黑客元老推演“網(wǎng)絡(luò)大泄密”
專家支招密碼設(shè)置
“一點都不意外,這在我們?nèi)锪鱾骱芫昧恕?rdquo;中國鷹派聯(lián)盟網(wǎng)的創(chuàng)立者、鷹派代表萬濤如此評價近期多家網(wǎng)站用戶信息遭泄露一事��。萬濤曾參與組織了2001年中美黑客大戰(zhàn)。
萬濤告訴早報記者,這些用戶信息在業(yè)內(nèi)已經(jīng)是公開的,只是最近有好事者將其公布在網(wǎng)絡(luò)上��。他表示����,上述信息已經(jīng)沒有任何利用價值��,“不可能誰拿了這個庫還能賺錢�����。”
中國最早的黑客組織綠色兵團創(chuàng)始人、現(xiàn)COG信息安全組織創(chuàng)建人龔蔚更是直言���,此次遭泄露的信息應(yīng)該只是“冰山”一角。
“有點挑戰(zhàn)實名制的意味”
12月21日晚�����,國內(nèi)知名IT社區(qū)CSDN發(fā)布公告稱�,部分用戶數(shù)據(jù)遭泄露,用戶名和用戶密碼或已公開�����,提醒用戶修改密碼�。之后,國內(nèi)另一知名社區(qū)天涯也發(fā)布公告稱��,因遭到黑客攻擊��,多家網(wǎng)站的部分用戶數(shù)據(jù)庫外泄����,天涯也是受害者之一�����,懇請用戶修改天涯社區(qū)賬戶密碼�����。
細心用戶不難發(fā)現(xiàn)��,事發(fā)后天涯和CSDN均表示�����,被泄露的數(shù)據(jù)庫是截至2009年用于備份的用戶信息��,并非最新的用戶數(shù)據(jù)�����,不禁讓人聯(lián)想刷庫(注:黑客術(shù)語�,指黑客入侵網(wǎng)站服務(wù)器���,盜取數(shù)據(jù)庫內(nèi)的資料�����,也被稱為“拖庫”)是否發(fā)生在數(shù)年前�,眼下所見的都是被人榨干最后一滴水的陳年資料。
的確就是這樣�。
萬濤表示,這些庫很早就被拖庫了��,現(xiàn)在只是有人借助于網(wǎng)絡(luò)將其公開���,“這種明文密碼的庫,和現(xiàn)在的數(shù)據(jù)庫不同���,不可能有誰拿了這些明文密碼的庫再來賺錢�,公開這個更像是一個娛樂的心態(tài)�����。”
所謂的明文密碼�,就是指直接將用戶輸入的密碼,不經(jīng)過任何加密��,直接存儲到數(shù)據(jù)庫中��,這種保存方式的安全性可想而知�,但目前大部分網(wǎng)站均采用加密保存�。
當初是誰刷庫���、賺了多少錢或許很難知道����,不過現(xiàn)在將這些原本業(yè)內(nèi)公開的“秘密”放在公眾前的目的似乎比較容易猜測�����。
龔蔚向早報記者表示�����,此次大規(guī)模信息泄露事件不像是有組織的行為�����,“我看不出這個事情最終的受益者是誰���,也看不出來有組織性�。”龔蔚猜測����,這更像是一個蝴蝶效應(yīng)���,擁有CSDN數(shù)據(jù)庫的人可能對這些所謂的“秘密”感到好奇,忍不住將其上傳至網(wǎng)絡(luò)���,而在看到CSDN用戶數(shù)據(jù)被公開后�����,手中握有天涯數(shù)據(jù)庫的人不得不將同樣為明文密碼的用戶信息公布����,“因為再不公布的話���,那些用戶就會更改密碼了。”
不過����,龔蔚擔心這次公布的或許是手下留情,并未公布最新的數(shù)據(jù)內(nèi)容���。
值得注意的是����,在上述網(wǎng)站用戶信息被公開前數(shù)天,北京市剛出臺了《北京市微博客發(fā)展管理若干規(guī)定》�����,要求微博實現(xiàn)實名制���。萬濤笑稱���,有點像對實名制挑戰(zhàn)的意味。
黑客是如何偷的?
