黑客元老推演网络大泄密:有挑战实名制意味
2011-12-27 08:46:00.0 来源:东方早报 责编:王岑
- 摘要:
- “一点都不意外,这在我们圈里流传很久了。”中国鹰派联盟网的创立者、鹰派代表万涛如此评价近期多家网站用户信息遭泄露一事。万涛曾参与组织了2001年中美黑客大战。
黑客是如何偷的?
即使这些用户名和密码已经没有利用价值,即使这些密码现在成为茶余饭后的笑谈,不少人还是很好奇黑客究竟怎么去刷库的,尤其是偷取一个知名IT社区的数据库,这更像是一种赤裸裸的挑衅。
龚蔚解释称,数据库被盗完全是出在网站自身的环节上,只要整个网站中有任何一个漏洞,都能通过这个漏洞通向核心的数据库。这好比“木桶原理”,“任何一个短板都会决定你的最终水位,任何一个环节有问题都可以导致数据库被盗。”
简单而言,用户在登录网站输入密码时,通常含有密码的数据会传回数据库进行比对,这些数据早在用户第一次注册时就已存在,并且通常是以加密的方式存储。
抛开此前的明文密码不谈,目前的密码数据库均是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。
但是哈希函数并非万无一失,两个不同的密码可能哈希值会一样,这种情况被成为“碰撞”,而这正是黑客用来窃取数据库获得信息的途径。
龚蔚称,目前的加密算法,即哈希函数都是公开的,除非自己设计一个很好的能够避免出现“碰撞”的哈希算法,否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。
为什么有些网站对于数据库泄露并不担心,因为这些网站认为自己的数据库是经过加密的,即使你拿到了数据库,如果无法通过哈希算法解开数据库,也无济于事。
如果设计出了碰撞几率低的算法,但黑客手中掌握了大量的碰撞库,这些都是常用密码所对应的哈希值,一旦有密码数据库泄露,黑客就会比对其中的哈希值与手中的碰撞库,如果匹配成功,就能找到用户的原始密码。
龚蔚表示,可以将偷取的过程形容为四个过程:第一是否能进得来;第二个是就算进得来,但能否看得见;第三是就算看得见核心数据,但能否拿得走;最后一步是就算能偷取整个数据库,但最终能否解得开。
虽然目前公开的明文密码已经没有利用价值,但通常而言,刷库只是黑客产业链中的一部分,接下来还有“洗库”,即对数据库中的资源进行层层利用。龚蔚介绍,这个产业链价值比较大的是,第一波进行虚拟币等信息的剥离,例如支付宝和QQ等,拿到用户的账号后就会进入账户尝试,如果有虚拟金钱就会转走,或将QQ号倒卖;第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止。
“刷库和洗库的分工很明确,洗库的人不会去刷卡,而且有专人负责对于各类不同账号的尝试,例如有人擅长操作QQ等。”龚蔚说道。
一旦黑客手中的用户库颇具规模后,就可以分析用户。万涛称,由于人的习惯性因素,密码不可能改来改去,总有一些关联,当有了用户资源后,可以生产字典,用于“暴力”破解。
“网站也不知漏洞何在”
让人不安的是,即使包括天涯和CSDN在内的社区都已提醒用户修改密码,但对黑客而言,用户如何修改密码并非关键,黑客的目标在于网站的数据库,无论用户密码是什么,一旦通过“碰撞”破解哈希函数,那用户再怎样修改密码也是无用功。
掌控权并非在用户手中,而且到目前为止上述网站也没有公布到底是哪个环节出了问题。
龚蔚认为,没有公布原因就意味着网站自己也不知道哪里出了问题,“好比你钱包被偷了,但是不知道是在哪里被偷的,只知道买一个新的钱包,并称更安全。”
万涛透露,数年前曾爆发过多起数据库被刷库的事件,只是由于网络传播力度不如现在,知道的人并不多,且对于一个发生过拖库的网站而言,说不定已经被人植入木马或者留下后门还不知道。
