瑞星2011年度安全报告
2012-01-11 17:00:28
第二节 席卷互联网的密码风暴
12月4日,匿名黑客将CSDN网站的密码库截图上传到专业安全论坛,但当时并未引人注目,21日有人在新浪微博上放出了这个密码库的迅雷下载地址。这验证了长久以来在互联网上存在的一个传言:国内多家大型网站曾被“拖库”,但因为没有确凿的证据无法得到验证(《瑞星2011上半年安全报告》中记录了相关内容)。
随后,包括天涯、新浪等一批著名网站数据库连续外泄,形成了2011年末影响整个互联网的安全大事件,给本已脆弱的互联网安全造成了巨大冲击。在本报告后半部分,瑞星专家剖析了黑客推广钓鱼网站的手法、增加用户信任度的方法等,在这些推广方式中,外泄的密码库起到了关键性的作用。
1、为什么会出现这样大规模的密码泄漏?
从已经公开的资料来看,这些网站不同程度地使用明文存储用户的数据库,这是造成如此大规模用户资料泄漏的根本原因。按照正常的安全流程,所有网站(不分大小,小网站也得加密)的数据库都必须经过加密后才能存储在服务器上,加密标准要求为:唯一、不可逆。
目前应用较多的不可逆加密算法包括RSA公司发明的MD5算法和由美国国家标准局建议的不可逆加密标准SHS(Secure Hash Standard-安全杂乱信息标准)等。
但事实上,很多网站、甚至是大型网站不知道什么原因,都采用了明文的方式把用户数据库储存在自己的服务器上。有的是整体库未加密(如CSDN),有的是某项业务的用户数据库未加密(如新浪爱问)。这就导致当黑客获取服务器权限之后,可以像看自己电脑上的文本文件一样浏览用户名和密码,导致大规模密码及其他信息外泄。
2、密码外泄是中国网站独有的吗,国外网站是什么情况?
事实上,互联网没有国界之分,即使强大如美、日、韩等国的互联网,进入2011年以来都面临着同类问题,在《瑞星2011年上半年安全报告》中指出,单单在上半年,就有日本索尼公司、美国wordpress等网站遭攻击,损失惨重。
4月21日下午,索尼PSN网络遭黑客攻击,波及包括美国、日本、欧洲等地几乎全球各地的所有PSN用户,PSN几乎陷入了彻底的瘫痪。黑客入侵者窃取了大约7700万份PSN个人信息以及2700万个Qriocity(云音乐服务)账户。
被窃的7700万份PSN个人信息当中,包括1000多万个信用卡账户,涉及57个国家和地区。而2700万个Qriocity账户中,也同时包含了用户的姓名、地址和密码等敏感信息。索尼数据遭窃案受影响的用户可能超过1亿人,堪称史上规模最大的用户数据失窃案。
4月,Wordpress.com遭到攻击,其服务器被黑客入侵,并盗走了部分源代码和资料,导致VIP客户的隐私信息外泄。在此次事件中可能泄露的众多网站源代码中,可能包括API密钥和Twitter、Facebook密码等敏感信息。WordPress.com服务于1800万博客和网站,其中包括TED、CBS和TechCrunch博客等,其服务网站占全球网站数量的10%。
3、针对这些密码外泄,普通网民可以采取的六种防范措施
目前我们看到的问题在于:大型互联网公司在服务器端出现了安全问题,用户即使在自己电脑上做再多的防护措施,也无济于事,用户面对这些密码泄露问题几乎毫无办法。
在这种情况下,普通用户只能通过采取下列措施来缓和密码外泄的风险,但不能从根本上解决密码泄漏问题:
(1)不要信任任何网站的安全防护措施,不要觉得他们是大网站就一定能保护好自己的密码。连CSDN这样的专业网站、天涯、新浪这样的领头羊企业都会出现密码外泄问题,我们只能假定一切密码都时刻面临外泄风险,在此基础上确定自己的安全策略。
(2)不要随意注册无关网站账号,不要透露太多的个人信息,用户名、账号和密码尽量用随机数字,这样可以把网络和现实生活的影响降到最低。例如,注册论坛的时候,ID wangxiaoming的安全性就比 wag@!Jdm这样的账号低。因为黑客在获取用户的账号和密码后,需要对其中的账号进行分类整理,一旦能把这些账号和身份证、银行卡等对应起来,就会展开诈骗或者钓鱼。我们需要做的就是打破这个循环,尽量不要让黑客了解到自己的信息。
(3)不要轻易在安全性低的网站购物,尤其是电商网站。一般的电子商务网站都会记录用户的银行卡信息(如果你使用银行卡支付),记录用户的电话号码(用来送货),有的会记录你的身份证号(比如你需要实名购买手机号码的时候),在这样情况下,黑客一旦攻击成功,会获取所有有价值的信息。如果有必要购物,可以采用”货到付款”的方式,送货地址可以填写公司地址(不要填写家庭地址)。
(4)注册网站账号之后,应定时更换密码。比如每个月把自己所有的账号密码都改为全新的密码。这样即使黑客窃取了你的密码,除非在一个月内进行登录、诈骗等,否则你就会改为新密码,从而使他窃取的密码失效。
(5)如果注册多个密码,用户的记忆力将会面临挑战,普通网民可以把账号密码写在随身的本子上,或者记录在手机上,瑞星手机安全软件就提供了密码记录功能。
(6)如果有必要,可以采取“密码和手机绑定”的方式,比如支付宝、银行都提供了这种方式来加强密码的安全性。这样绑定之后,一旦有账号变动异常,用户会及时收到消息,及时申诉降低损失。
本节小结
尽管“拖库”攻击是个存在很久的攻击手法,但直到2011年年底,这个概念才被普通网民所知。由于这种攻击针对的是互联网网站的服务器端,如果各大网站在服务器端仍然坚持目前这种安全水准的话,同样的泄密事件会一直存在下去,用户几乎毫无办法。本节主要讨论了普通网民应该进行的预防性措施,对于互联网网站应该如何预防此类攻击,瑞星公司将在随后发布的企业级安全报告中详细阐述。