即使這些用戶名和密碼已經(jīng)沒有利用價值�����,即使這些密碼現(xiàn)在成為茶余飯后的笑談����,不少人還是很好奇黑客究竟怎么去刷庫的,尤其是偷取一個知名IT社區(qū)的數(shù)據(jù)庫���,這更像是一種赤裸裸的挑釁�����。
龔蔚解釋稱����,數(shù)據(jù)庫被盜完全是出在網(wǎng)站自身的環(huán)節(jié)上,只要整個網(wǎng)站中有任何一個漏洞����,都能通過這個漏洞通向核心的數(shù)據(jù)庫。這好比“木桶原理”��,“任何一個短板都會決定你的最終水位��,任何一個環(huán)節(jié)有問題都可以導(dǎo)致數(shù)據(jù)庫被盜�����?����!?/p>
簡單而言�,用戶在登錄網(wǎng)站輸入密碼時����,通常含有密碼的數(shù)據(jù)會傳回數(shù)據(jù)庫進行比對,這些數(shù)據(jù)早在用戶第一次注冊時就已存在,并且通常是以加密的方式存儲�。
拋開此前的明文密碼不談,目前的密碼數(shù)據(jù)庫均是通過哈希函數(shù)的方式進行加密����,存儲的數(shù)據(jù)是用戶密碼的哈希值。
但是哈希函數(shù)并非萬無一失�,兩個不同的密碼可能哈希值會一樣,這種情況被成為“碰撞”�,而這正是黑客用來竊取數(shù)據(jù)庫獲得信息的途徑。
龔蔚稱����,目前的加密算法,即哈希函數(shù)都是公開的�,除非自己設(shè)計一個很好的能夠避免出現(xiàn)“碰撞”的哈希算法,否則現(xiàn)有的大眾哈希函數(shù)都可以通過“碰撞”的方式進行破解����。
為什么有些網(wǎng)站對于數(shù)據(jù)庫泄露并不擔心,因為這些網(wǎng)站認為自己的數(shù)據(jù)庫是經(jīng)過加密的��,即使你拿到了數(shù)據(jù)庫���,如果無法通過哈希算法解開數(shù)據(jù)庫���,也無濟于事���。
如果設(shè)計出了碰撞幾率低的算法,但黑客手中掌握了大量的碰撞庫��,這些都是常用密碼所對應(yīng)的哈希值��,一旦有密碼數(shù)據(jù)庫泄露��,黑客就會比對其中的哈希值與手中的碰撞庫�,如果匹配成功,就能找到用戶的原始密碼�����。
龔蔚表示����,可以將偷取的過程形容為四個過程:第一是否能進得來;第二個是就算進得來,但能否看得見;第三是就算看得見核心數(shù)據(jù)��,但能否拿得走;最后一步是就算能偷取整個數(shù)據(jù)庫���,但最終能否解得開�。
雖然目前公開的明文密碼已經(jīng)沒有利用價值���,但通常而言����,刷庫只是黑客產(chǎn)業(yè)鏈中的一部分�����,接下來還有“洗庫”�����,即對數(shù)據(jù)庫中的資源進行層層利用�����。龔蔚介紹���,這個產(chǎn)業(yè)鏈價值比較大的是���,第一波進行虛擬幣等信息的剝離,例如支付寶和QQ等���,拿到用戶的賬號后就會進入賬戶嘗試����,如果有虛擬金錢就會轉(zhuǎn)走,或?qū)? QQ號倒賣;第二次“洗”是對于個人信息的收集����,有些賬戶可能包括個人信息內(nèi)容,這些會賣給那些需要的人;第三次“洗”是關(guān)聯(lián)手機號的信息���,賣給轉(zhuǎn)發(fā)垃圾短信的��,這樣一層層“洗”下去直到?jīng)]有價值為止�。
“刷庫和洗庫的分工很明確��,洗庫的人不會去刷卡���,而且有專人負責對于各類不同賬號的嘗試�����,例如有人擅長操作QQ等�。”龔蔚說道�����。
