Mõni päev tagasi varastati paljude sõprade paroole minu ümber, ja kui need varastati, varastati need partiidena ning paljud erinevad veebiparoolid, mis olid ise registreeritud, varastati samaaegselt.
Kuidas häkkerid paroole varastavad?
Esiteks varastatakse konto, esimene kahtlus on probleem, et arvutit tabab Trooja hobune, häkkerid saavad kasutada klahvilogimist, õngitsusi ja muid meetodeid, et varastada paroole, istutades Trooja hobuseid isiklikesse arvutitesse. Seetõttu kontrollis autor mitme varastatud parooliga sõbra arvuteid ega leidnud ühtegi Trooja hobust ning oli selge, et nende kontod varastati Trooja hobuste kaudu.
Kuna probleem pole sinu enda arvutis, on tõenäoline, et registreeritud veebileht on "kellegi poolt lohistatud, et see andmebaasi lohistada". Siin on selgitus lohistamisandmebaasi kohta, nn "lohistusraamatukogu" tähendab, et veebisaidi kasutajaandmed varastatakse SQL-i süstimise või muul viisil, ning selle veebisaidi kasutajanime ja parooli info saadakse, ning paljud tuntud veebilehed on välja andnud "drag library" sündmusi, nagu CSDN, Tianya, Xiaomi jne, häkkerid vahetavad ja tsentraliseerivad lohistatud andmebaasid, moodustades ühe nn "sotsiaaltöö raamatukogu" teise järel, Sotsiaaltöö andmebaas salvestab palju konto parooliinfot "lohistatud" veebilehelt, nii et autor otsis sõbra konto andmeid häkkerite sageli kasutatavalt sotsiaaltöö andmebaasi veebilehelt ja leidis tõepoolest lekkinud konto parooli:
Ekraanipildilt on näha, et sõbra parool lekkis 51CTO-st ja parool oli krüpteeritud MD5-ga, kuid selle parooli lahendamine pole võimatu ning internetis on palju veebilehti, mis suudavad pärida MD5 algset teksti, näiteks otsides CMD5-s šifriteksti ja avastades kiiresti parooli algteksti:
Pärast edukat dekrüpteerimist logi sisse sõbra vastavasse kontole parooliga ja tõepoolest, sisselogimine õnnestus. Tundub, et parooli lekkimise viis on leitud. Nüüd tekib küsimus, kuidas häkkerid häkkisid sõprade mitmele veebilehele?
Šokeeriv maa-alune andmebaas
Praegu on aeg ohverdada veel üks meie tööriist (www.reg007.com), sest paljudel inimestel on komme kasutada sama e-posti aadressi paljude ettevõtete registreerimiseks ning selle veebisaidi kaudu saab pärida, milline veebileht on registreeritud teatud e-posti aadressiga. Esimest korda, kui ma seda veebilehte nägin, olime sõpradega jahmunud, järgmine on olukord, kui teatud e-posti päringuid tehti, kokku päriti 21 registreeritud veebilehte:
Tegelikult on paljudel sõpradel samuti selline harjumus – mälu hõlbustamiseks registreeritakse kõik veebilehed sama konto ja parooliga, olgu see siis väike foorum või kaubanduskeskus, kus on kinnisvara nagu JD.com ja Tmall. See tava on väga ohtlik ning kui mõni sait kukub, on kõik kontod ohus. Eriti pärast CSDN-i andmebaasi lekkimist 2011. aastal on üha rohkem veebilehti lekkinud andmebaase ning neid lekkinud andmebaase võib veebilehtedelt leida vabalt. Sa võid mõelda, kui su konto parool on sama, ja ülaltoodud sammude kaudu saad hõlpsasti teada, millises ülikoolis oled käinud (Xuexin.com), millist tööd oled teinud (Future Worry-free, Zhilian), mida oled ostnud (JD.com, Taobao), keda sa tunned (pilveaadressiraamat) ja mida oled öelnud (QQ, WeChat)
Järgmine joonis näitab mõningaid sotsiaaltöö andmebaasi andmeid, mida vahetavad mõned maa-alused veebisaidid:
Eelpool öeldu ei ole hirmutav, sest on liiga palju veebisaite, mis suudavad tegelikkuses "andmeid peita", ning on ka palju näiteid suurest "pangapesust", "tunnistuste täitmisest" ja "panga varastamisest" mustanahalistes tööstustes. Siin on nende terminite selgitus: pärast suure hulga kasutajaandmete saamist "raamatukogu lohistamise" kaudu rahaks teevad häkkerid väärtuslikke kasutajaandmeid tehniliste meetodite ja musta tööstuse ahela kaudu, mida tavaliselt nimetatakse "andmebaasi pesuks", ning lõpuks püüab häkker sisse logida teistele veebisaitidele häkkeri saadud andmetega, mida nimetatakse "volituste täitmiseks", sest paljud kasutajad eelistavad kasutada ühtset kasutajanime parooli ning "volituste täitmine" on sageli väga rahuldustpakkuv.
