网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


为何中国网民的“内裤”如此易扒?

2015-10-20 09:30 推荐: 浏览: 57 views 字号:

摘要: 近日,关于网易邮箱数据泄漏事件闹得沸沸扬扬。网易辟谣称自身系统并未被攻破,但消息发布方乌云漏洞平台也言之凿凿。不论是网易被攻破,还是其他网站失守致殃及网易,不可否认的是,大面积网民的个人信息,确实被泄漏了。为什么中国网民的“内裤”如此易扒,被窥探隐私有何风险,...

近日,关于网易邮箱数据泄漏事件闹得沸沸扬扬。网易辟谣称自身系统并未被攻破,但消息发布方乌云漏洞平台也言之凿凿。不论是网易被攻破,还是其他网站失守致殃及网易,不可否认的是,大面积网民的个人信息,确实被泄漏了。为什么中国网民的“内裤”如此易扒,被窥探隐私有何风险,作为网民之一的你,还安全吗?

信息早泄漏多时,突然爆出是榨干最后利益

网易邮箱被爆出数亿用户个人信息与密码泄露,这一事件在今天内由于某匿名人士在国内最大的Web安全漏洞上报平台“乌云”上提交曝光,而在一瞬间内引爆了整个我国网络圈与各大媒体;然而有趣的是,安全业内圈子对此事却反应平静,并没有大厦将倾、世界末日的惊恐景象。

事实上,“网易邮箱有一个库在外面小范围流传”早就是安全圈内心知肚明又无从考证的一个“真实的流言”,大量发生的网易代理的某网游盗号事件以及部分用户的网上支付产品被盗用事件不断从侧面映证着这一点;只是拥有者既没有公诸于众的打算,而业内人士又多多少少清楚这个用户数据库的真实价值到底几何,顶多就是私下提醒亲朋好友们更换密码勤快一些,它才能半遮半掩地继续存在和被利用着。

直到频发的iPhone手机被远程锁定以勒索机主钱财的网络犯罪案件,才将这个事实心不甘情不愿地推到前台。因为我国的苹果用户们很多都习惯于使用网易邮箱来注册Apple ID以使用苹果所提供的各种设备与云服务,所以大量的Apple ID被通过网易邮箱的密码进行登录或将设备远程锁定以敲诈勒索了。这无疑是一种极为高调的行动,几乎任何人都能预见到,这种大规模明目张胆地与苹果用户作对的行为必然会引发舆论的轩然大波,所带来的必然结果就是:大家纷纷修改自己的密码,而这个库也将在被隐秘利用了许久之后失去自己的价值。

但换个角度来看,这恰恰说明这份数量庞大的邮箱信息数据库其实已经存在了太久,久到其真实价值已经被“黑色产业圈”榨取殆尽(反复“洗库”),因此才会在它生命周期的最后一刻疯狂利用一把,榨干最后一点点剩余价值,然后在事件被人揭破以后彻底公开,给上网易最后的狠狠一击,于是这个“真实的流言”功成身退,鞠躬下台。

“黑色产业圈”产出“社工库” 专欺普通网民

前面提到“黑色产业圈”,要知道真正的网络并非只是舆论场上热火朝天的口诛笔伐,又或者是粉丝们对国产电视剧官方配对的各种演绎,抑或是互联网产业的泡沫生灭,网络空间既然有诸多明面上的生意之道,那也自然有不能见光的阴暗交易,这种交易随着我国互联网的发展而蓬勃生长,已经成为了年产值数十亿的巨大而完整的产业链。

安全学术界将自己所从事的领域由原有的”网络安全“逐渐进化为”信息安全“,这又从侧面说明了”黑色产业“也罢、个体攻击者也罢,趋利的本性让他们将关注点放在”信息“本身之上,因为在任何时代,信息才是最有价值的无形资产。入侵重要组织,如政府敏感部门、银行证券业以及大型企业等,固然可以快速带来巨大利益,但也同样带来巨大的入侵成本、较高的技术难度以及高危的被抓风险,对“黑色产业圈”的“生意人”们来说是颇不符合生意之道的;于是他们将目光转向你我,一个普通的互联网时代的网民,不懂网络安全技术,也没有太多信息安全意识,取得敏感身份信息简直容易至极,虽然个体价值有限,但胜在数量巨大,聚沙成塔、集腋成裘之后其总体价值足以养活一个巨大的产业圈。

