用戶數據泄露一直是如今互聯網世界的一個焦點,從最近的京東撞庫抹黑事件,到之前的CSDN,如家用戶數據的泄露,服務商和黑客之間在用戶數據這個舞臺上一直在進行着曠日持久的攻防戰。
對於大多數用戶而言,撞庫可能是一個很專業的名詞,但是理解起來卻比較簡單,撞庫是黑客無聊的“惡作劇”,黑客通過收集互聯網已泄露的用戶+密碼信息,生成對應的字典表,嘗試批量登陸其他網站後,得到一系列可以登陸的用戶。
以京東之前的撞庫舉例,首先京東的數據庫並沒有泄漏。黑客只不過通過“撞庫”的手法,“湊巧”獲取到了一些京東用戶的數據(用戶名密碼),而這樣的手法,幾乎可以對付任何網站登錄系統,用戶在不同網站登錄時使用相同的用戶名和密碼,就相當於給自己配了一把“萬能鑰匙”,一旦丟失,後果可想而知。所以說,防止撞庫,是一場需要用戶一同參與的持久戰。
關於撞庫事件的始末下文中也會有詳細的闡釋。
提及“撞庫”,就不能不說“脫褲”和“洗庫”。
在黑客術語裏面,”拖庫“是指黑客入侵有價值的網絡站點,把註冊用戶的資料數據庫全部盜走的行爲,因爲諧音,也經常被稱作“脫褲”,360的庫帶計劃,獎勵提交漏洞的白帽子,也是因此而得名。在取得大量的用戶數據之後,黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現,這通常也被稱作“洗庫”。最後黑客將得到的數據在其它網站上進行嘗試登陸,叫做”撞庫“,因爲很多用戶喜歡使用統一的用戶名密碼,”撞庫“也可以是黑客收穫頗豐。
下圖是黑客,在“脫褲”“洗庫”“撞庫”三個環節所進行的活動。
二,用戶數據與黑色產業:
隨着地下產業鏈日漸成熟,用戶數據可以被迅速地轉變成現金。
(1)用戶賬號中的虛擬貨幣,遊戲賬號,裝備,都可以通過交易的方式變現,也就是俗稱的“盜號”。
(2)金融類賬號比如,支付寶,網銀,信用卡,股票的賬號和密碼,則可以用來進行金融犯罪和詐騙。
(3)最後一些可歸類的用戶信息,如學生,打工者,老闆等,多用於發送廣告,垃圾短信,電商營銷。也有專門的廣告投放公司,花錢購買這些分門別類的信息。快速收益和高回報也讓越來越多的黑客鋌而走險。(刑法裏非法入侵計算機系統罪會被判處三年到七年有期徒刑)
而對於,信息被泄露的受害者,根據泄露信息的種類不同,生活也會受到不同程度的影響。
如上圖,如果你的多種網站和服務的用戶名密碼相同,那可能會蒙受更大的損失。
三,黑客怎樣獲取用戶數據:
黑客爲了得到數據庫的訪問權限,取得用戶數據,通常會從技術層面和社工層面兩個方向入手。
技術方面大致分爲如下幾種:
(1)遠程下載數據庫文件
這種拖庫方式的利用主要是由於管理員缺乏安全意識,在做數據庫備份或是爲了方便數據轉移,將數據庫文件直接放到了Web目錄下,而web目錄是沒有權限控制的,任何人都可以訪問的;還有就是網站使用了一些開源程序,沒有修改默認的數據庫;其實黑客每天都會利用掃描工具對各大網站進行瘋狂的掃描,如果你的備份的文件名落在黑客的字典裏,就很容易被掃描到,從而被黑客下載到本地。
(2)利用web應用漏洞
隨着開源項目的成熟發展,各種web開源應用,開源開發框架的出現,很多初創的公司爲了減少開發成本,都會直接引入了那些開源的應用,但卻並不會關心其後續的安全性,而黑客們在知道目標代碼後,卻會對其進行深入的分析和研究,當高危的零日漏洞發現時,這些網站就會遭到拖庫的危險。
(3)利用web服務器漏洞
Web安全實際上是Web應用和Web服務器安全的結合體;而Web服務器的安全則是由Web容器和系統安全兩部分組成,系統安全通常會通過外加防火牆和屏蔽對外服務端口進行處理,但Web容器卻是必須對外開放,因此如果Web容器爆出漏洞的時候,網站也會遭到拖庫的危險。
社工方面大概有如下幾種:
(1)水坑攻擊
黑客會利用軟件或系統漏洞,在特定的網站上進行掛馬,如果網站管理員在維護系統的時候不小心訪問到這些網站,在沒有打補丁的前提下,就會被植入木馬,也會引發後續的拖庫風險。
(2)郵件釣魚
黑客會利用一些免殺的木馬,並將其和一些管理員感興趣的信息綁定,然後通過郵件發送給管理員,而當網站管理員下載運行後,也會導致服務器植入木馬,引發後續的拖庫風險。
(3)社工管理員
對目標網站的管理員進行社會工程學手段,獲取到一些敏感後臺的用戶名和密碼。從而引發的後續拖庫。
(4)XSS劫持
有時黑客也會爲了獲取某一些網站的帳號信息,他們會利用網站釣魚的手段去欺騙用戶主動輸入,但這種方式只能獲取部分帳號的真實信息,並沒有入侵服務器。四,黑客怎樣解密得到的數據:
通常情況下,數據庫中的個人信息如,郵箱 電話 真實姓名 性別 等都是明文存儲的。而密碼通常經過MD5加密之後存儲。黑客可以很輕易地把他需要的且是明文存儲的數據從數據庫中剝離出來。而MD5加密之後的數據這需要一定的解密流程才能看到明文。通常解密MD5的方法有,暴力破解,字典破解和彩虹表。
(1)暴力破解
暴力破解這是一種"時間消耗型"的破解方法,確定了密文的加密方式的前提下,使用相同的加密算法,計算
M = H(P)
P爲所有的明文空間
H爲加密算法
M爲密文
然後將計算得到的M和待破解的密文進行比較,如果匹配成功,則對應的明文P即爲待破解密文的明文。值得注意的是,這個枚舉P和比較M的過程往往是在內存中進行的,也即在計算的過程中一邊產生,一邊比較,這次破解結束後,下一次破解又要重新開始從頭枚舉,效率不太高。
(2)字典破解
字典破解本質上還是"暴力破解"的一種,在字典破解中,攻擊者是對所有的明文(M)進行預計算,將所有的明文的HASH都事先計算好,並保存起來。典型的MD5字典如下:
....
