??斗地主捕鱼电竞提现秒到 广告位招租 - 15元/月全站展示
??支付宝搜索579087183领大额红包 ??伍彩集团官网直营彩票
??好待遇→招代理 ??伍彩集团官网直营彩票
??络茄网 广告位招租 - 15元/月全站展示
从知名专业社交网站linkedin数据库泄漏事件中引发的思考(图文)

转载   佚名   2012-06-21   浏览量:592


【事件回放】
2012年6月6日晚上,知名专业社交网站LinkedIn爆出部分用户账户密码失窃,LinkedIn主管文森特·希尔维拉(Vicente Silveira)在其个人博客中证实了此事。根据Venturebeat的报道,650w被偷窃的LinkedIn账户密码列表已经被上传至一家俄罗斯黑客服务器,但目前尚不能确认是否只是650w的用户帐号被窃。
备注:
截取来自百度百科的简介:
LinkedIn是一家面向商业客户的社交网络(SNS)服务网站,网站的目的是让注册用户维护他们在商业交往中认识并信任的联系人,俗称“人脉”(Connections)。Linkedin目前用户过亿,平均每一秒钟都有一个新会员的加入。其会员大约一半的成员是在美国,1100万来自欧洲。
 
 
【黑客是怎么做到的?】
国内国外在近两年来,数据被窃事情不断频发,CSDN,索尼PlayStation,Linkedin,这些攻击的具体细节至今没有对外公布过,那么我们大胆猜测下,黑客是怎么把黑手伸向用户数据库的?
 
 
 
由linkedin数据库泄漏引发的思考  
安全的短板理论,最容易出问题的地方往往都是很细小的地方,可能你只是少打了个补丁,亦或者代码少写了个符号,当然也有种可能,黑客是拿着大锤去撬机房服务器。:)坏人的眼睛一直在盯着我们,一次错误就足以致命。
【应该怎么做?】
我们应该如何去防止这种事情发生呢?
进不来,进来了带不走,带走了用不了,纵深防御的思维可以得到体现。
进不来
想让黑客们进不来,那就需要知道黑客进来的入口在哪里?
1.对web服务器的攻击,信息获取的来源有工具扫描(nmap,nessus等),Google hacking,信息获取的目的是为了获取更多的信息去攻击web端。
2.黑客对我们内网或者vpn进行攻击,企图通过办公网进入服务器。
如何控制住入口?
1. 制度
一:开发遵循SDL开发流程,上线前进行安全测试,确保无安全问题再上线。
二:不允许员工将办公邮箱去注册互联网网站账户。
三:VPN或者其他第三方媒介的安全制度
四:漏洞修复流程
2. 流程:
一:通过IDS,对黑客尝试入侵进行报警。
二:定期对在线业务进行安全测试,并输出总结性报告
三:内网(VPN)与服务器区隔离,或者有较强的安全认证。
带不走
黑客入侵后,为了获取更多的权限和以后的操作方便(例如带走大量数据),通?;峤薪徊降奶崛ɑ蛘呤欠胖煤竺诺牟僮?。
在服务器上装好“后门”,就可以在夜黑风高的晚上对服务器数据进行偷窃,那么换位思考下,黑客偷窃会有什么样的行为?
一:首先会上传web木马,web木马根据脚本会分不同的版本,但是每种恶意脚本中都会有关键字。
二:成功通过web木马控制服务器后,黑客会对服务器进行系统探测,比如Linux版本,权限,网络配置等等
三:熟悉服务器信息后,下一步就是基于黑客的目的而触发的行为,比如通过已控制的服务器去渗透其他服务器,或者入侵数据库,偷窃数据。
四:目的达到,清理日志,安装系统后门。
在上述每个行为都会有自己的特征行为,可以基于行为通过主机监控系统进行防范。
在入侵者的典型入侵环节上都设置相关的探头和监控点,比如当入侵者上传网页后门时,或者是使用木马时系统都会及时发出告警,又或者入侵者通过漏洞操作系统的shell进行入侵时,监控平台也会记录下所有操作,便于事后追查。
用不了
一:密码用不了
Linkedin密码样本,加密方式为SHA1,比起直接粗暴的明文要强很多,但是SHA1加密真的安全吗?很多人都意识中,认为标准的hash算法(md5 sha1 sha256等)用于密码加密是安全的,这个是一个误区。我在网上截取了知名GPU破解工具破解指标对比表。
【事件回放】
   
5000M c/s可大约换算对应20亿条每秒,那么暴力去“撞库”,密码真的安全吗?
咨询了国内最大的密码破解网站的站长,他给出来的建议是非标准hash+salt。
二:文件用不了
在互联网上,经常有人爆出某某绝密文件,某某公司财务报表等等,这些数据的价值无可非议,如何保证数据即使被偷窃也不会造成损失。推荐企业内部使用文件加密系统。
应急响应
假如数据库泄漏了怎么办呢?
于周四,Linkedin发布声明
在此事中,Linkedin在不断的去补救密码泄漏带来的负面影响。发布公告—>限制被窃号码登录(止损)—>引导用户修改密码—>承诺整改。下面做了整理了一个表格,对Linkedin的应急响应做了梳理。
 
