黑客元老推演網(wǎng)絡(luò)大泄密 數(shù)據(jù)早已沒(méi)利用價(jià)值

黑客元老推演“網(wǎng)絡(luò)大泄密”：這些數(shù)據(jù)早已沒(méi)有利用價(jià)值

????“一點(diǎn)都不意外，這在我們?nèi)锪鱾骱芫昧??！敝袊?guó)鷹派聯(lián)盟網(wǎng)的創(chuàng)立者、鷹派代表萬(wàn)濤如此評(píng)價(jià)近期多家網(wǎng)站用戶信息遭泄露一事。萬(wàn)濤曾參與組織了2001年中美黑客大戰(zhàn)。

????萬(wàn)濤告訴早報(bào)記者，這些用戶信息在業(yè)內(nèi)已經(jīng)是公開(kāi)的，只是最近有好事者將其公布在網(wǎng)絡(luò)上。他表示，上述信息已經(jīng)沒(méi)有任何利用價(jià)值，“不可能誰(shuí)拿了這個(gè)庫(kù)還能賺錢(qián)?！?/p>

????中國(guó)最早的黑客組織綠色兵團(tuán)創(chuàng)始人、現(xiàn)COG信息安全組織創(chuàng)建人龔蔚更是直言，此次遭泄露的信息應(yīng)該只是“冰山”一角。

????“有點(diǎn)挑戰(zhàn)實(shí)名制的意味”

????12月21日晚，國(guó)內(nèi)知名IT社區(qū)CSDN發(fā)布公告稱(chēng)，部分用戶數(shù)據(jù)遭泄露，用戶名和用戶密碼或已公開(kāi)，提醒用戶修改密碼。之后，國(guó)內(nèi)另一知名社區(qū)天涯也發(fā)布公告稱(chēng)，因遭到黑客攻擊，多家網(wǎng)站的部分用戶數(shù)據(jù)庫(kù)外泄，天涯也是受害者之一，懇請(qǐng)用戶修改天涯社區(qū)賬戶密碼。

????細(xì)心用戶不難發(fā)現(xiàn)，事發(fā)后天涯和CSDN均表示，被泄露的數(shù)據(jù)庫(kù)是截至2009年用于備份的用戶信息，并非最新的用戶數(shù)據(jù)，不禁讓人聯(lián)想刷庫(kù)（注：黑客術(shù)語(yǔ)，指黑客入侵網(wǎng)站服務(wù)器，盜取數(shù)據(jù)庫(kù)內(nèi)的資料，也被稱(chēng)為“拖庫(kù)”）是否發(fā)生在數(shù)年前，眼下所見(jiàn)的都是被人榨干最后一滴水的陳年資料。

????的確就是這樣。

????萬(wàn)濤表示，這些庫(kù)很早就被拖庫(kù)了，現(xiàn)在只是有人借助于網(wǎng)絡(luò)將其公開(kāi)，“這種明文密碼的庫(kù)，和現(xiàn)在的數(shù)據(jù)庫(kù)不同，不可能有誰(shuí)拿了這些明文密碼的庫(kù)再來(lái)賺錢(qián)，公開(kāi)這個(gè)更像是一個(gè)娛樂(lè)的心態(tài)?！?/p>

????所謂的明文密碼，就是指直接將用戶輸入的密碼，不經(jīng)過(guò)任何加密，直接存儲(chǔ)到數(shù)據(jù)庫(kù)中，這種保存方式的安全性可想而知，但目前大部分網(wǎng)站均采用加密保存。

????當(dāng)初是誰(shuí)刷庫(kù)、賺了多少錢(qián)或許很難知道，不過(guò)現(xiàn)在將這些原本業(yè)內(nèi)公開(kāi)的“秘密”放在公眾前的目的似乎比較容易猜測(cè)。

????龔蔚向早報(bào)記者表示，此次大規(guī)模信息泄露事件不像是有組織的行為，“我看不出這個(gè)事情最終的受益者是誰(shuí)，也看不出來(lái)有組織性。”龔蔚猜測(cè)，這更像是一個(gè)蝴蝶效應(yīng)，擁有CSDN數(shù)據(jù)庫(kù)的人可能對(duì)這些所謂的“秘密”感到好奇，忍不住將其上傳至網(wǎng)絡(luò)，而在看到CSDN用戶數(shù)據(jù)被公開(kāi)后，手中握有天涯數(shù)據(jù)庫(kù)的人不得不將同樣為明文密碼的用戶信息公布，“因?yàn)樵俨还嫉脑挘切┯脩艟蜁?huì)更改密碼了。”

????不過(guò)，龔蔚擔(dān)心這次公布的或許是手下留情，并未公布最新的數(shù)據(jù)內(nèi)容。

????值得注意的是，在上述網(wǎng)站用戶信息被公開(kāi)前數(shù)天，北京市剛出臺(tái)了《北京市微博客發(fā)展管理若干規(guī)定》，要求微博實(shí)現(xiàn)實(shí)名制。萬(wàn)濤笑稱(chēng)，有點(diǎn)像對(duì)實(shí)名制挑戰(zhàn)的意味。

