從知名專業(yè)社交網(wǎng)站linkedin數(shù)據(jù)庫泄漏事件中引發(fā)的思考(圖文)
發(fā)布時間:2012-06-21 10:23:57 作者:佚名
我要評論

上周三晚上(6月6日),知名專業(yè)社交網(wǎng)站LinkedIn爆出部分用戶賬戶密碼失竊
【事件回放】
2012年6月6日晚上,知名專業(yè)社交網(wǎng)站LinkedIn爆出部分用戶賬戶密碼失竊,LinkedIn主管文森特·希爾維拉(Vicente Silveira)在其個人博客中證實了此事。根據(jù)Venturebeat的報道,650w被偷竊的LinkedIn賬戶密碼列表已經(jīng)被上傳至一家俄羅斯黑客服務(wù)器,但目前尚不能確認(rèn)是否只是650w的用戶帳號被竊。
備注:
截取來自百度百科的簡介:
LinkedIn是一家面向商業(yè)客戶的社交網(wǎng)絡(luò)(SNS)服務(wù)網(wǎng)站,網(wǎng)站的目的是讓注冊用戶維護(hù)他們在商業(yè)交往中認(rèn)識并信任的聯(lián)系人,俗稱“人脈”(Connections)。Linkedin目前用戶過億,平均每一秒鐘都有一個新會員的加入。其會員大約一半的成員是在美國,1100萬來自歐洲。
【黑客是怎么做到的?】
國內(nèi)國外在近兩年來,數(shù)據(jù)被竊事情不斷頻發(fā),CSDN,索尼PlayStation,Linkedin,這些攻擊的具體細(xì)節(jié)至今沒有對外公布過,那么我們大膽猜測下,黑客是怎么把黑手伸向用戶數(shù)據(jù)庫的?
安全的短板理論,最容易出問題的地方往往都是很細(xì)小的地方,可能你只是少打了個補(bǔ)丁,亦或者代碼少寫了個符號,當(dāng)然也有種可能,黑客是拿著大錘去撬機(jī)房服務(wù)器。:)壞人的眼睛一直在盯著我們,一次錯誤就足以致命。
【應(yīng)該怎么做?】
我們應(yīng)該如何去防止這種事情發(fā)生呢?
進(jìn)不來,進(jìn)來了帶不走,帶走了用不了,縱深防御的思維可以得到體現(xiàn)。
進(jìn)不來
想讓黑客們進(jìn)不來,那就需要知道黑客進(jìn)來的入口在哪里?
1.對web服務(wù)器的攻擊,信息獲取的來源有工具掃描(nmap,nessus等),Google hacking,信息獲取的目的是為了獲取更多的信息去攻擊web端。
2.黑客對我們內(nèi)網(wǎng)或者vpn進(jìn)行攻擊,企圖通過辦公網(wǎng)進(jìn)入服務(wù)器。
如何控制住入口?
1. 制度
一:開發(fā)遵循SDL開發(fā)流程,上線前進(jìn)行安全測試,確保無安全問題再上線。
二:不允許員工將辦公郵箱去注冊互聯(lián)網(wǎng)網(wǎng)站賬戶。
三:VPN或者其他第三方媒介的安全制度
四:漏洞修復(fù)流程
2. 流程:
一:通過IDS,對黑客嘗試入侵進(jìn)行報警。
二:定期對在線業(yè)務(wù)進(jìn)行安全測試,并輸出總結(jié)性報告
三:內(nèi)網(wǎng)(VPN)與服務(wù)器區(qū)隔離,或者有較強(qiáng)的安全認(rèn)證。
帶不走
黑客入侵后,為了獲取更多的權(quán)限和以后的操作方便(例如帶走大量數(shù)據(jù)),通常會進(jìn)行進(jìn)一步的提權(quán)或者是放置后門的操作。
在服務(wù)器上裝好“后門”,就可以在夜黑風(fēng)高的晚上對服務(wù)器數(shù)據(jù)進(jìn)行偷竊,那么換位思考下,黑客偷竊會有什么樣的行為?
