罪妻原名纠结全文阅:对最近各大网站数据库泄露的事情做个科普

来源:百度文库 编辑:偶看新闻 时间:2024/04/29 02:53:51

对最近各大网站数据库泄露的事情做个科普

2011-12-26 20:06:24 来自: 皮囊

或许有人对最近各大网站密码库泄露的事情有所耳闻。作为这个圈子里的人,看到网上不少误解和流传,包括微博上很多粉丝十几万的账户也推波助澜随意传播传闻,虽然未必有心,但是仍然容易误导大众。特地就这件事件,基于我所知,给大家随便说说。

首先介绍下我自己。此号是个第一次使用的马甲号,所以明摆着,我也不会完全说明自己身份。由于圈子本身较为隐秘,隐秘也有隐秘的道理,暴露点信息还是很有风险的。在互联网上之前一直有句话叫做“没人知道你是条狗”,但这句话实际上是个谬论。如果你真正了解黑客,或者国家机器,你会发现没有什么不能调查出来的。即使你很擅长隐秘你在网网上的行踪,只要你在国内上了线,只要追踪者有一定资源,必然是能够发现你的。所以,就我自己,我只能说我是个身处互联网圈、黑客圈、安全圈子的人。互联网是大环境,黑客和安全圈子相互对立,不过并不单独割裂。而最近的密码库泄露事件正好也就是这三个圈子里的大事,因此无论大家是否相信,我自觉对这件事情还是很有评论权的。

下面开始直播模式:

首先说说这些网站密码有什么作用。

    >只看   >高亮   >忽略   >复原   >直播模式   >电梯助手   举报 推荐31人 8人喜欢 喜欢

  • 7楼 2011-12-26 20:18:41 皮囊

    首先说说这些网站密码有什么作用。

    只有了解了最原始的驱动力,你才能理解为什么看上去如此专业的数据库被泄露会有这么大的影响。

    我们先从一般人的角度来看,大家也最容易想到的影响:个人隐私
    大家知道,各自用电脑,上网冲浪,逛bbs都离开不了帐号。账号里存着很多私人信息,你看你看陈老师的相机,陈老师的mac电脑,那些明星的手机,如果不是这些东西泄露出来,网上也就没这么多八卦可以看了。

    我们是有八卦可以看,但是对明星而言这就彻底是个灾难。把私人生活公开展示给大众观摩,我想谁也没有这个勇气。所以,这次各大网站的数据库泄露,其实就是把我们大众网民们摆到了明星的这个位置。

    我相信大家为了方便,总是各个网站统一使用一个用户名密码的吧。或许用户名被抢注了,那么邮箱基本也保持一个。所以,只要我在你注册过的某一个网站上获取了你的明文密码、邮箱、用户名。我就能在淘宝、支付宝上登录,看看你最近买了什么东西,送给了什么人,信用卡用的哪张,开店一个月能赚多少钱;在微博、人人上登录,看看你有没有什么私密日记,激情回忆,小学同学、大学同学、男女朋友是谁;在你的邮箱、qq里登录,找找有没有你用私人邮箱转运的个人照片简历,家人朋友的私语,银行账单上的卡号,生日,或许你的银行卡密码就是你或者你家人的生日,对不对?

    听上去这就是你的全部生活内容了,是不是?

    不是?手机短信?别以为不能获取,其实也都在移动联通的数据库里放着呢。

    > 删除 举报广告 >回 引只 亮 略 原  

  • 18楼 2011-12-26 20:32:18 皮囊

    再站在黑客的角度来看。

    黑客为什么要偷这些网站的数据库?他对个人隐私有这么强的偷窥欲望?既然没人知道你是条狗,既然知道会是条狗了(比喻比喻,大家莫介意),我又何必关心狗的家庭成员生活状况。其实除了那些明星还有点影响力的价值,其他人完全与我无关,我又何必辛辛苦苦偷这些个人资料数据库出来呢?天天看八卦也会烦的啊。

    实际上对黑客而言更重要的是经济利益,或者能够给他获取经济利益带来帮助。这些网站的数据库只是随手之劳而已。有了这些库,如果我的攻击目标,下一个网站的管理员同学也上网,而恰好他的密码也在库中,那我说不定就直接可以毫不费事的获取网站权限了。因此这是个滚雪球的过程,一个网站接一个网站的数据库这么出来了。

    另外顺带澄清一点:现在大家看到的泄露出来的数据库,实际上并不是这一两天内被黑客攻击这么多网站然后放出来的。而是很多个黑客很长时间段,分别各自从不同网站上导出的数据,然后通过地下黑客圈交流交易,慢慢汇集成一个大集合的。

