今日排行

本周排行

本月排行

: 【供應】全自動�；剞D

: 【供應】瑪萊寶油墨

普林太托KF 420*594
杭華油墨UV161 紅色S
東麗版材 WF95DY3
杭華紫外光固化油墨

膠印油墨

膠印材料

絲印材料

黑客元老推演網絡大泄密：有挑戰實名制意味

2011-12-27 08:46 來源：東方早報責編：王岑

摘要：: “一點都不意外，這在我們圈里流傳很久了。”中國鷹派聯盟網的創立者、鷹派代表萬濤如此評價近期多家網站用戶信息遭泄露一事。萬濤曾參與組織了2001年中美黑客大戰。

更多精彩資訊>>

小C專訪｜正博總經理范

小C專訪·煒岡股份董事

　　黑客是如何偷的?
　　
　　即使這些用戶名和密碼已經沒有利用價值，即使這些密碼現在成為茶余飯后的笑談，不少人還是很好奇黑客究竟怎么去刷庫的，尤其是偷取一個知名IT社區的數據庫，這更像是一種赤裸裸的挑釁。
　　
　　龔蔚解釋稱，數據庫被盜完全是出在網站自身的環節上，只要整個網站中有任何一個漏洞，都能通過這個漏洞通向核心的數據庫。這好比“木桶原理”，“任何一個短板都會決定你的最終水位，任何一個環節有問題都可以導致數據庫被盜。”
　　
　　簡單而言，用戶在登錄網站輸入密碼時，通常含有密碼的數據會傳回數據庫進行比對，這些數據早在用戶第一次注冊時就已存在，并且通常是以加密的方式存儲。
　　
　　拋開此前的明文密碼不談，目前的密碼數據庫均是通過哈希函數的方式進行加密，存儲的數據是用戶密碼的哈希值。
　　
　　但是哈希函數并非萬無一失，兩個不同的密碼可能哈希值會一樣，這種情況被成為“碰撞”，而這正是黑客用來竊取數據庫獲得信息的途徑。
　　
　　龔蔚稱，目前的加密算法，即哈希函數都是公開的，除非自己設計一個很好的能夠避免出現“碰撞”的哈希算法，否則現有的大眾哈希函數都可以通過“碰撞”的方式進行破解。
　　
　　為什么有些網站對于數據庫泄露并不擔心，因為這些網站認為自己的數據庫是經過加密的，即使你拿到了數據庫，如果無法通過哈希算法解開數據庫，也無濟于事。
　　
　　如果設計出了碰撞幾率低的算法，但黑客手中掌握了大量的碰撞庫，這些都是常用密碼所對應的哈希值，一旦有密碼數據庫泄露，黑客就會比對其中的哈希值與手中的碰撞庫，如果匹配成功，就能找到用戶的原始密碼。
　　
　　龔蔚表示，可以將偷取的過程形容為四個過程：第一是否能進得來;第二個是就算進得來，但能否看得見;第三是就算看得見核心數據，但能否拿得走;最后一步是就算能偷取整個數據庫，但最終能否解得開。
　　
　　雖然目前公開的明文密碼已經沒有利用價值，但通常而言，刷庫只是黑客產業鏈中的一部分，接下來還有“洗庫”，即對數據庫中的資源進行層層利用。龔蔚介紹，這個產業鏈價值比較大的是，第一波進行虛擬幣等信息的剝離，例如支付寶和QQ等，拿到用戶的賬號后就會進入賬戶嘗試，如果有虛擬金錢就會轉走，或將QQ號倒賣;第二次“洗”是對于個人信息的收集，有些賬戶可能包括個人信息內容，這些會賣給那些需要的人;第三次“洗”是關聯手機號的信息，賣給轉發垃圾短信的，這樣一層層“洗”下去直到沒有價值為止。
　　
　　“刷庫和洗庫的分工很明確，洗庫的人不會去刷卡，而且有專人負責對于各類不同賬號的嘗試，例如有人擅長操作QQ等。”龔蔚說道。
　　
　　一旦黑客手中的用戶庫頗具規模后，就可以分析用戶。萬濤稱，由于人的習慣性因素，密碼不可能改來改去，總有一些關聯，當有了用戶資源后，可以生產字典，用于“暴力”破解。
　　
　　“網站也不知漏洞何在”
　　
　　讓人不安的是，即使包括天涯和CSDN在內的社區都已提醒用戶修改密碼，但對黑客而言，用戶如何修改密碼并非關鍵，黑客的目標在于網站的數據庫，無論用戶密碼是什么，一旦通過“碰撞”破解哈希函數，那用戶再怎樣修改密碼也是無用功。
　　
　　掌控權并非在用戶手中，而且到目前為止上述網站也沒有公布到底是哪個環節出了問題。
　　
　　龔蔚認為，沒有公布原因就意味著網站自己也不知道哪里出了問題，“好比你錢包被偷了，但是不知道是在哪里被偷的，只知道買一個新的錢包，并稱更安全。”
　　
　　萬濤透露，數年前曾爆發過多起數據庫被刷庫的事件，只是由于網絡傳播力度不如現在，知道的人并不多，且對于一個發生過拖庫的網站而言，說不定已經被人植入木馬或者留下后門還不知道。
　　
　　但為何這些網站還是沒有吸取同行的教訓?龔蔚表示，大型網站往往為了搶占用戶資源而過快擴張，例如各個門戶網站的微博，這些都可能會留下遺留癥。萬濤稱，門戶網站對于安全的態度取決于用戶對它的價值，門戶網站在安全上的確投入很多，但一般都是保證內容不被篡改。
　　
　　“舊債總是要還的。”萬濤說，很難讓一項業務在沒掙錢的情況下去付出更多的安全成本，這是目前安全文化的一個狀況，不僅僅是IT行業。
　　
　　此次的用戶信息泄露更像是對實名制的一種挑戰。萬濤認為，目前整個法律體系根本不適應互聯網的發展，尤其是在目前的體系下，把實名制寄托給運營商有很大問題，“過分強調實名制是有風險的，目前對它的風險估計不足。”
　　
　　【明文密碼】
　　
　　簡單來說，明文密碼就是沒有隱藏、顯而易見的密碼，與之相對的是暗碼，或稱密文密碼，指的是系統收到你的密碼后，通過某種加密算法進行編譯后，對編譯結果進行保存。如果你的密碼為12345，則明文密碼顯示為12345，暗碼顯示為*****。如果告訴你*****而不告訴你解碼規則，你就很難翻譯出12345。
　　
　　【專家支招】
　　
　　一、經常更換密碼;二、網站登錄密碼要區別于注冊郵箱密碼，以免被黑客登錄郵箱，暴露更多個人信息;三、重要網站采用賬戶安全保護;四、涉及到銀行或其他金融類的用戶名、密碼，要區別于一般網站的用戶名、密碼。
　　
　　重要性分級建議：網銀、網絡支付平臺(支付寶，財付通等)、QQ/微博/實名SNS網站、其他網站。