【搜狐IT消息】北京時(shí)間6月11日消息,據(jù)《紐約時(shí)報(bào)》報(bào)道,LinkedIn是一家數(shù)據(jù)公司,但它沒有保護(hù)好自己的數(shù)據(jù)。
上周,黑客攻破網(wǎng)站,竊取600萬用戶密碼,這些密碼保護(hù)不周。密碼被公布在俄羅斯黑客論壇上,人人可以看見。LinkedIn被攻擊并非所有人都吃了一驚。每天,企業(yè)電腦系統(tǒng)都要受到攻擊。實(shí)際上,CBS音樂網(wǎng)Lastfm.com和約會(huì)網(wǎng)站eHarmony上周也受到攻擊,數(shù)百萬密碼被偷。
LinkedIn漫不經(jīng)心
讓客戶和安全專家吃驚的是,以收集大量數(shù)據(jù)并靠它盈利的企業(yè),數(shù)據(jù)保護(hù)方式如何之簡單。泄露事件使得人們開始懷疑LinkedIn的電腦安全。盡管入侵不斷增加,但一些擁有客戶數(shù)據(jù)的企業(yè)仍然繼續(xù)在自有電腦安全上下賭注。
舊金山電腦安全公司CryptographyResearch克歇爾(PaulKocher)說:“如果它們請(qǐng)教那些知道密碼安全一切詳情的人,這事就不會(huì)發(fā)生。”
之所以造成這樣的問題,部分原因在于漫不經(jīng)心的數(shù)據(jù)保護(hù)態(tài)度,因?yàn)樵斐蓢?yán)重后果十分罕見。沒有法律上的罰款。客戶很少流失。以LinkedIn為例,在泄露之后它的股價(jià)實(shí)際上上漲了。
真正讓大家擔(dān)心的問題在于LinkedIn不是一家創(chuàng)業(yè)公司,也不是一家對(duì)數(shù)據(jù)不熟悉的企業(yè)。去年5月,它成功IPO,它擁有大量現(xiàn)金,它招聘高級(jí)人才,而且盈利。它有1.6億會(huì)員,這些人分享自己的企業(yè)關(guān)系,希望建立一個(gè)更寬廣更有效的網(wǎng)絡(luò)。他們希望自己的網(wǎng)絡(luò)受到保護(hù)。
Buzzmedia專業(yè)音樂家、產(chǎn)品經(jīng)理史密斯(CraigRobertSmith)說:“我希望LinkedIn做得更好些。但我沒有刪除帳號(hào),因?yàn)樗且粋(gè)與被招募、網(wǎng)絡(luò)有關(guān)的網(wǎng)站。”目前尚不清楚黑客如何攻入系統(tǒng)的,也不知道它們?cè)谙到y(tǒng)中呆了多長時(shí)間。LinkedIn沒有設(shè)置首席安全官,讓他監(jiān)督泄露事件。公司的運(yùn)營資深副總裁大衛(wèi)·亨特(DavidHenke)兼管安全問題,還有其它職責(zé)。
黑客一秒測試一百萬密碼
如果按A級(jí)至F級(jí)來評(píng)價(jià),最高級(jí)為A級(jí),專家說LinkedIn、eHarmony和Lastfm.com最多可以拿D級(jí)。對(duì)待用戶密碼,公司最大意的地方在于將它以純文本形式存儲(chǔ)。RockYou在2009年時(shí)被竊取300萬用戶密碼,就是屬于這種失誤。為了保護(hù)密碼,最基本的一部保護(hù)措施就是進(jìn)行基本加密,也就是所謂的“散列法”,用一種數(shù)學(xué)算法對(duì)密碼進(jìn)行掩飾,然后用編碼進(jìn)行存儲(chǔ)。
不過,黑客通過自動(dòng)工具,能在一秒測試一百萬密碼。它們可以破解散列密碼,一般是利用所謂的字典、敏感在線通用密碼數(shù)據(jù)庫破解。一些網(wǎng)站包涵外文子表,甚至是宗教式的密碼(比如天使angel,神God,這些在破解的LinkedIn密碼中排在前15位)。還有一些黑客使用“彩虹表(rainbowtables)”來破解,上面例有幾乎所有數(shù)字字母字符組合哈希值表。一些網(wǎng)站會(huì)公布500億哈希值。
為了防止黑客破解,一些公司會(huì)采用一系列的隨機(jī)數(shù),將它們添加在每個(gè)哈希值后,也就是所謂的“salting”,這種技術(shù)可以隨機(jī)顛倒私有密鑰的數(shù)字,它只需要幾行代碼,幾乎沒有任何成本。
