【事件回放】
6月6日晚,知名專業社交**linkedin爆出部分使用者賬戶密碼失竊,linkedin主管文森特·希爾維拉(vicente silveira)在其個人部落格中證實了此事。根據venturebeat的報道,650w被偷竊的linkedin賬戶密碼列表已經被上傳至一家俄羅斯黑客伺服器,但目前尚不能確認是否只是650w的使用者帳號被竊。
備註:
linkedin是一家面向商業客戶的社交網路(sns)服務**,**的目的是讓註冊使用者維護他們在商業交往中認識並信任的聯絡人,俗稱「人脈」(connections)。linkedin目前使用者過億,平均每一秒鐘都有乙個新會員的加入。其會員大約一半的成員是在美國,1100萬來自歐洲。
【黑客是怎麼做到的?】
國內國外在近兩年來,資料被竊事情不斷頻發,csdn,索尼playstation,linkedin,這些攻擊的具體細節至今沒有對外公布過,那麼我們大膽猜測下,黑客是怎麼把**伸向使用者資料庫的?
安全的短板理論,最容易出問題的地方往往都是很細小的地方,可能你只是少打了個補丁,亦或者**少寫了個符號,當然也有種可能,黑客是拿著大錘去撬機房伺服器。:)壞人的眼睛一直在盯著我們,一次錯誤就足以致命。
【應該怎麼做?】
我們應該如何去防止這種事情發生呢?
進不來,進來了帶不走,帶走了用不了,縱深防禦的思維可以得到體現。
進不來
想讓黑客們進不來,那就需要知道黑客進來的入口在**?
1.對web伺服器的攻擊,資訊獲取的**有工具掃瞄(nmap,nessus等),google hacking,資訊獲取的目的是為了獲取更多的資訊去攻擊web端。
2.黑客對我們內網或者vpn進行攻擊,企圖通過辦公網進入伺服器。
如何控制住入口?
1. 制度
一:開發遵循sdl開發流程,上線前進行安全測試,確保無安全問題再上線。
二:不允許員工將辦公郵箱去註冊網際網路**賬戶。
三:vpn或者其他第三方媒介的安全制度
四:漏洞修復流程
2. 流程:
一:通過ids,對黑客嘗試入侵進行報警。
三:內網(vpn)與伺服器區隔離,或者有較強的安全認證。
帶不走
黑客入侵後,為了獲取更多的許可權和以後的操作方便(例如帶走大量資料),通常會進行進一步的提權或者是放置後門的操作。
在伺服器上裝好「後門」,就可以在夜黑風高的晚上對伺服器資料進行偷竊,那麼換位思考下,黑客偷竊會有什麼樣的行為?
一:首先會上傳web木馬,web木馬根據指令碼會分不同的版本,但是每種惡意指令碼中都會有關鍵字。
二:成功通過web木馬控**務器後,黑客會對伺服器進行系統探測,比如linux版本,許可權,網路配置等等
三:熟悉伺服器資訊後,下一步就是基於黑客的目的而觸發的行為,比如通過已控制的伺服器去滲透其他伺服器,或者入侵資料庫,偷竊資料。
四:目的達到,清理日誌,安裝系統後門。
在上述每個行為都會有自己的特徵行為,可以基於行為通過主機監控系統進行防範。
在入侵者的典型入侵環節上都設定相關的探頭和監控點,比如當入侵者上傳網頁後門時,或者是使用木馬時系統都會及時發出告警,又或者入侵者通過漏洞作業系統的shell進行入侵時,監控平台也會記錄下所有操作,便於事後追查。
用不了
一:密碼用不了
linkedin密碼樣本,加密方式為sha1,比起直接粗暴的明文要強很多,但是sha1加密真的安全嗎?很多人都意識中,認為標準的hash演算法(md5 sha1 sha256等)用於密碼加密是安全的,這個是乙個誤區。我在網上擷取了知名gpu破解工具破解指標對比表。
5000m c/s 可大約換算對應20億條每秒,那麼暴力去「撞庫」,密碼真的安全嗎?
