安全科普:你的密碼在誰的手里?
責編:admin |2014-11-20 14:48:46前幾天,身邊的很多朋友出現了密碼被盜的現象,而且盜走的時候都是批量地被盜走,自己注冊的很多個不同的網站密碼同時被盜,有感于普通人對密碼的意識比較淡薄,所以本篇文章將會剖析一下黑客盜號常用的手段以及普通人保護自己密碼安全所能做的安全措施。
密碼是怎樣被黑客盜取的?
首先,賬號被盜取,第一個懷疑的就是電腦被中木馬的問題,黑客通過在個人電腦中植入木馬,可以利用鍵盤記錄,釣魚等方式來實現對密碼的盜取。于是,作者檢查了身邊幾個被盜密碼朋友的電腦,并沒有發現任何木馬,很明顯通過木馬的方式盜取他們賬號的可能性不大。
既然不是自己的電腦有問題,那么很可能就是曾經注冊過的網站被人“拖庫”,這里解釋下拖庫,所謂“拖庫”就是網站的用戶數據被人用SQL注入或者其它手段盜取,得到了這個網站的用戶名、密碼信息,很多知名網站都發過“拖庫”事件,如CSDN、天涯、小米等,黑客間將拖下來的庫進行交換、集中,就形成了一個又一個所謂的“社工庫”,社工庫中存放了很多個被“拖庫”網站的帳號密碼信息,于是作者在一個黑客比較常用的的社工庫網站上搜索朋友的賬號信息,果然發現了泄露出的賬號密碼:
從截圖可以看出,朋友的密碼是從51CTO泄露出來的,密碼進行了MD5加密,不過想要解出這個密碼,并非不可能,網上提供了很多可以查詢MD5原文的網站,如在CMD5上對密文進行檢索,很快發現了密碼原文:
解密成功后,用密碼去登錄朋友的相關賬號,果然登錄成功。看來密碼泄露的途徑已經找到。那么,現在問題來了,黑客是如何入侵到朋友的多個網站的呢?
觸目驚心的地下數據庫
這時,就要祭出我們的又一個工具了(www.reg007.com),因為很多人都有使用同一個郵箱注冊很多業務的習慣,而通過這個網站可以查詢到某個郵箱注冊過什么網站,第一次見過這個網站時,我和我的小伙伴們都驚呆了,下面是查詢某個郵箱時的情況,共查詢出21個注冊過的網站:
其實很多朋友還都有這樣一種習慣,就是為了方便記憶,都會把所有網站的賬號都用一個相同的賬號和密碼注冊,無論是小論壇,還是像京東,天貓這樣涉及財產的商城。這種做法是很不安全的,一旦其中一個網站淪陷,所有的帳號都將危險。特別是隨著2011年CSDN數據庫泄露事件之后,越來越多網站的數據庫出現泄露的事情,而且這些被泄露的數據庫都能夠在網站上隨意找得到。大家可以想一想,在你的賬號密碼都相同的情況下,通過以上的步驟,就可以輕易地知道你上過什么大學(學信網)、做的什么工作(前程無憂、智聯)、買了什么東西(京東、淘寶)、認識什么人(云通訊錄)、說過什么話(QQ、微信)
下圖是一些地下網站交換的部分社工庫信息
上面所說,并非危言聳聽,因為現實中存在太多可以“撞庫”的網站,也存在很多黑產大規模“洗庫”、“撞庫”、“刷庫”的例子。這里解釋下這幾個名詞,在通過“拖庫”取得大量的用戶數據之后,黑客會通過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現,這通常被稱作“洗庫”,最后黑客將得到的數據在其它網站上進行嘗試登陸,叫做“撞庫”,因為很多用戶喜歡使用統一的用戶名密碼,“撞庫”往往收獲頗豐。
在漏洞提交平臺“烏云”上進行搜索,可以發現很多網站都存在撞庫漏洞,同時,攻防雙方此消彼長,屢防不絕,“撞庫”這種攻擊手法在黑產圈也一直因“簡單”、“粗暴”、“有效”等特點而特別流行。
作者在項目中就曾經遇到國內某知名郵箱的大規模撞庫事件,以下是當時往來郵件的部份節選:
異常分析
從今天上午約10點鐘開始,一直持續到晚上約21:10分結束,有明顯的異常登陸情況,基本可確定是黑客行為。黑客使用自動登陸程序,從同一IP短時間內發起大量登陸請求,請求并發及請求頻率很高,最高每分鐘超過六百次登陸請求。今天全天,類似的異常登陸,共成功登陸22.5萬次,失敗登陸4.3萬次,涉及到的賬號約為13萬(每個賬號登陸2次);
黑客從wap基礎版登陸,登陸成功后再切換至標準版,并在標準版關閉登陸通知,從而觸發了一條設置修改的短信提醒給到賬號綁定的手機號。從日志分析,暫未發現黑客修改登陸通知后還有其他行為,黑客登陸后未發送任何郵件。
初步分析結果如下:
1、 黑客采用標準的用戶名-密碼認證方式登陸,認證成功率很高,賬號登陸為一次即成功,未成功用戶也未實施更多的嘗試登陸。查詢最近幾天日志,未發現這些用戶有嘗試登陸記錄。也就是用戶密碼為其他途徑獲得,并非暴力破解郵箱系統密碼獲得;
2、 黑客盜用的用戶注冊地全國均有,無明顯特征,注冊時間無明顯特征;
3、 通過抓包截取到的部分用戶名和密碼,可以看出不同用戶的密碼均不相同,無任何相似之處,且并非簡單密碼;挑選了幾個用戶密碼,嘗試登陸163郵箱、大眾點評網等網站,發現登陸成功;
4、黑客登陸IP地址來源非常多,來源城市有陜西西安市、陜西安康市、安徽合肥市、安徽黃山市、安徽淮南市等城市;在我們封堵異常登陸IP后,黑客可快速更換登陸IP,導致我們的封堵迅速無效。我們只能跟在黑客后面,根據頻次特征,在達到一定數量后,才實施封堵。
5、用戶此前的活躍度狀況如何,需要明天才能匹配得出。但從現狀來看,我個人初步猜測,應該是活躍非活躍的用戶都有,而且應該是非活躍用戶居多。
從以上分析,基本可以看出,黑客手頭已經有了這批用戶的用戶名及密碼信息,且絕大多數是正確的。密碼可能是之前各種網絡密碼信息泄露導致。
安全建議
最后,作者問一句,大家是希望自己的密碼是在別人手里呢,還是存在別人的數據庫里面?
為了保護大家的密碼,作者在這里給大家一些密碼的建議,
1、定期修改自己的密碼;
2、重要網站的賬號密碼和非重要網站的賬號密碼一定要分開,如天貓、京東等涉及金錢的,最好做到賬號密碼都不一樣;
3、密碼具備一定的復雜度,如超過8位,包含大小寫及特殊符號,為了方便記憶,可使用專門的密碼軟件管理自己的密碼,比較著名的有keepass;
希望通過以上的內容,能夠讓大家對密碼安全有一個更好的認識,從而更好地保護自己的個人隱私和財產安全。