安全專家稱,對(duì)密碼進(jìn)行salting是安全手冊(cè)第一條,但LinkedIn、eHarmony和Lastfm.com都沒有這樣做。在A+級(jí)安全級(jí)別中,會(huì)設(shè)置散列密碼、擁有復(fù)雜的暗號(hào)功能,進(jìn)行salting,再將結(jié)果轉(zhuǎn)成散列密碼,將授權(quán)證書另外存放,確保服務(wù)器不能被黑客攻入。
克歇爾說:“這不是什么復(fù)雜的事。”
后果
在泄露之后,Linked一位高管維森特·圣卡塔林納(VicenteSilveira)在博客中說,公司已經(jīng)將一般性密碼無效化,并說會(huì)員會(huì)受益于增強(qiáng)的安全措施,這些措施包括將密碼散列化,并對(duì)目前的密碼數(shù)據(jù)庫進(jìn)行salting。LinkedIn新聞發(fā)言人沒有透露何時(shí)對(duì)密碼進(jìn)行散列化、salting化,也沒有解釋為何不在一開始就使用。
表面來看,安全性一般的LinkedIn帳號(hào)泄露不會(huì)有會(huì)大的惡果。但是黑客深知用戶的心態(tài),他們會(huì)在許多網(wǎng)站用相同的密碼,他們會(huì)在郵箱、銀行、企業(yè)、傭金帳戶上使用同一密碼,這樣一來,黑客可以盜取個(gè)人和金融數(shù)據(jù)。
以LinkedIn為例,黑客貼出640萬散列密碼,讓其它人協(xié)助破解。到周四,大約60%的密碼已經(jīng)被破解。克歇爾估計(jì)最終95%會(huì)破解。
在博文中,LinkedIn指出與密碼相關(guān)的用戶名沒有被展示出來,但安全專家稱,這可能只是因?yàn)榘l(fā)布的網(wǎng)站將用戶名自己留下來。
格羅斯曼(JeremiahGrossman)說:“你沒有將王冠上的珍珠給別人,是為了讓別人爭奪。”
升級(jí)安全一次性成本幾百萬美元
黑客的動(dòng)機(jī)十分明顯。但讓安全專家真正感覺神秘的是為什么泄露會(huì)不斷發(fā)生。格羅斯曼估計(jì),對(duì)于像LinkedIn這樣的公司來說,設(shè)立合適的密碼、網(wǎng)絡(luò)服務(wù)器、應(yīng)用安全,一次性成本大約幾百萬美元。而據(jù)賽門鐵克的研究指出,一宗泄露平均成本550萬美元,也就是第條記錄泄露成本194美元。
格羅斯曼展示了兩張表。一張是飛機(jī)每英里失事機(jī)率,現(xiàn)在已經(jīng)掉到只有1945年時(shí)的千分之一,主要得益于1958年美國聯(lián)邦航空管理局(FederalAviationAdministration)建立、并制定了更安全更嚴(yán)格的安全協(xié)定。還有一張表是電腦新安全威脅表,它的結(jié)果完全相反。自從2002年以來,新威脅增長了1萬倍。
克歇克及其它安全專家認(rèn)為,問題在于缺少責(zé)任。電腦安全是不規(guī)則的,敏感的個(gè)人、企業(yè)、財(cái)務(wù)信息每天不斷上傳,企業(yè)不斷跳過基本保護(hù)。如果美國明天有5%的飛機(jī)要出事,就會(huì)有調(diào)查、有訴訟、會(huì)削減航線、航空股也會(huì)重挫。但在社交網(wǎng)絡(luò),克歇爾說:“人們的投票沒有跟上腳步。”
自從周三泄露被公布以來,LinkedIn沒有透露有多少用戶退出服務(wù),盡管黑客不斷在努力破解密碼,公司的股價(jià)到周末時(shí)仍上漲了4%。
格羅斯曼說:“每次墜機(jī)FAA就會(huì)調(diào)查,數(shù)據(jù)也會(huì)不斷披露。至于泄露就沒有這回事。沒有政府機(jī)構(gòu)管。我們不知道哪里起火了,也不知道火是怎么來的。”(水聲)
推薦閱讀
今年4月,太平洋直購網(wǎng)在河南等地被查處;5月底,福建百分百返利網(wǎng)崩盤,辦公總部遭會(huì)員聚眾哄搶;6月份,溫州百業(yè)聯(lián)盟崩盤;上周五,福建萬商購物宣告倒閉,老板自首返利網(wǎng)站吸金風(fēng)波不斷,受到外界越來越多的質(zhì)疑。 這>>>詳細(xì)閱讀
本文標(biāo)題:揭秘網(wǎng)站密碼保護(hù):黑客一秒測試百萬條密碼
地址:http://www.brh9h.cn/a/11/20120611/66845.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示