由LinkedIn數據庫泄漏引發的思考

　　【事件回放】

　　6月6日，知名專業社交網站LinkedIn爆出部分用戶賬戶密碼失竊，LinkedIn主管文森特·希爾維拉(Vicente Silveira)在其個人博客中證實了此事。根據Venturebeat的報道，650w被偷竊的LinkedIn賬戶密碼列表已經被上傳至一家俄羅斯黑客服務器，但目前尚不能確認是否只是650w的用戶帳號被竊。

　　備注：

　　截取來自百度百科的簡介：

　　LinkedIn是一家面向商業客戶的社交網絡(SNS)服務網站，網站的目的是讓注冊用戶維護他們在商業交往中認識并信任的聯系人，俗稱“人脈”(Connections)。Linkedin目前用戶過億，平均每一秒鐘都有一個新會員的加入。其會員大約一半的成員是在美國，1100萬來自歐洲。

　　【黑客是怎么做到的?】

　　國內國外在近兩年來，數據被竊事情不斷頻發，CSDN，索尼PlayStation，Linkedin，這些攻擊的具體細節至今沒有對外公布過，那么我們大膽猜測下，黑客是怎么把黑手伸向用戶數據庫的?

　　安全的短板理論，最容易出問題的地方往往都是很細小的地方，可能你只是少打了個補丁，亦或者代碼少寫了個符號，當然也有種可能，黑客是拿著大錘去撬機房服務器。：)壞人的眼睛一直在盯著我們，一次錯誤就足以致命。

　　【應該怎么做?】

　　我們應該如何去防止這種事情發生呢?

　　進不來，進來了帶不走，帶走了用不了，縱深防御的思維可以得到體現。

　　進不來

　　想讓黑客們進不來，那就需要知道黑客進來的入口在哪里?

　　1.對web服務器的攻擊，信息獲取的來源有工具掃描(nmap，nessus等)，Google hacking，信息獲取的目的是為了獲取更多的信息去攻擊web端。

　　2.黑客對我們內網或者vpn進行攻擊，企圖通過辦公網進入服務器。

　　如何控制住入口?

　　1. 制度

　　一：開發遵循SDL開發流程，上線前進行安全測試，確保無安全問題再上線。

　　二：不允許員工將辦公郵箱去注冊互聯網網站賬戶。

　　三：VPN或者其他第三方媒介的安全制度

　　四：漏洞修復流程

　　2. 流程：

　　一：通過IDS，對黑客嘗試入侵進行報警。

　　二：定期對在線業務進行安全測試，并輸出總結性報告

　　三：內網(VPN)與服務器區隔離，或者有較強的安全認證。

　　帶不走

　　黑客入侵后，為了獲取更多的權限和以后的操作方便(例如帶走大量數據)，通常會進行進一步的提權或者是放置后門的操作。

　　在服務器上裝好“后門”，就可以在夜黑風高的晚上對服務器數據進行偷竊，那么換位思考下，黑客偷竊會有什么樣的行為?

　　一：首先會上傳web木馬，web木馬根據腳本會分不同的版本，但是每種惡意腳本中都會有關鍵字。

　　二：成功通過web木馬控制服務器后，黑客會對服務器進行系統探測，比如Linux版本，權限，網絡配置等等

　　三：熟悉服務器信息后，下一步就是基于黑客的目的而觸發的行為，比如通過已控制的服務器去滲透其他服務器，或者入侵數據庫，偷竊數據。

　　四：目的達到，清理日志，安裝系統后門。

　　在上述每個行為都會有自己的特征行為，可以基于行為通過主機監控系統進行防范。

　　在入侵者的典型入侵環節上都設置相關的探頭和監控點，比如當入侵者上傳網頁后門時，或者是使用木馬時系統都會及時發出告警，又或者入侵者通過漏洞操作系統的shell進行入侵時，監控平臺也會記錄下所有操作，便于事后追查。

　　用不了

　　一：密碼用不了

　　Linkedin密碼樣本，加密方式為SHA1，比起直接粗暴的明文要強很多，但是SHA1加密真的安全嗎?很多人都意識中，認為標準的hash算法(md5 sha1 sha256等)用于密碼加密是安全的，這個是一個誤區。我在網上截取了知名GPU破解工具破解指標對比表。

　　5000M c/s 可大約換算對應20億條每秒，那么暴力去“撞庫”，密碼真的安全嗎?

　　咨詢了國內最大的密碼破解網站的站長，他給出來的建議是非標準hash+salt。

　　二：文件用不了

　　在互聯網上，經常有人爆出某某絕密文件，某某公司財務報表等等，這些數據的價值無可非議，如何保證數據即使被偷竊也不會造成損失。推薦企業內部使用文件加密系統。

　　應急響應

　　假如數據庫泄漏了怎么辦呢?

　　于周四，Linkedin發布聲明：

　　http://blog.linkedin.com/2012/06/07/taking-steps-to-protect-our-members/

　　在此事中，Linkedin在不斷的去補救密碼泄漏帶來的負面影響。發布公告—>限制被竊號碼登錄(止損)—>引導用戶修改密碼—>承諾整改。下面做了整理了一個表格，對Linkedin的應急響應做了梳理。

　　應急響應是門大學問，處理好可以達到亡羊補牢的作用，處理不好會帶來更多的危機。

　　【其他】

　　帳號的強弱鑒定

　　CSDN數據庫泄漏以后，有好事之人把數據庫進行熱門密碼匹配，出現了普通，文藝，2B密碼排行榜。這次也不例外，有人把linkedin的密碼也做了下分析，如下圖所示：

　　從圖中可以看到，“link”是最容易被獲取的密碼，其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是流行的密碼主題。另外，數字串“1234”和“12345”也榜上有名。

原文轉自：http://www.anti-gravitydesign.com