今年4月9日,一个名为Heart bleed(意为“心脏出血”)的重大安全漏洞被曝光,一位安全行业人士在知乎网站上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
陈三堰直言,这些数据的曝光不过是黑客们掌握的“社工库”(每次入侵得手的数据集聚起来形成的大数据库)的冰山一角。更大的危机在于,六成以上网站可能都存在漏洞,你根本无法知道黑客们到底掌握了多少大数据库。
在PW看来,黑客遵循的原则就是“悄悄地进村,打枪的不要”。在抓住漏洞,进入后门,获得敏感信息后,一定会注意隐藏行踪不被发现。
“敏感信息一般掌握在顶尖的人手里,20%的黑客掌握了绝大多数社工库信息,有些黑客进入了一些经济利用价值高的网站,可能还会把补丁补上,避免其他黑客获得敏感信息。他们有时也会互相交换,但很少会公布出来,所以很多敏感漏洞被发现时,可能已存在一两年,很多黑客早已利用这些信息获利,因此网络警察追凶也并不容易。”
1999年就进入黑客领域的陈三堰是知名黑客网站“第八军团”的领军人,2004年,他转型进入网络安全领域,开创了网络安全维护的易城信息技术,继续以白帽黑客的身份与黑客们斗智斗勇。“2011年,我当时在一个黑客圈子里就看到一个社工库,当时这个压缩文件已经有40G大小,积累到近几天估计已成倍增长。随着云技术的普及,这种大数据库泄露的安全形势将会越来越严峻。”
“有了这些社工库,要破解人们的密码易如反掌。”PW以QQ密码为例,只要你在社工库内输入QQ号,就可以直接查到这个号码是否曾经泄露过,如果有,获取密码就非常简单。
电子支付平台实际漏洞也非常多,PW最近曾帮一家电子支付平台查找漏洞,随便查一下就有4个漏洞,“国内很多公司在开发软件平台的时候还没有什么安全意识,大部分网络平台都有漏洞,而这些漏洞造成的信息泄露都会被社工库收录,掌握社工库的人如果愿意,可以直接获取所有用户的信息,可以改变支付账号,让用户把买彩票的钱直接打到他们的账户上,甚至可以不花钱下订单。这对顶尖黑客来说,完全不是难事,做与不做全凭良心。”
文、图/本报记者胡亚平