论文部分内容阅读
这一切来得太突然。
2011年12月21日,“全球最大的中文IT社区”CSDN的600万用户资料被公开,同时被公布的还有用户的邮箱账号和密码。
作为一个充斥着无数Geek的程序员社区,这实在有够糗了。
如果有什么可以稍微为它遮一遮丑的话,那就是在此之后人人、开心、新浪微博也陆续出现在被泄密名单上—“不止我一个,大家的密码都丢了!”
不难想象这些都有可能发生:你的账号被破解,身份被人确认,网银被拿来淘宝,姓名被拿来诈骗……你被完成了从虚拟到现实全方位的泄密。这真应该让盖•里奇或者昆汀•瓦伦蒂诺那样富有黑色幽默感的导演来拍成电影:这里头有黑帮,有技术,还有一丝丝荒诞的人性。
在不安感的激励下,你给自己上了一堂网络安全课。为了知道加密算法之间的区别,你还认真看完了希哈函数的介绍—如果知道你是个高数课都拿来睡觉的人,就明白你是多么在乎这件事—就算看过就忘了。
另一个被科普的词汇是“明文存储”,即网站不经过加密就把你输入的密码存在数据库中。黑客只要下载到数据库,不费吹灰之力就能掌握大量的账号密码。尽管被曝的公司严词否认,但更容易令人信服的说法是—用明文或者可逆加密(拿到加密密匙就可以还原密码)存储密码的情况存在于国内大部分的网站。而且,即使不可逆的加密存储也依然有可能被黑客攻破。
网络安全这个圈子里,手里没有几个G的数据库资料都不好意思跟别人打招呼,据说这些曝出来的也都是被人“玩”剩下的资料。只是不知道为什么2010年之前被盗的数据库现在才被披露出来。
阴谋论的味道越来越重,仿佛我们只是按照黑客们的设计知道了一些他们希望我们知道的事情。不过接受一次网络安全科普也没什么不好,至少这件事让所有人包括程序员和非程序员知道一件事,有密码也是不安全的。你可以让你的密码尽量高级,至于网站如何管理密码你就无能为力了。
参考科学松鼠会的说法,制定新密码的方针如下:在强大的“社会工程学”破解法面前,把名字和生日揉在一起的所谓“字母加数字”没用!大小写的变化没用!通用的元素加上注册网站自身的元素没用!你要做的,就是每个网站的密码都尽量不同,并且,把它设置得长一点,再长一点。
在如何编写大量密码这件事上,技术青年们发挥死理性派的时刻又到了:有人用“大概两个小时写了一个基于算法的非存储密码管理工具”,有人开始利用类似“花密”(可记忆的密码管理方案)这样已有的工具创建和管理不同网站的密码。
与此同时,你不得不试着评估哪些网站密码泄露之后的危害更大。网银如果被侵害当然很可怕,不过你还有手机短信提醒这一关。邮箱会暴露你几乎所有的工作关系。淘宝关乎你生活的全部。那些保存着你社交关系的SNS网站非常重要,也许是时候清理掉“网络衣橱里的骷髅”了,有些已经加密的日志和照片还是删掉算了,好友的联系方式得备份一下。
如果你是个有点悲观气质的人,你会发现就算做了这么多依然不能安心,自己和不安全的网络就好比鱼和水,你还是依赖它。但很快你又能发现所有人都和你一样,大部分情况下你只是黑客数据库里的一条信息,适应被骚扰的感觉并不那么难,况且有密码泄露这件事之前你已经和垃圾邮件和平共处很久了。
你的密码可以被用来做很多事
在各种设想中,被窃的密码可以用来赚钱,此外这件事已经成为了全民运动—每个人都可以查看、分析、取乐或者作恶。
卖了你的密码
一说到密码被盗就会第一时间想到黑客。在看过《社交网络》之后,你对闯入哈佛宿舍网络窃取女生照片的Facebook创始人马克•扎克伯格又爱又恨。爱的是:smartisanothersexy;恨的是:嘿,他是个黑客!现实中的黑客过得可没有这么戏剧性。据腾讯科技报道,倒卖数据库的一笔交易的收益也许只有数千元至几万元。真正危险的,在后头。
建立“字典库”
