黑色圣誕
2011年的12月25日注定是一個(gè)不安的圣誕節��。
中國開(kāi)發(fā)者技術(shù)在線(xiàn)社區CS-DN數據庫被泄露的消息爆出��,用戶(hù)的明文郵箱和密碼被不加密地掛在網(wǎng)上�����,網(wǎng)民可以下載����。
真正的爆發(fā)����,是在圣誕節之前四天的12月21日上午10點(diǎn)左右����,一個(gè)QQ用戶(hù)在一個(gè)安全領(lǐng)域的相關(guān)QQ群稱(chēng)���,自己掌握了CSDN的數據庫����,隨后又發(fā)了一條鏈接——迅雷(微博)的共享鏈接���。迅雷的這個(gè)鏈接是只有安裝了迅雷軟件的用戶(hù)才能去下載��。CSDN的數據庫在迅雷里第一次傳播�。
奇虎360的一位程序員對本報稱(chēng)���,起初他并沒(méi)有太在意�����,以為是個(gè)玩笑�����,中午去吃飯之前試了一下���,結果真的下載成功�。他用程序統計了一下�,共有600多萬(wàn)行��,全部都是明文的郵箱和密碼�,是“泛ID”����,即也可以用來(lái)登錄京東��、凡客或者任何什么用該郵箱做用戶(hù)名的網(wǎng)站����。
在檢驗這個(gè)庫的真實(shí)性之后���,該安全廠(chǎng)商程序員刪除了密碼庫�����。
但令他震驚的是��,金山公司的一位員工韓某����,網(wǎng)名為“hzqedison”的卻選擇了另一種做法�,在迅雷快盤(pán)上分享了完整數據包�����,該數據下載鏈接隨即在各大黑客論壇和QQ群中迅速傳開(kāi)�����。
事態(tài)就此升級�������!靶姑荛T(mén)”當事者“hzqedison”于22日晚發(fā)表微博承認傳播一事����,并向廣大網(wǎng)民致歉�����。
金山公司對此事的解釋是���,其間hzqedison將部分網(wǎng)上流傳密碼庫分發(fā)給同事自查不慎被外人所獲知�����,已迅速刪除�,僅被個(gè)別同事下載����。
金山毒霸的一位反病毒工程師李鐵軍對本報稱(chēng)�,其間韓某將部分網(wǎng)上流傳密碼庫分發(fā)給同事自查不慎被外人所獲知�����,且hzqedison在獲知該鏈接已被外人獲知后�,迅速刪除了該鏈接�,據刪除前統計�����,該鏈接僅被不超過(guò)5個(gè)同事下載�,并未造成擴散——韓某并非傳言中所謂黑客���,不是元兇�����。
但在迅雷上�,鏈接瘋狂地被下載和傳播����。迅雷公司事后才開(kāi)始全面清理泄密鏈接��。
當然����,中招的不只是CSDN�,網(wǎng)上還爆出了天涯�����、世紀佳緣(微博)�����、珍愛(ài)網(wǎng)等知名網(wǎng)站也采用明文密碼����,用戶(hù)數據資料被放到網(wǎng)上公開(kāi)下載���。
1月4日����,《京華時(shí)報》第九版刊載了這樣一條消息:從未參加網(wǎng)購的王先生同時(shí)接到了幾大電子商務(wù)網(wǎng)站的貨到付款快遞�,他沒(méi)有下過(guò)訂單�,但他的名字���、聯(lián)系方式都是對的�。問(wèn)遍了周?chē)娜��,王先生也沒(méi)有找到下單的人�。
“臭小子”的帖子
在此次泄密事件中��,CSDN��、天涯以及很多小網(wǎng)站的明文密碼庫的總數已達七八千萬(wàn)����。除此之外�,還有很大一部分是密文數據庫�,比明文密碼庫要多很多���。
此后����,CSDN對此事的解釋是��,網(wǎng)站早期使用過(guò)明文密碼(就是保存密碼或網(wǎng)絡(luò )傳送密碼的時(shí)候��,用的是可以看到的明文字符���,而不是經(jīng)過(guò)加密后的密文)�,使用明文是因為和一個(gè)第三方chat程序整合驗證帶來(lái)的���,后來(lái)的程序員始終未對此進(jìn)行處理�。
事實(shí)上�����,一直到2009年4月�,CS-DN的程序員才修改了密碼保存方式��,改成加密密碼����。但部分老的明文密碼未被清理�,2010年8月底���,CS-DN對賬號數據庫全部明文密碼進(jìn)行了清理�。2011年元旦�����,CSDN升級改造了CSDN賬號管理功能����,使用了強加密算法��,賬號數據庫從 Win-dowsServer上的SQL Server遷移到了Linux平臺的MySQL數據庫�,才算初步解決了CSDN賬號的各種安全性問(wèn)題�����。
