膠體磨密碼是這樣失控的
楊陽
當誰都能下載到幾個最受歡迎網站的用戶密碼庫時,中國互聯網——這個看起來人們曾經可以說悄悄話、購物、存儲照片、私人信件的虛擬世界正在揭開最后一層危險的面紗。
近半個月以來,CSDN、天涯等網站的用戶密碼庫陸續被爆出被破解并在網上流傳。一場公民個人信息的安全危機爆發。
這看上去只是一個偶然事件,但安全圈內人士判斷,CSDN網站幾年前就已被攻破,只是這種在“地下”流通的東西,現在普通的人就能夠拿到而已。這可能拉出來一個更加復雜的鏈條。本報接觸的國內安全圈的人士稱,這兩年許多人私下都在交換、共享包括買賣各種地下的網站數據庫。不過那時只是傳言,不確定。
安全廠商奇虎360的一位程序員稱,此次事件已經突破了以往黑客界的底線——只炫耀比技術或者掙點小錢,不流傳不散播。
黑色圣誕
2011年的12月25日注定是一個不安的圣誕節。
中國開發者技術在線社區CS-DN數據庫被泄露的消息爆出,用戶的明文郵箱和密碼被不加密地掛在網上,網民可以下載。
真正的爆發,是在圣誕節之前四天的12月21日上午10點左右,一個QQ用戶在一個安全領域的相關QQ群稱,自己掌握了CSDN的數據庫,隨后又發了一條鏈接——迅雷(微博)的共享鏈接。迅雷的這個鏈接是只有安裝了迅雷軟件的用戶才能去下載。CSDN的數據庫在迅雷里第一次傳播。
奇虎360的一位程序員對本報稱,起初他并沒有太在意,以為是個玩笑,中午去吃飯之前試了一下,結果真的下載成功。他用程序統計了一下,共有600多萬行,全部都是明文的郵箱和密碼,是“泛ID”,即也可以用來登錄京東、凡客或者任何什么用該郵箱做用戶名的網站。
在檢驗這個庫的真實性之后,該安全廠商程序員刪除了密碼庫。
但令他震驚的是,金山公司的一位員工韓某,網名為“hzqedison”的卻選擇了另一種做法,在迅雷快盤上分享了完整數據包,該數據下載鏈接隨即在各大黑客論壇和QQ群中迅速傳開。
事態就此升級。“泄密門”當事者“hzqedison”于22日晚發表微博承認傳播一事,并向廣大網民致歉。
金山公司對此事的解釋是,其間hzqedison將部分網上流傳密碼庫分發給同事自查不慎被外人所獲知,已迅速刪除,僅被個別同事下載。
金山毒霸的一位反病毒工程師李鐵軍對本報稱,其間韓某將部分網上流傳密碼庫分發給同事自查不慎被外人所獲知,且hzqedison在獲知該鏈接已被外人獲知后,迅速刪除了該鏈接,據刪除前統計,該鏈接僅被不超過5個同事下載,并未造成擴散——韓某并非傳言中所謂黑客,不是元兇。
但在迅雷上,鏈接瘋狂地被下載和傳播。迅雷公司事后才開始全面清理泄密鏈接。
當然,中招的不只是CSDN,網上還爆出了天涯、世紀佳緣(微博)、珍愛網等知名網站也采用明文密碼,用戶數據資料被放到網上公開下載。
1月4日,《京華時報》第九版刊載了這樣一條消息:從未參加網購的王先生同時接到了幾大電子商務網站的貨到付款快遞,他沒有下過訂單,但他的名字、聯系方式都是對的。問遍了周圍的人,王先生也沒有找到下單的人。
“臭小子”的帖子
在此次泄密事件中,CSDN、天涯以及很多小網站的明文密碼庫的總數已達七八千萬。除此之外,還有很大一部分是密文數據庫,比明文密碼庫要多很多。
此后,CSDN對此事的解釋是,網站早期使用過明文密碼(就是保存密碼或網絡傳送密碼的時候,用的是可以看到的明文字符,而不是經過加密后的密文),使用明文是因為和一個第三方chat程序整合驗證帶來的,后來的程序員始終未對此進行處理。
事實上,一直到2009年4月,CS-DN的程序員才修改了密碼保存方式,改成加密密碼。但部分老的明文密碼未被清理,2010年8月底,CS-DN對賬號數據庫全部明文密碼進行了清理。2011年元旦,CSDN升級改造了CSDN賬號管理功能,使用了強加密算法,賬號數據庫從 Win-dowsServer上的SQL Server遷移到了Linux平臺的MySQL數據庫,才算初步解決了CSDN賬號的各種安全性問題。
也就是說,2009年4月之前CS-DN上用戶的信息都是明文密碼庫,2009年4月之后是加密的,但部分明文密碼未清理。2010年8月底清理掉了所有明文密碼——CSDN稱,從2010年9月開始全部都是安全的,9月之前的有可能不安全。
本報接觸的國內安全圈里很多人都稱,這兩年許多人私下都在交換、共享包括買賣各種地下的網站數據庫。不過那時只是傳言,不確定。這次,用戶的密碼庫被下載后被證明大約有20%是真實的,其余則是很久以前的,很多賬號和密碼已經不再使用。
此后陸續被爆出的天涯、7k7k等眾多公司的庫也并非最新信息,早在12月4日時,這些就在“烏云網”上公布過。烏云網是為黑客向企業提交漏洞搭建的平臺,很多黑客會在烏云網上提交漏洞。
一個自稱“臭小子”的注冊用戶發布了一個漏洞標題為《中國各大站點數據庫曝光(騰訊的也有)》的漏洞報告,描述為“用戶資料大量泄露”,危害等級“高”。
“臭小子”的帖子一發出來沒多久立刻就讓烏云網的安全愛好者們炸了鍋——10點半,網名為“zerack-er”的安全愛好者第一個對“臭小子”的行為進行了評論,并且貼出了《中華人民共和國刑法》和《全國人民代表大會常務委員會關于維護互聯網安全的決定》的相關規定。
安全愛好者“xsser”則認為“臭小子”的做法很必要——不放出來網絡公司們就意識不到安全的重要性,企業會以為設置個強密碼就安全了。“xsser”稱企業的這種做法為“把腦袋放沙子里”的鴕鳥行為。
是的,安全愛好者們有的贊成“臭小子”,有的則認為沒有必要貼出來,這樣做是給自己找麻煩,也是太愛炫了。
不過,所有做安全的程序員都知道,網絡世界沒有絕對的安全!因為“道高一尺,魔高一丈”!