一:首先會上傳web木馬,web木馬根據(jù)腳本會分不同的版本,但是每種惡意腳本中都會有關(guān)鍵字。
二:成功通過web木馬控制服務(wù)器后,黑客會對服務(wù)器進(jìn)行系統(tǒng)探測,比如Linux版本,權(quán)限,網(wǎng)絡(luò)配置等等
三:熟悉服務(wù)器信息后,下一步就是基于黑客的目的而觸發(fā)的行為,比如通過已控制的服務(wù)器去滲透其他服務(wù)器,或者入侵?jǐn)?shù)據(jù)庫,偷竊數(shù)據(jù)。
四:目的達(dá)到,清理日志,安裝系統(tǒng)后門。
在上述每個行為都會有自己的特征行為,可以基于行為通過主機(jī)監(jiān)控系統(tǒng)進(jìn)行防范。
在入侵者的典型入侵環(huán)節(jié)上都設(shè)置相關(guān)的探頭和監(jiān)控點,比如當(dāng)入侵者上傳網(wǎng)頁后門時,或者是使用木馬時系統(tǒng)都會及時發(fā)出告警,又或者入侵者通過漏洞操作系統(tǒng)的shell進(jìn)行入侵時,監(jiān)控平臺也會記錄下所有操作,便于事后追查。
用不了
一:密碼用不了
Linkedin密碼樣本,加密方式為SHA1,比起直接粗暴的明文要強(qiáng)很多,但是SHA1加密真的安全嗎?很多人都意識中,認(rèn)為標(biāo)準(zhǔn)的hash算法(md5 sha1 sha256等)用于密碼加密是安全的,這個是一個誤區(qū)。我在網(wǎng)上截取了知名GPU破解工具破解指標(biāo)對比表。

5000M c/s可大約換算對應(yīng)20億條每秒,那么暴力去“撞庫”,密碼真的安全嗎?
咨詢了國內(nèi)最大的密碼破解網(wǎng)站的站長,他給出來的建議是非標(biāo)準(zhǔn)hash+salt。
二:文件用不了
在互聯(lián)網(wǎng)上,經(jīng)常有人爆出某某絕密文件,某某公司財務(wù)報表等等,這些數(shù)據(jù)的價值無可非議,如何保證數(shù)據(jù)即使被偷竊也不會造成損失。推薦企業(yè)內(nèi)部使用文件加密系統(tǒng)。
應(yīng)急響應(yīng)
假如數(shù)據(jù)庫泄漏了怎么辦呢?
于周四,Linkedin發(fā)布聲明
在此事中,Linkedin在不斷的去補(bǔ)救密碼泄漏帶來的負(fù)面影響。發(fā)布公告—>限制被竊號碼登錄(止損)—>引導(dǎo)用戶修改密碼—>承諾整改。下面做了整理了一個表格,對Linkedin的應(yīng)急響應(yīng)做了梳理。
響應(yīng)時間
處理方法
態(tài)度
Linkedin
事件發(fā)生到發(fā)布聲明不超過12小時
引導(dǎo)用戶在網(wǎng)站修改密碼,不通過第三方媒介修改
承諾安全保護(hù),在加密的密碼上再加強(qiáng)驗證
應(yīng)急響應(yīng)是門大學(xué)問,處理好可以達(dá)到亡羊補(bǔ)牢的作用,處理不好會帶來更多的危機(jī)。
【其他】
帳號的強(qiáng)弱鑒定
CSDN數(shù)據(jù)庫泄漏以后,有好事之人把數(shù)據(jù)庫進(jìn)行熱門密碼匹配,出現(xiàn)了普通,文藝,2B密碼排行榜。這次也不例外,有人把linkedin的密碼也做了下分析,如下圖所示:

從圖中可以看到,“link”是最容易被獲取的密碼,其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是流行的密碼主題。另外,數(shù)字串“1234”和“12345”也榜上有名。
在帳號體系中,1.單點設(shè)置密碼是有強(qiáng)密碼策略,那么很多人就習(xí)慣性的去輸入1qazxsw2,完全符合策略,可是這個只能算大眾強(qiáng)密碼。2.預(yù)防這種符合策略又不安全的密碼,我們在帳號體系中有比較有效的方法防止自動化密碼驗證行為。
可是筆者擔(dān)心的是,隨著密碼庫泄漏的數(shù)量越來越多,不能在密碼設(shè)置中去徹底解決弱密碼問題,需依靠堵截自動化行為密碼驗證的行為難免百密一疏。
隱私保護(hù)