    现在看到的什么csdn,实际上早在3年我就知道已经有人有其数据库了。163邮箱,3年前也有了。renren,2年前听说有人有其数据(虽然网上流传的是假的)。tianya?4年前。猫扑?差不多也3-4年。7k7k?duowan?不好意思,小网站我就没关注了。

    > 删除 举报广告 >回 引只 亮 略 原  

  • 22楼 2011-12-26 20:40:29 皮囊

    补充一点,因为只有大网站才会有足够量的用户,所以通常大的网站才是黑客们的目标。尤其是那些安全措施做的不好的公司。国内拥有安全团队的公司其实没有多少,盛大、百度、腾讯、阿里、搜狐、新浪。除此之外就没有了,或者基本等于没有。所以这也是为什么这些网站的库很少听说被人窃取,或者即使窃取了,也影响较小的原因。

    另外关于明文密码。就我所知,csdn,天涯,开心网都是明文密码(原因也不是因为国家要求,只是他们一开始招了很多二B青年程序员)。至于其他,基本都是md5加密的。别的不敢说,但是现在网上流传的renren之类的库,我曾亲眼见过真正的数据是加密的内容。因此现在网上流传的是明文,这要么是假的,要么就是攻击者利用www.cmd5.com等网站,从加密后的密文暴力反查出来的。所以强密码还是有用处的,起码不会被人很轻易的从密文反查出来。

    > 删除 举报广告 >回 引只 亮 略 原  

  • 35楼 2011-12-26 20:53:40 皮囊

    其实网上现在泄露数据出来的这些人,多数是些年轻小黑客,或者已经是被传播了n手的地下交流数据的最下游的接受人。陡然间拿到了这么庞大的资源,未免自以为奇货可居,偷偷查了几个暗恋姑娘的帐号发现果然可以,极大的满足了yy心理,还顺带给姑娘邮箱里还没来得及看的表白邮件发去横眉冷对的决绝信息,点击鼠标的一瞬间,一个激灵全身爽到了脚。
    可是他不满足,你知道爽之后是想持续的爽,更大的爽。于是乎,包裹在心里深处的那个小字未免又膨胀出来想要照出一个大的影子来。一个没考虑,就传到了网上。其实黑客圈有个不成文的道理,私下都知道的秘密,大家自己用用挺好,为什么非要广而告之了么?须知,所有大众公开的内容,都像是对圣斗士使用的招数一样,用一次就不能再用了。

    他传到了哪?qq邮箱。

    是的,最早的那些csdn,7k7k,duowan,最原始连接都是qq邮箱的某个大文件分享链接。目前除了天涯,所有泄露的库原始连接都是来自于qq邮箱。有理由认为,这些连接都是来自于一个邮箱。可能是他想在线保存一份以便异地下载,也可能是为了分享给某些圈内人士。可是他自己没想到,只要上传到了网络,尤其是这种以分享为目标的网站,就不光是你一个人能够看到这个下载链接了。

    > 删除 举报广告 >回 引只 亮 略 原  

  • 36楼 2011-12-26 20:58:35 皮囊

    一是可以通过你常用密码得到你支付宝等一类密码
    二是也可以拿着这个要挟网站。
    ------------------------------------
    回这位的话。
    他要这些普通用户的信息其实没用。他拿这些可以去尝试登录例如苹果等网站,可以拿到苹果appstore上的信用卡信息之类,这才是直接利益。
    或者拿去卖给某些部门,对于某些特定人士的信件内容,国家机器还是相当感兴趣的。
    网站?网站能够给出多少钱。不过攻击完毕后保留权限倒是可以利用网站的自身规则给自己提供便利。例如,现在网上这么多危机公关公司,黑客可以接单,然后帮你删帖、去掉搜索引擎结果、淘宝上帮你排名提升等等。有些事情不一定是大公司自己做的,有时候是些特殊手段造成的。

    > 删除 举报广告 >回 引只 亮 略 原  

  • 40楼 2011-12-26 21:10:05 皮囊

    继续刚才那个qq邮箱的往下说:

    或许这个人也不是故意往上传qq邮箱。或许qq邮箱的大文件分享只是他们私下交易各大网站数据库的一种途径而已。你看,csdn才600w,实际用户量2kw。人人的全库怎么着也得1亿朝上,他才给出了500w。有种可能是他们为了私下交易,上传了这些数据库的样库。是的,也就是类似买卖白面的时候有个喽啰用小指甲挑出一点尝尝味一样,是个样例。买家用的好,才决定是否要买。

    可也不是所有买家都懂行。有个买家就用了迅雷下了这些样库,还tm用的离线下载。离线下载为什么能够秒下?因为之前有人下过,于是他就会自动保存在迅雷自己的服务器上。这样只要有人再用同样的连接或者资源下载,他就能直接提供给你。

    于是乎,某位安全公司的员工,如上文所说,傻乎乎的分享了csdn的数据库迅雷下载连接。然后就被报告到微博上了。这还没完,因为迅雷有个推荐下载功能。因为下载地址都是属于这个qq邮箱的,因此他直接把邮箱中其他的数据库也都一一好心的推荐给所有下载的热心用户:亲,我这里还有哦亲,你们还想要么?