有些黑客对赚钱并不十分感兴趣,他们感兴趣的是,从大批量的密码中找到规律,从而建立自己的“字典库”,以后想要破译密码时就有个强大的数据库做备案。
进入你的邮箱
如果有一天你早上起床,发现手机里的Gmail客户端没有新邮件提示,会不会还蛮开心?也许……你的邮件已经被别人读过了。如果你邮箱的用户名、密码和某个被泄露的网站相同,侵入者很容易就能看到你的工作邮件,还有你注册微博、人人、开心、智联招聘、支付宝、网游、京东等等的确认邮件。
垃圾邮件
这是最简单也最贱的信息利用方法,它不需要打击你,只需要像蚊子一样“嗡……嗡……嗡……”你就够烦了。如果他们对信息进行了用户群体定位分析,谢天谢地,你收到的可能还有点价值。
开拓新客户
适用于市场调查和销售人员。比起满大街拉人和扫楼,买一张刻满潜在目标用户信息的光盘可以算作是低成本营销方式之一。据说是否有人向你兜售批量用户信息可以被看作你从菜鸟进阶的标志。
袭击你的虚拟人格
爱打《魔兽世界》吧?是不是往里放了不少钱打造你的装备?小心,装备盗贼,或者干脆是盗号贼,他们来了。
售卖私密关系
你以为骗子拿到你的SNS网站和即时通讯工具的账号密码,是用来帮你发饭前微博和联系多年不见的小学同学的吗?这是个不错的纯情电影题材,但是他们的目的,或者是为了让你在线汇款,或者是为了通过发给你朋友的某个链接骗取更多的账户数据卖给更大的骗子集团。
网络水军的军功章将有你的一份
你说有些账号的密码你自己都忘了—对于你,这个号啥也不是;对于网络水军公司,那就是一个免注册的大兵。
伪造身份证
想起街头巷尾的办证广告了么?黑客从数据库里刷出来的身份证信息就有这个用途。那些随时准备向未成年人提供上网服务的网吧也很需要储备一些成年人的身份证信息。
寻找出轨证据
私家侦探更像是小说里才有的一类人,但也有类似于台湾街头不难看到征信社的招牌广告,上面写着情感调查、感情复合之类的广告语。
个人资料又被卖了
虽然你平时已经很注意不在路边为了一个乐扣的杯子瞎填个人资料调查表了,但是这次你的个人资料又被卖了。它会根据性别、年龄、收入、地域被卖给各个推广公司、调研机构、保险公司……你的手机将不再寂寞。
你的网银!
跟丢心情相比,丢钱要严重得多。所以不要再抱怨繁琐的验证和登录过程了,如果它们真的可以增加账号安全的话。如果你的支付宝被侵入……最后一个希望:他们选的送货地址还是你的默认地址。
让你原形毕露
好了,到此你会发现,在这个无坚不摧的产业链的作用下,他们知道了你的聊天内容,知道了你的家庭住址,知道了你上下线的规律……你不再只是一组数据,颤抖吧你!
满足窥视欲
黑客也会无聊,有时候他们也许只是通过搜索引擎学到一些盗号小技巧,下载到一个盗号木马,然后就去大搞破坏。目的并不是优先考 虑的,好玩和刺激才是。
证明实力
黑客把几个G的爆库资料截个图发到QQ群里的感受,可能不亚于奥斯卡获奖者站在领奖台上。这可以证明他有能力获得互联网更高权限的自由,在权限自由面前,通宵刷库的辛苦算得了什么?
赋诗
CSDN网站密码泄露后,Twitter网友自发举办了“CSDN杯我最喜爱的CSDN密码评选”……获奖者是“ppnn13%dkstFeb.1st”,据推测,该密码的意思是:“娉娉袅袅十三余,豆蔻梢头二月初”。
学习编码知识,别嘲笑用简单密码的人
在运用统计工具(就是Ctrl+F吧)对整个CSDN泄露名单进行分析后,发现群众最喜闻乐见的密码是123456789,共有235033人次使用。也许你很想笑,这密码也太简单了吧!但是你用的那种利用键盘规律、用了QQ号和手机号,或者注册什么网站就加个什么前缀的密码,在黑客们强大的字典库前,一样弱爆了。
嘲笑CSDN和……金山毒霸
同样泄露了用户信息的金……金山毒霸,你不是安全软件吗!