這次linkedin密碼泄露的問題,衍生出了一個隱私問題,有關(guān)科技網(wǎng)站爆料,linkedin的IOS客戶端存在偷偷上傳用戶的日歷,待辦事件,通訊錄或者還有密碼信息,linkedin的解釋是上傳一些非必要的數(shù)據(jù),是為了做數(shù)據(jù)分析,更好地為用戶服務(wù),但是這個在隱私保護(hù)意識強(qiáng)的國外,無疑是會受到指責(zé)的,在IOS客戶端中,Path等也出現(xiàn)過這樣的問題。不過都在被爆出來后迅速修復(fù)了。
我們不僅要保護(hù)我們的客戶端沒有危害用戶隱私和密碼明文存儲的行為,而且要保護(hù)我們的用戶不受到惡意程序的侵害,特別是在安卓平臺下,未經(jīng)用戶允許,讀取短信,圖片,甚至是吸費的程序一直層出不窮。
【尾聲】
安全無小事,僅靠網(wǎng)絡(luò)安全工作者的努力是遠(yuǎn)遠(yuǎn)不夠的,一方面我們在前行,另外一方面安全需要大家的參與和配合,這樣黑客才無處遁形。
寫完這篇稿子的時候,在微博上得知last.fm的數(shù)據(jù)庫也泄漏了,在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下,安全工作任重道遠(yuǎn)
2012年6月6日晚上,知名專業(yè)社交網(wǎng)站LinkedIn爆出部分用戶賬戶密碼失竊,LinkedIn主管文森特·希爾維拉(Vicente Silveira)在其個人博客中證實了此事。根據(jù)Venturebeat的報道,650w被偷竊的LinkedIn賬戶密碼列表已經(jīng)被上傳至一家俄羅斯黑客服務(wù)器,但目前尚不能確認(rèn)是否只是650w的用戶帳號被竊。
備注:
截取來自百度百科的簡介:
LinkedIn是一家面向商業(yè)客戶的社交網(wǎng)絡(luò)(SNS)服務(wù)網(wǎng)站,網(wǎng)站的目的是讓注冊用戶維護(hù)他們在商業(yè)交往中認(rèn)識并信任的聯(lián)系人,俗稱“人脈”(Connections)。Linkedin目前用戶過億,平均每一秒鐘都有一個新會員的加入。其會員大約一半的成員是在美國,1100萬來自歐洲。
【黑客是怎么做到的?】
國內(nèi)國外在近兩年來,數(shù)據(jù)被竊事情不斷頻發(fā),CSDN,索尼PlayStation,Linkedin,這些攻擊的具體細(xì)節(jié)至今沒有對外公布過,那么我們大膽猜測下,黑客是怎么把黑手伸向用戶數(shù)據(jù)庫的?

安全的短板理論,最容易出問題的地方往往都是很細(xì)小的地方,可能你只是少打了個補(bǔ)丁,亦或者代碼少寫了個符號,當(dāng)然也有種可能,黑客是拿著大錘去撬機(jī)房服務(wù)器。:)壞人的眼睛一直在盯著我們,一次錯誤就足以致命。
【應(yīng)該怎么做?】
我們應(yīng)該如何去防止這種事情發(fā)生呢?
進(jìn)不來,進(jìn)來了帶不走,帶走了用不了,縱深防御的思維可以得到體現(xiàn)。
進(jìn)不來
想讓黑客們進(jìn)不來,那就需要知道黑客進(jìn)來的入口在哪里?
1.對web服務(wù)器的攻擊,信息獲取的來源有工具掃描(nmap,nessus等),Google hacking,信息獲取的目的是為了獲取更多的信息去攻擊web端。
2.黑客對我們內(nèi)網(wǎng)或者vpn進(jìn)行攻擊,企圖通過辦公網(wǎng)進(jìn)入服務(wù)器。
如何控制住入口?
1. 制度
一:開發(fā)遵循SDL開發(fā)流程,上線前進(jìn)行安全測試,確保無安全問題再上線。
二:不允許員工將辦公郵箱去注冊互聯(lián)網(wǎng)網(wǎng)站賬戶。
三:VPN或者其他第三方媒介的安全制度
四:漏洞修復(fù)流程
2. 流程:
一:通過IDS,對黑客嘗試入侵進(jìn)行報警。
二:定期對在線業(yè)務(wù)進(jìn)行安全測試,并輸出總結(jié)性報告
三:內(nèi)網(wǎng)(VPN)與服務(wù)器區(qū)隔離,或者有較強(qiáng)的安全認(rèn)證。
帶不走
黑客入侵后,為了獲取更多的權(quán)限和以后的操作方便(例如帶走大量數(shù)據(jù)),通常會進(jìn)行進(jìn)一步的提權(quán)或者是放置后門的操作。
在服務(wù)器上裝好“后門”,就可以在夜黑風(fēng)高的晚上對服務(wù)器數(shù)據(jù)進(jìn)行偷竊,那么換位思考下,黑客偷竊會有什么樣的行為?