响应时间

处理方法

态度

Linkedin

事件发生到发布声明不超过12小时

引导用户在网站修改密码,不通过第三方媒介修改

承诺安全?;?,在加密的密码上再加强验证

应急响应是门大学问,处理好可以达到亡羊补牢的作用,处理不好会带来更多的?;?。
【其他】
帐号的强弱鉴定
CSDN数据库泄漏以后,有好事之人把数据库进行热门密码匹配,出现了普通,文艺,2B密码排行榜。这次也不例外,有人把linkedin的密码也做了下分析,如下图所示:
【事件回放】
   
从图中可以看到,“link”是最容易被获取的密码,其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是流行的密码主题。另外,数字串“1234”和“12345”也榜上有名。
在帐号体系中,1.单点设置密码是有强密码策略,那么很多人就习惯性的去输入1qazxsw2,完全符合策略,可是这个只能算大众强密码。2.预防这种符合策略又不安全的密码,我们在帐号体系中有比较有效的方法防止自动化密码验证行为。
可是笔者担心的是,随着密码库泄漏的数量越来越多,不能在密码设置中去彻底解决弱密码问题,需依靠堵截自动化行为密码验证的行为难免百密一疏。
隐私?;?br />这次linkedin密码泄露的问题,衍生出了一个隐私问题,有关科技网站爆料,linkedin的IOS客户端存在偷偷上传用户的日历,待办事件,通讯录或者还有密码信息,linkedin的解释是上传一些非必要的数据,是为了做数据分析,更好地为用户服务,但是这个在隐私?;ひ馐肚康墓?,无疑是会受到指责的,在IOS客户端中,Path等也出现过这样的问题。不过都在被爆出来后迅速修复了。
 
   
我们不仅要?;の颐堑目突Ф嗣挥形:τ没б胶兔苈朊魑拇娲⒌男形?,而且要?;の颐堑挠没Р皇艿蕉褚獬绦虻那趾?,特别是在安卓平台下,未经用户允许,读取短信,图片,甚至是吸费的程序一直层出不穷。
【尾声】
安全无小事,仅靠网络安全工作者的努力是远远不够的,一方面我们在前行,另外一方面安全需要大家的参与和配合,这样黑客才无处遁形。
写完这篇稿子的时候,在微博上得知last.fm的数据库也泄漏了,在日益严峻的网络安全环境下,安全工作任重道远

彩票开奖查询 www.kbyp.net

转载自://www.jb51.net/hack/56003.html

招聘 不方便扫码就复制添加关注:程序员招聘谷,微信号:jobs1024



PHP 5.4 (5.4.3) Code Execution (Win32) 代码
PHP 5.4 (5.4.3) Code Execution (Win32)代码
织梦(Dedecms)内容管理系统漏洞
  影响版本:   Dedecms 3.1漏洞描述:   织梦内容管理系统(DedeCms) 以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用户最多的PHP类CMS系统,在经历了二年多的发展,目前的版本无论在功能,还是是易用性方面,都有了长足的发展,DedeCms免
DEDECMS任意修改文章漏洞(exp)
  这个漏洞不足以得到马儿 但能修改任何文章 也算是一个严重的漏洞!   废话不说   经典对白 看代码!   membersoft_edit.php   01if(empty($dopost)) //如果这里是空也就是直接访问这个文件   02{   03 //读取归档信息   04 $arcQuery= "Select  
DISCUZ X1.5 本地文件包含漏洞
  DISCUZX1.5 本地文件包含,当然是有条件的,就是使用文件作为缓存。   config_global.php   $_config['cache']['type'] = ‘file’;   function cachedata($cachenames) {   ……   $isfilecache = getglobal(‘config/cache/
看一眼就中毒 详解微软lnk漏洞(快捷方式漏洞)
下面小编就为大家讲解微软lnk漏洞的具体分析,引发安全厂商的高度关注的一个特性,一起来看看吧
服务器上网站被挂Iframe木马的解决方法
今天访问公司的一个网站,突然发现网页显示不对,右键查看HTML代码,发现iframe了一个网站的js文件,不用说,肯定被挂马了
路由器、交换机及防火墙漏洞的发现与防范方法
在本文中,我们将探讨为什么这些设备容易受到攻击,现在有多少恶意网络攻击是瞄准路由器、交换机和防火墙的以及企业应该采取什么措施来?;て渫?/h6>
常用的网站漏洞扫描工具小结
偶尔在网上看到这些,拿来和大家一块看看,也好让各个站长懂得?;ぷ约旱耐?/h6>
淇晨科技网站管理系統默认漏洞的分析
分析一下一个网站的漏洞
Uread阅读器拒绝服务漏洞的分析与解决
Uread阅读器在远程或本地打开文件名过长(大于或等于129个字符)的upub等文件时将引起uread.exe程序无法正常工作,必须重新启动uread.exe进程方可。