    > 删除 举报广告 >回 引只 亮 略 原  

  • 41楼 2011-12-26 21:14:46 皮囊

    2011-12-26 20:24:11 庄5

    想知道金山那个检测是否泄露的准不准确

    ------------------------------------------------------

    最早的连接实际上就是金山公司的员工不小心分享出来的。这里有个小八卦,他分享后没有注意,截图的时候留了自己的迅雷帐号,结果自己的迅雷帐号密码也在csdn的库里。被人给登录他迅雷帐号了,最后才反查出来此分享者是谁。
    悲催啊,安全工作者自己对于反跟踪的意识没有做到位。

    > 删除 举报广告 >回 引只 亮 略 原  

  • 43楼 2011-12-26 21:21:08 皮囊

    2011-12-26 20:44:21 IT新贵郑喜定 (谢谢曹丞相赐箭!)

    cmd5库里会有那个密码数据么...


    ------------------------------------------------------------

    这里科普一下,cmd5的网站里不是密码数据库。实际上他是把所有键盘上的字符组合穷举一边,然后通过常见的md5算法进行加密(说加密通俗点,实际上是个求hash的过程)。然后全部保存(原文+密文+对应关系)。

    这样如果你拿到一个密码加密过的hash不知道怎么还原,你去这里面匹配一下,如果密码复杂度不高,正好被穷举过,那么就可以发现其对应到的原文了。

    我已经尽量解释的清楚点,如果还是听不懂也就算了吧。

    > 删除 举报广告 >回 引只 亮 略 原  

  • 46楼 2011-12-26 21:27:33 皮囊

    2011-12-26 20:52:18 IT新贵郑喜定 (谢谢曹丞相赐箭!)

    小僧费解很久了

    关于所谓的窃取用户隐私

    不管是黑客还是运营商

    直到现在也没有听说过有网友被要挟或者是大量丢失账号的

    扣扣除外...

    ----------------------------------------------------------

    黑客不是勒索犯,为了自身安全,可以间接在受攻击者不知情的情况下获得经济利益,为什么非要直接从被攻击者处获取利益?缩短了利益链不说,还容易暴露自身

    甚至有的间接获取利益的方式还变相的宣传了或者帮助了被攻击者,直接导致被攻击者睁一只眼闭一只眼。

    举个例子,很多网络广告联盟,出钱者是广告商,赚钱者是挂广告的网站和广告中介。网站到广告中介那里获取帐号,然后中介按照点击率或者流量等计费。黑客直接修改中介的数据库,将自己帐号上的流量翻倍,他自己赚钱了,中介按照抽成原则,也赚的多了,说不定自己还暗爽呢,为什么非要清理这些黑客?

    > 删除 举报广告 >回 引只 亮 略 原  

  • 48楼 2011-12-26 21:31:37 皮囊

    实际上也有直接获得利益的方法,不过危险性很大,也容易发现。

    什么?入侵网络游戏公司,修改网络游戏数据库。刷装备,刷经验,卖钱。

    你以为这个赚的少?呵呵,这么多网游公司都上市了,利益蛋糕之大不可想象。你们怎么还是执迷不悟呢。

    尤其黑客是个人,通过这个方法,千万身价的不计其数

    > 删除 举报广告 >回 引只 亮 略 原  

  • 51楼 2011-12-26 21:38:01 皮囊

    帖子被douban审核了。。那暂停直播先

谁知道一些有趣的科普事情? 最近买了电脑,想自己做个网站,不知道有没有大空间的免费的 求 好的科普网站! 现在做一个网站带数据库、后台编程的,在上海大概要多少钱啊? 上海十大科普场馆的名称? 关于数据库对网站快慢的影响 请问个网站建设的事情 做网站的问题,关于数据库的 我在做科普题目,有个关于大海的问题 新做好的网站如何做数据库? 最近对事情的兴趣变得很淡怎么办? 好的科普网站的网址! 科普墙报的内容有什么网站?????? 征求网站的名字(科普类 有人知道比较好的科普网站?? 做个数据库 菜菜请教高手:网站用大数据库和用小数据库对宽带的资源占用有什么不同的影响? 谁给出个科普作品的主意 最近总是没有做事情的干劲怎么办? 最近总是没有做事情的干劲怎么办? 我想用ACCESS做个动态的注册网站行吗?就是本机开网站和数据库 网站的数据库对网站有哪些作用?数据库一般存放在网站哪里? 张含韵最近的事情 拿破仑踏上新大第一步后做的事情是什么?