎么去刷庫的,尤其是偷取一個知名 IT 社區的數據庫,這更像是一種赤裸裸的挑釁。
龔蔚解釋稱,數據庫被盜完全是出在網站自身的環節上,只要整個網站中有任何一個漏洞,都能通過這個漏洞通向核心的數據庫。這好比“木桶原理”,“任何一個短板都會決定你的最終水位,任何一個環節有問題都可以導致數據庫被盜。”
簡單而言,用戶在登錄網站輸入密碼時,通常含有密碼的數據會傳回數據庫進行比對,這些數據早在用戶第一次注冊時就已存在,并且通常是以加密的方式存儲。
拋開此前的明文密碼不談,目前的密碼數據庫均是通過哈希函數的方式進行加密,存儲的數據是用戶密碼的哈希值。
但是哈希函數并非萬無一失,兩個不同的密碼可能哈希值會一樣,這種情況被成為“碰撞”,而這正是黑客用來竊取數據庫獲得信息的途徑。
龔蔚稱,目前的加密算法,即哈希函數都是公開的,除非自己設計一個很好的能夠避免出現“碰撞”的哈希算法,否則現有的大眾哈希函數都可以通過“碰撞”的方式進行破解。
為什么有些網站對于數據庫泄露并不擔心,因為這些網站認為自己的數據庫是經過加密的,即使你拿到了數據庫,如果無法通過哈希算法解開數據庫,也無濟于事。
如果設計出了碰撞幾率低的算法,但黑客手中掌握了大量的碰撞庫,這些都是常用密碼所對應的哈希值,一旦有密碼數據庫泄露,黑客就會比對其中的哈希值與手中的碰撞庫,如果匹配成功,就能找到用戶的原始密碼。
龔蔚表示,可以將偷取的過程形容為四個過程:第一是否能進得來;第二個是就算進得來,但能否看得見;第三是就算看得見核心數據,但能否拿得走;最后一步是就算能偷取整個數據庫,但最終能否解得開。
雖然目前公開的明文密碼已經沒有利用價值,但通常而言,刷庫只是黑客產業鏈中的一部分,接下來還有“洗庫”,即對數據庫中的資源進行層層利用。龔蔚介紹,這個產業鏈價值比較大的是,第一波進行虛擬幣等信息的剝離,例如支付寶和 QQ 等,拿到用戶的賬號后就會進入賬戶嘗試,如果有虛擬金錢就會轉走,或將 QQ 號倒賣;第二次“洗”是對于個人信息的收集,有些賬戶可能包括個人信息內容,這些會賣給那些需要的人;第三次“洗”是關聯手機號的信息,賣給轉發垃圾短信的,這樣一層層“洗”下去直到沒有價值為止。
“刷庫和洗庫的分工很明確,洗庫的人不會去刷卡,而且有專人負責對于各類不同賬號的嘗試,例如有人擅長操作 QQ 等。”龔蔚說道。
一旦黑客手中的用戶庫頗具規模后,就可以分析用戶。萬濤稱,由于人的習慣性因素,密碼不可能改來改去,總有一些關聯,當有了用戶資源后,可以生產字典,用于“暴力”破解。
“網站也不知漏洞何在”
讓人不安的是,即使包括天涯和 CSDN 在內的社區都已提醒用戶修改密碼,但對黑客而言,用戶如何修改密碼并非關鍵,黑客的目標在于網站的數據庫,無論用戶密碼是什么,一旦通過“碰撞”破解哈希函數,那用戶再怎樣修改密碼也是無用功。
掌控權并非在用戶手中,而且到目前為止上述網站也沒有公布到底是哪個環節出了問題。
龔蔚認為,沒有公布原因就意味著網站自己也不知道哪里出了問題,“好比你錢包被偷了,但是不知道是在哪里被偷的,只知道買一個新的錢包,并稱更安全。”
萬濤透露,數年前曾爆發過多起數據庫被刷庫的事件,只是由于網絡傳播力度不如現在,知道的人并不多,且對于一個發生過拖庫的網站而言,說不定已經被人植入木馬或者留下后門還不知道。
但為何這些網站還是沒有吸取同行的教訓?龔蔚表示,大型網站往往為了搶占用戶資源而過快擴張,例如各個門戶網站的微博,這些都可能會留下遺留癥。萬濤稱,門戶網站對于安全的態度取決于用戶對它的價值,門戶網站在安全上的確投入很多,但一般都是保證內容不被篡改。
“舊債總是要還的。”萬濤說,很難讓一項業務在沒掙錢的情況下去付出更多的安全成本,這是目前安全文化的一個狀況,不僅僅是 IT 行業。
此次的用戶信息泄露更像是對實名制的一種挑戰。萬濤認為,目前整個法律體系根本不適應互聯網的發展,尤其是在目前的體系下,把實名制寄托給運營商有很大問題,“過分強調實名制是有風險的,目前對它的風險估計不足。”
【明文密碼】
簡單來說,明文密碼就是沒有隱藏、顯而易見的密碼,與之相對的是暗碼,或稱密文密碼,指的是系統收到你的密碼后,通過某種加密算法進行編譯后,對編譯結果進行保存。如果你的密碼為 12345,則明文密碼顯示為 12345,暗碼顯示為*****。如果告訴你*****而不告訴你解碼規則,你就很難翻譯出 12345。
【專家支招】
一、經常更換密碼;二、網站登錄密碼要區別于注冊郵箱密碼,以免被黑客登錄郵箱,暴露更多個人信息;三、重要網站采用賬戶安全保護;四、涉及到銀行或其他金融類的用戶名、密碼,要區別于一般網站的用戶名、密碼。
重要性分級建議:網銀、網絡支付平臺(支付寶,財付通等)、QQ/微博/實名 SNS 網站、其他網站。
來自: 東方早報