神刀安全网

黑客的背后

编者按:本文作者曹政,常用 ID  caoz ,资深 IT 人,从事互联网工作十余年。技术大牛、数据控、历史控、考证控。曾参与创建一统统计、cnzz 站长统计,曾主持搭建百度商业分析支撑平台。文章首发于其微信公众号 “caoz 的梦呓”(微信号:caozsay),授权 36 氪发布。

最近与信息安全有关的事件真是层出不穷。正好可以带大家撸一撸。

  • 1、拉勾网的致歉信
  • 2、百度云盘隐私泄露
  • 3、网易邮箱账号密码泄露
  • 4、美国政府完成对苹果手机破解

阅读之前,如果有最近新加入的订阅者,建议可以看我的旧文了解一些技术背景信息。

怎样成为一名黑客

信息安全常识科普

创业公司如何做好信息安全(上)

创业公司如何做好信息安全 (下)

一、拉勾网的致歉信

前段时间朋友圈被一条内容刷屏,叫做,“对不起,这个黑锅我们不背。”,拉勾网的公关文采说实话,相当好,很有理有利有节,被对手抹黑,自己如何无辜,恶意竞争如何没底线,然而仅仅不到两个月,剧情大逆转,拉勾网的致歉信再度刷屏,原来对手没有抹黑!而这一次刷屏没多久,基于各方面压力,这封致歉信又被发布方主动删除。

剧情还原

2 个月前, Boss 直聘网说拉勾网通过不正当手段导致他们 APP 下架,拉勾网反驳说对手造谣污蔑,下架是因为自己产品采用了不正当推广方式。 此事拉勾网的反驳文章在网上广为流传,Boss 直聘网产品被下架,颜面也尽失。然后,Boss 直聘网报警,警方介入调查。

今天,拉勾网致歉信出来了,大意是这样,是公司不知情的情况下,一个公司程序员自发的黑入了对方的邮件和苹果商店后台,将对方产品下架并修改了诸多信息。公司表示完全不知情,对之前的文章表示道歉,然后表态说,大家要良性竞争,不要彼此恶性攻击。

那么,问题来了,你信么?

我一向不喜欢阴谋论,但是一个程序员在没有任何激励,没有任何领导授权的情况下,冒着这么大的法律风险,作出如此行为,如果让我相信许单单,就只有一个解释,这个程序员对公司的忠诚和热爱,这种自发的工作精神,远远超出了我们这个境界。 当然,这是有可能的。

顺便多说一句,可能很多人以为黑客的行为诡秘,很难被抓,很多人会有这样的侥幸心理,我以前在知乎回答过这个问题,很简单的回答,黑客被抓,主要是因为三个原因。

  • 第一,水平不够,简单说,屁股没擦干净。
  • 第二,得罪了不该得罪的主儿。
  • 第三,自己背后没人罩着。

第一条,可能大家觉得门槛不高,但实际上,基本上,99%+ 的黑客入侵行为,只要有关部门想抓,都是有痕迹的,屁股真能完全擦干净的,凤毛麟角。

第二条,你说 Boss 直聘网算不算不能得罪的?真不算,很多创业公司被人黑,被人 DDoS 根本就没脾气,但这事,你中间黑了别人的腾讯邮箱账号,这事说来可大可小,但腾讯要是肯配合,基本没有查不出的。

第三条,那啥,不展开了。

拉勾网是真无辜还是装无辜,我不是知情人,我不敢下结论,看后续是不是走司法流程了,这可真不是一个道歉可以解决的事情。

中国互联网的恶性竞争,引入黑客攻击的手段打击竞争对手,这事我还真是见得多了,绝大部分都不了了之,我自己在十来年前做网站的时候也被人攻击的很惨,我见识过的最早案例发生在大约 20年 前,恩,连三大门户和上市公司都还没有的年代,别问我细节了,不讲。