????黑客是如何偷的？

????即使這些用戶名和密碼已經(jīng)沒(méi)有利用價(jià)值，即使這些密碼現(xiàn)在成為茶余飯后的笑談，不少人還是很好奇黑客究竟怎么去刷庫(kù)的，尤其是偷取一個(gè)知名IT社區(qū)的數(shù)據(jù)庫(kù)，這更像是一種赤裸裸的挑釁。

????龔蔚解釋稱(chēng)，數(shù)據(jù)庫(kù)被盜完全是出在網(wǎng)站自身的環(huán)節(jié)上，只要整個(gè)網(wǎng)站中有任何一個(gè)漏洞，都能通過(guò)這個(gè)漏洞通向核心的數(shù)據(jù)庫(kù)。這好比“木桶原理”，“任何一個(gè)短板都會(huì)決定你的最終水位，任何一個(gè)環(huán)節(jié)有問(wèn)題都可以導(dǎo)致數(shù)據(jù)庫(kù)被盜?！?/p>

????簡(jiǎn)單而言，用戶在登錄網(wǎng)站輸入密碼時(shí)，通常含有密碼的數(shù)據(jù)會(huì)傳回?cái)?shù)據(jù)庫(kù)進(jìn)行比對(duì)，這些數(shù)據(jù)早在用戶第一次注冊(cè)時(shí)就已存在，并且通常是以加密的方式存儲(chǔ)。

????拋開(kāi)此前的明文密碼不談，目前的密碼數(shù)據(jù)庫(kù)均是通過(guò)哈希函數(shù)的方式進(jìn)行加密，存儲(chǔ)的數(shù)據(jù)是用戶密碼的哈希值。

????但是哈希函數(shù)并非萬(wàn)無(wú)一失，兩個(gè)不同的密碼可能哈希值會(huì)一樣，這種情況被成為“碰撞”，而這正是黑客用來(lái)竊取數(shù)據(jù)庫(kù)獲得信息的途徑。

????龔蔚稱(chēng)，目前的加密算法，即哈希函數(shù)都是公開(kāi)的，除非自己設(shè)計(jì)一個(gè)很好的能夠避免出現(xiàn)“碰撞”的哈希算法，否則現(xiàn)有的大眾哈希函數(shù)都可以通過(guò)“碰撞”的方式進(jìn)行破解。

????為什么有些網(wǎng)站對(duì)于數(shù)據(jù)庫(kù)泄露并不擔(dān)心，因?yàn)檫@些網(wǎng)站認(rèn)為自己的數(shù)據(jù)庫(kù)是經(jīng)過(guò)加密的，即使你拿到了數(shù)據(jù)庫(kù)，如果無(wú)法通過(guò)哈希算法解開(kāi)數(shù)據(jù)庫(kù)，也無(wú)濟(jì)于事。

????如果設(shè)計(jì)出了碰撞幾率低的算法，但黑客手中掌握了大量的碰撞庫(kù)，這些都是常用密碼所對(duì)應(yīng)的哈希值，一旦有密碼數(shù)據(jù)庫(kù)泄露，黑客就會(huì)比對(duì)其中的哈希值與手中的碰撞庫(kù)，如果匹配成功，就能找到用戶的原始密碼。

????龔蔚表示，可以將偷取的過(guò)程形容為四個(gè)過(guò)程：第一是否能進(jìn)得來(lái)；第二個(gè)是就算進(jìn)得來(lái)，但能否看得見(jiàn)；第三是就算看得見(jiàn)核心數(shù)據(jù)，但能否拿得走；最后一步是就算能偷取整個(gè)數(shù)據(jù)庫(kù)，但最終能否解得開(kāi)。

????雖然目前公開(kāi)的明文密碼已經(jīng)沒(méi)有利用價(jià)值，但通常而言，刷庫(kù)只是黑客產(chǎn)業(yè)鏈中的一部分，接下來(lái)還有“洗庫(kù)”，即對(duì)數(shù)據(jù)庫(kù)中的資源進(jìn)行層層利用。龔蔚介紹，這個(gè)產(chǎn)業(yè)鏈價(jià)值比較大的是，第一波進(jìn)行虛擬幣等信息的剝離，例如支付寶和QQ等，拿到用戶的賬號(hào)后就會(huì)進(jìn)入賬戶嘗試，如果有虛擬金錢(qián)就會(huì)轉(zhuǎn)走，或?qū)Q號(hào)倒賣(mài)；第二次“洗”是對(duì)于個(gè)人信息的收集，有些賬戶可能包括個(gè)人信息內(nèi)容，這些會(huì)賣(mài)給那些需要的人；第三次“洗”是關(guān)聯(lián)手機(jī)號(hào)的信息，賣(mài)給轉(zhuǎn)發(fā)垃圾短信的，這樣一層層“洗”下去直到?jīng)]有價(jià)值為止。