也就是說(shuō)����,2009年4月之前CS-DN上用戶(hù)的信息都是明文密碼庫�����,2009年4月之后是加密的����,但部分明文密碼未清理��。2010年8月底清理掉了所有明文密碼——CSDN稱(chēng)���,從2010年9月開(kāi)始全部都是安全的����,9月之前的有可能不安全�。
本報接觸的國內安全圈里很多人都稱(chēng)���,這兩年許多人私下都在交換����、共享包括買(mǎi)賣(mài)各種地下的網(wǎng)站數據庫���。不過(guò)那時(shí)只是傳言���,不確定�����。這次�����,用戶(hù)的密碼庫被下載后被證明大約有20%是真實(shí)的�����,其余則是很久以前的���,很多賬號和密碼已經(jīng)不再使用�。
此后陸續被爆出的天涯�、7k7k等眾多公司的庫也并非最新信息���,早在12月4日時(shí)�����,這些就在“烏云網(wǎng)”上公布過(guò)�����。烏云網(wǎng)是為黑客向企業(yè)提交漏洞搭建的平臺�,很多黑客會(huì )在烏云網(wǎng)上提交漏洞�。
一個(gè)自稱(chēng)“臭小子”的注冊用戶(hù)發(fā)布了一個(gè)漏洞標題為《中國各大站點(diǎn)數據庫曝光(騰訊的也有)》的漏洞報告�����,描述為“用戶(hù)資料大量泄露”�,危害等級“高”����。
“臭小子”的帖子一發(fā)出來(lái)沒(méi)多久立刻就讓烏云網(wǎng)的安全愛(ài)好者們炸了鍋——10點(diǎn)半��,網(wǎng)名為“zerack-er”的安全愛(ài)好者第一個(gè)對“臭小子”的行為進(jìn)行了評論����,并且貼出了《中華人民共和國刑法》和《全國人民代表大會(huì )常務(wù)委員會(huì )關(guān)于維護互聯(lián)網(wǎng)安全的決定》的相關(guān)規定�����。
安全愛(ài)好者“xsser”則認為“臭小子”的做法很必要——不放出來(lái)網(wǎng)絡(luò )公司們就意識不到安全的重要性���,企業(yè)會(huì )以為設置個(gè)強密碼就安全了����!皒sser”稱(chēng)企業(yè)的這種做法為“把腦袋放沙子里”的鴕鳥(niǎo)行為�。
是的��,安全愛(ài)好者們有的贊成“臭小子”�,有的則認為沒(méi)有必要貼出來(lái)�����,這樣做是給自己找麻煩�����,也是太愛(ài)炫了���。
不過(guò)�,所有做安全的程序員都知道����,網(wǎng)絡(luò )世界沒(méi)有絕對的安全!因為“道高一尺�����,魔高一丈”!
被拋棄的底線(xiàn)
CSDN的用戶(hù)信息庫被爆出泄露讓烏云網(wǎng)負責人感覺(jué)這次實(shí)在“有點(diǎn)快”——按照他的經(jīng)驗�����,盡管CSDN網(wǎng)站幾年前就已被攻破�,但這種在“地下”流通的東西現在居然普通人就能拿到����,也足以令他感到震驚——用戶(hù)的密碼庫被泄露和擴散得這么快��。
在他看來(lái)�,在網(wǎng)絡(luò )這個(gè)虛擬世界里���,掌握了這些密碼的人事實(shí)上擁有了至高無(wú)上的權力——在黑客面前����,其實(shí)你早就是裸體的�������!皫爝@個(gè)東西就像內褲�����,你可以有�,但不必在大庭廣眾之下證明你有”……而當內褲被公之于眾時(shí)�����,互聯(lián)網(wǎng)上最丑惡的一面也展露在公眾面前����。
被泄露密碼庫的網(wǎng)站名單中幾乎沒(méi)有出現大網(wǎng)站��,但由于很多用戶(hù)在各個(gè)網(wǎng)站注冊時(shí)使用的都是同一個(gè)郵箱和密碼���,因此泄密事件讓整個(gè)業(yè)界風(fēng)聲鶴唳——美團網(wǎng)在發(fā)現網(wǎng)絡(luò )上有泄密的事件之后也給相關(guān)很多用戶(hù)發(fā)去了提醒短信��,告訴那些現在被泄露用戶(hù)盡快修改美團的密碼����。
