Muutama päivä sitten monilta ystäviltäni ympärilläni varastettiin, ja kun ne varastettiin, ne varastettiin erissä, ja monet eri verkkosivustojen salasanat, jotka itse rekisteröitiin, varastettiin samaan aikaan.
Miten hakkerit varastavat salasanat?
Ensinnäkin tili varastetaan, ensimmäinen epäilys liittyy siihen, että tietokone joutuu Troijan hevosen osumaksi; hakkerit voivat käyttää näppäinlokkia, tietojenkalastelua ja muita keinoja salasanojen varastamiseen istuttamalla troijalaisia hevosia henkilökohtaisiin tietokoneisiin. Siksi kirjoittaja tarkisti useiden ystäviensä tietokoneet, joilla oli varastettuja salasanoja, eikä löytänyt Troijan hevosia, ja oli ilmeistä, että heidän tilinsä oli varastettu troijan hevosten kautta.
Koska ongelma ei ole omassa tietokoneessasi, on todennäköistä, että rekisteröity verkkosivusto on "vedetty jonkun toimesta vedettäväksi tietokantaan". Tässä on selitys vedettävästä tietokannasta, niin sanottu "drag-kirjasto" tarkoittaa, että verkkosivuston käyttäjätiedot varastetaan SQL-injektiolla tai muilla keinoilla, ja tämän sivuston käyttäjätunnus- ja salasanatiedot saadaan, ja monet tunnetut verkkosivustot ovat julkaisseet "drag library" -tapahtumia, kuten CSDN, Tianya, Xiaomi jne., hakkerit vaihtavat ja keskittävät vedetyt tietokannat, muodostaen yhden niin kutsutun "sosiaalisen työn kirjaston" toisensa jälkeen, Sosiaalityön tietokanta tallentaa paljon tilitietoja "vedetystä" verkkosivustosta, joten kirjoittaja etsi ystävänsä tilitietoja sosiaalisen työn tietokannan sivustolta, jota hakkerit yleisesti käyttävät, ja löysi vuotaneen tilin salasanan:
Kuvakaappauksesta näkyy, että ystävän salasana vuoti 51CTO:lta, ja salasana oli salattu MD5:llä, mutta tämän salasanan ratkaiseminen ei ole mahdotonta, ja Internetissä on monia verkkosivustoja, jotka voivat hakea MD5:n alkuperäistä tekstiä, esimerkiksi hakemalla salattua tekstiä CMD5:stä ja löytämällä salasanan alkuperäisen tekstin nopeasti:
Onnistuneen salauksen purkamisen jälkeen kirjaudu ystäväsi asiaankuuluvalle tilille salasanalla, ja totta kai kirjautuminen onnistui. Näyttää siltä, että salasanan vuototapa on paljastettu. Joten nyt kysymys kuuluu, miten hakkerit murtautuivat useisiin ystävien verkkosivuihin?
Järkyttävä maanalainen tietokanta
Nyt on aika uhrata toinen työkalumme (www.reg007.com), koska monilla ihmisillä on tapana käyttää samaa sähköpostiosoitetta rekisteröidessään paljon yrityksiä, ja tämän sivuston kautta voi kysyä, mikä verkkosivusto on rekisteröity tietyllä sähköpostilla. Kun näin tämän sivuston ensimmäistä kertaa, ystäväni ja minä olimme hämmästyneitä, seuraava tilanne on tietyn sähköpostin kyselyssä, yhteensä 21 rekisteröityä verkkosivustoa kysyttiin:
Itse asiassa monilla ystävilläkin on tällainen tapa, eli muistin helpottamiseksi he rekisteröivät kaikki verkkosivustotilit samalla tilillä ja salasanalla, olipa kyseessä pieni foorumi tai ostoskeskus, jossa on kiinteistöjä kuten JD.com ja Tmall. Tämä käytäntö on erittäin vaarallinen, ja jos jokin sivusto kaatuu, kaikki tilit ovat vaarassa. Erityisesti CSDN-tietokantavuodon jälkeen vuonna 2011 yhä useammat verkkosivustot ovat vuotaneet tietokantoja, ja nämä vuotaneet tietokannat löytyvät verkkosivuilta vapaasti. Voit miettiä, että kun tilisi salasana on sama, yllä mainittujen vaiheiden kautta voit helposti tietää, missä yliopistossa olet käynyt (Xuexin.com), mitä työtä olet tehnyt (Future Worry-free, Zhilian), mitä olet ostanut (JD.com, Taobao), ketä tunnet (pilviosoitekirja) ja mitä olet sanonut (QQ, WeChat)
Seuraava kuva näyttää joitakin sosiaalityön tietokantatietoja, joita jotkut maanalaiset verkkosivustot ovat vaihtaneet:
Yllä sanottu ei ole hälyttävää, sillä todellisuudessa on liikaa verkkosivustoja, jotka voivat "huijata tunnuksia", ja on myös monia esimerkkejä laajamittaisesta "pankkien pesusta", "tunnistetietojen täyttämisestä" ja mustien teollisuudenalojen "pankkien varastamisesta". Tässä on selitys näille termeille: saatuaan suuren määrän käyttäjätietoja "kirjaston vetämisen" kautta hakkerit ansaitsevat arvokasta käyttäjädataa teknisten keinojen ja mustan teollisuuden ketjun kautta, jota yleensä kutsutaan "tietokantapesuksi", ja lopuksi hakkeri yrittää kirjautua muille verkkosivustoille hakkerin saamilla tiedoilla, jota kutsutaan "tunnistetietojen täyttämiseksi", koska monet käyttäjät haluavat käyttää yhtenäistä käyttäjätunnussalasanaa, ja "tunnistetietojen täyttäminen" on usein erittäin palkitsevaa.
