摘要: 真是计划赶不上变化,一篇黑客文章令我本来今天准备好的两个话题都撤了。 昨天有一篇具有爆炸性的文章出现了,传送门在这里 http://taosay.net/?p=189 ,我的微信也有一票人问我对道哥的文章怎么看,外行怀疑真实性的为多,内行则觉得写太面了。举个...
真是计划赶不上变化,一篇黑客文章令我本来今天准备好的两个话题都撤了。
昨天有一篇具有爆炸性的文章出现了,传送门在这里 http://taosay.net/?p=189 ,我的微信也有一票人问我对道哥的文章怎么看,外行怀疑真实性的为多,内行则觉得写太面了。举个例子好比你写一个天上人间的小姐在别人一掷千金扔出七位数现金的情况下依然保持如何冰清玉洁守身如玉这样的文章一样,部分人怀疑煤老板脑子坏了不去上女明星而是花超多银子上一个小姐,部分人则是觉得这婊子牌坊立得太假了。
这篇文章在我看来是一篇真实但是写坏了的文章,理由有三, 其一是不敢写,怕惹出事来,写什么都是点到为止,给人感觉就是支支吾吾的,难怪众多人认为很假。 其二是对黑客手法写得不够细致,攻击或是入侵两个字带过就完成了,这里面手法就有上百种,其中有的路通有的路不通还要再去进行选择,除非你事先已经种了马或者是拥有已确认的0day亦或者对方犯了极傻逼的错误,否则并不会是探囊取物一般入侵一个大型网站,应该多深入一点进行描写。 其三就是重点不突出,没有去着重描写隐私泄露后危害性的问题。
做为一个曾经的黑产从业者兼入黑帽子,我很清楚这篇文章写得一点都不夸张。 首先是数据量的问题,十三亿去重后的资料大概需要1.5TB左右,如果是精简版只要电话邮件姓名的话就会小一些。 从我手上都有过滤后60多G(洗过的千万级精准用户)的数据来看,专业入侵的人完全是可以做到的,我大概粗算了一下,如果我华洋黑白男女老少都不挑的话,弄个小几亿条资料应该也不是问题,十三亿条去重真实性还是很高的。当然外行人是完全没有概念的,比如我有一些朋友用我笔记本的时候看到我E盘上高达60多G的空间的加密文件夹,自以为是的以为是A片,怎么解释都不听,给他看了后依然都不信,说我把A片的文件给换了格式了,非要用视频软件打开……
其次有很多人会质问是否真如文章里所说那么简单就可以黑掉大型网站?这个是这样的,如果刚好有0day,或者有旁注,还有拿员工机器,XSS拿管理员隐私信息等巧合事件发生,入侵就是分分钟的事。但是找突破口不是那么容易的事,很多时候你后台路径扫不到,有了后台权限也拿不到webshell,拿了也无法提权等等,所以说大部分时候是看运气的,尤其web脚本攻击你可能找十几个鸡肋漏洞也找不到一个有用的,但是比方说有的站可能刚好某个commit就有一个本地包含漏洞,又支持上传图片,上传的图片还不改名,这样就可以一个GIF89头文件就搞定,这个跟网站的规模是没有关联的。
从安全性来说,攻击者的安全技术一定比网站技术人员水平要高好几个档次,而且整个网站任何地方有一个漏洞被抓住就大功告成了。好比我用枪射你,即使你穿防弹衣戴头盔,我可能也能找到你没护住的地方一枪爆了你,所以最好的办法还是得有把枪,可以反击。于是乎黑客大战一般都是以攻代守,国家之间,竞争对手之间互相攻击,对于中小型网站,纯防御的性价比并不高。
另外就是数据利用的问题,更多的质疑来自这个级数的黑客为啥要去盗人qq隐私? 这个东西其实真的是纯粹娱乐的。我当年在qq空间采取client key验证主人的年代也会去抓client key然后绕过密码加密的相册去找有没艳照门之类的(还真找到几个90后艳照相册)……
只不过这些都是娱乐,我不相信V这样的没有尝试过去跟黑产合起来做,当然这又回到了尺度的问题。 tk教主昨天跟我说,只能等哪天我们老了,详细写点年轻时候的故事,那样的话就可以写得栩栩如生有血有肉了。(原文:点这里)
游侠简评:
不了解的,建议去看看韩剧《幽灵》,你会对网络安全、信息安全有全新的认识。连续剧写的,几乎都已经在现实中验证了……恩,如此。
网络安全题材韩国连续剧《幽灵》:传送门
