由linkedin數(shù)據(jù)庫泄漏引發(fā)的思考

備注：

截取來自百度百科的簡介：

LinkedIn是一家面向商業(yè)客戶的社交網(wǎng)絡(luò)（SNS）服務(wù)網(wǎng)站，網(wǎng)站的目的是讓注冊用戶維護(hù)他們在商業(yè)交往中認(rèn)識并信任的聯(lián)系人，俗稱“人脈”（Connections）。Linkedin目前用戶過億，平均每一秒鐘都有一個新會員的加入。其會員大約一半的成員是在美國，1100萬來自歐洲。

【黑客是怎么做到的？】

國內(nèi)國外在近兩年來，數(shù)據(jù)被竊事情不斷頻發(fā)，CSDN，索尼PlayStation，Linkedin，這些攻擊的具體細(xì)節(jié)至今沒有對外公布過，那么我們大膽猜測下，黑客是怎么把黑手伸向用戶數(shù)據(jù)庫的？

安全的短板理論，最容易出問題的地方往往都是很細(xì)小的地方，可能你只是少打了個補(bǔ)丁，亦或者代碼少寫了個符號，當(dāng)然也有種可能，黑客是拿著大錘去撬機(jī)房服務(wù)器。：）壞人的眼睛一直在盯著我們，一次錯誤就足以致命。

【應(yīng)該怎么做？】

我們應(yīng)該如何去防止這種事情發(fā)生呢？

進(jìn)不來，進(jìn)來了帶不走，帶走了用不了，縱深防御的思維可以得到體現(xiàn)。

進(jìn)不來

想讓黑客們進(jìn)不來，那就需要知道黑客進(jìn)來的入口在哪里？

1.對web服務(wù)器的攻擊，信息獲取的來源有工具掃描（nmap，nessus等），Google hacking，信息獲取的目的是為了獲取更多的信息去攻擊web端。

2.黑客對我們內(nèi)網(wǎng)或者vpn進(jìn)行攻擊，企圖通過辦公網(wǎng)進(jìn)入服務(wù)器。

如何控制住入口？

1. 制度

一：開發(fā)遵循SDL開發(fā)流程，上線前進(jìn)行安全測試，確保無安全問題再上線。

二：不允許員工將辦公郵箱去注冊互聯(lián)網(wǎng)網(wǎng)站賬戶。

三：VPN或者其他第三方媒介的安全制度

四：漏洞修復(fù)流程

2. 流程：

一：通過IDS，對黑客嘗試入侵進(jìn)行報警。

二：定期對在線業(yè)務(wù)進(jìn)行安全測試，并輸出總結(jié)性報告

三：內(nèi)網(wǎng)（VPN）與服務(wù)器區(qū)隔離，或者有較強(qiáng)的安全認(rèn)證。

帶不走

黑客入侵后，為了獲取更多的權(quán)限和以后的操作方便（例如帶走大量數(shù)據(jù)），通常會進(jìn)行進(jìn)一步的提權(quán)或者是放置后門的操作。

在服務(wù)器上裝好“后門”，就可以在夜黑風(fēng)高的晚上對服務(wù)器數(shù)據(jù)進(jìn)行偷竊，那么換位思考下，黑客偷竊會有什么樣的行為？

一：首先會上傳web木馬，web木馬根據(jù)腳本會分不同的版本，但是每種惡意腳本中都會有關(guān)鍵字。

二：成功通過web木馬控制服務(wù)器后，黑客會對服務(wù)器進(jìn)行系統(tǒng)探測，比如Linux版本，權(quán)限，網(wǎng)絡(luò)配置等等

三：熟悉服務(wù)器信息后，下一步就是基于黑客的目的而觸發(fā)的行為，比如通過已控制的服務(wù)器去滲透其他服務(wù)器，或者入侵?jǐn)?shù)據(jù)庫，偷竊數(shù)據(jù)。

四：目的達(dá)到，清理日志，安裝系統(tǒng)后門。

在上述每個行為都會有自己的特征行為，可以基于行為通過主機(jī)監(jiān)控系統(tǒng)進(jìn)行防范。

在入侵者的典型入侵環(huán)節(jié)上都設(shè)置相關(guān)的探頭和監(jiān)控點(diǎn)，比如當(dāng)入侵者上傳網(wǎng)頁后門時，或者是使用木馬時系統(tǒng)都會及時發(fā)出告警，又或者入侵者通過漏洞操作系統(tǒng)的shell進(jìn)行入侵時，監(jiān)控平臺也會記錄下所有操作，便于事后追查。

