此后陆续被爆出的天涯、7k7k等众多公司的库也并非最新信息,早在12月4日时,这些就在“乌云网”上公布过。乌云网是为黑客向企业提交漏洞搭建的平台,很多黑客会在乌云网上提交漏洞。
一个自称“臭小子”的注册用户发布了一个漏洞标题为《中国各大站点数据库曝光(腾讯的也有)》的漏洞报告,描述为“用户资料大量泄露”,危害等级“高”。
“臭小子”的帖子一发出来没多久立刻就让乌云网的安全爱好者们炸了锅——10点半,网名为“zerack-er”的安全爱好者第一个对“臭小子”的行为进行了评论,并且贴出了《中华人民共和国刑法》和《全国人民代表大会常务委员会关于维护互联网安全的决定》的相关规定。
安全爱好者“xsser”则认为“臭小子”的做法很必要——不放出来网络公司们就意识不到安全的重要性,企业会以为设置个强密码就安全了。“xsser”称企业的这种做法为“把脑袋放沙子里”的鸵鸟行为。
是的,安全爱好者们有的赞成“臭小子”,有的则认为没有必要贴出来,这样做是给自己找麻烦,也是太爱炫了。
不过,所有做安全的程序员都知道,网络世界没有绝对的安全!因为“道高一尺,魔高一丈”!
被抛弃的底线
CSDN的用户信息库被爆出泄露让乌云网负责人感觉这次实在“有点快”——按照他的经验,尽管CSDN网站几年前就已被攻破,但这种在“地下”流通的东西现在居然普通人就能拿到,也足以令他感到震惊——用户的密码库被泄露和扩散得这么快。
在他看来,在网络这个虚拟世界里,掌握了这些密码的人事实上拥有了至高无上的权力——在黑客面前,其实你早就是裸体的。“库这个东西就像内裤,你可以有,但不必在大庭广众之下证明你有”……而当内裤被公之于众时,互联网上最丑恶的一面也展露在公众面前。
被泄露密码库的网站名单中几乎没有出现大网站,但由于很多用户在各个网站注册时使用的都是同一个邮箱和密码,因此泄密事件让整个业界风声鹤唳——美团网(微博)在发现网络上有泄密的事件之后也给相关很多用户发去了提醒短信,告诉那些现在被泄露用户尽快修改美团的密码。
一位曾经做过黑客的资深人士透露,2005年,要攻破一个网站其实只需要10分钟。而今天,即便是采用一种号称无法被破解的加密方法——MD5方式,黑客们只要有时间和精力,两三个人花上两个星期也能破解。
一切看起来失控了。
这些被泄露出来的用户资料尽管大部分被证明已经不再使用——仅有20%有效,但如此大规模的泄露在中国互联网历史上还是首次。
乌云网负责人告诉本报,这次的密码事件传播得如此之快出乎他的意料。不过,在他看来,此次的泄露是“偶然中的必然”。
是的,众多网站的用户资料库被“拖”(拖走,黑客行话,即被拷贝)是早就发生的事情。这些被拖走的“库”有两种命运,一种是黑客只是为了炫耀技术而攻击,也不为了赚钱,只是自己做截图后与其他黑客比技术时用作证明。另一种则是被一些黑客用来“挣点小钱”——卖给需要这些用户联系方式的公司,或者自己窃取用户账户里的资产。
以前黑客界也有着一些最基本的游戏规则,他们中的一些人遵循“盗亦有道”的原则,包括不在公众场合描述网络攻击的细节,不向未成年人传授或培训黑客技术,妥善保存可能带来社会风险的用户资料等等。
但是现在,已经无法确定究竟前一种黑客人多,还是后一种黑客是主流。前者被称为“白帽子”——安全工程师、安全研究员和安全技术爱好者,这些“白帽子”大多有自己的工作,他们找到别的网站的漏洞,就提交到乌云网上去。
黑客和白帽子
一个简单的逻辑是,一份隐私库在最初被“拖”走的时候,黑客花的时间和精力最大,库的价值也越高越宝贵——除非他用这个东西获取到足够的资源和利益,否则他不会公开或泄露。慢慢地这个东西越来越多的人有了,人越多在小圈子里流动的就越多,也越不可控——当这个库最后被公布出来时,就意味着已经被卖得太广了。
此前,“白帽子”们提交的漏洞大多得不到网站管理员的重视,乌云网的创立初衷之一就有让他们与网站间建立一个沟通平台的意思。