Haavoittuvuuksien lähetysalustalta "Dark Cloud" löytyy haavoittuvuuksien lähettämisestä ja monilla verkkosivustoilla on tunnistetietojen täyttämiseen liittyviä haavoittuvuuksia, ja samalla hyökkäävät ja puolustavat osapuolet ovat toistuvasti puolustautuneet toisiaan vastaan, ja hyökkäysmenetelmä "tunnistetietojen täyttäminen" on aina ollut erityisen suosittu mustan teollisuuden piirissä sen ominaisuuksien kuten "yksinkertainen", "karkea" ja "tehokas" vuoksi.
Kirjoittaja kohtasi kerran laajamittaisen tunnistetietojen täyttämistapauksen tunnetussa postilaatikossa Kiinassa projektin aikana, ja seuraavassa on otteita tuolloin vaihdetuista sähköposteista:
Poikkeamaanalyysi
Noin kello 10 aamulla noin 21:10 asti illalla on ilmeinen poikkeava kirjautuminen, joka on käytännössä todettu hakkerointiksi. Hakkerit käyttävät automaattisia kirjautumisohjelmia käynnistääkseen suuren määrän kirjautumispyyntöjä samasta IP-osoitteesta lyhyessä ajassa, samanaikaisilla pyynnöillä ja korkealla tiheydellä, jopa yli 600 kirjautumispyyntöä minuutissa. Päivän aikana tapahtui yhteensä 225 000 onnistunutta kirjautumista ja 43 000 epäonnistunutta kirjautumista, mukaan lukien noin 130 000 tiliä (2 kirjautumista per tili);
Hakkeri kirjautui sisään WAP:n perusversiosta, vaihtoi tavalliseen versioon onnistuneen kirjautumisen jälkeen ja poisti kirjautumisilmoituksen pois päältä vakioversiossa, mikä laukaisi tekstiviestimuistutuksen, jossa tiliin sidottua matkapuhelinnumeroa muutettiin. Lokianalyysin mukaan muuta toimintaa ei löytynyt sen jälkeen, kun hakkeri oli muuttanut kirjautumisilmoitusta, eikä hakkeri lähettänyt sähköposteja kirjautumisen jälkeen.
Alustavat analyysitulokset ovat seuraavat:
1. Hakkeri käyttää tavallista käyttäjätunnus-salasana-todennusmenetelmää kirjautumiseen, ja todennusprosentti on erittäin korkea. Viime päivien lokkeja kysyessäni näiltä käyttäjiltä ei löytynyt kirjautumisyrityksiä. Eli käyttäjäsalasana saadaan muilla tavoilla, ei voimalla murtamalla sähköpostijärjestelmän salasanaa;
2. Hakkereiden varastamien käyttäjien rekisteröintipaikka on ympäri maata, eikä siinä ole ilmeisiä ominaisuuksia, eikä rekisteröintiajasta ole selviä piirteitä;
3. Jotkut käyttäjätunnukset ja salasanat, jotka on kaapattu pakettien kaappaamisella, osoittavat, että eri käyttäjien salasanat ovat erilaisia, niissä ei ole yhtäläisyyksiä, eivätkä ne ole yksinkertaisia salasanoja; Valitsin muutaman käyttäjäsalasanan ja yritin kirjautua sisään 163 mailboxiin, Dianpingiin ja muihin sivustoihin, ja huomasin, että kirjautuminen onnistui;
4. Hakkerien kirjautumisosoitteisiin on monia lähteitä, kuten Xi'an, Shaanxi, Ankang, Hefei, Anhui, Huangshan, Anhui, Huinanin ja muut kaupungit. Kun estämme epänormaalin kirjautumis-IP:n, hakkerit voivat nopeasti vaihtaa kirjautumis-IP:tä, jolloin estäminen menettää tehonsa nopeasti. Voimme seurata vain hakkereita, ja taajuusominaisuuksien mukaan otamme estoa käyttöön vasta tietyn määrän saavuttamisen jälkeen.
5. Käyttäjän aiempi aktiivisuustila ei täsmätä ennen huomista. Mutta nykytilanteen perusteella henkilökohtainen alustava arvaukseni on, että käyttäjiä pitäisi olla aktiivisia ja passiivisia, ja suurin osa heistä on passiivisia.
Yllä olevan analyysin perusteella voidaan käytännössä nähdä, että hakkerit omistavat jo näiden käyttäjien käyttäjätunnukset ja salasanat, ja suurin osa niistä on oikeassa. Salasanat voivat johtua erilaisten verkkosalasanojen tietojen vuotamisesta aiemmin.
Turvallisuusneuvoja
Lopuksi kirjoittaja kysyy, haluatko, että salasanasi on jonkun toisen käsissä vai onko se jonkun toisen tietokannassa?
Kaikkien salasanan suojaamiseksi kirjoittaja antaa sinulle muutamia salasanaehdotuksia,
1. Vaihda salasanasi säännöllisesti;
2. Tärkeiden verkkosivustojen tilisalasanat ja ei-tärkeiden sivustojen, kuten Tmallin, JD.com jne., tilisalasanat on oltava erillään, ja on parasta tehdä tilisalasanasta erilainen;
3. Salasanalla on tietty monimutkaisuus, kuten yli 8 numeroa, mukaan lukien isot ja pienet kirjaimet sekä erityiset symbolit; muistin helpottamiseksi voit käyttää erityistä kryptografista ohjelmistoa oman salasanan hallintaan, tunnetumpi on keepass;
Toivon, että yllä olevan sisällön kautta jokainen saa paremman käsityksen salasanojen turvallisuudesta, jotta heidän yksityisyytensä ja omaisuutensa suojaus voidaan suojata paremmin.
|
Julkaistu 25.11.2014 18.10.15
|
|
|
|