一:首先會上傳web木馬,web木馬根據(jù)腳本會分不同的版本,但是每種惡意腳本中都會有關(guān)鍵字。
二:成功通過web木馬控制服務(wù)器后,黑客會對服務(wù)器進(jìn)行系統(tǒng)探測,比如Linux版本,權(quán)限,網(wǎng)絡(luò)配置等等
三:熟悉服務(wù)器信息后,下一步就是基于黑客的目的而觸發(fā)的行為,比如通過已控制的服務(wù)器去滲透其他服務(wù)器,或者入侵?jǐn)?shù)據(jù)庫,偷竊數(shù)據(jù)。
四:目的達(dá)到,清理日志,安裝系統(tǒng)后門。
在上述每個行為都會有自己的特征行為,可以基于行為通過主機(jī)監(jiān)控系統(tǒng)進(jìn)行防范。
在入侵者的典型入侵環(huán)節(jié)上都設(shè)置相關(guān)的探頭和監(jiān)控點,比如當(dāng)入侵者上傳網(wǎng)頁后門時,或者是使用木馬時系統(tǒng)都會及時發(fā)出告警,又或者入侵者通過漏洞操作系統(tǒng)的shell進(jìn)行入侵時,監(jiān)控平臺也會記錄下所有操作,便于事后追查。
用不了
一:密碼用不了
Linkedin密碼樣本,加密方式為SHA1,比起直接粗暴的明文要強(qiáng)很多,但是SHA1加密真的安全嗎?很多人都意識中,認(rèn)為標(biāo)準(zhǔn)的hash算法(md5 sha1 sha256等)用于密碼加密是安全的,這個是一個誤區(qū)。我在網(wǎng)上截取了知名GPU破解工具破解指標(biāo)對比表。

5000M c/s可大約換算對應(yīng)20億條每秒,那么暴力去“撞庫”,密碼真的安全嗎?
咨詢了國內(nèi)最大的密碼破解網(wǎng)站的站長,他給出來的建議是非標(biāo)準(zhǔn)hash+salt。
二:文件用不了
在互聯(lián)網(wǎng)上,經(jīng)常有人爆出某某絕密文件,某某公司財務(wù)報表等等,這些數(shù)據(jù)的價值無可非議,如何保證數(shù)據(jù)即使被偷竊也不會造成損失。推薦企業(yè)內(nèi)部使用文件加密系統(tǒng)。
應(yīng)急響應(yīng)
假如數(shù)據(jù)庫泄漏了怎么辦呢?
于周四,Linkedin發(fā)布聲明
在此事中,Linkedin在不斷的去補(bǔ)救密碼泄漏帶來的負(fù)面影響。發(fā)布公告—>限制被竊號碼登錄(止損)—>引導(dǎo)用戶修改密碼—>承諾整改。下面做了整理了一個表格,對Linkedin的應(yīng)急響應(yīng)做了梳理。
響應(yīng)時間
處理方法
態(tài)度
事件發(fā)生到發(fā)布聲明不超過12小時
引導(dǎo)用戶在網(wǎng)站修改密碼,不通過第三方媒介修改
承諾安全保護(hù),在加密的密碼上再加強(qiáng)驗證
應(yīng)急響應(yīng)是門大學(xué)問,處理好可以達(dá)到亡羊補(bǔ)牢的作用,處理不好會帶來更多的危機(jī)。
【其他】
帳號的強(qiáng)弱鑒定
CSDN數(shù)據(jù)庫泄漏以后,有好事之人把數(shù)據(jù)庫進(jìn)行熱門密碼匹配,出現(xiàn)了普通,文藝,2B密碼排行榜。這次也不例外,有人把linkedin的密碼也做了下分析,如下圖所示:

從圖中可以看到,“link”是最容易被獲取的密碼,其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是流行的密碼主題。另外,數(shù)字串“1234”和“12345”也榜上有名。
在帳號體系中,1.單點設(shè)置密碼是有強(qiáng)密碼策略,那么很多人就習(xí)慣性的去輸入1qazxsw2,完全符合策略,可是這個只能算大眾強(qiáng)密碼。2.預(yù)防這種符合策略又不安全的密碼,我們在帳號體系中有比較有效的方法防止自動化密碼驗證行為。
可是筆者擔(dān)心的是,隨著密碼庫泄漏的數(shù)量越來越多,不能在密碼設(shè)置中去徹底解決弱密碼問題,需依靠堵截自動化行為密碼驗證的行為難免百密一疏。
隱私保護(hù)