Otsides haavatavuste esitamise platvormilt "Dark Cloud", selgub, et paljudel veebilehtedel on tunnistuste täitmise haavatavusi ning samal ajal on ründe- ja kaitsepooled korduvalt üksteist kaitsnud, ning rünnakumeetod "volituste täitmine" on alati olnud musta tööstuse ringkondades eriti populaarne selle omaduste tõttu nagu "lihtne", "karm" ja "tõhus".
Autor sattus projekti käigus Hiinas tuntud postkastis ulatusliku volituste täitmise juhtumiga ning järgnevalt on toodud mõned väljavõtted tol ajal vahetatud e-kirjadest:
Anomaalia analüüs
Umbes kella 10-st täna hommikul kuni umbes 21:10 õhtul on ilmne ebanormaalne sisselogimine, mis on põhimõtteliselt tuvastatud häkkimiseks. Häkkerid kasutavad automaatseid sisselogimisprogramme, et käivitada lühikese aja jooksul suur hulk sisselogimistaotlusi samast IP-st, samaaegsete päringute ja kõrge sagedusega, kuni üle 600 sisselogimispäringu minutis. Päeva jooksul toimus täna kokku 225 000 edukat sisselogimist ja 43 000 ebaõnnestunud sisselogimist, hõlmates umbes 130 000 kontot (2 sisselogimist konto kohta);
Häkker logis sisse WAP-i põhiversioonist, lülitus pärast edukat sisselogimist standardversioonile ja lülitas sisselogimisteate välja standardversioonis, käivitades seega tekstisõnumi meeldetuletuse, mis muudeti kontoga seotud mobiiltelefoninumbrit. Logianalüüsi põhjal ei leitud pärast sisselogimisteate muutmist muud käitumist ning häkker ei saatnud pärast sisselogimist ühtegi e-kirja.
Esialgsed analüüsi tulemused on järgmised:
1. Häkker kasutab sisselogimiseks standardset kasutajanime-parooli autentimismeetodit ning autentimise õnnestumise määr on väga kõrge. Viimaste päevade logisid uurides ei leitud nende kasutajate poolt ühtegi sisselogimiskatset. See tähendab, et kasutajaparool saadakse muul viisil, mitte jõuga e-posti süsteemi parooli murdmisega;
2. Häkkerite poolt varastatud kasutajate registreerimiskoht on üle kogu riigi, ilma ilmsete tunnusteta ja registreerimisaja tunnusteta;
3. Mõned kasutajanimed ja paroolid, mis on kinni püütud pakettidega, näitavad, et erinevate kasutajate paroolid on erinevad, sarnasusi ei ole ja need ei ole lihtsad paroolid; Valisin mõned kasutajaparoolid ja proovisin sisse logida 163 postkasti, Dianpingi ja teistele veebilehtedele, kuid leidsin, et sisselogimine õnnestus;
4. Häkkerite sisselogimise IP-aadresside allikaid on palju, sealhulgas Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huinan ja teised linnad. Pärast ebatavalise sisselogimis-IP blokeerimist saavad häkkerid kiiresti muuta sisselogimise IP-d, mis muudab blokeerimise kiiresti ebaefektiivseks. Me saame jälgida ainult häkkereid ja sageduse omaduste järgi rakendame blokeerimist alles pärast teatud numbri saavutamist.
5. Kasutaja eelmine aktiivsuse staatus ei sobitu enne homset. Kuid praeguse olukorra põhjal on minu isiklik esialgne oletus, et peaks olema aktiivseid ja mitteaktiivseid kasutajaid, ja enamik neist peaks olema passiivsed.
Ülaltoodud analüüsist on näha, et häkkeritel on juba nende kasutajate kasutajanimi ja paroolid käepärast ning enamik neist on õiged. Paroolid võivad olla põhjustatud erinevate võrguparoolide andmete lekkimisest varem.
Ohutusnõuanded
Lõpuks küsib autor, kas soovite, et teie parool oleks kellegi teise käes või eksisteerib see kellegi teise andmebaasis?
Et kaitsta kõigi parooli, annab autor siin mõned paroolisoovitused,
1. Vaheta regulaarselt oma parooli;
2. Oluliste veebisaitide konto parool ja mitteoluliste veebilehtede, nagu Tmall, JD.com jne, konto parool tuleb eraldi teha;
3. Parool on teatud keerukusega, näiteks üle 8 numbri, sealhulgas suured ja väikesed tähed ning erisümbolid; mälu hõlbustamiseks saad kasutada spetsiaalset krüptograafilist tarkvara oma parooli haldamiseks, kuulsam on keepass;
Loodan, et ülaltoodud sisu kaudu saab igaüks parema arusaama paroolide turvalisusest, et paremini kaitsta oma isiklikku privaatsust ja vara turvalisust.
|
Postitatud 25.11.2014 18:10:15
|
|
|
|
