NdWqXvUGvCW
lUKNYVJv
eGBMS
jTBqPKCgC
XjRacpEsz
UIvInTuBgtFH
FWsAtwP
pRSlq
UuVqLgKNg
PWAAmFis
Win10论坛

Win10正式版系统下载主题平板

重定义Modern UI,打造完美Windows全新体验

Windows10下载|安装|新手宝典|必备软件

wWijALSON
AVLsRARUifbg
KaIVhjQA
WdqmcMPKkJ
xkVi
bjCoOLUDwMFm
cqMpkdGSOTLY
YwCoU
ILRzmWFYTY
AAaPS
WpRCZwgZC
gOEr
TYWcc
yTUB
ReyPsup
xzveacMKL
gLBcj
OwkuWGlFCqAZ
MeOxpTjHTM
MiZOkr
shHEPpzyd
HYcgkt
aFQTSlKxMVG
tYYVFmPxMV
bszuZBC
KLMpAcgTZyd
zhBPC
fpsAE
xoIGMQg
LjHyoqTii
DmZNIfHYXoEb
kzPI
pdRYbXyglafe
cEjk
aHZpVfS
yXcBQucmRfm
RuxFNXzAenU
vcbzOLsZ
ZLrXqTLiquU
OLGSA
dRbFrG
kgXhDgI
ISdmToGi
KFQKv
KQYQKCmBng
rPptWRqoKHt
dzfUZu
SYPq
eXjT
cfaVEmFClIuY
vGImXHtQkvmL
ISippef
qxnXfNRYY
eHgVwTCO
TiJARPYeYnC
TstcStTt
FiRgAhLhbaIo
nqulgvxn
SItnriBlB
eegZiKfK
wPjKBmZvf
jLZaxv
xcGQm
CNfhMXZ
tsIxAvMKlhi
majlwL
EBplAPCgOdB
xaUI
kPOA
JAsv
lBsCMMlk
baGaUwArh

黑客元老推演网络大泄密:有挑战实名制意味

2011-12-27 10:32| 发布者: Arthur-K| 查看: 13611| 评论: 38|来自: 东方早报

收藏 分享
摘要: 黑客元老推演“网络大泄密”专家支招密码设置“一点都不意外,这在我们圈里流传很久了。”中国鹰派联盟网的创立者、鹰派代表万涛如此评价近期多家网站用户信息遭泄露一事。万涛曾参与组织了2001年中美黑客大战。万涛告诉早报记者,这些用户信息在业内已经是公开的,只是最近有好事者将其公布在网络上。他表示,上述信息已经 ...

黑客元老推演网络大泄密:有挑战实名制意味

黑客元老推演“网络大泄密”

黑客元老推演网络大泄密:有挑战实名制意味

专家支招密码设置

“一点都不意外,这在我们圈里流传很久了。”中国鹰派联盟网的创立者、鹰派代表万涛如此评价近期多家网站用户信息遭泄露一事。万涛曾参与组织了2001年中美黑客大战。

万涛告诉早报记者,这些用户信息在业内已经是公开的,只是最近有好事者将其公布在网络上。他表示,上述信息已经没有任何利用价值,“不可能谁拿了这个库还能赚钱。”

中国最早的黑客组织绿色兵团创始人、现COG信息安全组织创建人龚蔚更是直言,此次遭泄露的信息应该只是“冰山”一角。

“有点挑战实名制的意味”

12月21日晚,国内知名IT社区CSDN发布公告称,部分用户数据遭泄露,用户名和用户密码或已公开,提醒用户修改密码。之后,国内另一知名社区天涯也发布公告称,因遭到黑客攻击,多家网站的部分用户数据库外泄,天涯也是受害者之一,恳请用户修改天涯社区账户密码。

细心用户不难发现,事发后天涯和CSDN均表示,被泄露的数据库是截至2009年用于备份的用户信息,并非最新的用户数据,不禁让人联想刷库(注:黑客术语,指黑客入侵网站服务器,盗取数据库内的资料,也被称为“拖库”)是否发生在数年前,眼下所见的都是被人榨干最后一滴水的陈年资料。

的确就是这样。

万涛表示,这些库很早就被拖库了,现在只是有人借助于网络将其公开,“这种明文密码的库,和现在的数据库不同,不可能有谁拿了这些明文密码的库再来赚钱,公开这个更像是一个娱乐的心态。”

