黑色圣誕
2011年的12月25日注定是一個不安的圣誕節(jié)�。
中國開發(fā)者技術(shù)在線社區(qū)CS-DN數(shù)據(jù)庫被泄露的消息爆出,用戶的明文郵箱和密碼被不加密地掛在網(wǎng)上,網(wǎng)民可以下載�����。
真正的爆發(fā)��,是在圣誕節(jié)之前四天的12月21日上午10點左右����,一個QQ用戶在一個安全領(lǐng)域的相關(guān)QQ群稱���,自己掌握了CSDN的數(shù)據(jù)庫����,隨后又發(fā)了一條鏈接——迅雷(微博)的共享鏈接���。迅雷的這個鏈接是只有安裝了迅雷軟件的用戶才能去下載���。CSDN的數(shù)據(jù)庫在迅雷里第一次傳播。
奇虎360的一位程序員對本報稱����,起初他并沒有太在意,以為是個玩笑��,中午去吃飯之前試了一下�,結(jié)果真的下載成功。他用程序統(tǒng)計了一下�����,共有600多萬行�����,全部都是明文的郵箱和密碼���,是“泛ID”���,即也可以用來登錄京東、凡客或者任何什么用該郵箱做用戶名的網(wǎng)站�����。
在檢驗這個庫的真實性之后���,該安全廠商程序員刪除了密碼庫�����。
但令他震驚的是�,金山公司的一位員工韓某,網(wǎng)名為“hzqedison”的卻選擇了另一種做法�����,在迅雷快盤上分享了完整數(shù)據(jù)包���,該數(shù)據(jù)下載鏈接隨即在各大黑客論壇和QQ群中迅速傳開��。
事態(tài)就此升級���。“泄密門”當(dāng)事者“hzqedison”于22日晚發(fā)表微博承認(rèn)傳播一事�����,并向廣大網(wǎng)民致歉�。
金山公司對此事的解釋是,其間hzqedison將部分網(wǎng)上流傳密碼庫分發(fā)給同事自查不慎被外人所獲知��,已迅速刪除,僅被個別同事下載��。
金山毒霸的一位反病毒工程師李鐵軍對本報稱�����,其間韓某將部分網(wǎng)上流傳密碼庫分發(fā)給同事自查不慎被外人所獲知���,且hzqedison在獲知該鏈接已被外人獲知后,迅速刪除了該鏈接���,據(jù)刪除前統(tǒng)計�,該鏈接僅被不超過5個同事下載�����,并未造成擴(kuò)散——韓某并非傳言中所謂黑客����,不是元兇。
但在迅雷上����,鏈接瘋狂地被下載和傳播。迅雷公司事后才開始全面清理泄密鏈接���。
當(dāng)然����,中招的不只是CSDN,網(wǎng)上還爆出了天涯�����、世紀(jì)佳緣(微博)�����、珍愛網(wǎng)等知名網(wǎng)站也采用明文密碼�,用戶數(shù)據(jù)資料被放到網(wǎng)上公開下載。
1月4日�����,《京華時報》第九版刊載了這樣一條消息:從未參加網(wǎng)購的王先生同時接到了幾大電子商務(wù)網(wǎng)站的貨到付款快遞����,他沒有下過訂單,但他的名字��、聯(lián)系方式都是對的。問遍了周圍的人��,王先生也沒有找到下單的人�����。
“臭小子”的帖子
在此次泄密事件中��,CSDN���、天涯以及很多小網(wǎng)站的明文密碼庫的總數(shù)已達(dá)七八千萬。除此之外���,還有很大一部分是密文數(shù)據(jù)庫�����,比明文密碼庫要多很多�。
此后�����,CSDN對此事的解釋是����,網(wǎng)站早期使用過明文密碼(就是保存密碼或網(wǎng)絡(luò)傳送密碼的時候��,用的是可以看到的明文字符���,而不是經(jīng)過加密后的密文),使用明文是因為和一個第三方chat程序整合驗證帶來的����,后來的程序員始終未對此進(jìn)行處理。
