黑客元老推演“密碼風(fēng)云”

“一點都不意外，這在我們?nèi)锪鱾骱芫昧?。”中國鷹派?lián)盟網(wǎng)的創(chuàng)立者、鷹派代表萬濤如此評價近期多家網(wǎng)站用戶信息遭泄露一事。萬濤曾參與組織了2001年中美黑客大戰(zhàn)。

萬濤說，這些用戶信息在業(yè)內(nèi)已經(jīng)是公開的，只是最近有好事者將其公布在網(wǎng)絡(luò)上。中國最早的黑客組織綠色兵團(tuán)創(chuàng)始人、現(xiàn)COG信息安全組織創(chuàng)建人龔蔚更是直言，此次遭泄露的信息只是“冰山”一角。

不為賺錢，只為炫耀

細(xì)心的網(wǎng)友不難發(fā)現(xiàn)，事發(fā)后，天涯社區(qū)和CSDN社區(qū)均表示，被泄露的數(shù)據(jù)庫是截至2009年用于備份的用戶信息，并非最新的用戶數(shù)據(jù)。這不禁讓人聯(lián)想到拖庫（注：黑客術(shù)語，指黑客入侵網(wǎng)站服務(wù)器，盜取數(shù)據(jù)庫內(nèi)的資料，又稱“刷庫”）是否發(fā)生在數(shù)年前，眼下所見的都是被人榨干了利益價值的陳年資料。

的確就是這樣。

萬濤表示，這些網(wǎng)站的數(shù)據(jù)絕不是剛剛被黑客盜用，據(jù)推測應(yīng)該早已被黑客掌握，只不過最近有人拿到網(wǎng)上來“曬”?！斑@種明文密碼的庫，和現(xiàn)在的數(shù)據(jù)庫不同，這些信息已經(jīng)沒有任何利用價值，不可能有誰拿了這些明文密碼的庫再來賺錢，公開這個更像是一種娛樂的心態(tài)?！?/p>

所謂的明文密碼，就是指不經(jīng)過任何加密，直接將用戶輸入的密碼存儲到數(shù)據(jù)庫中的方式。這種保存方式的安全性可想而知，因此目前大部分網(wǎng)站均已改用加密保存。

而且，由于這些密碼早已被盜，那么很可能當(dāng)時就已經(jīng)被利用賺錢，并經(jīng)過多次利用，直到?jīng)]有價值了。當(dāng)初是誰刷庫、賺了多少錢或許很難知道，不過現(xiàn)在將這些早已沒有價值的、原本業(yè)內(nèi)公開的“秘密”公之于眾的目的似乎比較容易猜測—可能是純屬黑客炫耀技術(shù)，可能是警告某些網(wǎng)站，也可能是恐嚇網(wǎng)民……

龔蔚則表示，此次大規(guī)模信息泄露事件不像是有組織的行為：“我看不出這個事情最終的受益者是誰，也看不出來有組織性?！饼徫挡聹y，這更像是一個蝴蝶效應(yīng)—擁有CSDN數(shù)據(jù)庫的人可能對這些所謂的“秘密”感到好奇，忍不住將其上傳至網(wǎng)絡(luò)，而在看到CSDN用戶數(shù)據(jù)被公開后，手中握有天涯社區(qū)數(shù)據(jù)庫的人不得不將同樣為明文密碼的用戶信息公布，“因為再不公布的話，那些用戶就會更改密碼了”。

不過，龔蔚擔(dān)心幕后黑手這次或許是“手下留情”，并未公布最新的數(shù)據(jù)內(nèi)容。

黑客如何偷到這些數(shù)據(jù)？

即使這些用戶名和密碼已經(jīng)沒有利用價值，即使這些密碼現(xiàn)在成為茶余飯后的笑談，不少人還是很好奇，當(dāng)年，黑客究竟是怎樣偷取了這些數(shù)據(jù)，尤其是偷取一個知名IT社區(qū)的數(shù)據(jù)庫，這更像是一種赤裸裸的挑釁。

龔蔚解釋稱，數(shù)據(jù)庫被盜的問題完全是出在網(wǎng)站自身，只要整個網(wǎng)站中有任何一個漏洞，都能通過這個漏洞通向核心的數(shù)據(jù)庫。這好比“木桶原理”：任何一個短板都會決定你的最終水位，任何一個環(huán)節(jié)有問題都可以導(dǎo)致數(shù)據(jù)庫被盜。

簡單而言，用戶在登錄網(wǎng)站輸入密碼時，通常含有密碼的數(shù)據(jù)會傳回數(shù)據(jù)庫進(jìn)行比對，這些數(shù)據(jù)早在用戶第一次注冊時就已存在，并且通常是以加密的方式存儲。