一位曾經(jīng)做過(guò)黑客的資深人士透露��,2005年�����,要攻破一個(gè)網(wǎng)站其實(shí)只需要10分鐘�。而今天���,即便是采用一種號稱(chēng)無(wú)法被破解的加密方法——MD5方式����,黑客們只要有時(shí)間和精力�����,兩三個(gè)人花上兩個(gè)星期也能破解���。
一切看起來(lái)失控了���。
這些被泄露出來(lái)的用戶(hù)資料盡管大部分被證明已經(jīng)不再使用——僅有20%有效��,但如此大規模的泄露在中國互聯(lián)網(wǎng)歷史上還是首次����。
烏云網(wǎng)負責人告訴本報���,這次的密碼事件傳播得如此之快出乎他的意料����。不過(guò)�,在他看來(lái)��,此次的泄露是“偶然中的必然”�。
是的�,眾多網(wǎng)站的用戶(hù)資料庫被“拖”(拖走�,黑客行話(huà)����,即被拷貝)是早就發(fā)生的事情�����。這些被拖走的“庫”有兩種命運��,一種是黑客只是為了炫耀技術(shù)而攻擊�,也不為了賺錢(qián)�,只是自己做截圖后與其他黑客比技術(shù)時(shí)用作證明�����。另一種則是被一些黑客用來(lái)“掙點(diǎn)小錢(qián)”——賣(mài)給需要這些用戶(hù)聯(lián)系方式的公司���,或者自己竊取用戶(hù)賬戶(hù)里的資產(chǎn)�����。
以前黑客界也有著(zhù)一些最基本的游戲規則�,他們中的一些人遵循“盜亦有道”的原則��,包括不在公眾場(chǎng)合描述網(wǎng)絡(luò )攻擊的細節��,不向未成年人傳授或培訓黑客技術(shù)�,妥善保存可能帶來(lái)社會(huì )風(fēng)險的用戶(hù)資料等等��。
但是現在�����,已經(jīng)無(wú)法確定究竟前一種黑客人多�,還是后一種黑客是主流�。前者被稱(chēng)為“白帽子”——安全工程師��、安全研究員和安全技術(shù)愛(ài)好者����,這些“白帽子”大多有自己的工作���,他們找到別的網(wǎng)站的漏洞�,就提交到烏云網(wǎng)上去��。
黑客和白帽子
一個(gè)簡(jiǎn)單的邏輯是�,一份隱私庫在最初被“拖”走的時(shí)候��,黑客花的時(shí)間和精力最大�,庫的價(jià)值也越高越寶貴——除非他用這個(gè)東西獲取到足夠的資源和利益���,否則他不會(huì )公開(kāi)或泄露��。慢慢地這個(gè)東西越來(lái)越多的人有了�,人越多在小圈子里流動(dòng)的就越多��,也越不可控——當這個(gè)庫最后被公布出來(lái)時(shí)�����,就意味著(zhù)已經(jīng)被賣(mài)得太廣了��。
此前�,“白帽子”們提交的漏洞大多得不到網(wǎng)站管理員的重視�,烏云網(wǎng)的創(chuàng )立初衷之一就有讓他們與網(wǎng)站間建立一個(gè)溝通平臺的意思�。
現在����,這些提交漏洞的白帽子已經(jīng)漸漸開(kāi)始得到網(wǎng)站的重視和尊重——他們甚至可以通過(guò)提交漏洞得到一些公司贈送的小禮物��,大多是T恤衫�����、筆��、水杯等等紀念品�����,是一種象征性的獎勵�����。在烏云網(wǎng)站上����,你可以看到的是���,連騰訊都向白帽子贈送過(guò)“禮物”����。
不過(guò)���,烏云平臺已經(jīng)在2011年12月29日因“系統升級”而無(wú)法訪(fǎng)問(wèn)��。
烏云網(wǎng)負責人稱(chēng)�����,最近頻繁披露的安全事件及帶來(lái)的影響表明��,一方面企業(yè)的整體安全建設還不夠完善�����,同時(shí)也反饋出烏云平臺和社區無(wú)論是溝通渠道還是反饋及響應機制都存在一些嚴重的問(wèn)題����。
而在深究此次密碼泄露問(wèn)題上�,互聯(lián)網(wǎng)資深分析師洪波稱(chēng)�����,不能排除是有個(gè)別黑客在針對實(shí)名制采取的一種方式��。
不愿意透露姓名的中國最早期的黑客之一宋某估計�,此次事件應該最少有三個(gè)人參與��,其中至少有一個(gè)人是想試圖提醒網(wǎng)民����,如果真實(shí)的信息被泄露�����,將是多么可怕的一件事�。
上一條:
2012年互聯(lián)網(wǎng)發(fā)展與SEO趨勢走向分析下一條:
商務(wù)部將建立工作網(wǎng)站打擊侵權假冒行為
湘公網(wǎng)安備 43010302000270號