事實上���,一直到2009年4月��,CS-DN的程序員才修改了密碼保存方式��,改成加密密碼�����。但部分老的明文密碼未被清理����,2010年8月底����,CS-DN對賬號數(shù)據(jù)庫全部明文密碼進(jìn)行了清理�。2011年元旦�,CSDN升級改造了CSDN賬號管理功能,使用了強(qiáng)加密算法���,賬號數(shù)據(jù)庫從 Win-dowsServer上的SQL Server遷移到了Linux平臺的MySQL數(shù)據(jù)庫���,才算初步解決了CSDN賬號的各種安全性問題。
也就是說���,2009年4月之前CS-DN上用戶的信息都是明文密碼庫,2009年4月之后是加密的�,但部分明文密碼未清理。2010年8月底清理掉了所有明文密碼——CSDN稱�,從2010年9月開始全部都是安全的,9月之前的有可能不安全�。
本報接觸的國內(nèi)安全圈里很多人都稱,這兩年許多人私下都在交換���、共享包括買賣各種地下的網(wǎng)站數(shù)據(jù)庫���。不過那時只是傳言����,不確定�����。這次����,用戶的密碼庫被下載后被證明大約有20%是真實的,其余則是很久以前的�����,很多賬號和密碼已經(jīng)不再使用���。
此后陸續(xù)被爆出的天涯�、7k7k等眾多公司的庫也并非最新信息���,早在12月4日時�����,這些就在“烏云網(wǎng)”上公布過�。烏云網(wǎng)是為黑客向企業(yè)提交漏洞搭建的平臺,很多黑客會在烏云網(wǎng)上提交漏洞����。
一個自稱“臭小子”的注冊用戶發(fā)布了一個漏洞標(biāo)題為《中國各大站點數(shù)據(jù)庫曝光(騰訊的也有)》的漏洞報告,描述為“用戶資料大量泄露”��,危害等級“高”�。
“臭小子”的帖子一發(fā)出來沒多久立刻就讓烏云網(wǎng)的安全愛好者們炸了鍋——10點半,網(wǎng)名為“zerack-er”的安全愛好者第一個對“臭小子”的行為進(jìn)行了評論���,并且貼出了《中華人民共和國刑法》和《全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》的相關(guān)規(guī)定��。
安全愛好者“xsser”則認(rèn)為“臭小子”的做法很必要——不放出來網(wǎng)絡(luò)公司們就意識不到安全的重要性�,企業(yè)會以為設(shè)置個強(qiáng)密碼就安全了���������!皒sser”稱企業(yè)的這種做法為“把腦袋放沙子里”的鴕鳥行為�����。
是的,安全愛好者們有的贊成“臭小子”����,有的則認(rèn)為沒有必要貼出來,這樣做是給自己找麻煩�����,也是太愛炫了����。
不過,所有做安全的程序員都知道����,網(wǎng)絡(luò)世界沒有絕對的安全!因為“道高一尺,魔高一丈”!
被拋棄的底線
CSDN的用戶信息庫被爆出泄露讓烏云網(wǎng)負(fù)責(zé)人感覺這次實在“有點快”——按照他的經(jīng)驗�����,盡管CSDN網(wǎng)站幾年前就已被攻破�,但這種在“地下”流通的東西現(xiàn)在居然普通人就能拿到,也足以令他感到震驚——用戶的密碼庫被泄露和擴(kuò)散得這么快��。
在他看來��,在網(wǎng)絡(luò)這個虛擬世界里,掌握了這些密碼的人事實上擁有了至高無上的權(quán)力——在黑客面前�����,其實你早就是裸體的����。“庫這個東西就像內(nèi)褲��,你可以有�,但不必在大庭廣眾之下證明你有”……而當(dāng)內(nèi)褲被公之于眾時,互聯(lián)網(wǎng)上最丑惡的一面也展露在公眾面前����。
被泄露密碼庫的網(wǎng)站名單中幾乎沒有出現(xiàn)大網(wǎng)站,但由于很多用戶在各個網(wǎng)站注冊時使用的都是同一個郵箱和密碼�,因此泄密事件讓整個業(yè)界風(fēng)聲鶴唳——美團(tuán)網(wǎng)在發(fā)現(xiàn)網(wǎng)絡(luò)上有泄密的事件之后也給相關(guān)很多用戶發(fā)去了提醒短信,告訴那些現(xiàn)在被泄露用戶盡快修改美團(tuán)的密碼����。