“大数据时代之下,个人隐私早已无所遁形”,这句话已经被重复过无数次。“社工库”这个词频繁出现在各大媒体,一般网民却只以为这是社会工作者的人员数据库。“社工”者,社会工程学也,其实也只是黑客技术之外综合利用情报学、心理学甚至骗术等知识的总称而已,掌握社会工程学技能,无需太高的黑客天赋或太深厚的黑客技术基础,只要你够机灵,只要你会点击鼠标操作各式各样的用户密码尝试工具,就可以在“黑色产业圈”里得到一口饭吃,而无数的“社工库”里则充满着海量的用户注册邮箱、登录ID、QQ号、常用密码、银行账号、真实姓名、家庭工作地址、手机号码等个人敏感信息,这些敏感信息意味着什么,其意义不言自明。

“社工库”个人信息从何而来?

一方面由大量网民们自行贡献:点击木马、运行恶意代码、访问登录钓鱼网站、设置简单登录口令、不同网站和应用共用一个密码;另一方面由信息服务的提供方泄露而出:网站应用层代码与数据库漏洞导致的”拖库“(网站数据库被黑客全部下载)事件以及XSS(跨站注入)导致的用户权限劫持或密码明文被盗取事件,内部网络安全配置不当导致的黑客”内网漫游“窃取内部服务器数据事件,内外勾结主动出售用户个人信息事件。互联网用户日常所需要使用的网络应用如此之多,而个人敏感信息的内容种类与泄露方式也如此之多,体积与数量巨大的“社工库”存在也就不足为奇了。

曾在知乎上被邀请回答问题“如何处理网上个人信息泄露”,当时我的回答颇为无奈,但仍总结了在互联网上利用社工库中的几个主要指标:

一是网名或注册ID。作为网络用户首要的识别符号,一般人都会在选择的时候注重唯一性与可识别性,这反而为攻击者提供了方便,他们可以简单地通过网名或者注册ID将分散在不同平台上的各种相关信息通过这个被作为数据库“主键”使用的唯一ID关联起来,形成属于该个体的全面完整数据库。

接下来是QQ号。社工库中历来将QQ号作为重要的数据指标:结合外泄的QQ群信息库导致无数曾在同学同事群中使用实名标注群名片的用户真名曝光,以及QQ邮箱(确实还算好用)在各大SNS社交网站、移动互联网应用注册时的广泛使用,足以将各大网站的用户行为数据、社会关系等与其真实姓名联系起来了。

再然后是真实姓名、手机号码、银行账号等线下信息。我相信网络发展到今日,只要是稍有社会经验的人也不会毫无防备地在网络上随意透露自己的真实敏感信息,除非对方是”可信“的对象。但是我们无从判断与确定对方到底是不是”可信“的,只能一厢情愿地如鸵鸟一般去相信它们的权威性与安全性,因为我们做不到在网上给电话充值的时候不留手机号码,也做不到在网上订机票和酒店的时候不留下自己的真实姓名与身份证号码,更做不到在网上缴纳水电气费、购物时不留下自己的卡号信息和家庭住址。当然,如你我所已经知道与经历的,当骗子操着一口蹩脚普通话打通手机直呼你名字叫你明天到他办公室一趟的时候,当家中座机响起能准确报出你社保卡号的电话录音女声的时候,当你在一个楼盘贪心小礼物而留下姓名手机号却在其后被房产推销电话轰炸的时候,我们开始怀疑整个互联网就是一片黑暗森林,处于食物链底层的我们谁也不能相信,索性不再去考虑什么安全,只是抱着一丝侥幸心理祈祷捕猎者可以晚一天将自己吞下。

而整片由无数信息所组成的黑暗森林,其根基则是电子邮件服务。电子邮件服务是当前唯一无需提交其他凭证即可随意申请的主流互联网服务,也是使用互联网用户服务的第一个入口,网银、电商、社交、QQ、网游等几乎全部互联网用户业务的注册,都需要以电子邮件为凭证进行帐号申请与密码找回,而手机号永远只是第二可选项。甚至可以夸张一点地说,没有电子邮件服务,就没有当前公众互联网服务的正常运转,谁取得了电子邮件服务的控制权,谁就掌握了互联网用户的生命线。因此不少有识之士也提出,应该将电子邮件服务设施与网络通信设施、域名解析设施等共同认定为支撑互联网基础服务的关键设施,来进行最高等级的信息安全防御。

信息泄露危害财产安全 谁该担责?

