论坛风格切换切换到宽版
  • 757阅读
  • 0回复

[问题求助]思索:Linkedin数据库为什么有漏洞 [复制链接]

上一主题 下一主题
离线cswohuo
 

发帖
23
C币
112
威望
22
贡献值
0
银元
0
铜钱
114
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2012-06-29

  著名专业社交网站LinkedIn爆出局部用户账户明码失窃,LinkedIn主管文森特·希尔维拉(Vicente Silveira)在其个人博客中证明了此事。依据Venturebeat的报道,650万被偷盗的LinkedIn账户明码列表已经被上传至一家俄罗斯高技术含量效劳器,但目前尚不能确认能否只是650万的用户帐号被窃。
  海内国外在近两年来,数据被窃事件始终频发,CSDN、索尼PlayStation、Linkedin,这些攻击的详细细节至今没有对外宣布过,那么咱们勇敢预测下,高技术含量是怎样把黑手伸向用户数据库的?
  安全的短板实践,最轻易出问题的中央往往都是很细小的中央,能够你只是少打了个补丁,亦或许代码少写了个符号,当然也有种能够,高技术含量是拿着大锤去撬机房效劳器。:)好人的眼睛始终在盯着咱们,一次同伴就足以至命。
  应当怎样做?
  咱们应当如何去避免这种事件发作呢? 进不来,出去了带不走,带走了用不了,纵深进攻的思想能够得到表现。
  进不来
  想让高技术含量们进不来,那就须要晓得高技术含量出去的入口在哪里?
  对web效劳器的攻击,信息获取的起源有工具扫描(nmap,nessus等),Google hacking,信息获取的目标是为了获取更多的信息去攻击web端。
  高技术含量对咱们内网或许vpn进行攻击,希图通过办公网进入效劳器。
  如何掌握住入口?
  1. 制度
  开发遵照SDL开发流程,上线前进行安全测试,确保无安全问题再上线。
  不许可员工将办公邮箱去注册互联网网站账户。
  VPN或许其余第三方媒介的安全制度
  破绽修复流程
  2. 流程:
  通过IDS,对高技术含量尝试入侵进行报警。
  活期对在线业务进行安全测试,并输出总结性报告
  内网(VPN)与效劳器区隔离,或许有较强的安全认证。
  业界有很多优良的开源产品,比方Acunetix Web Vulnerability Scanner,IBM APPscan和win7旗舰版系统等。 开源类的有Nmap,Nessus,Snort等
  带不走
  高技术含量入侵后,为了获取更多的权限和以后的操作不便(例如带走少量数据),通常会进前进一步的提权或许是搁置后门的操作。
  在效劳器上装好“后门”,就能够在夜黑风高的晚上对效劳器数据进行偷盗,那么换位思索下,高技术含量偷盗会有什么样的行动?
  首先会上传web木马,web木马依据脚本会分不同的版本,但是每种歹意脚本中都会有症结字。
  胜利通过web木马掌握效劳器后,高技术含量会对效劳器进行系统探测,比方Linux版本,权限,网络配置等等
  相熟效劳器信息后,下一步就是基于高技术含量的目标而触发的行动,比方通过已掌握的效劳器去渗透其余效劳器,或许入侵数据库,偷盗数据。
  目标到达,清算日志,安装系统后门。
  在上述每个行动都会有本人的特性行动,能够基于行动通过主机监控系统进行防备。
  在入侵者的典范入侵环节上都设置相干的探头和监控点,比方当入侵者上传网页后门时,或许是运用木马时系统都会及时收回告警,又或许入侵者通过破绽操作系统的shell进行入侵时,监控平台也会记录下一切操作,便于预先追究。
  应急响应
  如果数据库走漏了怎样办呢? 于周四,Linkedin宣布申明:
  在此事中,Linkedin在始终的去弥补明码走漏带来的负面影响。宣布布告—》限制被窃号码登录(止损)—》引诱用户修改明码—》允诺整改。上面做了整顿了一个表格,对Linkedin的应急响应做了梳理。
  应急响应是门大学识,处理好能够到达亡羊补牢的作用,处理不好会带来更多的危机。
  其余
  用不了
  一:明码用不了
  Linkedin明码样本,加密方式为SHA1,比起直接粗鲁的明文要强很多,但是SHA1加密真的安全吗?很多人都意识中,以为标准的hash算法(md5 sha1 sha256等)用于明码加密是安全的,这个是一个误区。我在网上截取了著名GPU破解工具破解指标对照表。
  5000M c/s 可大概换算对应20亿条每秒,那么暴力去“撞库”,明码真的安全吗? 咨询了海内最大的明码破解网站的站长,他给进去的倡议是非标准hash+salt。
  二:文件用不了
  在互联网上,常常有人爆出某某绝密文件,某某公司财务报表等等,这些数据的价值无可厚非,如何保障数据即便被偷盗也不会形成丧失?引荐企业外部运用文件加密系统。
  帐号的强弱鉴定
  CSDN数据库走漏以后,有坏事之人把数据库进行热点明码匹配,出现了普通,文艺,2B明码排行榜。这次也不例外,有人把linkedin的明码也做了下剖析,如下图所示:
  从图中能够看到,“link”是最轻易被获取的明码,其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是盛行的明码主题。另外,数字串“1234”和“12345”也榜上著名。
  在win7系统下载帐号系统中,1.单点设置明码是有强明码战略,那么很多人就习惯性的去输出1qazxsw2,完整契合战略,可是这个只能算群众强明码。2.防备这种契合战略又不安全的明码,咱们在帐号系统中有对照有效的方式避免主动化明码验证行动。
  可是笔者担忧的是,随着明码库走漏的数量越来越多,不能在明码设置中去彻底处理弱明码问题,需依赖堵截主动化行动明码验证的行动不免百密一疏。
  隐私保护
  这次linkedin明码泄漏的问题,衍生出了一个隐私问题,有关科技网站爆料,linkedin的IOS客户端存在偷偷上传用户的日历,待办事件,通信录或许还有明码信息,linkedin的说明是上传一些非必要的数据,是为了做数据剖析,更好地为用户效劳,但是这个在隐私保护意识强的国外,无疑是会遭到责备的,在IOS客户端中,Path等也出现过这样的问题。不过都在被爆进去后敏捷修复了。
  咱们不只要保护咱们的客户端没有伤害用户隐私和明码明文存储的行动,而且要保护咱们的用户不遭到歹意顺序的损害,特殊是在安卓平台下,未经用户许可,读取短信,图片,甚至是吸费的顺序始终层出不穷。
  尾声
  安全无小事,仅靠网络安全任务者的尽力是远远不够的,一方面咱们在前行,另外一方面安全须要大家的参加和配合,这样高技术含量才无处遁形。 写完这篇稿子的时分,在微博上得悉last.fm的数据库也走漏了,在日益严重的网络安全环境下,安全任务任重道远。
评价一下你浏览此帖子的感受

精彩

感动

搞笑

开心

愤怒

无聊

灌水
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个