二、百度云盘泄露,艳照门事件

有人反馈,在 google 上用某些关键词可以搜到百度云盘里的用户分享照片,其中存在相当多暴露隐私的露点和 XX 照片。

百度今天发了辟谣,说自己的策略没有任何问题,只有用户主动开启分享才会被外界看到,这些问题都是别人诋毁,保留法律手段。

我还真的看到了别人分享的某些云盘艳照记录,很多都是生活照,而且是正常人正常家庭,然后部分露点乃至 XX 照就被分享出去了,你说这是他们主动分享的?这真不信。

但是话说回来,用相关关键词搜索,得到的结果并不多,说明不是普遍泄露,而且,这些策略是可以自己测试的,我倾向于认为,应该也不是百度的产品策略问题,这里最大的可能是,用户自己的误操作,相关的提示不够明显,用户在不明确风险的情况下开启了分享。然而,百度说,这都是诋毁,要保留法律手段。

这真不是诋毁,你看看那些照片,体会一下,被分享的用户是不是很无辜,他们的家庭和生活是不是很受伤。然后你想想,真的是人家为了诋毁你做的这事么?!

一遇到负面就想到是竞争对手在搞,一遇到批评就想到是自己受到了不公正的评价,百度现在这公关反应到跟某国政府挺像的。

当然,对这事的最终内情,我也是不够了解,以上基于常识判断,烦请读者自辨。

三、网易账户泄露

先是被暴出有 50 多 G 的邮箱账户密码资料,后来又暴露出 90 多 G 的版本。

其实我以前是夸过网易的,这家公司是国内非常扎实有成就的公司。

了不起的网易

其实关于网易邮箱密码泄露的事情,很早就有风传,网易一直坚持说,他们系统没有明文密码,没有泄露过,所有出问题的账户,都是撞库攻击,被彩虹库撞出来的。(这段看不懂的请去看我前面的科普文章,请相信我,信息安全科普对每个读者都是有价值的。)

那么这次,这么多的大量集中曝光,真的是撞库撞出来的? 这是多大毅力的黑客撞了多少年?网易的日志系统里看不见,这么大规模从没防御过?

基于常识,很抱歉,我依然不知道内情,只是基于常识,做一个个人的简单判断,也许我是错的,但是这是就目前公开资料,基于我的理解所能做出的最合理解释。

网易邮局是一个历史悠久的系统,其产品原型要追溯到上个世纪。在那个年代,大家其实对彩虹库也好,对撞库攻击也好,都还一知半解,那还是 SQL 注入没有几个人明白的年代,那时候网易的邮局系统设计,我猜测,可能没有考虑到随机 salt 这件事,那时候没人有这个概念啊,估计大家觉得加个 md5 就够了。

那么中间,在运营的过程中,会不会出现因为某个原因,数据库被人扒库的情况? 信息安全防御技术实际上一直是落后于攻击手段的发展的,可能很多人不知道这个真相,要不为啥有 0day 一说,以网易邮局的规模,体量,影响力,我觉得被扒库也不是不可能的,也不是多丢人的,你就算运维多专业,安全工作多到位,真来了个新的 0day,你哪怕晚一个小时知道你可能都出事了。而且,很可能被扒了还蒙在鼓里,人家只要不立即做下一步的破坏行动,你还真察觉不到这中间出事了。

但网易可能过于相信自己,认为我没有存明文密码,我所有密码都加密过的,所以没事,漏出去也不会被破解。

但事实上不是,你就算 md5 过了,你就算二次 md5,你就算用统一 salt 加 md5,人家拉一个密码档规则,按你同样的加密方式跑一下,破掉 80%+ 的用户密码根本就不是个事!如果计算力够,破掉 95%+ 的用户密码也属稀松平常!!

我的猜测是,网易早期存在数据库泄露,虽然有加密,但是没用随机 salt,所以,被破出来了非常高的比例的账户密码。

以上为常识猜测,如不符实,概不负责。

但这个猜测逻辑,也请各个创业公司的技术运维,自检一下,凡是没有随机 salt 加密的,用户库都是不安全的。(别跟我争执说随机 salt 加密也不安全的问题,这涉及破解成本,基本上我们可以认为从整体规模上是安全的)

四、美国政府完成对苹果手机破解

故事前情简介

美国前段时间发生了一起自杀式恐怖袭击事件,袭击者在事件中当场死亡,残存 iphone 手机一部,为更好掌握案情,以及了解其他风险和威胁,美国政府要打开 iphone 手机记录调查,但因该手机存在密码锁,在好莱坞电影里经常出境,大家已经非常熟悉的 FBI,就要求苹果公司给予配合,提供破解工具。

库克表示,为保护用户隐私,坚决不同意给美国政府任何部门,提供任何破解工具!