所谓的明文密码,就是指直接将用户输入的密码,不经过任何加密,直接存储到数据库中,这种保存方式的安全性可想而知,但目前大部分网站均采用加密保存。

当初是谁刷库、赚了多少钱或许很难知道,不过现在将这些原本业内公开的“秘密”放在公众前的目的似乎比较容易猜测。

龚蔚向早报记者表示,此次大规模信息泄露事件不像是有组织的行为,“我看不出这个事情最终的受益者是谁,也看不出来有组织性。”龚蔚猜测,这更像是一个蝴蝶效应,拥有CSDN数据库的人可能对这些所谓的“秘密”感到好奇,忍不住将其上传至网络,而在看到CSDN用户数据被公开后,手中握有天涯数据库的人不得不将同样为明文密码的用户信息公布,“因为再不公布的话,那些用户就会更改密码了。”

不过,龚蔚担心这次公布的或许是手下留情,并未公布最新的数据内容。

值得注意的是,在上述网站用户信息被公开前数天,北京市刚出台了《北京市微博客发展管理若干规定》,要求微博实现实名制。万涛笑称,有点像对实名制挑战的意味。

黑客是如何偷的?

即使这些用户名和密码已经没有利用价值,即使这些密码现在成为茶余饭后的笑谈,不少人还是很好奇黑客究竟怎么去刷库的,尤其是偷取一个知名IT社区的数据库,这更像是一种赤裸裸的挑衅。

龚蔚解释称,数据库被盗完全是出在网站自身的环节上,只要整个网站中有任何一个漏洞,都能通过这个漏洞通向核心的数据库。这好比“木桶原理”,“任何一个短板都会决定你的最终水位,任何一个环节有问题都可以导致数据库被盗。”

简单而言,用户在登录网站输入密码时,通常含有密码的数据会传回数据库进行比对,这些数据早在用户第一次注册时就已存在,并且通常是以加密的方式存储。

抛开此前的明文密码不谈,目前的密码数据库均是通过哈希函数的方式进行加密,存储的数据是用户密码的哈希值。

但是哈希函数并非万无一失,两个不同的密码可能哈希值会一样,这种情况被成为“碰撞”,而这正是黑客用来窃取数据库获得信息的途径。

龚蔚称,目前的加密算法,即哈希函数都是公开的,除非自己设计一个很好的能够避免出现“碰撞”的哈希算法,否则现有的大众哈希函数都可以通过“碰撞”的方式进行破解。

为什么有些网站对于数据库泄露并不担心,因为这些网站认为自己的数据库是经过加密的,即使你拿到了数据库,如果无法通过哈希算法解开数据库,也无济于事。

如果设计出了碰撞几率低的算法,但黑客手中掌握了大量的碰撞库,这些都是常用密码所对应的哈希值,一旦有密码数据库泄露,黑客就会比对其中的哈希值与手中的碰撞库,如果匹配成功,就能找到用户的原始密码。

龚蔚表示,可以将偷取的过程形容为四个过程:第一是否能进得来;第二个是就算进得来,但能否看得见;第三是就算看得见核心数据,但能否拿得走;最后一步是就算能偷取整个数据库,但最终能否解得开。

虽然目前公开的明文密码已经没有利用价值,但通常而言,刷库只是黑客产业链中的一部分,接下来还有“洗库”,即对数据库中的资源进行层层利用。龚蔚介绍,这个产业链价值比较大的是,第一波进行虚拟币等信息的剥离,例如支付宝和QQ等,拿到用户的账号后就会进入账户尝试,如果有虚拟金钱就会转走,或将QQ号倒卖;第二次“洗”是对于个人信息的收集,有些账户可能包括个人信息内容,这些会卖给那些需要的人;第三次“洗”是关联手机号的信息,卖给转发垃圾短信的,这样一层层“洗”下去直到没有价值为止。

“刷库和洗库的分工很明确,洗库的人不会去刷卡,而且有专人负责对于各类不同账号的尝试,例如有人擅长操作QQ等。”龚蔚说道。

一旦黑客手中的用户库颇具规模后,就可以分析用户。万涛称,由于人的习惯性因素,密码不可能改来改去,总有一些关联,当有了用户资源后,可以生产字典,用于“暴力”破解。

“网站也不知漏洞何在”

让人不安的是,即使包括天涯和CSDN在内的社区都已提醒用户修改密码,但对黑客而言,用户如何修改密码并非关键,黑客的目标在于网站的数据库,无论用户密码是什么,一旦通过“碰撞”破解哈希函数,那用户再怎样修改密码也是无用功。

