|
本文來自騰訊大講堂(DJT.QQ.COM),轉載請註明出處。
【事件回放】 6月6日晚,知名專業社交網站LinkedIn爆出部分用戶賬戶密碼失竊,LinkedIn主管文森特·希爾維拉(Vicente Silveira)在其個人博客中證實了此事。根據Venturebeat的報道,650w被偷竊的LinkedIn賬戶密碼列表已經被上傳至一家俄羅斯黑客服務器,但目前尚不能確認是否只是650w的用戶帳號被竊。
備註:
截取來自百度百科的簡介:
LinkedIn是一家面向商業客戶的社交網絡(SNS)服務網站,網站的目的是讓註冊用戶維護他們在商業交往中認識並信任的聯繫人,俗稱“人脈”(Connections)。Linkedin目前用戶過億,平均每一秒鐘都有一個新會員的加入。其會員大約一半的成員是在美國,1100萬來自歐洲。
【黑客是怎麼做到的?】
國內國外在近兩年來,數據被竊事情不斷頻發,CSDN,索尼PlayStation,Linkedin,這些攻擊的具體細節至今沒有對外公佈過,那麼我們大膽猜測下,黑客是怎麼把黑手伸向用戶數據庫的?
安全的短板理論,最容易出問題的地方往往都是很細小的地方,可能你只是少打了個補丁,亦或者代碼少寫了個符號,當然也有種可能,黑客是拿着大錘去撬機房服務器。:)壞人的眼睛一直在盯着我們,一次錯誤就足以致命。
【應該怎麼做?】
我們應該如何去防止這種事情發生呢?
進不來,進來了帶不走,帶走了用不了,縱深防禦的思維可以得到體現。 進不來
想讓黑客們進不來,那就需要知道黑客進來的入口在哪裏?
1.對web服務器的攻擊,信息獲取的來源有工具掃描(nmap,nessus等),Google hacking,信息獲取的目的是爲了獲取更多的信息去攻擊web端。 2.黑客對我們內網或者vpn進行攻擊,企圖通過辦公網進入服務器。 如何控制住入口?
1. 制度 一:開發遵循SDL開發流程,上線前進行安全測試,確保無安全問題再上線。 二:不允許員工將辦公郵箱去註冊互聯網網站賬戶。 三:VPN或者其他第三方媒介的安全制度 四:漏洞修復流程 2. 流程: 一:通過IDS,對黑客嘗試入侵進行報警。 二:定期對在線業務進行安全測試,並輸出總結性報告 三:內網(VPN)與服務器區隔離,或者有較強的安全認證。 帶不走
黑客入侵後,爲了獲取更多的權限和以後的操作方便(例如帶走大量數據),通常會進行進一步的提權或者是放置後門的操作。 在服務器上裝好“後門”,就可以在夜黑風高的晚上對服務器數據進行偷竊,那麼換位思考下,黑客偷竊會有什麼樣的行爲? 一:首先會上傳web木馬,web木馬根據腳本會分不同的版本,但是每種惡意腳本中都會有關鍵字。 二:成功通過web木馬控制服務器後,黑客會對服務器進行系統探測,比如Linux版本,權限,網絡配置等等 三:熟悉服務器信息後,下一步就是基於黑客的目的而觸發的行爲,比如通過已控制的服務器去滲透其他服務器,或者入侵數據庫,偷竊數據。 四:目的達到,清理日誌,安裝系統後門。 在上述每個行爲都會有自己的特徵行爲,可以基於行爲通過主機監控系統進行防範。 在入侵者的典型入侵環節上都設置相關的探頭和監控點,比如當入侵者上傳網頁後門時,或者是使用木馬時系統都會及時發出告警,又或者入侵者通過漏洞操作系統的shell進行入侵時,監控平臺也會記錄下所有操作,便於事後追查。 用不了
一:密碼用不了
Linkedin密碼樣本,加密方式爲SHA1,比起直接粗暴的明文要強很多,但是SHA1加密真的安全嗎?很多人都意識中,認爲標準的hash算法(md5 sha1 sha256等)用於密碼加密是安全的,這個是一個誤區。我在網上截取了知名GPU破解工具破解指標對比表。
5000M c/s 可大約換算對應20億條每秒,那麼暴力去“撞庫”,密碼真的安全嗎?
諮詢了國內最大的密碼破解網站的站長,他給出來的建議是非標準hash+salt。
二:文件用不了
在互聯網上,經常有人爆出某某絕密文件,某某公司財務報表等等,這些數據的價值無可非議,如何保證數據即使被偷竊也不會造成損失。推薦企業內部使用文件加密系統。 應急響應
假如數據庫泄漏了怎麼辦呢?
於週四,Linkedin發佈聲明: http://blog.linkedin.com/2012/06/07/taking-steps-to-protect-our-members/ 在此事中,Linkedin在不斷的去補救密碼泄漏帶來的負面影響。發佈公告—>限制被竊號碼登錄(止損)—>引導用戶修改密碼—>承諾整改。下面做了整理了一個表格,對Linkedin的應急響應做了梳理。
應急響應是門大學問,處理好可以達到亡羊補牢的作用,處理不好會帶來更多的危機。 【其他】
帳號的強弱鑑定
CSDN數據庫泄漏以後,有好事之人把數據庫進行熱門密碼匹配,出現了普通,文藝,2B密碼排行榜。這次也不例外,有人把linkedin的密碼也做了下分析,如下圖所示:
從圖中可以看到,“link”是最容易被獲取的密碼,其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是流行的密碼主題。另外,數字串“1234”和“12345”也榜上有名。
在帳號體系中,1.單點設置密碼是有強密碼策略,那麼很多人就習慣性的去輸入1qazxsw2,完全符合策略,可是這個只能算大衆強密碼。2.預防這種符合策略又不安全的密碼,我們在帳號體系中有比較有效的方法防止自動化密碼驗證行爲。
可是筆者擔心的是,隨着密碼庫泄漏的數量越來越多,不能在密碼設置中去徹底解決弱密碼問題,需依靠堵截自動化行爲密碼驗證的行爲難免百密一疏。
隱私保護
這次linkedin密碼泄露的問題,衍生出了一個隱私問題,有關科技網站爆料,linkedin的IOS客戶端存在偷偷上傳用戶的日曆,待辦事件,通訊錄或者還有密碼信息,linkedin的解釋是上傳一些非必要的數據,是爲了做數據分析,更好地爲用戶服務,但是這個在隱私保護意識強的國外,無疑是會受到指責的,在IOS客戶端中,Path等也出現過這樣的問題。不過都在被爆出來後迅速修復了。
我們不僅要保護我們的客戶端沒有危害用戶隱私和密碼明文存儲的行爲,而且要保護我們的用戶不受到惡意程序的侵害,特別是在安卓平臺下,未經用戶允許,讀取短信,圖片,甚至是吸費的程序一直層出不窮。 【尾聲】
安全無小事,僅靠網絡安全工作者的努力是遠遠不夠的,一方面我們在前行,另外一方面安全需要大家的參與和配合,這樣黑客才無處遁形。
寫完這篇稿子的時候,在微博上得知last.fm的數據庫也泄漏了,在日益嚴峻的網絡安全環境下,安全工作任重道遠。
|
本文來自騰訊大講堂(DJT.QQ.COM),轉載請註明出處。