但为何这些网站还是没有吸取同行的教训?龚蔚表示,大型网站往往为了抢占用户资源而过快扩张,例如各个门户网站的微博,这些都可能会留下遗留症。万涛称,门户网站对于安全的态度取决于用户对它的价值,门户网站在安全上的确投入很多,但一般都是保证内容不被篡改。
“旧债总是要还的。”万涛说,很难让一项业务在没挣钱的情况下去付出更多的安全成本,这是目前安全文化的一个状况,不仅仅是IT行业。
此次的用户信息泄露更像是对实名制的一种挑战。万涛认为,目前整个法律体系根本不适应互联网的发展,尤其是在目前的体系下,把实名制寄托给运营商有很大问题,“过分强调实名制是有风险的,目前对它的风险估计不足。”
【明文密码】
简单来说,明文密码就是没有隐藏、显而易见的密码,与之相对的是暗码,或称密文密码,指的是系统收到你的密码后,通过某种加密算法进行编译后,对编译结果进行保存。如果你的密码为12345,则明文密码显示为12345,暗码显示为*****。如果告诉你*****而不告诉你解码规则,你就很难翻译出12345。
【专家支招】
一、经常更换密码;二、网站登录密码要区别于注册邮箱密码,以免被黑客登录邮箱,暴露更多个人信息;三、重要网站采用账户安全保护;四、涉及到银行或其他金融类的用户名、密码,要区别于一般网站的用户名、密码。
重要性分级建议:网银、网络支付平台(支付宝,财付通等)、QQ/微博/实名SNS网站、其他网站。
即使这些用户名和密码已经没有利用价值,即使这些密码现在成为茶余饭后的笑谈,不少人还是很好奇黑客究竟怎么去刷库的,尤其是偷取一个知名IT社区的数据库,这更像是一种赤裸裸的挑衅。
龚蔚解释称,数据库被盗完全是出在网站自身的环节上,只要整个网站中有任何一个漏洞,都能通过这个漏洞通向核心的数据库。这好比“木桶原理”,“任何一个短板都会决定你的最终水位,任何一个环节有问题都可以导致数据库被盗。”
简单而言,用户在登录网站输入密码时,通常含有密码的数据会传回数据库进行比对,这些数据早在用户第一次注册时就已存在,并且通常是以加密的方式存储。
抛开此前的明文密码不谈,目前的密码数据库均是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。
但是哈希函数并非万无一失,两个不同的密码可能哈希值会一样,这种情况被成为“碰撞”,而这正是黑客用来窃取数据库获得信息的途径。
龚蔚称,目前的加密算法,即哈希函数都是公开的,除非自己设计一个很好的能够避免出现“碰撞”的哈希算法,否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。
为什么有些网站对于数据库泄露并不担心,因为这些网站认为自己的数据库是经过加密的,即使你拿到了数据库,如果无法通过哈希算法解开数据库,也无济于事。
如果设计出了碰撞几率低的算法,但黑客手中掌握了大量的碰撞库,这些都是常用密码所对应的哈希值,一旦有密码数据库泄露,黑客就会比对其中的哈希值与手中的碰撞库,如果匹配成功,就能找到用户的原始密码。
龚蔚表示,可以将偷取的过程形容为四个过程:第一是否能进得来;第二个是就算进得来,但能否看得见;第三是就算看得见核心数据,但能否拿得走;最后一步是就算能偷取整个数据库,但最终能否解得开。
虽然目前公开的明文密码已经没有利用价值,但通常而言,刷库只是黑客产业链中的一部分,接下来还有“洗库”,即对数据库中的资源进行层层利用。龚蔚介绍,这个产业链价值比较大的是,第一波进行虚拟币等信息的剥离,例如支付宝和QQ等,拿到用户的账号后就会进入账户尝试,如果有虚拟金钱就会转走,或将QQ号倒卖;第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止。