于是话题又回到了最初,这次网易邮箱安全事件从技术角度看与我们每日所见的“拖库”与“撞库”并无二致,但最要命的一点是,作为“国内邮箱第一品牌”的它还是是我国网民无从选择的情况下可能会有的第一选择:支付宝账号绑在它上面,网游账号绑在它身上,网上银行绑在它上面,Apple ID也绑在它身上,这些账号无一不是直接关联着大额甚至巨额的资金,所以这次事件爆发,以往阿里、网游公司、银行和苹果背上的黑锅,就一下子被愤怒的网民们甩到了网易邮箱的身上。

然而这黑锅到底应不应该由它来背呢?该,也不全该。

首先,网易邮箱服务器的巨大价值我们清楚,“黑色产业圈”更加清楚,在天文数字级别收益面前,再多成本投入都是可以带来数十上百倍产出的。事实上,针对各大公共与私有邮件服务器的APT(高级持续性威胁)攻击从未间断过,攻击者从邮件web端、邮件客户端(Outlook、Foxmail等)、邮件服务器应用端与系统端、网络接入设备、移动终端等全方位无孔不入地对邮件系统进行攻击,再大的安全投入与防护都始终是被动防御、落后一步,道高一尺而魔高一丈,因此基于态势感知与安全威胁情报的主动防御体系才成为信息安全研究的主要方向之一。但不管怎么说,防御措施不足导致用户数据外泄的责任,网易是必然需要承担的。

其次,这次外泄的数据,网易邮箱有没有做过基本防护?据目前公开信息称,此次曝光数据是2012年的网易邮箱部分用户数据(确实被隐秘利用了三年),这些数据是已经过了MD5算法进行换算存储的,而现在的网易邮箱早已使用MD5+SALT的形式来对用户数据进行强度更高的防护。MD5虽然并非严格意义的加密算法,但其单向限门所带来的“不可逆”特性,使其被作为当前网站用户数据加密的一种主流方式而广泛使用,因此可以说网易邮箱当时对用户数据是做过一定防护的,因为从理论上讲,只要密码足够长(在目前云计算能力超强的情况下保守估计至少得在12位以上)、足够复杂且从来没有被其他网站以明文形式泄露过,攻击者在有限的时间长度内使用“彩虹表”对其暴力破解的成功几率并不算高,这也与网易邮箱对此次事件作出的“撞库”解释能有所对应。

另外,作为互联网用户的我们也同样要承担责任:我们肆无忌惮地使用各种简单好记的弱口令,使攻击者可以快速通过暴力尝试成功破解明文密码;我们在网上使用同一个邮箱绑定了太多关键应用,导致一旦一个邮箱被攻陷则全线崩溃;我们在各个网络系统中重复使用同样的一两个ID与密码,让攻击者可以利用“撞库”攻击快速方便地用密码明文直接成功登陆。信息安全意识的淡漠与基本技能的欠缺,让我们面对网络攻击时完全没有预防免疫力,只能扮演待宰羔羊。

最后整个社会,包括所有使用互联网信息系统甚至包括内部信息系统的政府机关、企业与组织机构,对自身信息系统防护的刻意忽视,对公民与用户敏感信息安全的漠不关心,对内部人员的信息安全管理、用户访问控制、信息安全审计与问责机制的缺失,都是造成当前互联网上“社工库”泛滥的罪魁祸首。

这次网易邮箱安全事件从某种角度看,其实正是一声响亮的警钟,应该以此为契机敲醒那些长期将头深埋在地里充当鸵鸟的组织与个人,他们亟需提高自己的信息安全意识与安全防护能力,否则此类事件将会一次又一次、越来越严重地继续爆发下去。

稿源:搜狐媒体平台 点击今日

联系站长租广告位!

中国首席信息安全官


关闭


关闭