????“刷庫(kù)和洗庫(kù)的分工很明確，洗庫(kù)的人不會(huì)去刷卡，而且有專(zhuān)人負(fù)責(zé)對(duì)于各類(lèi)不同賬號(hào)的嘗試，例如有人擅長(zhǎng)操作QQ等。”龔蔚說(shuō)道。

????一旦黑客手中的用戶庫(kù)頗具規(guī)模后，就可以分析用戶。萬(wàn)濤稱(chēng)，由于人的習(xí)慣性因素，密碼不可能改來(lái)改去，總有一些關(guān)聯(lián)，當(dāng)有了用戶資源后，可以生產(chǎn)字典，用于“暴力”破解。

????“網(wǎng)站也不知漏洞何在”

????讓人不安的是，即使包括天涯和CSDN在內(nèi)的社區(qū)都已提醒用戶修改密碼，但對(duì)黑客而言，用戶如何修改密碼并非關(guān)鍵，黑客的目標(biāo)在于網(wǎng)站的數(shù)據(jù)庫(kù)，無(wú)論用戶密碼是什么，一旦通過(guò)“碰撞”破解哈希函數(shù)，那用戶再怎樣修改密碼也是無(wú)用功。

????掌控權(quán)并非在用戶手中，而且到目前為止上述網(wǎng)站也沒(méi)有公布到底是哪個(gè)環(huán)節(jié)出了問(wèn)題。

????龔蔚認(rèn)為，沒(méi)有公布原因就意味著網(wǎng)站自己也不知道哪里出了問(wèn)題，“好比你錢(qián)包被偷了，但是不知道是在哪里被偷的，只知道買(mǎi)一個(gè)新的錢(qián)包，并稱(chēng)更安全?！?/p>

????萬(wàn)濤透露，數(shù)年前曾爆發(fā)過(guò)多起數(shù)據(jù)庫(kù)被刷庫(kù)的事件，只是由于網(wǎng)絡(luò)傳播力度不如現(xiàn)在，知道的人并不多，且對(duì)于一個(gè)發(fā)生過(guò)拖庫(kù)的網(wǎng)站而言，說(shuō)不定已經(jīng)被人植入木馬或者留下后門(mén)還不知道。

????但為何這些網(wǎng)站還是沒(méi)有吸取同行的教訓(xùn)？龔蔚表示，大型網(wǎng)站往往為了搶占用戶資源而過(guò)快擴(kuò)張，例如各個(gè)門(mén)戶網(wǎng)站的微博，這些都可能會(huì)留下遺留癥。萬(wàn)濤稱(chēng)，門(mén)戶網(wǎng)站對(duì)于安全的態(tài)度取決于用戶對(duì)它的價(jià)值，門(mén)戶網(wǎng)站在安全上的確投入很多，但一般都是保證內(nèi)容不被篡改。

????“舊債總是要還的?！比f(wàn)濤說(shuō)，很難讓一項(xiàng)業(yè)務(wù)在沒(méi)掙錢(qián)的情況下去付出更多的安全成本，這是目前安全文化的一個(gè)狀況，不僅僅是IT行業(yè)。

????此次的用戶信息泄露更像是對(duì)實(shí)名制的一種挑戰(zhàn)。萬(wàn)濤認(rèn)為，目前整個(gè)法律體系根本不適應(yīng)互聯(lián)網(wǎng)的發(fā)展，尤其是在目前的體系下，把實(shí)名制寄托給運(yùn)營(yíng)商有很大問(wèn)題，“過(guò)分強(qiáng)調(diào)實(shí)名制是有風(fēng)險(xiǎn)的，目前對(duì)它的風(fēng)險(xiǎn)估計(jì)不足。”

????【明文密碼】

????簡(jiǎn)單來(lái)說(shuō)，明文密碼就是沒(méi)有隱藏、顯而易見(jiàn)的密碼，與之相對(duì)的是暗碼，或稱(chēng)密文密碼，指的是系統(tǒng)收到你的密碼后，通過(guò)某種加密算法進(jìn)行編譯后，對(duì)編譯結(jié)果進(jìn)行保存。如果你的密碼為12345，則明文密碼顯示為12345，暗碼顯示為*****。如果告訴你*****而不告訴你解碼規(guī)則，你就很難翻譯出12345。

????【專(zhuān)家支招】

????一、經(jīng)常更換密碼；二、網(wǎng)站登錄密碼要區(qū)別于注冊(cè)郵箱密碼，以免被黑客登錄郵箱，暴露更多個(gè)人信息；三、重要網(wǎng)站采用賬戶安全保護(hù)；四、涉及到銀行或其他金融類(lèi)的用戶名、密碼，要區(qū)別于一般網(wǎng)站的用戶名、密碼。

????重要性分級(jí)建議：網(wǎng)銀、網(wǎng)絡(luò)支付平臺(tái)(支付寶，財(cái)付通等)、QQ/微博/實(shí)名SNS網(wǎng)站、其他網(wǎng)站。（記者 是冬冬）