目前的密碼數(shù)據(jù)庫均是通過哈希函數(shù)的方式進(jìn)行加密，存儲的數(shù)據(jù)是用戶密碼的哈希值。

但是哈希函數(shù)并非萬無一失，兩個不同的密碼可能哈希值會一樣，這種情況被稱為“碰撞”，而這正是黑客用來竊取數(shù)據(jù)庫獲得信息的途徑。

就目前的加密算法而言，哈希函數(shù)都是公開的，除非自己設(shè)計一個很好的能夠避免出現(xiàn)“碰撞”的哈希算法，否則現(xiàn)有的大眾哈希函數(shù)都可以通過“碰撞”的方式進(jìn)行破解。

不過，就算網(wǎng)站自己設(shè)計出了碰撞幾率低的算法，但黑客手中掌握了大量的碰撞庫，這些都是常用密碼所對應(yīng)的哈希值。一旦有密碼數(shù)據(jù)庫泄露，黑客就會比對其中的哈希值與手中的碰撞庫，一旦匹配成功，就能找到用戶的原始密碼。

龔蔚表示，可以將黑客偷取密碼的過程形容為四個過程：第一是否能進(jìn)得來；第二個是就算進(jìn)得來，但能否看得見；第三是就算看得見核心數(shù)據(jù)，但能否拿得走；最后一步是就算能偷取整個數(shù)據(jù)庫，但最終能否解得開。

價值早已被榨干

除了萬濤和龔蔚，不少業(yè)內(nèi)人士都表示，目前公開的明文密碼應(yīng)該已經(jīng)沒有利用價值了，它們的價值早已被黑客榨干。那么，黑客當(dāng)年偷取了數(shù)據(jù)之后，是如何通過這些數(shù)據(jù)獲利呢？換句話說，這也就是他們盜取數(shù)據(jù)的目的所在。

通常而言，拖庫只是黑客產(chǎn)業(yè)鏈中的一部分，接下來還有“洗庫”，即對數(shù)據(jù)庫中的資源進(jìn)行層層利用。

第一層是進(jìn)行虛擬幣等信息的剝離。例如支付寶和QQ等。黑客拿到用戶的賬號和密碼后就會進(jìn)入賬戶嘗試，如果有虛擬金錢就會轉(zhuǎn)走，或?qū)Q號倒賣。

第二層是對于個人信息的收集。有些賬戶可能包括個人信息內(nèi)容，黑客可以把這些信息賣給那些需要的人。

第三層是關(guān)聯(lián)手機(jī)號的信息。黑客把這些信息賣給轉(zhuǎn)發(fā)垃圾短信的，這樣一層層“洗”下去直到?jīng)]有價值為止。

“刷庫和洗庫的分工很明確，洗庫的人不會去刷庫，而且有專人負(fù)責(zé)對于各類不同賬號的嘗試，例如有人擅長操作QQ等?！饼徫嫡f道。

一旦黑客手中的用戶庫頗具規(guī)模后，就可以分析用戶。萬濤稱，由于人的習(xí)慣性因素，密碼不可能改來改去，總有一些關(guān)聯(lián)，當(dāng)有了用戶資源后，可以生產(chǎn)字典，用于“暴力”破解。

“網(wǎng)站也不知漏洞何在”

讓人不安的是，雖然天涯和CSDN等社區(qū)都已提醒用戶修改密碼，但對黑客而言，用戶如何修改密碼并非關(guān)鍵。黑客的目標(biāo)在于網(wǎng)站的數(shù)據(jù)庫，無論用戶密碼是什么，一旦通過“碰撞”破解哈希函數(shù)，那用戶再怎樣修改密碼也是無用功，黑客照樣可以偷。

也就是說，掌控權(quán)既不在用戶手中，也不在網(wǎng)站手中。而且到目前為止，上述網(wǎng)站也沒有公布到底是哪個環(huán)節(jié)出了問題。

龔蔚認(rèn)為，沒有公布原因就意味著網(wǎng)站自己也不知道哪里出了問題，“好比你錢包被偷了，但是不知道是在哪里被偷的，只知道買一個新的錢包，并聲稱更安全?！?/p>

萬濤透露，數(shù)年前曾爆發(fā)過多起數(shù)據(jù)庫被拖庫的事件，只是由于網(wǎng)絡(luò)傳播力度不如現(xiàn)在，知道的人并不多，且對于一個發(fā)生過拖庫的網(wǎng)站而言，說不定已經(jīng)被人植入木馬或者留下后門還不知道。

但為何這些網(wǎng)站還是沒有吸取同行的教訓(xùn)？究其緣由，還是某些大型網(wǎng)站為了搶占用戶資源而過快擴(kuò)張，卻很少有網(wǎng)站愿意在一項業(yè)務(wù)沒掙錢的情況下去付出更多的安全成本。這是目前安全文化的一個狀況，不僅僅是IT行業(yè)。