28日早上,甲骨文的許多人面紅耳赤,原因是甲骨文旗下的兩個網站:MySQL.com和Sun.com在上週末被經驗極其老道的亦正亦邪的羅馬尼亞***TinKode和搭檔Ne0h攻破了。(可參閱《MySQL.com被SQL注入*** 用戶密碼數據被公佈》)這兩個網站是一種來源尚未明確的SQL盲注***手法的受害者--你以爲,MySQL的開發人員和管理員們完全知道如何防範這種類型的***。很顯然,你想錯了。
下面是具體的經過:星期天一大早,Jackh4xor安全組織向Full Disclosure(全面披露)郵件列表發去一封郵件,解釋MySQL.com"很容易遭到SQL盲注***漏洞的襲擊。"該郵件將MySQL.com客戶瀏覽頁面列爲是目標網站。有人從MySQL.com網站竊取了一批數量驚人的數據庫、表和字段,還有一小部分的用戶名和密碼,它們有的採用加密形式,有的沒有加密。
此後不久,聲稱來自羅馬尼亞Slacker.Ro的TinKode和Ne0h的一份冗長的列表出現在了Pastebin網站上。TinKode(或者更準確地說,是打着TinKode名號的那個人)曾先後闖入了美國陸軍網站、Eset、美國宇航局、英國國防部、路透社及其他知名機構的網站。TinKode還稱Jackh4x0r是"我們的朋友";他聲稱,他和Ne0h在今年1月發現了這個安全漏洞。
TinKode的列表包括幾個關鍵的用戶名,如"sys"和"sysadmin",還包括它們被破解的相應密碼--最可能是使用彩虹表(rainbow table),從加密的密碼中提取出來的。Sys(系統)的密碼是"phorum5";sysadmin(系統管理員)的密碼是"qa."。顯然,一些網站管理員不想爲使用複雜的密碼而操心。
MySQL.com網站包括幾個WordPress博客(WordPress在MySQL上運行),TinKode和Ne0h都極其友善,把其中許多博客的ID和密碼告訴給了全世界。前任MySQL項目管理主管(他在2009年以後就沒有更新過其博客)的用戶名爲"admin",密碼是"6661"。前任社區關係副總裁(他在2010年1月以後就沒有寫過博文)同樣採用了"admin"的用戶名,相應的密碼是"grankulla"。我覺得,公司頭頭們都不願使用複雜的密碼。 (編者注:話說網站密碼的記憶的確是個大問題,如果不願自己記密碼,藉助一些工具也不錯。參考文章《1Password密碼管理器使用指南》、《自己都不記得的密碼 纔是惟一安全的密碼》)
值得一提的是,MySQL並不是因密碼被竊取或被猜出而中黑手的。TinKode和Ne0h採用SQL盲注***手法,就攻破了該網站,他們針對的目標是接口,而不是數據庫。TinKode還聲稱控制了MySQL.fr、MySQL.it、jp.MySQL.com和MySQL.de這四個網站。
TinKode對於黑掉Sun.com過程的描述似乎平淡無奇,只借助一份竊取來的表和字段,還有少數幾個電子郵件地址,但根本沒用到密碼。至於他們是沒有找到密碼、根本就是不要密碼,還是說將密碼藏着掖着準備搞更邪惡的事,並不清楚。Sun.com是不是因MySQL.com遭到的同一種注入***手法而被攻破也不清楚。
誰監管監管者?這年頭,還真不好說。
文章來源:http://www.infoworld.com/t/hacking/analysis-how-mysqlcom-and-suncom-got-hacked-909