多家網站陷入“泄密門” 黑客自曝入侵過程
“泄密門”從一個網站的危機演變成互聯網世界的一場風波,變成了2011年底網民最關心的話題之一。
截至目前,淪陷于這場風波的網站包括CSDN、天涯社區、多玩、京東、當當、支付寶,甚至廣東出入境官網等,盡管各家網站紛紛出面澄清,但網民人人自危,擔心個人信息、社交生活、財務資料暴露于日光之下“你的密碼改了嗎”成為歲末網民間最流行的問候語。
安天實驗室首席技術架構師肖新光表示,過去10年中國互聯網以速度生存,應用開發脫離了安全發展,未來這些欠賬將要陸續補上。如何砍斷“用戶資料銷售”產業鏈,也是一個大問題。
黑客的“信息分層制”
很少人記得,早在去年4月索尼已宣布,其游戲網絡PlayStation(PSN)被入侵,有7700萬個用戶的信息可能被盜取,涉及姓名、賬單地址及以及其他相關信息。安天首席技術架構師肖新光告訴南都記者,這波泄露庫的潮流是從國外開始的。“由于0day漏洞的存在,和目前應用的龐大的復雜性等等,可以說在當前的情況下,很難有網站應用能決定保證自己是安全的。”
可以看到,一方面是服務端難以彌補的漏洞,另一方面,引發賬戶入侵的則是激烈的市場競爭下,互聯網應用開發者、各類企業對于用戶的爭奪戰。目前,國內有眾多專門從事入侵賬戶的黑客,而其身后是。一位曾經購買過用戶資料的開發者小林告訴南都記者,最常見的情況有兩種:一種是模仿抄襲某網站時,請黑客入侵同類網站的數據庫,將該庫信息進行簡單修改后,再導入自己的網站,開發成本驟降;另外一種,則是由于營銷需求索取特定的某種個人資料,如郵箱、手機號碼等,主要是電商在用。“這些業務都有固定的QQ群或論壇,可以在里面提出自己的用戶需求,再討價還價。”小林告訴記者。
南都記者昨日嘗試進入多個相關的QQ群,都被通知“對方拒絕加入成員”,顯示圈內風聲漸緊。其后,記者輾轉聯系上一位黑客,向其了解了入侵網站數據庫的過程。
楊先生表示,一般來說黑客首先是進行“拖庫”,獲得網站的賬戶信息,然后再進行“洗庫”和“撞庫”,進行信息分層,尋找高價值的目標。“首先被選取的,是帶有虛擬貨幣的QQ號碼、游戲賬戶、支付寶賬戶等;然后,將用戶的基本信息進行保存,比如密碼習慣等,看是否適用于其他網站;之后,才是現成的電子信箱、家庭住址、手機號碼等信息,倒賣給垃圾郵件、垃圾短信發送公司。”楊先生表示:“目前互聯網企業都講‘開放’,提倡同一賬號登陸多個網站,等于‘一號多用’,賬戶信息更不安全。”
搶速度后遺癥
安天實驗室首席技術架構師肖新光表示,眼下網絡泄密的根本原因,從根本上看是過去10年,互聯網開發搶速度的后遺癥。“互聯網一定程度上是以速度生存的,而安全上考慮更多無疑會影響開發的效率和進度,也可能會影響用戶的操作體驗。因此,國內應用開發脫離安全發展,對安全欠賬較多。但未來的10年,安全性將是互聯網企業的生存支點之一,這些欠賬是需要陸續補上的。”
根據安天實驗室普查的情況,國內網站賬戶信息使用明文存放、標準MD5存放的比率是比較高的,而這些方法都是不科學的。黑客楊先生就表示,采用明文保存密碼是用戶信息泄露的關鍵,但即使是采用標準MD5進行加密存儲,也可以通過彩虹表碰撞,進行破解。
肖新光建議,網站可以通過制定整體權限和數據訪問的策略;及時安裝應用和補丁;提升應用的編碼質量,提升對SQL注入的防范;還可將應用服務和數據庫服務器分開,將數據庫服務器配置為只有需要訪問庫的應用和管理才能訪問。“加強網站安全有很多的策略和方法,但很多需要較大的成本,這并不是大部分國內網站所能承受的。”肖新光補充道。
此次泄密風波中,被廣泛提及的“明文保存”,正是早年不少商業網站出于方便操作、節省成本而采用的儲存方法。
此前,工業和信息化部已經就此次事件發布通告,對竊取和泄露用戶信息表示強烈譴責。工信部表示,立即啟動應急預案,組織相關通信管理局、國家計算機網絡應急技術處理協調中心(CNCERT)、網絡安全專家和部分互聯網企業,了解核實事件情況,評估事件影響和危害,研究提出應對措施。肖新光提醒,目前網絡上出現的泄密信息有效性仍需考證,要以管理部門的統計為準。“但里面確實有消息是不可靠的,有些所謂的數據庫是一些用于騙P2P分數、甚至推廣自身軟件的假庫。”
【編輯推薦】