一旦黑客手中的用戶庫頗具規(guī)模后����,就可以分析用戶�����。萬濤稱�,由于人的習(xí)慣性因素,密碼不可能改來改去���,總有一些關(guān)聯(lián)�,當有了用戶資源后���,可以生產(chǎn)字典���,用于“暴力”破解。
“網(wǎng)站也不知漏洞何在”
讓人不安的是�����,即使包括天涯和CSDN在內(nèi)的社區(qū)都已提醒用戶修改密碼,但對黑客而言��,用戶如何修改密碼并非關(guān)鍵���,黑客的目標在于網(wǎng)站的數(shù)據(jù)庫����,無論用戶密碼是什么���,一旦通過“碰撞”破解哈希函數(shù)����,那用戶再怎樣修改密碼也是無用功���。
掌控權(quán)并非在用戶手中�,而且到目前為止上述網(wǎng)站也沒有公布到底是哪個環(huán)節(jié)出了問題��。
龔蔚認為���,沒有公布原因就意味著網(wǎng)站自己也不知道哪里出了問題�����,“好比你錢包被偷了�,但是不知道是在哪里被偷的,只知道買一個新的錢包��,并稱更安全�����?�!?/p>
萬濤透露���,數(shù)年前曾爆發(fā)過多起數(shù)據(jù)庫被刷庫的事件,只是由于網(wǎng)絡(luò)傳播力度不如現(xiàn)在�,知道的人并不多,且對于一個發(fā)生過拖庫的網(wǎng)站而言�����,說不定已經(jīng)被人植入木馬或者留下后門還不知道��。
但為何這些網(wǎng)站還是沒有吸取同行的教訓(xùn)?龔蔚表示��,大型網(wǎng)站往往為了搶占用戶資源而過快擴張,例如各個門戶網(wǎng)站的微博�,這些都可能會留下遺留癥。萬濤稱����,門戶網(wǎng)站對于安全的態(tài)度取決于用戶對它的價值,門戶網(wǎng)站在安全上的確投入很多����,但一般都是保證內(nèi)容不被篡改。
“舊債總是要還的���?��!比f濤說,很難讓一項業(yè)務(wù)在沒掙錢的情況下去付出更多的安全成本�,這是目前安全文化的一個狀況,不僅僅是IT行業(yè)����。
此次的用戶信息泄露更像是對實名制的一種挑戰(zhàn)。萬濤認為�,目前整個法律體系根本不適應(yīng)互聯(lián)網(wǎng)的發(fā)展,尤其是在目前的體系下�����,把實名制寄托給運營商有很大問題,“過分強調(diào)實名制是有風險的����,目前對它的風險估計不足?��!?/p>
【明文密碼】
簡單來說���,明文密碼就是沒有隱藏����、顯而易見的密碼,與之相對的是暗碼�,或稱密文密碼,指的是系統(tǒng)收到你的密碼后�����,通過某種加密算法進行編譯后�,對編譯結(jié)果進行保存。如果你的密碼為12345���,則明文密碼顯示為12345���,暗碼顯示為*****��。如果告訴你*****而不告訴你解碼規(guī)則����,你就很難翻譯出12345����。
【專家支招】
一、經(jīng)常更換密碼;二����、網(wǎng)站登錄密碼要區(qū)別于注冊郵箱密碼,以免被黑客登錄郵箱�����,暴露更多個人信息;三���、重要網(wǎng)站采用賬戶安全保護;四���、涉及到銀行或其他金融類的用戶名�����、密碼����,要區(qū)別于一般網(wǎng)站的用戶名���、密碼��。
重要性分級建議:網(wǎng)銀��、網(wǎng)絡(luò)支付平臺(支付寶����,財付通等)���、QQ/微博/實名SNS網(wǎng)站、其他網(wǎng)站�����。
中國社科院法學(xué)研究所研究員周漢華:個人信息保護法應(yīng)盡快出臺
早報記者 是冬冬
互聯(lián)網(wǎng)用戶信息遭到泄露�,再一次凸顯了個人信息立法保護的缺失��。