這次linkedin密碼泄露的問題,衍生出了一個隱私問題,有關(guān)科技網(wǎng)站爆料,linkedin的IOS客戶端存在偷偷上傳用戶的日歷,待辦事件,通訊錄或者還有密碼信息,linkedin的解釋是上傳一些非必要的數(shù)據(jù),是為了做數(shù)據(jù)分析,更好地為用戶服務(wù),但是這個在隱私保護(hù)意識強(qiáng)的國外,無疑是會受到指責(zé)的,在IOS客戶端中,Path等也出現(xiàn)過這樣的問題。不過都在被爆出來后迅速修復(fù)了。
我們不僅要保護(hù)我們的客戶端沒有危害用戶隱私和密碼明文存儲的行為,而且要保護(hù)我們的用戶不受到惡意程序的侵害,特別是在安卓平臺下,未經(jīng)用戶允許,讀取短信,圖片,甚至是吸費的程序一直層出不窮。
【尾聲】
安全無小事,僅靠網(wǎng)絡(luò)安全工作者的努力是遠(yuǎn)遠(yuǎn)不夠的,一方面我們在前行,另外一方面安全需要大家的參與和配合,這樣黑客才無處遁形。
寫完這篇稿子的時候,在微博上得知last.fm的數(shù)據(jù)庫也泄漏了,在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下,安全工作任重道遠(yuǎn)
相關(guān)文章
大勢至企業(yè)數(shù)據(jù)防泄漏系統(tǒng)產(chǎn)品、企業(yè)數(shù)據(jù)防泄密產(chǎn)品V10.3正式上市
大勢至企業(yè)數(shù)據(jù)防泄漏系統(tǒng)產(chǎn)品是當(dāng)前國內(nèi)一款專門保護(hù)電腦文件安全、防止商業(yè)機(jī)密泄漏的安全軟件。大勢至企業(yè)數(shù)據(jù)防泄密產(chǎn)品V10.3版本是在以前版本基礎(chǔ)上的一次重大升級,2017-04-28企業(yè)如何防范泄漏公司機(jī)密、竊取商業(yè)機(jī)密,實現(xiàn)企業(yè)數(shù)據(jù)防泄密
企業(yè)如何防范泄漏公司機(jī)密、竊取商業(yè)機(jī)密,實現(xiàn)企業(yè)數(shù)據(jù)防泄密呢?針對此類問題,本文小編就為大家整理了有效防范泄漏公司機(jī)密、竊取商業(yè)機(jī)密的解決方案,有興趣的朋友們就2017-04-17大勢至電腦文件防泄密系統(tǒng)、企業(yè)數(shù)據(jù)防泄漏系統(tǒng)V10.1正式發(fā)布 嚴(yán)防泄漏
大勢至電腦文件防泄密系統(tǒng)是一款專門保護(hù)企事業(yè)單位電腦文件、無形資產(chǎn)的電腦安全軟件,V10.1正式版發(fā)布,一起來看看更新內(nèi)容吧2017-03-14網(wǎng)易郵箱泄漏后怎么檢查并提高郵箱數(shù)據(jù)安全?
網(wǎng)易郵箱泄露后怎么檢查并提高郵箱數(shù)據(jù)安全?最近有新聞報道,網(wǎng)易郵箱總是出現(xiàn)資料泄露的問題,怎么檢查自己的郵箱信息是否被泄露了呢?怎么加強(qiáng)郵箱安全呢?下面我們一起2015-10-21烏云曝網(wǎng)易163/126郵箱過億數(shù)據(jù)泄漏 包括iPhone用戶的Apple ID
今天下午,烏云-漏洞報告平臺再次發(fā)布泄密預(yù)警,稱“接到了一起驚人的數(shù)據(jù)泄密報告”,“有白帽子報告稱網(wǎng)易的用戶數(shù)據(jù)庫疑似泄露,影響數(shù)量總共數(shù)億條,為了安全起見,修2015-10-19ecshop數(shù)據(jù)庫默認(rèn)賬戶信息 導(dǎo)致網(wǎng)站信息泄漏 附解決方案
ecshop在默認(rèn)安裝的時候,安裝程序會添加兩個管理員賬戶,雖然管理員賬戶沒有操作權(quán)限,但是通過這兩個賬戶還是可以看到網(wǎng)站的訂單數(shù)據(jù).2012-07-13數(shù)據(jù)防泄漏廠商排名、數(shù)據(jù)防泄漏產(chǎn)品廠家、數(shù)據(jù)防泄漏解決方案的選擇
由于企業(yè)的機(jī)密數(shù)據(jù)常常存儲在單位的電腦、服務(wù)器或?qū)iT的文件存儲設(shè)備上,因此保護(hù)企業(yè)數(shù)據(jù)安全的具體舉措是保護(hù)電腦文件安全、保護(hù)服務(wù)器文件安全,防止通過各種途徑泄密2017-05-18