“刷库和洗库的分工很明确,洗库的人不会去刷卡,而且有专人负责对于各类不同账号的尝试,例如有人擅长操作QQ等。”龚蔚说道。
一旦黑客手中的用户库颇具规模后,就可以分析用户。万涛称,由于人的习惯性因素,密码不可能改来改去,总有一些关联,当有了用户资源后,可以生产字典,用于“暴力”破解。
“网站也不知漏洞何在”
让人不安的是,即使包括天涯和CSDN在内的社区都已提醒用户修改密码,但对黑客而言,用户如何修改密码并非关键,黑客的目标在于网站的数据库,无论用户密码是什么,一旦通过“碰撞”破解哈希函数,那用户再怎样修改密码也是无用功。
掌控权并非在用户手中,而且到目前为止上述网站也没有公布到底是哪个环节出了问题。
龚蔚认为,没有公布原因就意味着网站自己也不知道哪里出了问题,“好比你钱包被偷了,但是不知道是在哪里被偷的,只知道买一个新的钱包,并称更安全。”
万涛透露,数年前曾爆发过多起数据库被刷库的事件,只是由于网络传播力度不如现在,知道的人并不多,且对于一个发生过拖库的网站而言,说不定已经被人植入木马或者留下后门还不知道。
但为何这些网站还是没有吸取同行的教训?龚蔚表示,大型网站往往为了抢占用户资源而过快扩张,例如各个门户网站的微博,这些都可能会留下遗留症。万涛称,门户网站对于安全的态度取决于用户对它的价值,门户网站在安全上的确投入很多,但一般都是保证内容不被篡改。
“旧债总是要还的。”万涛说,很难让一项业务在没挣钱的情况下去付出更多的安全成本,这是目前安全文化的一个状况,不仅仅是IT行业。
此次的用户信息泄露更像是对实名制的一种挑战。万涛认为,目前整个法律体系根本不适应互联网的发展,尤其是在目前的体系下,把实名制寄托给运营商有很大问题,“过分强调实名制是有风险的,目前对它的风险估计不足。”
【明文密码】
简单来说,明文密码就是没有隐藏、显而易见的密码,与之相对的是暗码,或称密文密码,指的是系统收到你的密码后,通过某种加密算法进行编译后,对编译结果进行保存。如果你的密码为12345,则明文密码显示为12345,暗码显示为*****。如果告诉你*****而不告诉你解码规则,你就很难翻译出12345。
【专家支招】
一、经常更换密码;二、网站登录密码要区别于注册邮箱密码,以免被黑客登录邮箱,暴露更多个人信息;三、重要网站采用账户安全保护;四、涉及到银行或其他金融类的用户名、密码,要区别于一般网站的用户名、密码。
重要性分级建议:网银、网络支付平台(支付宝,财付通等)、QQ/微博/实名SNS网站、其他网站。
-
相关新闻: - ·电商热评“传统参展”与“网络行销” 2011-12-26 09:28:42.0
- ·谷歌请求法院驳回扫描图书所涉版权案指控 2011-12-26 09:22:52.0
- ·最高法:明年继续加大知识产权司法保障力度 2011-12-26 09:20:05.0
- ·热议网络安全:谁动了我的帐号密码? 2011-12-26 09:03:11.0
【我要印】印刷厂与需方印务对接,海量印刷订单供您任意选择。
【cpp114】印刷机械、零配件供求信息对接,让客户方便找到您。- 【我的耗材】采购低于市场价5%-20%的印刷耗材,为您节省成本。
- 【印东印西】全国领先的印刷品网上采购商城,让印刷不花钱。
- 关于我们|联系方式|诚聘英才|帮助中心|意见反馈|版权声明|媒体秀|渠道代理
- 沪ICP备18018458号-3法律支持:上海市富兰德林律师事务所
- Copyright © 2019上海印搜文化传媒股份有限公司 电话:18816622098
