12億密碼泄漏, 是安全末日還是公關騙局?
幾天前, 一個令人震驚的消息在安全圈里傳開了, 俄羅斯黑客集團盜竊了12億用戶密碼。 這條消息過于駭人聽聞, 因此安全牛并沒有一鍵轉載, 而是繼續跟進此消息, 通過進一步的深挖, 我們發現了一些疑點。 很可能這個消息是一場精心策劃的公關事件。 下面為您解讀:
紐約時報爆料的源頭來自一家美國安全公司——Hold Security。 憑借紐約時報的全球影響力和公信力, “12億用戶密碼泄露”迅速成為安全界的頭條新聞。 然而, 仔細分析這則新聞, 我們會發現以下一些疑點:
1) 從報道來看, Hold Security把盜取的用戶密碼數量達40億, 屬于12億獨立用戶。 黑客從42萬個網站上獲取到這些數據。 但是, Hold Security并沒有說明他們是否或者如何得到這42萬個網站列表。
2)Hold Security以進一步調查為理由, 沒有公布這些網站的名稱以便讓用戶可以修改密碼。 這在安全事件的公布里顯得很奇怪。
3) Hold Security推出了一系列服務, 針對企業, 每年120美元, 可以對企業網站是否遭到數據泄漏提出告警, 對個人, 免費測試用戶密碼是否泄漏。這對于一個“還在進一步調查”的安全事件也顯得非常奇怪。
4) 出了這么大的安全事件, 我們沒有看到任何美國或者其它國家的計算機應急中心(CERT)發出的任何警告, 也沒有看到任何有關國家執法機構介入調查的相關報道。
我們訪問了Hold Security的站點,發現這家公司是一個名為Alex Holden的人創辦的。 而這個Holden就是向紐約時報爆料的安全專家。 除了這次的安全事件外, 這個公司還爆料過 Adobe源代碼泄漏事件, 以及PRNewswire的用戶密碼泄漏事件。 有趣的是, 這幾次安全事件的報道, 都與一個叫Brian Krebs的安全博客能夠形成互動。 Brian Krebs以前是一個記者, 后來開始建立自媒體, 專注于網絡安全方面的事件,因對(俄羅斯)地下網絡犯罪的深入獨家報道而著稱,而真正讓Krebs這個博客火起來的,是2013年底率先披露了Target等美國零售商去年黑色星期五網購高峰期間的用戶信用卡數據泄露事件,該事件也恰恰出自俄羅斯網絡犯罪集團之手。根據紐約時報的報道,Krebs從一位沒有信息安全技術背景的記者搖身一變成為全球超一流信息安全威脅分析師,這著實有些匪夷所思。Hold Security的網站上, Brian Krebs是該公司的特別顧問(Special Adviser).
Hold Security位于美國威斯康星州的密爾沃基。 當地報紙《密爾沃基哨兵日報》的兩個記者隨即對Alex Holden進行了一番調查。 他們發現, Alex Holden 來自烏克蘭, 其父母曾在烏克蘭首都基輔做工程師, 他小的時候隨父母從蘇聯來的美國。 而他在2013年2月成立這家公司前, 他聲稱在密爾沃基當地的一家證券公司Robert W. Baird & Co擔任首席信息安全官達10年之久。而記者詢問Robert W. Baird & Co時公司表示不予評論。 此外, 他的LinkedIn主頁上寫道他1993年到2001年在威斯康星密爾沃基大學獲得機械工程學士學位, 在他接受采訪時也是這樣說的。 而記者向威斯康星密爾沃基大學進行查詢時, 學校方面則表示沒有Alex Holden的學位記錄。 隨后在與《密爾沃基哨兵報》的記者的電話采訪時, 當被告知學校查不到記錄時, Alex Holden承認他沒有讀完學位。
當然, 我們不能僅憑Alex Holden在學位這樣的問題上撒謊就否定他說的任何話。 下面我們來就事論事看一看一些疑點。
安全牛編輯試了一下個人的服務。 要求你輸入你的郵件進行注冊, 注冊成功后可以驗證密碼是否泄漏, Hold Security網站你要求輸入你要查詢的密碼, 通過Javascript用SHA-512傳給到Hold Security的后臺數據庫去做比對。好吧, 是不是有點眼熟? 對, 釣魚網站是不是經常這么搞?