表白
同样来自Twitter的段子说:“他暗恋了她好几年没表白,后来,他下载到一份泄露出来的用户名密码文件,查找她的邮箱时看见密码是ilove加自己名字的拼音,正感动得无以复加时电话响起,只听她在电话那头颤抖着说:傻瓜,我看到了你的密码。”
同样来自Twitter的段子说:“他暗恋了她好几年没表白,后来,他下载到一份泄露出来的用户名密码文件,查找她的邮箱时看见密码是ilove加自己名字的拼音,正感动得无以复加时电话响起,只听她在电话那头颤抖着说:傻瓜,我看到了你的密码。”
耍你一把
如果你的朋友,抢先你一步下载了各大网站用户名密码清单,这就和你离开桌面时没关掉微博的后果一样:你回来的时候会发现很多条你未曾发布过的爆炸性信息挂在自己的页面上……从来没有过这么多转发和评论,你被浮夸了一把。
研究社会心理学
知乎网友说的:“一个人的密码可以看出一个人的思路,众多人的密码可以看出社会的思路。”
黑客告诉你N件事
邮件发件人不可信
发件人是10000@qq.com的邮件,并不一定就是腾讯公司。黑客搭建一个SMTP服务器,然后改下MIME信息就可以随便伪造发件人。MIME标识着邮件是谁发的,发给谁,标题是什么等信息。如果这封邮件的内容是提醒你到某个链接更改密码,你可能就会进入到钓鱼网站,结果就是QQ被盗。
网址可以表里不一
QQ好友发给你一个网址http://www.taobao.com,你看到是淘宝于是放心地点进去,结果是另一个钓鱼网站。这招其实你也会,只要用超链接把钓鱼网站伪装成一个可信任的网址就行。
无线网络里的任何数据都可能被看到
如果你在咖啡馆用无线网络登录邮件,那么你输入的密码和邮件内容都可能被黑客监听到。无线网络中传输的数据,就像经过一个大喇叭,该无线网络里的所有人都有可能听到。即使网站采用经过加密https形式,黑客也可以看到你访问的地址。
用来批量黑站的0DAY漏洞
0DAY漏洞指还没有大范围公开、厂商还没来得及打补丁的漏洞。想一想你曾经给自己的电脑打过多少次补丁就知道0DAY的潜力有多大。掌握某种0DAY漏洞的黑客,可以通过工具在网络上批量搜索有漏洞的系统网站,结果自然是批量获取到这些网站的信息。
漏洞是绝对的,安全是相对的
没有漏洞的系统是不存在的,区别只是漏洞什么时候被发现。从某种意义来说,互联网没有绝对的隐私,只有不同权限。对更高控制权的追求也是驱动黑客的动力。网络世界里,你的秘密被储存在不同级别的数据库里,但不管多么高级的权限,总会有人能访问到。
2011年12月21日,“全球最大的中文IT社区”CSDN的600万用户资料被公开,同时被公布的还有用户的邮箱账号和密码。
作为一个充斥着无数Geek的程序员社区,这实在有够糗了。
如果有什么可以稍微为它遮一遮丑的话,那就是在此之后人人、开心、新浪微博也陆续出现在被泄密名单上—“不止我一个,大家的密码都丢了!”
不难想象这些都有可能发生:你的账号被破解,身份被人确认,网银被拿来淘宝,姓名被拿来诈骗……你被完成了从虚拟到现实全方位的泄密。这真应该让盖•里奇或者昆汀•瓦伦蒂诺那样富有黑色幽默感的导演来拍成电影:这里头有黑帮,有技术,还有一丝丝荒诞的人性。
在不安感的激励下,你给自己上了一堂网络安全课。为了知道加密算法之间的区别,你还认真看完了希哈函数的介绍—如果知道你是个高数课都拿来睡觉的人,就明白你是多么在乎这件事—就算看过就忘了。
另一个被科普的词汇是“明文存储”,即网站不经过加密就把你输入的密码存在数据库中。黑客只要下载到数据库,不费吹灰之力就能掌握大量的账号密码。尽管被曝的公司严词否认,但更容易令人信服的说法是—用明文或者可逆加密(拿到加密密匙就可以还原密码)存储密码的情况存在于国内大部分的网站。而且,即使不可逆的加密存储也依然有可能被黑客攻破。
网络安全这个圈子里,手里没有几个G的数据库资料都不好意思跟别人打招呼,据说这些曝出来的也都是被人“玩”剩下的资料。只是不知道为什么2010年之前被盗的数据库现在才被披露出来。
阴谋论的味道越来越重,仿佛我们只是按照黑客们的设计知道了一些他们希望我们知道的事情。不过接受一次网络安全科普也没什么不好,至少这件事让所有人包括程序员和非程序员知道一件事,有密码也是不安全的。你可以让你的密码尽量高级,至于网站如何管理密码你就无能为力了。
