深度︱還原12G數(shù)據(jù)泄露真相

責任編輯:editor005

作者:鄭凱

2016-12-11 21:06:43

摘自:百度百家

那么,再來簡單了解一下撞庫,這是一種針對數(shù)據(jù)庫的攻擊方式,方法是通過攻擊者所擁有的數(shù)據(jù)庫的數(shù)據(jù)通攻擊目標數(shù)據(jù)庫。我們所要做到的就是保持一份謹慎的心態(tài),不輕易泄露個人信息,相信互聯(lián)網(wǎng)公司的安全防護能力,相信邪不能勝正,還互聯(lián)網(wǎng)一片凈土。

該如何客觀和平靜的看待昨天流傳的所謂12G數(shù)據(jù)泄露事件?

第一,并不存在的數(shù)據(jù)之謎。一份2013年因為Struts官方披露導致的數(shù)據(jù)流失,盡管涉及到國內(nèi)的很多銀行、政府機構、幾乎所有的大中型互聯(lián)網(wǎng)公司,但事實證明,三年當中并沒有因此發(fā)生過真正的惡性事件。相比于電信詐騙的等網(wǎng)絡黑產(chǎn)重災區(qū),幾乎損失寥寥。

第二,電商雖然跟金錢掛鉤最緊密,但也是安全防護措施最嚴格的互聯(lián)網(wǎng)平臺。我們從這幾年著名的大型信息泄露事件來分析,不難發(fā)現(xiàn),無論是蘋果icloud的賬戶泄露,導致多位被騙女生死亡的電信詐騙,大麥網(wǎng)的撞庫事件,或者去年的考研用戶信息泄露,這些國內(nèi)外主要的網(wǎng)絡安全案例,極少出現(xiàn)在電商平臺。

所以,我們不難得出結論,任何一個數(shù)據(jù)泄露的傳言背后,可怕的力量并不是事件本身,而是對事件的不了解,所帶來的盲目恐慌。這件事的本質(zhì),到底要怎么看?

一份陳舊的數(shù)據(jù) 影響力可以忽略不計

針對12月10日,有關疑似京東數(shù)據(jù)外泄的消息。京東的回應是:經(jīng)京東信息安全部門依據(jù)報道內(nèi)容初步判斷,該數(shù)據(jù)源于2013年Struts 2的安全漏洞問題,當時國內(nèi)幾乎所有互聯(lián)網(wǎng)公司及大量銀行、政府機構都受到了影響,導致大量數(shù)據(jù)泄露。京東在Struts 2的安全問題發(fā)生后,就迅速完成了系統(tǒng)修復,同時針對可能存在信息安全風險的用戶進行了安全升級提示,當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級。但確實仍有極少部分用戶并未及時升級賬號安全,依然存在一定風險。

簡單來了解一下2013年發(fā)生的著名的Struts事件。我們知道,安全行業(yè)里默認的行規(guī)是“提示漏洞存在,但只公布描述,不公布細節(jié)”。大多數(shù)安全公告連漏洞涉及的代碼都不公布,更遑論直接給出漏洞利用方法的。這樣做的原因就是為了防止漏洞細節(jié)被黑客看到后,直接利用漏洞攻擊用戶。

荒謬的是,在2013年,Struts官方的一次錯誤決定,制造了當年國際網(wǎng)絡安全最大的一次事故:Struts官方在自己的官網(wǎng)網(wǎng)站上公布了其發(fā)現(xiàn)的高危漏洞,并不負責任的披露了漏洞利用方法,導致這個漏洞在黑客社區(qū)里引起了熱烈的討論,并迅速演變成了黑客的競賽。從而造成了包括蘋果的開發(fā)者網(wǎng)站在內(nèi)的,政府、銀行、互聯(lián)網(wǎng)公司集體性的信息泄露。

但是,這個事件屬于標準的影響面很大,但卻傷害較小。因為漏洞的被公開,整個中國互聯(lián)網(wǎng)可謂無一幸免,不過在黑客的競賽之后,也因為Struts的公開性,各大網(wǎng)站和機構及時進行了補救措施。3年來,并未因此產(chǎn)生過真正的惡性攻擊事件。

所以,我認為,這份“陳舊”的數(shù)據(jù),即便今天再次被翻了出來,影響力幾乎可以忽略不計。

一方面,很多用戶的信息都已經(jīng)改變了,另一方面,京東已經(jīng)對風險客戶采取了安全措施,一般而言,就是要求這些用戶登錄后迅速進行手機驗證,并更換密碼,避免賬號被黑客攻破的可能性。同時,加入網(wǎng)站的風險賬戶庫,也就意味著這些賬戶的登錄等行為都會受到嚴格監(jiān)控和限制,讓黑客無法為所欲為。