就算我們以小人之心度君子之腹, Hold Security的做法又令人產生一個懷疑, Hold Security難道手上就有這個12億用戶密碼的數據庫嗎? 而且, 做個網站開發的都知道, 不同網站采用的加密算法或者Hash算法不同, 比如有的用MD5, 有的用SHA1, 有的用SHA256等等 , Hold Security如何能夠知道我輸入的密碼經過SHA-512生成的Hash值就能與數據庫對上呢? 難道Hold Security已經把這些密碼轉成明文后又重新用SHA-512生成了一遍?此外, 還有的網站會對密碼采取“鹽化”,如果這樣的話, 就算是Hold Security有了數據庫, 也沒辦法做密碼比對。
此外, Hold Security也一直不肯透露它究竟是如何獲得關于這12億泄漏密碼的消息的。 不過, 根據我們對Hold Security提供的主要服務Deep Web Monitoring的分析, 它基本是通過Tor網絡進入一些在Tor上面的論壇和聊天室進行監控的。 這些論壇和聊天室其實每個Tor用戶都能進入。 你我都可以。 只不過我們都不懂俄語, 所以不知道俄羅斯黑客們在聊些什么或者在交易些什么。 而Alex Holden由于懂俄語, 則有可能通過監控這些論壇和聊天室獲得一些信息。 只是我們無法驗證這些信息的真偽。
The Verge的一個作者Russell Brandom也質疑了被Alex Holden成為CyberVor的黑客團伙, 根據Alex Holden, 這些黑客坐擁12憶用戶密碼, 卻并不在黑市上賣這些密碼或者利用這些密碼進行真正的金錢盜取活動, 而是僅僅用來用來通過推ter發送垃圾消息。 Russel Brandon認為這說明這些密碼雖然數量驚人, 其實質量并不高。事實上, 對于網絡黑市來說, 12憶密碼可不是一個小價錢, 而如果這些密碼都是有效的話, 那么我們只能認為那些僅僅用來進行發送推ter垃圾信息的黑客們純粹是一群白癡。
還有, Alex Holden宣稱俄羅斯黑客通過僵尸網絡進行自動化的掃描和SQL注入的方式入侵了40多萬個網站從而獲取了這些數據。 這一點也同樣令人懷疑。 如果真是這樣的話, 那么自動化掃描的站點至少是幾百萬個。 而且一定是利用了某些流行的CMS的漏洞才能如此大規模的進行自動化的SQL注入和拖庫。 而遺憾的是, 如此大規模的僵尸網絡行為竟然沒有引起任何網絡安全公司和國家CERT的注意。 這未免也太小看美國和其它國家的網絡安全防護能力了。 尤其是, 具備如此能力的黑客團伙居然只是拿這些密碼來干干推ter垃圾信息之類的事, 這也實在讓人難以理解。
結合上面的種種疑點, 我們做出這樣的推測。 這個成立于 2013年由來自烏克蘭的移民創辦的名為Hold Security的公司, 主要通過監控Tor網絡上的俄語論壇和聊天室獲取關于入侵和數據泄漏的信息。 也許還會從黑客那里買一些數據。 通過幾個熟悉媒體運作的自媒體博主和媒體圈的關系, 經常拋出一些數據泄漏的案例來吸引人注意。 而這次的12億密碼泄漏, 則是經過精心的策劃在黑帽大會期間發布, 以期引起轟動效應。 而實際上是為了推廣自己的服務而采取的公關手段。 而“12億”, “俄羅斯”, “用戶密碼泄漏”等等關鍵字也是能讓紐約時報等媒體興奮的字眼。
不得不說, 網絡安全非常重要, 而網絡安全引發的事件也越來越得到人們的重視。 不過, 由于網絡安全的特殊性, 很多信息往往難以證實。 這樣也給了很多公司和個人利用這個話題進行炒作和虛假宣傳的機會。 而這樣一些炒作和媒體的推波助瀾, 對建立一個真正網絡安全環境和提高人們的網絡安全意識是沒有益處的。
來自:安全牛網