被拋棄的底線
CSDN的用戶信息庫被爆出泄露讓烏云網負責人感覺這次實在“有點快”——按照他的經驗,盡管CSDN網站幾年前就已被攻破,但這種在“地下”流通的東西現在居然普通人就能拿到,也足以令他感到震驚——用戶的密碼庫被泄露和擴散得這么快。
在他看來,在網絡這個虛擬世界里,掌握了這些密碼的人事實上擁有了至高無上的權力——在黑客面前,其實你早就是裸體的。“庫這個東西就像內褲,你可以有,但不必在大庭廣眾之下證明你有”……而當內褲被公之于眾時,互聯網上最丑惡的一面也展露在公眾面前。
被泄露密碼庫的網站名單中幾乎沒有出現大網站,但由于很多用戶在各個網站注冊時使用的都是同一個郵箱和密碼,因此泄密事件讓整個業界風聲鶴唳——美團網在發現網絡上有泄密的事件之后也給相關很多用戶發去了提醒短信,告訴那些現在被泄露用戶盡快修改美團的密碼。
一位曾經做過黑客的資深人士透露,2005年,要攻破一個網站其實只需要10分鐘。而今天,即便是采用一種號稱無法被破解的加密方法——MD5方式,黑客們只要有時間和精力,兩三個人花上兩個星期也能破解。
一切看起來失控了。
這些被泄露出來的用戶資料盡管大部分被證明已經不再使用——僅有20%有效,但如此大規模的泄露在中國互聯網歷史上還是首次。
烏云網負責人告訴本報,這次的密碼事件傳播得如此之快出乎他的意料。不過,在他看來,此次的泄露是“偶然中的必然”。
是的,眾多網站的用戶資料庫被“拖”(拖走,黑客行話,即被拷貝)是早就發生的事情。這些被拖走的“庫”有兩種命運,一種是黑客只是為了炫耀技術而攻擊,也不為了賺錢,只是自己做截圖后與其他黑客比技術時用作證明。另一種則是被一些黑客用來“掙點小錢”——賣給需要這些用戶聯系方式的公司,或者自己竊取用戶賬戶里的資產。
以前黑客界也有著一些最基本的游戲規則,他們中的一些人遵循“盜亦有道”的原則,包括不在公眾場合描述網絡攻擊的細節,不向未成年人傳授或培訓黑客技術,妥善保存可能帶來社會風險的用戶資料等等。
但是現在,已經無法確定究竟前一種黑客人多,還是后一種黑客是主流。前者被稱為“白帽子”——安全工程師、安全研究員和安全技術愛好者,這些“白帽子”大多有自己的工作,他們找到別的網站的漏洞,就提交到烏云網上去。
黑客和白帽子
一個簡單的邏輯是,一份隱私庫在最初被“拖”走的時候,黑客花的時間和精力最大,庫的價值也越高越寶貴——除非他用這個東西獲取到足夠的資源和利益,否則他不會公開或泄露。慢慢地這個東西越來越多的人有了,人越多在小圈子里流動的就越多,也越不可控——當這個庫最后被公布出來時,就意味著已經被賣得太廣了。
此前,“白帽子”們提交的漏洞大多得不到網站管理員的重視,烏云網的創立初衷之一就有讓他們與網站間建立一個溝通平臺的意思。
現在,這些提交漏洞的白帽子已經漸漸開始得到網站的重視和尊重——他們甚至可以通過提交漏洞得到一些公司贈送的小禮物,大多是T恤衫、筆、水杯等等紀念品,是一種象征性的獎勵。在烏云網站上,你可以看到的是,連騰訊都向白帽子贈送過“禮物”。
不過,烏云平臺已經在2011年12月29日因“系統升級”而無法訪問。
烏云網負責人稱,最近頻繁披露的安全事件及帶來的影響表明,一方面企業的整體安全建設還不夠完善,同時也反饋出烏云平臺和社區無論是溝通渠道還是反饋及響應機制都存在一些嚴重的問題。
而在深究此次密碼泄露問題上,互聯網資深分析師洪波稱,不能排除是有個別黑客在針對實名制采取的一種方式。
不愿意透露姓名的中國最早期的黑客之一宋某估計,此次事件應該最少有三個人參與,其中至少有一個人是想試圖提醒網民,如果真實的信息被泄露,將是多么可怕的一件事。
在烏云網負責人看來,此次泄密事件正在給人們一個教訓:互聯網不安全。
是的,只有做安全的人才知道網絡世界多么的不安全。
泄密事件發生后,奇虎360公司對本報稱,網站數據庫泄露的主要原因在于網站漏洞被黑客利用,用戶電腦再安全也無濟于事。奇虎360通過該公司安全檢測平臺發現,國內仍有83%的網站存在漏洞,34%為高危漏洞。