参考科学松鼠会的说法,制定新密码的方针如下:在强大的“社会工程学”破解法面前,把名字和生日揉在一起的所谓“字母加数字”没用!大小写的变化没用!通用的元素加上注册网站自身的元素没用!你要做的,就是每个网站的密码都尽量不同,并且,把它设置得长一点,再长一点。
在如何编写大量密码这件事上,技术青年们发挥死理性派的时刻又到了:有人用“大概两个小时写了一个基于算法的非存储密码管理工具”,有人开始利用类似“花密”(可记忆的密码管理方案)这样已有的工具创建和管理不同网站的密码。
与此同时,你不得不试着评估哪些网站密码泄露之后的危害更大。网银如果被侵害当然很可怕,不过你还有手机短信提醒这一关。邮箱会暴露你几乎所有的工作关系。淘宝关乎你生活的全部。那些保存着你社交关系的SNS网站非常重要,也许是时候清理掉“网络衣橱里的骷髅”了,有些已经加密的日志和照片还是删掉算了,好友的联系方式得备份一下。
如果你是个有点悲观气质的人,你会发现就算做了这么多依然不能安心,自己和不安全的网络就好比鱼和水,你还是依赖它。但很快你又能发现所有人都和你一样,大部分情况下你只是黑客数据库里的一条信息,适应被骚扰的感觉并不那么难,况且有密码泄露这件事之前你已经和垃圾邮件和平共处很久了。
你的密码可以被用来做很多事
在各种设想中,被窃的密码可以用来赚钱,此外这件事已经成为了全民运动—每个人都可以查看、分析、取乐或者作恶。
卖了你的密码
一说到密码被盗就会第一时间想到黑客。在看过《社交网络》之后,你对闯入哈佛宿舍网络窃取女生照片的Facebook创始人马克•扎克伯格又爱又恨。爱的是:smartisanothersexy;恨的是:嘿,他是个黑客!现实中的黑客过得可没有这么戏剧性。据腾讯科技报道,倒卖数据库的一笔交易的收益也许只有数千元至几万元。真正危险的,在后头。
建立“字典库”
有些黑客对赚钱并不十分感兴趣,他们感兴趣的是,从大批量的密码中找到规律,从而建立自己的“字典库”,以后想要破译密码时就有个强大的数据库做备案。
进入你的邮箱
如果有一天你早上起床,发现手机里的Gmail客户端没有新邮件提示,会不会还蛮开心?也许……你的邮件已经被别人读过了。如果你邮箱的用户名、密码和某个被泄露的网站相同,侵入者很容易就能看到你的工作邮件,还有你注册微博、人人、开心、智联招聘、支付宝、网游、京东等等的确认邮件。
垃圾邮件
这是最简单也最贱的信息利用方法,它不需要打击你,只需要像蚊子一样“嗡……嗡……嗡……”你就够烦了。如果他们对信息进行了用户群体定位分析,谢天谢地,你收到的可能还有点价值。
开拓新客户
适用于市场调查和销售人员。比起满大街拉人和扫楼,买一张刻满潜在目标用户信息的光盘可以算作是低成本营销方式之一。据说是否有人向你兜售批量用户信息可以被看作你从菜鸟进阶的标志。
袭击你的虚拟人格
爱打《魔兽世界》吧?是不是往里放了不少钱打造你的装备?小心,装备盗贼,或者干脆是盗号贼,他们来了。
售卖私密关系
你以为骗子拿到你的SNS网站和即时通讯工具的账号密码,是用来帮你发饭前微博和联系多年不见的小学同学的吗?这是个不错的纯情电影题材,但是他们的目的,或者是为了让你在线汇款,或者是为了通过发给你朋友的某个链接骗取更多的账户数据卖给更大的骗子集团。
网络水军的军功章将有你的一份
你说有些账号的密码你自己都忘了—对于你,这个号啥也不是;对于网络水军公司,那就是一个免注册的大兵。
伪造身份证
想起街头巷尾的办证广告了么?黑客从数据库里刷出来的身份证信息就有这个用途。那些随时准备向未成年人提供上网服务的网吧也很需要储备一些成年人的身份证信息。
寻找出轨证据
私家侦探更像是小说里才有的一类人,但也有类似于台湾街头不难看到征信社的招牌广告,上面写着情感调查、感情复合之类的广告语。
个人资料又被卖了
虽然你平时已经很注意不在路边为了一个乐扣的杯子瞎填个人资料调查表了,但是这次你的个人资料又被卖了。它会根据性别、年龄、收入、地域被卖给各个推广公司、调研机构、保险公司……你的手机将不再寂寞。
你的网银!