再次審視MD5算法和撞庫還原

一些文章中提到了當下最流行的MD5安全算法,并說要通過專業(yè)破解軟件,就能得到原密碼。可是,這種說法是不負責任的。

事實上,MD5是目前計算機安全領域廣泛使用的一種散列函數(shù),用以提供消息的完整性保護。要強調(diào)的是:第一,目前沒有軟件能有效地破解MD5。大多數(shù)時候只是把常見字符串的 MD5 存了起來為彩虹表,然后直接反查;第二,MD5 只是哈希,而不是加密。MD5 的破解絕對是專業(yè)級的,因為一個 MD5 可能對應無數(shù)種可能的明文。

當然,這里要提醒的是,密碼的設置不要過于簡單,這就容易被進行反推。比如123456對應的MD5字符串是:49ba59abbe56e057。這些非常簡單的排列,極有可能被黑客利用其作為反推攻破。

所以說,網(wǎng)絡安全就是與黑客持續(xù)對抗的過程,但前提是,用戶也有一定基本的常識,一方面杜絕非常簡單的密碼組合,其次盡量不要在重要的網(wǎng)站上使用重復的密碼,這樣容易被撞庫。

那么,再來簡單了解一下撞庫,這是一種針對數(shù)據(jù)庫的攻擊方式,方法是通過攻擊者所擁有的數(shù)據(jù)庫的數(shù)據(jù)通攻擊目標數(shù)據(jù)庫??梢岳斫鉃?,在黑客攻不破B網(wǎng)站的情況下,只需要攻破安全性差的A網(wǎng)站,然后用賬號來推測獲取B網(wǎng)站賬戶密碼,因為很多用戶在不同網(wǎng)站使用的是相同的賬號密碼。

比如,一些中小網(wǎng)站用戶賬戶以及密碼容易受到黑客掃號攻擊。因為這些網(wǎng)站的安全防護能力較弱,黑客很容易通過技術手段,通過網(wǎng)站的漏洞竊取完整的數(shù)據(jù)庫,或是通過利用社會工程,對企業(yè)內(nèi)部人員進行釣魚,以達到獲取數(shù)據(jù)庫的目的,俗稱“拖庫”。并最終達到獲取重要網(wǎng)站信息的目的。

因此,為什么某些2013年因Struts事件泄漏的信息,還有極小部分能夠登陸,其中的原因也有因使用重復密碼被撞庫的成分在,而并非是因為一家電商平臺的信息丟失所導致的。換句話說,我認為這絕對不是一份2013年泄漏的原始數(shù)據(jù)庫,而是打著Struts的旗號,通過各種撞庫手段和二次收集處理過的數(shù)據(jù)。

信息安全,人人有責

我們發(fā)現(xiàn),任何數(shù)據(jù)的泄露都不是一個孤立的事件。這要身在產(chǎn)業(yè)鏈中的每一分子都能貢獻自己的力量。

首先,法律法規(guī)正在更加嚴格為信息盜竊和買賣定性,我國刑法規(guī)定,“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國家規(guī)定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。”互聯(lián)網(wǎng)公司也在積極配合政府打擊黑產(chǎn)。例如,京東就在配合相關部門對此類行為進行調(diào)查處理,并盡一切努力,協(xié)助客戶維護合法權益,京東保留追究相關違法人員法律責任的一切權利。

其次,作為互聯(lián)網(wǎng)公司本身,要從技術上加強對信息安全的管理。以京東為例,京東一直采用加密方式存儲用戶密碼等信息,而且不斷提升加密手段,絕大部分數(shù)據(jù)就是黑客拿到也沒有辦法加以利用,既無法登錄京東賬戶,也無法拿去其他網(wǎng)站撞庫;另外,京東對用戶信息從存儲、傳輸、展示三方面都進行了妥善的安全處理,例如,黑客即使進入一個京東賬戶,也無法看到完整的敏感信息,保護用戶利益不被侵害。

第三,用戶應該時刻保持對信息安全的警惕之心。像京東這樣的電商平臺,早已經(jīng)明確:不會通過電話 、咚咚、QQ等聊天工具向客戶收取前述費用或者推銷打折卡、貴賓卡的,或者使用各種即時通訊工具發(fā)送商品需重新支付或退款的鏈接。用戶自身也要加強信息安全防范意識,不使用簡單、重復的密碼,不輕易在社交媒體上泄露個人重要信息。

總的來說,互聯(lián)網(wǎng)安全,人人有責。我們所要做到的就是保持一份謹慎的心態(tài),不輕易泄露個人信息,相信互聯(lián)網(wǎng)公司的安全防護能力,相信邪不能勝正,還互聯(lián)網(wǎng)一片凈土。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號