昨日����,中國社會科學(xué)院法學(xué)研究所研究員周漢華在接受早報記者采訪時稱�,現(xiàn)在對于個人信息保護的立法進程,在某種程度上處于停擺的狀態(tài)����。
2005年,近8萬字的《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》完成����,周漢華擔任該課題組的負責人,但該法至今尚未出臺�����。
周漢華表示�����,由于個人信息保護法并沒有制定�,在面臨著基本法缺位的窘境下,盡管其他法律加大了立法力度�����,但對于個人信息的保護語焉不詳,“既缺乏全面系統(tǒng)的規(guī)定�,又缺乏保護機制和執(zhí)法機制,所以個人信息被盜用的現(xiàn)象比較普遍����。”
周漢華解釋�����,如果靠民事執(zhí)法來保護個人信息安全����,成本非常高,且取證困難��,如果用刑事執(zhí)法���,雖然《刑法修正案(七)》將非法提供和非法獲取公民個人信息納入刑事制裁范疇,“但刑事制裁還是一個事后手段�,并且各地的進展不平衡?��!?/p>
2009年通過的《刑法修正案(七)》規(guī)定���,國家機關(guān)或者金融����、電信���、交通�、教育��、醫(yī)療等單位的工作人員���,違反國家規(guī)定��,將本單位在履行職責或者提供服務(wù)過程中獲得的公民個人信息�,出售或者非法提供給他人���,情節(jié)嚴重的�,處三年以下有期徒刑或者拘役�����,并處或者單處罰金;侵入計算機信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計算機信息系統(tǒng)中存儲�����、處理或者傳輸?shù)臄?shù)據(jù)�,或者對該計算機信息系統(tǒng)實施非法控制,最高判處三年以上七年以下有期徒刑�����,并處罰金�。且對于提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序���、工具����,或者明知他人實施侵入���、非法控制計算機信息系統(tǒng)的違法犯罪行為而為其提供程序���、工具,同樣適用����。
周漢華認為,《刑法修正案(七)》中的一些規(guī)定還比較模糊�,可操作性上還有進一步明確的空間。周漢華表示��,行政執(zhí)法應(yīng)該是更具普遍性和有效性的��,這是在事前和事中預(yù)防損害發(fā)生的手段��,“但由于缺少個人信息保護法�,現(xiàn)在的行政執(zhí)法處于一個執(zhí)法權(quán)高度分散,沒有專門的執(zhí)法部門����,執(zhí)法者和被執(zhí)法者很多情況下,角色劃分不清晰����,行業(yè)執(zhí)法部門負責本行業(yè)執(zhí)法,存在利益上的糾葛�,行政執(zhí)法上力度非常弱?���!?/p>
2003年�����,國務(wù)院信息辦就有意進行個人信息保護法的立法��,并委托中國社科院法學(xué)所個人數(shù)據(jù)保護法研究課題組承擔《個人數(shù)據(jù)保護法》比較研究課題及草擬一份專家建議稿����。經(jīng)過近兩年的工作���,最終形成了近8萬字的《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》�。但在2008年國務(wù)院機構(gòu)改革設(shè)立工業(yè)和信息化部后�����,該項立法就沒有了下文����。
周漢華建議,個人信息保護法由部門起草并不合適�,會在立法資源上受到制約,應(yīng)該由全國人大法工委直接起草制定���,并盡快出臺����。
果.jpg)