跟丢心情相比,丢钱要严重得多。所以不要再抱怨繁琐的验证和登录过程了,如果它们真的可以增加账号安全的话。如果你的支付宝被侵入……最后一个希望:他们选的送货地址还是你的默认地址。
让你原形毕露
好了,到此你会发现,在这个无坚不摧的产业链的作用下,他们知道了你的聊天内容,知道了你的家庭住址,知道了你上下线的规律……你不再只是一组数据,颤抖吧你!
满足窥视欲
黑客也会无聊,有时候他们也许只是通过搜索引擎学到一些盗号小技巧,下载到一个盗号木马,然后就去大搞破坏。目的并不是优先考 虑的,好玩和刺激才是。
证明实力
黑客把几个G的爆库资料截个图发到QQ群里的感受,可能不亚于奥斯卡获奖者站在领奖台上。这可以证明他有能力获得互联网更高权限的自由,在权限自由面前,通宵刷库的辛苦算得了什么?
赋诗
CSDN网站密码泄露后,Twitter网友自发举办了“CSDN杯我最喜爱的CSDN密码评选”……获奖者是“ppnn13%dkstFeb.1st”,据推测,该密码的意思是:“娉娉袅袅十三余,豆蔻梢头二月初”。
学习编码知识,别嘲笑用简单密码的人
在运用统计工具(就是Ctrl+F吧)对整个CSDN泄露名单进行分析后,发现群众最喜闻乐见的密码是123456789,共有235033人次使用。也许你很想笑,这密码也太简单了吧!但是你用的那种利用键盘规律、用了QQ号和手机号,或者注册什么网站就加个什么前缀的密码,在黑客们强大的字典库前,一样弱爆了。
嘲笑CSDN和……金山毒霸
同样泄露了用户信息的金……金山毒霸,你不是安全软件吗!
表白
同样来自Twitter的段子说:“他暗恋了她好几年没表白,后来,他下载到一份泄露出来的用户名密码文件,查找她的邮箱时看见密码是ilove加自己名字的拼音,正感动得无以复加时电话响起,只听她在电话那头颤抖着说:傻瓜,我看到了你的密码。”
同样来自Twitter的段子说:“他暗恋了她好几年没表白,后来,他下载到一份泄露出来的用户名密码文件,查找她的邮箱时看见密码是ilove加自己名字的拼音,正感动得无以复加时电话响起,只听她在电话那头颤抖着说:傻瓜,我看到了你的密码。”
耍你一把
如果你的朋友,抢先你一步下载了各大网站用户名密码清单,这就和你离开桌面时没关掉微博的后果一样:你回来的时候会发现很多条你未曾发布过的爆炸性信息挂在自己的页面上……从来没有过这么多转发和评论,你被浮夸了一把。
研究社会心理学
知乎网友说的:“一个人的密码可以看出一个人的思路,众多人的密码可以看出社会的思路。”
黑客告诉你N件事
邮件发件人不可信
发件人是10000@qq.com的邮件,并不一定就是腾讯公司。黑客搭建一个SMTP服务器,然后改下MIME信息就可以随便伪造发件人。MIME标识着邮件是谁发的,发给谁,标题是什么等信息。如果这封邮件的内容是提醒你到某个链接更改密码,你可能就会进入到钓鱼网站,结果就是QQ被盗。
网址可以表里不一
QQ好友发给你一个网址http://www.taobao.com,你看到是淘宝于是放心地点进去,结果是另一个钓鱼网站。这招其实你也会,只要用超链接把钓鱼网站伪装成一个可信任的网址就行。
无线网络里的任何数据都可能被看到
如果你在咖啡馆用无线网络登录邮件,那么你输入的密码和邮件内容都可能被黑客监听到。无线网络中传输的数据,就像经过一个大喇叭,该无线网络里的所有人都有可能听到。即使网站采用经过加密https形式,黑客也可以看到你访问的地址。
用来批量黑站的0DAY漏洞
0DAY漏洞指还没有大范围公开、厂商还没来得及打补丁的漏洞。想一想你曾经给自己的电脑打过多少次补丁就知道0DAY的潜力有多大。掌握某种0DAY漏洞的黑客,可以通过工具在网络上批量搜索有漏洞的系统网站,结果自然是批量获取到这些网站的信息。
漏洞是绝对的,安全是相对的
没有漏洞的系统是不存在的,区别只是漏洞什么时候被发现。从某种意义来说,互联网没有绝对的隐私,只有不同权限。对更高控制权的追求也是驱动黑客的动力。网络世界里,你的秘密被储存在不同级别的数据库里,但不管多么高级的权限,总会有人能访问到。