password 5f4dcc3b5aa765d61d8327deb882cf99
admin 21232f297a57a5a743894a0e4a801fc3
cnblog efbc3548e65e7225dcf43d3918d94e6f
....在進行破解的時候,破解程序將字典映射Mapping到內存中,然後將HASH和待破解的密文進行逐條比較(這點和暴力破解是一樣的),直到找到某條HASH和待破解的密文相同爲止。
值得注意的是,基於字典的暴力破解時間上比單純的內存計算型暴力破解更有效率,只要一次的"字典生成"花費一定的時間,後續的多次破解都可以重複使用這個字典。
注意,這裏說的"字典"指的對應某個算法的字典: MD5 Directory、SHA1 Directory、NTLM Directory等等。
總的來說,字典攻擊是對單純的內存型暴力破解的一個改進,它引入了預處理的思想,但缺點也很明顯,需要佔用及其龐大的磁盤空間,以至於對於長度16以上的密碼字典,完整存儲根本不可能。
(3)彩虹表
這是對暴力破解和字典破解的一種折中的破解技術,在2003年瑞典的Philippe Oechslin 在Making a Faster Cryptanalytic Time-Memory Trade-Off一文中首次被提出,它有效的利用了預處理的優點,同時又克服了字典破解消耗太大磁盤空間的缺點,在這兩者中找到了一個平衡點。(具體實現技術請讀者自行百度)
五,黑客怎樣利用得到的數據:
除了販賣數據得到金錢上的利益之外,黑客還會把得到的數據進行整理,製作成社工庫。利用社工庫對其他網站進行撞庫攻擊。撞庫攻擊實質上就是,以大量的用戶數據位基礎,利用用戶相同的註冊習慣(相同的用戶名和密碼),嘗試登陸其它的網站。
隨着社工庫的日益龐大,越來越多的用戶和網站受到來自撞庫攻擊的威脅。(現在網上流傳的數據庫已經超過千萬級別,不過這和某些黑客手中所掌握的數據比較起來只不過是冰山一角,詳情參見“道哥的黑板報:中國黑客傳說:遊走在黑暗中的精靈”)
不單單是賬戶密碼的泄露,在龐大的社工庫面前,用戶的個人隱私也是岌岌可危。比如如家賓館2000w數據泄露事件,導致衆多會員開房記錄曝光於互聯網。
QQ羣用戶信息的泄露,也影響到了幾乎所有QQ用戶的隱私。
再來看最近的京東撞庫事件,網上流傳了一張所謂的京東數據被泄露的圖片,其中涉及到少量京東用戶名密碼。
網上的白帽子分析了其中用戶名密碼的出處,發現圖片中的用戶名密碼均在,之前別的網站泄露的數據庫中存在。
這也說明了,撞庫攻擊在本身擁有大量用戶名密碼的基礎上,可以在不攻破目標系統的前提下,獲取目標系統一定的用戶信息。
六,用戶怎樣保護自己的隱私:
作爲中國千萬網民中的一個,你可能覺得,我不用網銀,打遊戲不充錢,我沒有什麼被黑的價值,所以黑客是不會來光顧我的。其實不然,每一個使用互聯網服務的用戶,在享受快捷方便的時候,都把自己暴漏在了風險之下。不是黑客會不會值得黑你,而是你有沒有可能被波及。下面是幾條建議有利於你規避風險。
(1)重要網站/APP的密碼一定要獨立,猜測不到,或者用1Password這樣的軟件來幫你記憶;
(2)電腦勤打補丁,安裝一款殺毒軟件;
(3)儘量不使用IE瀏覽器
(4)支持正版,因爲盜版的、破解的總是各種貓膩,後門存在的可能性很大;
(5)不那麼可信的軟件,可以安裝到虛擬機裏;
(6)不要在公共場合(如咖啡廳、機場等)使用公共無線,自己包月3G/4G,不差錢,當然你可以用公共無線做點無隱私的事,如下載部電影之類的;
(7)自己的無線AP,用安全的加密方式(如WPA2),密碼複雜些;
(8)離開電腦時,記得按下Win(Windows圖標那個鍵)+L鍵,鎖屏,這個習慣非常非常關鍵;