諮詢了國內最大的密碼破解**的站長,他給出來的建議是非標準hash+salt。
二:檔案用不了
在網際網路上,經常有人爆出某某絕密檔案,某某公司財務報表等等,這些資料的價值無可非議,如何保證資料即使被偷竊也不會造成損失。推薦企業內部使用檔案加密系統。
應急響應
假如資料庫洩漏了怎麼辦呢?
於周四,linkedin發布宣告:
在此事中,linkedin在不斷的去補救密碼洩漏帶來的負面影響。發布公告—>限制被竊號碼登入(止損)—>引導使用者修改密碼—>承諾整改。下面做了整理了乙個**,對linkedin的應急響應做了梳理。 廠商
響應時間
處理方法 態度
事件發生到發布宣告不超過12小時
引導使用者在**修改密碼,不通過第三方媒介修改
承諾安全保護,在加密的密碼上再加強驗證
應急響應是門大學問,處理好可以達到亡羊補牢的作用,處理不好會帶來更多的危機。
【其他】
帳號的強弱鑑定
csdn資料庫洩漏以後,有好事之人把資料庫進行熱門密碼匹配,出現了普通,文藝,2b密碼排行榜。這次也不例外,有人把linkedin的密碼也做了下分析,如下圖所示:
從圖中可以看到,「link」是最容易被獲取的密碼,其次是「work」和「job」,宗教如「god」、「angel」、「jesus」也是流行的密碼主題。另外,數字串「1234」和「12345」也榜上有名。
在帳號體系中,1.單點設定密碼是有強密碼策略,那麼很多人就習慣性的去輸入1qazxsw2,完全符合策略,可是這個只能算大眾強密碼。2.預防這種符合策略又不安全的密碼,我們在帳號體系中有比較有效的方法防止自動化密碼驗證行為。
可是筆者擔心的是,隨著密碼庫洩漏的數量越來越多,不能在密碼設定中去徹底解決弱密碼問題,需依靠堵截自動化行為密碼驗證的行為難免百密一疏。
隱私保護
我們不僅要保護我們的客戶端沒有危害使用者隱私和密碼明文儲存的行為,而且要保護我們的使用者不受到惡意程式的侵害,特別是在安卓平台下,未經使用者允許,讀取簡訊,,甚至是吸費的程式一直層出不窮。
【尾聲】
安全無小事,僅靠網路安全工作者的努力是遠遠不夠的,一方面我們在前行,另外一方面安全需要大家的參與和配合,這樣黑客才無處遁形。
寫完這篇稿子的時候,在微博上得知last.fm的資料庫也洩漏了,在日益嚴峻的網路安全環境下,安全工作任重道遠。
由LinkedIn資料庫洩漏引發的思考
事件回放 6月6日,知名專業社交 linkedin爆出部分使用者賬戶密碼失竊,linkedin主管文森特 希爾維拉 vicente silveira 在其個人部落格中證實了此事。根據venturebeat的報道,650w被偷竊的linkedin賬戶密碼列表已經被上傳至一家俄羅斯黑客伺服器,但目前尚不...
資料庫引索的簡單了解
舉例 索引是對資料庫表中乙個或多個列 例如,employee 表的姓名 name 列 的值進行排序的結構。如果想按特定職員的姓來查詢他或她,則與在表中搜尋所有的行相比,索引有助於更快地獲取資訊。例如這樣乙個查詢 select from table1 where id 10000。如果沒有索引,必須遍...
20200325 資料庫 關於mysql的引擎
innodb mylsam innodb與mylsam引擎原理 mysql中的資料用各種不同的技術儲存在檔案 或者記憶體 中。這些技術中的每一種技術都使用不同的儲存機制 索引技巧 鎖定水平並且最終提供廣泛的不同的功能和能力。通過選擇不同的技術,你能夠獲得額外的速度或者功能,從而改善你的應用的整體功能...