此事在网上传的挺沸沸扬扬的,相信很多人都听说过,比袭击案本身还有名。至于你支持谁,不支持谁,这事咱不讨论了。

今天要说的是,FBI 已经破解了这台手机,如愿拿到资料,而且,放弃了对苹果公司的要求! 简直双赢结局有没有,苹果完成了承诺,FBI 完成了安全诉求。

一家来自以色列的安全公司(好像被日本公司控股了),花了几天的时间,与另外一家从事数据恢复的公司合作,协助 FBI 破解了进入口令。具体技术细节就不展开了,有点黑科技的味道,但是其实也蛮好懂。

我看了某些阴谋论,说库克表面上拒绝美国政府要求,背地里输送了技术,这样既不得罪政府也不得罪用户,但通过网上已经公开的破解的技术文章看,应该还是人家独立破解出来的,和苹果公司确实没关系。

以色列的信息安全技术真的很牛逼。

有人会好奇,你为啥不把技术文章列出来呢?其实我看到的也是二手的,我也没去找原文在哪里,不过这事也是考验您搜索能力的时候了,如果您搜不到,那么,我觉得您就别耽误这功夫了。

今天讲了这些,简单总结一下。

很多网上的新闻,事件,不管是不是信息安全领域,我们绝大部分人,都不是当事人,不是知情人,(即便是当事人,也未必是知情人),在这种情况下,我们每个人会根据自己的常识,好恶进行判断,选择相信谁,不相信谁。那么,如果我们的常识更多一些,更准确一些,我们的个人好恶不要那么具有倾向性,也许可以判断的准一些,但是即便如此,误判也是常有的。

误判可以,尽量不要误导别人,我会说出我的判断,和判断的依据,但我希望每个人有自己的判断。 如果不是知情人就不能评论,那么 99%+ 的媒体评论和公众号都不用开了,毕竟还是要可以讨论对不对。

黑客其实并不神秘,他们背后也有领导,有决策者,有利益诉求,有价值观,有禁区,有法律和道德的约束。

技术本身无罪,关键看在谁手里,用来干嘛。

两个月前,我没转过拉勾的那篇文章,而且也一直没接拉勾的广告,所以今天,我不用致歉。 当然,这不代表我一直是对的,只是很巧这次我没事,希望以后都这么巧。

顺便啰嗦一句,昨天发的

谈谈基因的黑科技 – 抛砖引玉篇

今天看到一些文章,才知道还漏了一项,肿瘤免疫技术,对黑色素瘤,非小细胞肺癌,等多种癌症和肿瘤都有了明显效果。

有一项相关的技术获得了 2013年 Nature 杂志(就是发布阿法狗封面的那个牛逼杂志)评为年度最重要科学突破,并在美国被 FDA 批准临床应用。

我看到有些评论说还很遥远,技术不成熟云云,或者说不能取代什么云云,我希望大家多睁开眼看世界,当然我知道我不专业,对很多领域都是一知半解,但我愿意多去了解一些,这其实跟我们的未来,我们自己的健康息息相关。

另外,我愿意写一些自己不熟悉的领域,其实也很期待专业人士来打脸,这对我来说是一种巨大提升,( 分享即学习 我一直秉承这个理念!)我敢写就不怕被人说。但还好,昨天就有特别专业的大牛主动找我,给予肯定的多,当然也挑了几个错让我有了新的认识。有机会我了解更多会写新的出来。

我真的很好奇那些冷嘲热讽说两句怪话的人日常都是干啥的。

本文来自读者投稿,不代表 36氪 立场,如若转载,请注明出处:http://36kr.com/p/5045414.html

“看完这篇还不够?如果你也在创业,并且希望自己的项目被报道,请戳这里告诉我们!”

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 黑客的背后

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