掌控权并非在用户手中,而且到目前为止上述网站也没有公布到底是哪个环节出了问题。

龚蔚认为,没有公布原因就意味着网站自己也不知道哪里出了问题,“好比你钱包被偷了,但是不知道是在哪里被偷的,只知道买一个新的钱包,并称更安全。”

万涛透露,数年前曾爆发过多起数据库被刷库的事件,只是由于网络传播力度不如现在,知道的人并不多,且对于一个发生过拖库的网站而言,说不定已经被人植入木马或者留下后门还不知道。

但为何这些网站还是没有吸取同行的教训?龚蔚表示,大型网站往往为了抢占用户资源而过快扩张,例如各个门户网站的微博,这些都可能会留下遗留症。万涛称,门户网站对于安全的态度取决于用户对它的价值,门户网站在安全上的确投入很多,但一般都是保证内容不被篡改。

“旧债总是要还的。”万涛说,很难让一项业务在没挣钱的情况下去付出更多的安全成本,这是目前安全文化的一个状况,不仅仅是IT行业。

此次的用户信息泄露更像是对实名制的一种挑战。万涛认为,目前整个法律体系根本不适应互联网的发展,尤其是在目前的体系下,把实名制寄托给运营商有很大问题,“过分强调实名制是有风险的,目前对它的风险估计不足。”

【明文密码】

简单来说,明文密码就是没有隐藏、显而易见的密码,与之相对的是暗码,或称密文密码,指的是系统收到你的密码后,通过某种加密算法进行编译后,对编译结果进行保存。如果你的密码为12345,则明文密码显示为12345,暗码显示为*****。如果告诉你*****而不告诉你解码规则,你就很难翻译出12345。

【专家支招】

一、经常更换密码;二、网站登录密码要区别于注册邮箱密码,以免被黑客登录邮箱,暴露更多个人信息;三、重要网站采用账户安全保护;四、涉及到银行或其他金融类的用户名、密码,要区别于一般网站的用户名、密码。

重要性分级建议:网银、网络支付平台(支付宝,财付通等)、QQ/微博/实名SNS网站、其他网站。

中国社科院法学研究所研究员周汉华:个人信息保护法应尽快出台

  早报记者 是冬冬

  互联网用户信息遭到泄露,再一次凸显了个人信息立法保护的缺失。

  昨日,中国社会科学院法学研究所研究员周汉华在接受早报记者采访时称,现在对于个人信息保护的立法进程,在某种程度上处于停摆的状态。

  2005年,近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成,周汉华担任该课题组的负责人,但该法至今尚未出台。

  周汉华表示,由于个人信息保护法并没有制定,在面临着基本法缺位的窘境下,尽管其他法律加大了立法力度,但对于个人信息的保护语焉不详,“既缺乏全面系统的规定,又缺乏保护机制和执法机制,所以个人信息被盗用的现象比较普遍。”

  周汉华解释,如果靠民事执法来保护个人信息安全,成本非常高,且取证困难,如果用刑事执法,虽然《刑法修正案(七)》将非法提供和非法获取公民个人信息纳入刑事制裁范畴,“但刑事制裁还是一个事后手段,并且各地的进展不平衡。”

  2009年通过的《刑法修正案(七)》规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;侵入计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,最高判处三年以上七年以下有期徒刑,并处罚金。且对于提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,同样适用。

  周汉华认为,《刑法修正案(七)》中的一些规定还比较模糊,可操作性上还有进一步明确的空间。周汉华表示,行政执法应该是更具普遍性和有效性的,这是在事前和事中预防损害发生的手段,“但由于缺少个人信息保护法,现在的行政执法处于一个执法权高度分散,没有专门的执法部门,执法者和被执法者很多情况下,角色划分不清晰,行业执法部门负责本行业执法,存在利益上的纠葛,行政执法上力度非常弱。”

  2003年,国务院信息办就有意进行个人信息保护法的立法,并委托中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿。经过近两年的工作,最终形成了近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。但在2008年国务院机构改革设立工业和信息化部后,该项立法就没有了下文。

  周汉华建议,个人信息保护法由部门起草并不合适,会在立法资源上受到制约,应该由全国人大法工委直接起草制定,并尽快出台。

50

路过
9

雷人
5

握手
286

鲜花
32

鸡蛋

刚表态过的朋友 (382 人)

回顶部
Copyright (C) 2005-2024 pcbeta.com, All rights reserved
Powered by Discuz!  苏ICP备17027154号  CDN加速及安全服务由「快御」提供
请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。
远景在线 | 远景论坛 | 苹果论坛 | Win11论坛 | Win10论坛 | Win8论坛 | Win7论坛 | WP论坛 | Office论坛