2012年6月11日星期一

駭客偷你的密碼幹什麼

週三的新聞聽起來像是標準的矽谷冷笑話。俄羅斯駭客竊取了600LinkedIn帳戶密碼。難道他們把世界上最大的職業網路誤翻成了大家都在用的職業網路?他們下一步要黑哪一家,Google+麼?竊取這些帳戶之後,他們還打算幹嘛,到黑市上賣簡歷嗎?嫌LinkedIn邀請註冊郵件還不夠多,所以要利用連絡人列表來發垃圾郵件麼?

漠不關心者有之,冷嘲熱諷者有之,但是還有一小掇人高度重視這次LinkedIn被攻擊事件:安全專家。

上文幾個惡搞問題最有可能的答案是:不、不、是的、是的。第一個問題,俄羅斯駭客又不傻,他們才不關心你到底有沒有在用LinkedIn。第二個問題,他 們並沒有緊接著攻擊谷歌——穀歌太難攻了——而是攻擊了人氣很旺的約會網站一派和諧(eHarmony)。第三個問題,竊取簡歷等個人資訊幾乎可以肯定是 駭客計畫的一部分,那可是潛在的金礦。第四個問題,偽裝熟人發郵件是駭客請君入甕的主要手段。這比自稱是奈及利亞王子的郵件可信多了。

目前還不清楚此次攻擊所造成的影響。LinkedIn和一派和諧現在還沒有給個說法,也許是因為他們根本還沒查出來究竟哪裡出了問題。不過電腦安全方面的專家越來越肯定,這起事件本身遠比這兩家公司所說的要複雜險惡。

警告:註冊了LinkedIn或者一派和諧的用戶要小心了。如果你在其他網站上用了同樣的用戶名,特別是像貝寶(Paypal)和臉譜這樣的高危網站——就更要特別小心了。如果註冊了這兩個網站,就要馬上去改密碼。(別輕舉妄動,先看完這篇文章再改!)

最初的攻擊報導顯示,約有650LinkedIn使用者密碼被放到了網上,不過還沒有電子郵箱位址可以追溯到具體帳號。這看上去讓人松了一口氣,不過又引 出了一大串疑問:駭客把大家的密碼放出來給所有人看,這葫蘆裡究竟賣的是什麼藥?這些密碼一旦公之於眾,誰還會繼續用呢?如果沒有遭到破解洩漏的使用者 密碼就安全嗎?

安全專家作了這樣一個驚人的假設:駭客把這些密碼公佈出來,是為了讓公眾幫助他們破解其中一部分密碼。如果使用者密碼不在公佈之列,很有可能意味著用戶的賬 戶已經不安全了。駭客有可能已經暗中掌握了密碼。如果假設成立,駭客沒有公佈電子郵箱位址等個人資訊也就合情合理了。駭客並非沒有得到這些個人資訊,而是 他們將其雪藏了,為的是有朝一日能到黑市上賣給犯罪駭客組織。

賽門鐵克專家馬里安·梅裡特(Marian Merritt)稱,有組織的駭客攻擊大多是由犯罪團夥策劃的,意在謀財。其次是駭客活躍分子組織所為,比如匿名(Anonymous “LulzSec”。這些團夥的主要目標是噁心、揭露、阻遏以及恐嚇他們的攻擊目標,主要與駭客意識形態格格不入的大公司。攻擊LinkedIn的手法跟 LulzSec有相似之處,比如去年夏天索尼公司100萬使用者個人資訊失竊。不過,沒有任何駭客活躍分子聲稱對此事負責,而且這些資料最先公佈在俄羅斯專 注于密碼破解論壇的事實表明,公開密碼只是此番攻擊的副產品,而決不是主要目標。

這些網路騙子拿到密碼想幹什麼呢?資料安全企業Sophos的高級安全顧問賈斯特·維斯涅夫斯基(Chester Wisniewski)說,用途很多。對於全世界的駭客來說,大批量洩漏的密碼正好可以拿來更新他們所謂的彩虹表(rainbow table”——巨大的資料庫,可作為破解加密密碼的數位鑰匙,稱之為雜湊(Hash。最安全的網站使用另一層密碼加密,稱之為放鹽 salting,如此一來,同樣是用了“123456”這串密碼,兩個使用者的雜湊是不一樣的。可是LinkedIn沒有這樣做,結果就是同樣的鑰匙 可以解鎖一大批使用同一個密碼串的使用者,此法不僅可以用在LinkedIn上,還可以用在採取同一種雜湊演算法的網站上。(一派和諧的演算法甚至更弱,同樣沒 放鹽。)

如果駭客同時擁有使用者的電子郵箱位址和密碼——多數分析師懷疑他們會這麼做——這些資訊同樣可以直接針對LinkedIn和一派和諧用戶。網路騙子得手之 後,首先要做的是運行軟體,用同樣的電子郵箱位址和密碼組合來登錄其他網站,看看是不是可以得到大家的財務或者社交帳號。

LinkedIn帳號上的個人資訊也是某種網路攻擊的理想目標,稱之為魚叉式網路釣魚(spear phishing。前國家安全局安全分析師馬庫斯·卡雷(Marcus Carey)說,釣魚者的如意算盤是引誘他人下載流氓軟體或者通過發送貌似正常的郵件讓收件人洩露敏感資訊。馬庫斯如今是網路安全企業快 7Rapid7)的研究員。這些消息看上去是老闆或者同事發來的,或者偽裝成一封與使用者業務相關的電子郵件,比如要求報價或者特定服務。由於這類郵件不 像是垃圾郵件,攻擊目標往往會放鬆警惕。

因為魚叉式網路釣魚需要網路罪犯的照看和單獨關注,所以僅會針對高價值目標——比如專家或者企業高管。這些人恰好又是LinkedIn的核心會員。

還有一種釣魚幾乎始終伴隨著類似針對LinkedIn還有一派和諧的攻擊,從某種角度來說,它是最詭計多端的。網路上圖謀不軌者知道,很多人會讀到包括本 文在內的文章,並且會隨之修改密碼。正確的辦法是直接登錄LinkedIn或者一派和諧網站去修改。錯誤的做法是點擊一封看似來自官方的郵件中的連結,然 後被這個連結帶到一個冒充的官方網站,並且照上面的提示重置密碼。如果駭客在此之前沒有得到密碼,那麼只要使用者老老實實的照著他們設下的圈套輸入密碼,他 們就得逞了。別被騙了。密碼被人偷走就夠鬱悶的了。把密碼親自送上門就更悲摧了。


没有评论:

发表评论