一位曾經(jīng)做過黑客的資深人士透露��,2005年�,要攻破一個網(wǎng)站其實只需要10分鐘���。而今天,即便是采用一種號稱無法被破解的加密方法——MD5方式���,黑客們只要有時間和精力����,兩三個人花上兩個星期也能破解��。
一切看起來失控了���。
這些被泄露出來的用戶資料盡管大部分被證明已經(jīng)不再使用——僅有20%有效����,但如此大規(guī)模的泄露在中國互聯(lián)網(wǎng)歷史上還是首次���。
烏云網(wǎng)負(fù)責(zé)人告訴本報��,這次的密碼事件傳播得如此之快出乎他的意料����。不過,在他看來����,此次的泄露是“偶然中的必然”。
是的��,眾多網(wǎng)站的用戶資料庫被“拖”(拖走��,黑客行話���,即被拷貝)是早就發(fā)生的事情�。這些被拖走的“庫”有兩種命運(yùn)���,一種是黑客只是為了炫耀技術(shù)而攻擊�,也不為了賺錢�����,只是自己做截圖后與其他黑客比技術(shù)時用作證明����。另一種則是被一些黑客用來“掙點小錢”——賣給需要這些用戶聯(lián)系方式的公司,或者自己竊取用戶賬戶里的資產(chǎn)����。
以前黑客界也有著一些最基本的游戲規(guī)則,他們中的一些人遵循“盜亦有道”的原則�����,包括不在公眾場合描述網(wǎng)絡(luò)攻擊的細(xì)節(jié)�,不向未成年人傳授或培訓(xùn)黑客技術(shù),妥善保存可能帶來社會風(fēng)險的用戶資料等等�����。
但是現(xiàn)在�,已經(jīng)無法確定究竟前一種黑客人多,還是后一種黑客是主流��。前者被稱為“白帽子”——安全工程師�、安全研究員和安全技術(shù)愛好者,這些“白帽子”大多有自己的工作�,他們找到別的網(wǎng)站的漏洞,就提交到烏云網(wǎng)上去��。
黑客和白帽子
一個簡單的邏輯是��,一份隱私庫在最初被“拖”走的時候���,黑客花的時間和精力最大�,庫的價值也越高越寶貴——除非他用這個東西獲取到足夠的資源和利益,否則他不會公開或泄露��。慢慢地這個東西越來越多的人有了�����,人越多在小圈子里流動的就越多����,也越不可控——當(dāng)這個庫最后被公布出來時,就意味著已經(jīng)被賣得太廣了�。
此前,“白帽子”們提交的漏洞大多得不到網(wǎng)站管理員的重視�,烏云網(wǎng)的創(chuàng)立初衷之一就有讓他們與網(wǎng)站間建立一個溝通平臺的意思。
現(xiàn)在�,這些提交漏洞的白帽子已經(jīng)漸漸開始得到網(wǎng)站的重視和尊重——他們甚至可以通過提交漏洞得到一些公司贈送的小禮物,大多是T恤衫��、筆���、水杯等等紀(jì)念品����,是一種象征性的獎勵。在烏云網(wǎng)站上����,你可以看到的是���,連騰訊都向白帽子贈送過“禮物”�����。
不過��,烏云平臺已經(jīng)在2011年12月29日因“系統(tǒng)升級”而無法訪問����。
烏云網(wǎng)負(fù)責(zé)人稱���,最近頻繁披露的安全事件及帶來的影響表明��,一方面企業(yè)的整體安全建設(shè)還不夠完善��,同時也反饋出烏云平臺和社區(qū)無論是溝通渠道還是反饋及響應(yīng)機(jī)制都存在一些嚴(yán)重的問題�。
而在深究此次密碼泄露問題上�����,互聯(lián)網(wǎng)資深分析師洪波稱,不能排除是有個別黑客在針對實名制采取的一種方式�����。
不愿意透露姓名的中國最早期的黑客之一宋某估計��,此次事件應(yīng)該最少有三個人參與���,其中至少有一個人是想試圖提醒網(wǎng)民����,如果真實的信息被泄露�,將是多么可怕的一件事。
上一條:
2012年互聯(lián)網(wǎng)發(fā)展與SEO趨勢走向分析下一條:
商務(wù)部將建立工作網(wǎng)站打擊侵權(quán)假冒行為
湘公網(wǎng)安備 43010302000270號