原文:http://news.csdn.net/a/20111229/309875.html
编者按:近日,互联网厂商信息泄漏事件层出不穷,给大量用户带来困扰与不便。在这过程中,乌云(wooyun.org)引起了人们众多关注,作为一个厂商和安全研究者之间的安全问题反馈平台,乌云提供给互联网公司很多漏洞及风险报告,帮助他们防患于未然,下面是乌云对此次安全事件的建议。
迄今为止,越来越多的公司被卷入数据泄密事件当中,其中最让人担忧的就是用户的账户密码信息,一旦账户密码信息被获取,攻击者就可以借用账户密码去登录用户的业务系统,获取相应的信息。譬如登录进游戏系统窃取装备,登录进微博发广告或者欺诈信息,登录进购物网站访问用户手机、住址、订单、购物记录等信息等等,以获取更多的利益。利益永远是攻击者追逐的最终目标。
为何这么不安全?
其实很早我们和一些互联网公司就发现一个奇怪的现象,传统的暴力破解密码等较为成熟的攻击手段发生了改变。另外一种攻击手法越来越多——直接拿一批账号密码去业务系统上进行尝试,这一动作变得相当普遍。尽管账号密码不一定是正确的,但是可以明显看出是用户的正常密码,而且一次失败就不再进行尝试,其实这个时候大量的账号密码数据泄露已经发生了,业界有一个名词来指代这种行为,叫“撞库”。
如何变得安全
作为一个互联网厂商,如果想让自己变得安全,有两种方式。
第一种是让自己在黑客眼里变得没有价值,如果攻击成本和收益不成比例,相信黑客一定不会攻击你的。这里对于密码而言,最好的方式就是将你的密码加密,并且使得逆向不可能,譬如常见的一用户一加密,每个用户生成单独的足够复杂的盐,然后用盐对密码进行加密,这样会使得你的密码库对于黑客攻击的吸引会较小,一些公司可以通过这种方式减免风险。
第二种方式自然就是让自己足够的安全,这一点很困难。但是对于某些公司来说必须这么做,因为也许不是你的用户密码信息重要,你的业务已经决定了你的敏感性,譬如游戏公司、微博、社区、购物以及邮箱等等,这些业务注定是黑客的目标,这个时候只能提升自身的安全性以避免遭受攻击时受到损失。
但是这次的事件一样说明了一个问题,躺着中枪的事现在太多了。互联网这么大,各大公司的用户重合度非常高,很可能一家的数据库被入侵了,就发生了前面到别家撞库的现象。所以即使暂时没有被直接披露数据库泄露的厂商和企业,在做好自身安全建设的同时,也建议及时做出反应。对已经泄露的用户进行及时提醒,修改账号、密码。对于业务系统的登录日志要定期审计,重点包括单IP多账号尝试登录的情况。如果有很明显是可能躺着中枪的现象,要及时作出响应。
如果要做到自身的足够安全,这是一项艰巨和艰难的工作。安全本身的范畴就较广,但绝对不能是在出了事故之后找一些人来临时解决。最好的安全应该是自始至终就有人为安全负责,将安全落实到公司的流程制度规范以及基础技术架构里去,形成完善的安全体系,并且持续更新迭代。如果以前没有这方面制度,就从现在开始建设;如果没有团队,就可以先找一些公司或者外部顾问。但是记住,不要幻想一次性的投入就可以抵抗利益驱动长久进化的黑色产业链,当然作为一个与外部安全社区沟通的平台,乌云也是值得关注的。
关于乌云
乌云在此次的事件中也获得关注较多。我们由一群互联网安全研究人员自发组织起来的,目标是为研究人员和厂商之间建立一个信息安全沟通的平台,研究人员在平台上提交厂商的安全问题(譬如比较引起大家关注的当当网用户资料泄露等),也有一些通用的安全资讯和安全事件(譬如这次的天涯数据库泄露等信息)。到目前已经有超过500个白帽子安全研究人员、120多个厂商及一些政府互联网安全部门参与到平台,接近4000个安全问题得到反馈和处理,沉淀了大量的安全实例和资料,后期我们也期望与技术社区一起将这些知识沉淀利用起来,帮助企业避免和解决各种安全问题。