“一点都不意外,这在我们圈里流传很久了。”中国鹰派联盟网的创立者、鹰派代表万涛如此评价近期多家网站用户信息遭泄露一事。万涛曾参与组织了2001年中美黑客大战。
万涛说,这些用户信息在业内已经是公开的,只是最近有好事者将其公布在网络上。中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚更是直言,此次遭泄露的信息只是“冰山”一角。
不为赚钱,只为炫耀
细心的网友不难发现,事发后,天涯社区和CSDN社区均表示,被泄露的数据库是截至2009年用于备份的用户信息,并非最新的用户数据。这不禁让人联想到拖库(注:黑客术语,指黑客入侵网站服务器,盗取数据库内的资料,又称“刷库”)是否发生在数年前,眼下所见的都是被人榨干了利益价值的陈年资料。
的确就是这样。
万涛表示,这些网站的数据绝不是刚刚被黑客盗用,据推测应该早已被黑客掌握,只不过最近有人拿到网上来“晒”。“这种明文密码的库,和现在的数据库不同,这些信息已经没有任何利用价值,不可能有谁拿了这些明文密码的库再来赚钱,公开这个更像是一种娱乐的心态。”
所谓的明文密码,就是指不经过任何加密,直接将用户输入的密码存储到数据库中的方式。这种保存方式的安全性可想而知,因此目前大部分网站均已改用加密保存。
而且,由于这些密码早已被盗,那么很可能当时就已经被利用赚钱,并经过多次利用,直到没有价值了。当初是谁刷库、赚了多少钱或许很难知道,不过现在将这些早已没有价值的、原本业内公开的“秘密”公之于众的目的似乎比较容易猜测—可能是纯属黑客炫耀技术,可能是警告某些网站,也可能是恐吓网民……
龚蔚则表示,此次大规模信息泄露事件不像是有组织的行为:“我看不出这个事情最终的受益者是谁,也看不出来有组织性。”龚蔚猜测,这更像是一个蝴蝶效应—拥有CSDN数据库的人可能对这些所谓的“秘密”感到好奇,忍不住将其上传至网络,而在看到CSDN用户数据被公开后,手中握有天涯社区数据库的人不得不将同样为明文密码的用户信息公布,“因为再不公布的话,那些用户就会更改密码了”。
不过,龚蔚担心幕后黑手这次或许是“手下留情”,并未公布最新的数据内容。
黑客如何偷到这些数据?
即使这些用户名和密码已经没有利用价值,即使这些密码现在成为茶余饭后的笑谈,不少人还是很好奇,当年,黑客究竟是怎样偷取了这些数据,尤其是偷取一个知名IT社区的数据库,这更像是一种赤裸裸的挑衅。
龚蔚解释称,数据库被盗的问题完全是出在网站自身,只要整个网站中有任何一个漏洞,都能通过这个漏洞通向核心的数据库。这好比“木桶原理”:任何一个短板都会决定你的最终水位,任何一个环节有问题都可以导致数据库被盗。
简单而言,用户在登录网站输入密码时,通常含有密码的数据会传回数据库进行比对,这些数据早在用户第一次注册时就已存在,并且通常是以加密的方式存储。
目前的密码数据库均是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。
但是哈希函数并非万无一失,两个不同的密码可能哈希值会一样,这种情况被称为“碰撞”,而这正是黑客用来窃取数据库获得信息的途径。
就目前的加密算法而言,哈希函数都是公开的,除非自己设计一个很好的能够避免出现“碰撞”的哈希算法,否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。
不过,就算网站自己设计出了碰撞几率低的算法,但黑客手中掌握了大量的碰撞库,这些都是常用密码所对应的哈希值。一旦有密码数据库泄露,黑客就会比对其中的哈希值与手中的碰撞库,一旦匹配成功,就能找到用户的原始密码。
龚蔚表示,可以将黑客偷取密码的过程形容为四个过程:第一是否能进得来;第二个是就算进得来,但能否看得见;第三是就算看得见核心数据,但能否拿得走;最后一步是就算能偷取整个数据库,但最终能否解得开。
价值早已被榨干
除了万涛和龚蔚,不少业内人士都表示,目前公开的明文密码应该已经没有利用价值了,它们的价值早已被黑客榨干。那么,黑客当年偷取了数据之后,是如何通过这些数据获利呢?换句话说,这也就是他们盗取数据的目的所在。
通常而言,拖库只是黑客产业链中的一部分,接下来还有“洗库”,即对数据库中的资源进行层层利用。
第一层是进行虚拟币等信息的剥离。例如支付宝和QQ等。黑客拿到用户的账号和密码后就会进入账户尝试,如果有虚拟金钱就会转走,或将QQ号倒卖。
第二层是对于个人信息的收集。有些账户可能包括个人信息内容,黑客可以把这些信息卖给那些需要的人。
第三层是关联手机号的信息。黑客把这些信息卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止。
“刷库和洗库的分工很明确,洗库的人不会去刷库,而且有专人负责对于各类不同账号的尝试,例如有人擅长操作QQ等。”龚蔚说道。
一旦黑客手中的用户库颇具规模后,就可以分析用户。万涛称,由于人的习惯性因素,密码不可能改来改去,总有一些关联,当有了用户资源后,可以生产字典,用于“暴力”破解。
“网站也不知漏洞何在”
让人不安的是,虽然天涯和CSDN等社区都已提醒用户修改密码,但对黑客而言,用户如何修改密码并非关键。黑客的目标在于网站的数据库,无论用户密码是什么,一旦通过“碰撞”破解哈希函数,那用户再怎样修改密码也是无用功,黑客照样可以偷。
也就是说,掌控权既不在用户手中,也不在网站手中。而且到目前为止,上述网站也没有公布到底是哪个环节出了问题。
龚蔚认为,没有公布原因就意味着网站自己也不知道哪里出了问题,“好比你钱包被偷了,但是不知道是在哪里被偷的,只知道买一个新的钱包,并声称更安全。”
万涛透露,数年前曾爆发过多起数据库被拖库的事件,只是由于网络传播力度不如现在,知道的人并不多,且对于一个发生过拖库的网站而言,说不定已经被人植入木马或者留下后门还不知道。
但为何这些网站还是没有吸取同行的教训?究其缘由,还是某些大型网站为了抢占用户资源而过快扩张,却很少有网站愿意在一项业务没挣钱的情况下去付出更多的安全成本。这是目前安全文化的一个状况,不仅仅是IT行业。