瑞星2011年度安全報告
2012-01-11 17:00:28
第二節 席卷互聯網的密碼風暴
12月4日,匿名黑客將CSDN網站的密碼庫截圖上傳到專業安全論壇,但當時并未引人注目,21日有人在新浪微博上放出了這個密碼庫的迅雷下載地址。這驗證了長久以來在互聯網上存在的一個傳言:國內多家大型網站曾被“拖庫”,但因為沒有確鑿的證據無法得到驗證(《瑞星2011上半年安全報告》中記錄了相關內容)。
隨后,包括天涯、新浪等一批著名網站數據庫連續外泄,形成了2011年末影響整個互聯網的安全大事件,給本已脆弱的互聯網安全造成了巨大沖擊。在本報告后半部分,瑞星專家剖析了黑客推廣釣魚網站的手法、增加用戶信任度的方法等,在這些推廣方式中,外泄的密碼庫起到了關鍵性的作用。
1、為什么會出現這樣大規模的密碼泄漏?
從已經公開的資料來看,這些網站不同程度地使用明文存儲用戶的數據庫,這是造成如此大規模用戶資料泄漏的根本原因。按照正常的安全流程,所有網站(不分大小,小網站也得加密)的數據庫都必須經過加密后才能存儲在服務器上,加密標準要求為:唯一、不可逆。
目前應用較多的不可逆加密算法包括RSA公司發明的MD5算法和由美國國家標準局建議的不可逆加密標準SHS(Secure Hash Standard-安全雜亂信息標準)等。
但事實上,很多網站、甚至是大型網站不知道什么原因,都采用了明文的方式把用戶數據庫儲存在自己的服務器上。有的是整體庫未加密(如CSDN),有的是某項業務的用戶數據庫未加密(如新浪愛問)。這就導致當黑客獲取服務器權限之后,可以像看自己電腦上的文本文件一樣瀏覽用戶名和密碼,導致大規模密碼及其他信息外泄。
2、密碼外泄是中國網站獨有的嗎,國外網站是什么情況?
事實上,互聯網沒有國界之分,即使強大如美、日、韓等國的互聯網,進入2011年以來都面臨著同類問題,在《瑞星2011年上半年安全報告》中指出,單單在上半年,就有日本索尼公司、美國wordpress等網站遭攻擊,損失慘重。
4月21日下午,索尼PSN網絡遭黑客攻擊,波及包括美國、日本、歐洲等地幾乎全球各地的所有PSN用戶,PSN幾乎陷入了徹底的癱瘓。黑客入侵者竊取了大約7700萬份PSN個人信息以及2700萬個Qriocity(云音樂服務)賬戶。
被竊的7700萬份PSN個人信息當中,包括1000多萬個信用卡賬戶,涉及57個國家和地區。而2700萬個Qriocity賬戶中,也同時包含了用戶的姓名、地址和密碼等敏感信息。索尼數據遭竊案受影響的用戶可能超過1億人,堪稱史上規模最大的用戶數據失竊案。
4月,Wordpress.com遭到攻擊,其服務器被黑客入侵,并盜走了部分源代碼和資料,導致VIP客戶的隱私信息外泄。在此次事件中可能泄露的眾多網站源代碼中,可能包括API密鑰和Twitter、Facebook密碼等敏感信息。WordPress.com服務于1800萬博客和網站,其中包括TED、CBS和TechCrunch博客等,其服務網站占全球網站數量的10%。
3、針對這些密碼外泄,普通網民可以采取的六種防范措施
目前我們看到的問題在于:大型互聯網公司在服務器端出現了安全問題,用戶即使在自己電腦上做再多的防護措施,也無濟于事,用戶面對這些密碼泄露問題幾乎毫無辦法。
在這種情況下,普通用戶只能通過采取下列措施來緩和密碼外泄的風險,但不能從根本上解決密碼泄漏問題:
(1)不要信任任何網站的安全防護措施,不要覺得他們是大網站就一定能保護好自己的密碼。連CSDN這樣的專業網站、天涯、新浪這樣的領頭羊企業都會出現密碼外泄問題,我們只能假定一切密碼都時刻面臨外泄風險,在此基礎上確定自己的安全策略。
(2)不要隨意注冊無關網站賬號,不要透露太多的個人信息,用戶名、賬號和密碼盡量用隨機數字,這樣可以把網絡和現實生活的影響降到最低。例如,注冊論壇的時候,ID wangxiaoming的安全性就比 wag@!Jdm這樣的賬號低。因為黑客在獲取用戶的賬號和密碼后,需要對其中的賬號進行分類整理,一旦能把這些賬號和身份證、銀行卡等對應起來,就會展開詐騙或者釣魚。我們需要做的就是打破這個循環,盡量不要讓黑客了解到自己的信息。
(3)不要輕易在安全性低的網站購物,尤其是電商網站。一般的電子商務網站都會記錄用戶的銀行卡信息(如果你使用銀行卡支付),記錄用戶的電話號碼(用來送貨),有的會記錄你的身份證號(比如你需要實名購買手機號碼的時候),在這樣情況下,黑客一旦攻擊成功,會獲取所有有價值的信息。如果有必要購物,可以采用”貨到付款”的方式,送貨地址可以填寫公司地址(不要填寫家庭地址)。
(4)注冊網站賬號之后,應定時更換密碼。比如每個月把自己所有的賬號密碼都改為全新的密碼。這樣即使黑客竊取了你的密碼,除非在一個月內進行登錄、詐騙等,否則你就會改為新密碼,從而使他竊取的密碼失效。
(5)如果注冊多個密碼,用戶的記憶力將會面臨挑戰,普通網民可以把賬號密碼寫在隨身的本子上,或者記錄在手機上,瑞星手機安全軟件就提供了密碼記錄功能。
(6)如果有必要,可以采取“密碼和手機綁定”的方式,比如支付寶、銀行都提供了這種方式來加強密碼的安全性。這樣綁定之后,一旦有賬號變動異常,用戶會及時收到消息,及時申訴降低損失。
本節小結
盡管“拖庫”攻擊是個存在很久的攻擊手法,但直到2011年年底,這個概念才被普通網民所知。由于這種攻擊針對的是互聯網網站的服務器端,如果各大網站在服務器端仍然堅持目前這種安全水準的話,同樣的泄密事件會一直存在下去,用戶幾乎毫無辦法。本節主要討論了普通網民應該進行的預防性措施,對于互聯網網站應該如何預防此類攻擊,瑞星公司將在隨后發布的企業級安全報告中詳細闡述。