用不了

一：密碼用不了

Linkedin密碼樣本，加密方式為SHA1，比起直接粗暴的明文要強(qiáng)很多，但是SHA1加密真的安全嗎？很多人都意識中，認(rèn)為標(biāo)準(zhǔn)的hash算法（md5 sha1 sha256等）用于密碼加密是安全的，這個是一個誤區(qū)。我在網(wǎng)上截取了知名GPU破解工具破解指標(biāo)對比表。

5000M c/s可大約換算對應(yīng)20億條每秒，那么暴力去“撞庫”，密碼真的安全嗎？

咨詢了國內(nèi)最大的密碼破解網(wǎng)站的站長，他給出來的建議是非標(biāo)準(zhǔn)hash+salt。

二：文件用不了

在互聯(lián)網(wǎng)上，經(jīng)常有人爆出某某絕密文件，某某公司財務(wù)報表等等，這些數(shù)據(jù)的價值無可非議，如何保證數(shù)據(jù)即使被偷竊也不會造成損失。推薦企業(yè)內(nèi)部使用文件加密系統(tǒng)。

應(yīng)急響應(yīng)

假如數(shù)據(jù)庫泄漏了怎么辦呢？

于周四，Linkedin發(fā)布聲明

在此事中，Linkedin在不斷的去補(bǔ)救密碼泄漏帶來的負(fù)面影響。發(fā)布公告—>限制被竊號碼登錄（止損）—>引導(dǎo)用戶修改密碼—>承諾整改。下面做了整理了一個表格，對Linkedin的應(yīng)急響應(yīng)做了梳理。

廠商

響應(yīng)時間

處理方法

態(tài)度

Linkedin

事件發(fā)生到發(fā)布聲明不超過12小時

引導(dǎo)用戶在網(wǎng)站修改密碼，不通過第三方媒介修改

承諾安全保護(hù)，在加密的密碼上再加強(qiáng)驗證

應(yīng)急響應(yīng)是門大學(xué)問，處理好可以達(dá)到亡羊補(bǔ)牢的作用，處理不好會帶來更多的危機(jī)。

【其他】

帳號的強(qiáng)弱鑒定

CSDN數(shù)據(jù)庫泄漏以后，有好事之人把數(shù)據(jù)庫進(jìn)行熱門密碼匹配，出現(xiàn)了普通，文藝，2B密碼排行榜。這次也不例外，有人把linkedin的密碼也做了下分析，如下圖所示：

從圖中可以看到，“link”是最容易被獲取的密碼，其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是流行的密碼主題。另外，數(shù)字串“1234”和“12345”也榜上有名。

在帳號體系中，1.單點(diǎn)設(shè)置密碼是有強(qiáng)密碼策略，那么很多人就習(xí)慣性的去輸入1qazxsw2，完全符合策略，可是這個只能算大眾強(qiáng)密碼。2.預(yù)防這種符合策略又不安全的密碼，我們在帳號體系中有比較有效的方法防止自動化密碼驗證行為。

可是筆者擔(dān)心的是，隨著密碼庫泄漏的數(shù)量越來越多，不能在密碼設(shè)置中去徹底解決弱密碼問題，需依靠堵截自動化行為密碼驗證的行為難免百密一疏。

隱私保護(hù)

這次linkedin密碼泄露的問題，衍生出了一個隱私問題，有關(guān)科技網(wǎng)站爆料，linkedin的IOS客戶端存在偷偷上傳用戶的日歷，待辦事件，通訊錄或者還有密碼信息，linkedin的解釋是上傳一些非必要的數(shù)據(jù)，是為了做數(shù)據(jù)分析，更好地為用戶服務(wù)，但是這個在隱私保護(hù)意識強(qiáng)的國外，無疑是會受到指責(zé)的，在IOS客戶端中，Path等也出現(xiàn)過這樣的問題。不過都在被爆出來后迅速修復(fù)了。

我們不僅要保護(hù)我們的客戶端沒有危害用戶隱私和密碼明文存儲的行為，而且要保護(hù)我們的用戶不受到惡意程序的侵害，特別是在安卓平臺下，未經(jīng)用戶允許，讀取短信，圖片，甚至是吸費(fèi)的程序一直層出不窮。

【尾聲】

安全無小事，僅靠網(wǎng)絡(luò)安全工作者的努力是遠(yuǎn)遠(yuǎn)不夠的，一方面我們在前行，另外一方面安全需要大家的參與和配合，這樣黑客才無處遁形。

寫完這篇稿子的時候，在微博上得知last.fm的數(shù)據(jù)庫也泄漏了，在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下，安全工作任重道遠(yuǎn)。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]