亚洲Aⅴ无码Av红楼在线观看_国产午夜福利涩爱AⅤ_国产sm调教一区二区三区_精品人妻一区二区三区不卡毛片

始創(chuàng)于2000年 股票代碼:831685
咨詢熱線:0371-60135900 注冊(cè)有禮 登錄
  • 掛牌上市企業(yè)
  • 60秒人工響應(yīng)
  • 99.99%連通率
  • 7*24h人工
  • 故障100倍補(bǔ)償
全部產(chǎn)品
您的位置: 網(wǎng)站首頁(yè) > 幫助中心>文章內(nèi)容

由linkedin數(shù)據(jù)庫(kù)泄漏引發(fā)的思考

發(fā)布時(shí)間:  2012/8/21 14:31:54
 上周三晚上(6月6日),知名專業(yè)社交網(wǎng)站LinkedIn爆出部分用戶賬戶密碼失竊,LinkedIn主管文森特·希爾維拉(Vicente Silveira)在其個(gè)人博客中證實(shí)了此事。根據(jù)Venturebeat的報(bào)道,650w被偷竊的LinkedIn賬戶密碼列表已經(jīng)被上傳至一家俄羅斯黑客服務(wù)器,但目前尚不能確認(rèn)是否只是650w的用戶帳號(hào)被竊。

備注:

截取來(lái)自百度百科的簡(jiǎn)介:

LinkedIn是一家面向商業(yè)客戶的社交網(wǎng)絡(luò)(SNS)服務(wù)網(wǎng)站,網(wǎng)站的目的是讓注冊(cè)用戶維護(hù)他們?cè)谏虡I(yè)交往中認(rèn)識(shí)并信任的聯(lián)系人,俗稱“人脈”(Connections)。Linkedin目前用戶過(guò)億,平均每一秒鐘都有一個(gè)新會(huì)員的加入。其會(huì)員大約一半的成員是在美國(guó),1100萬(wàn)來(lái)自歐洲。

 

 

【黑客是怎么做到的?】

國(guó)內(nèi)國(guó)外在近兩年來(lái),數(shù)據(jù)被竊事情不斷頻發(fā),CSDN,索尼PlayStation,Linkedin,這些攻擊的具體細(xì)節(jié)至今沒(méi)有對(duì)外公布過(guò),那么我們大膽猜測(cè)下,黑客是怎么把黑手伸向用戶數(shù)據(jù)庫(kù)的?

 

 

由linkedin數(shù)據(jù)庫(kù)泄漏引發(fā)的思考

安全的短板理論,最容易出問(wèn)題的地方往往都是很細(xì)小的地方,可能你只是少打了個(gè)補(bǔ)丁,亦或者代碼少寫了個(gè)符號(hào),當(dāng)然也有種可能,黑客是拿著大錘去撬機(jī)房服務(wù)器。:)壞人的眼睛一直在盯著我們,一次錯(cuò)誤就足以致命。

【應(yīng)該怎么做?】

我們應(yīng)該如何去防止這種事情發(fā)生呢?

進(jìn)不來(lái),進(jìn)來(lái)了帶不走,帶走了用不了,縱深防御的思維可以得到體現(xiàn)。

進(jìn)不來(lái)

想讓黑客們進(jìn)不來(lái),那就需要知道黑客進(jìn)來(lái)的入口在哪里?

1.對(duì)web服務(wù)器的攻擊,信息獲取的來(lái)源有工具掃描(nmap,nessus等),Google hacking,信息獲取的目的是為了獲取更多的信息去攻擊web端。

2.黑客對(duì)我們內(nèi)網(wǎng)或者vpn進(jìn)行攻擊,企圖通過(guò)辦公網(wǎng)進(jìn)入服務(wù)器。

如何控制住入口?

1. 制度

一:開(kāi)發(fā)遵循SDL開(kāi)發(fā)流程,上線前進(jìn)行安全測(cè)試,確保無(wú)安全問(wèn)題再上線。

二:不允許員工將辦公郵箱去注冊(cè)互聯(lián)網(wǎng)網(wǎng)站賬戶。

三:VPN或者其他第三方媒介的安全制度

四:漏洞修復(fù)流程

2. 流程:

一:通過(guò)IDS,對(duì)黑客嘗試入侵進(jìn)行報(bào)警。

二:定期對(duì)在線業(yè)務(wù)進(jìn)行安全測(cè)試,并輸出總結(jié)性報(bào)告

三:內(nèi)網(wǎng)(VPN)與服務(wù)器區(qū)隔離,或者有較強(qiáng)的安全認(rèn)證。

帶不走

黑客入侵后,為了獲取更多的權(quán)限和以后的操作方便(例如帶走大量數(shù)據(jù)),通常會(huì)進(jìn)行進(jìn)一步的提權(quán)或者是放置后門的操作。

在服務(wù)器上裝好“后門”,就可以在夜黑風(fēng)高的晚上對(duì)服務(wù)器數(shù)據(jù)進(jìn)行偷竊,那么換位思考下,黑客偷竊會(huì)有什么樣的行為?

一:首先會(huì)上傳web木馬,web木馬根據(jù)腳本會(huì)分不同的版本,但是每種惡意腳本中都會(huì)有關(guān)鍵字。

二:成功通過(guò)web木馬控制服務(wù)器后,黑客會(huì)對(duì)服務(wù)器進(jìn)行系統(tǒng)探測(cè),比如Linux版本,權(quán)限,網(wǎng)絡(luò)配置等等

三:熟悉服務(wù)器信息后,下一步就是基于黑客的目的而觸發(fā)的行為,比如通過(guò)已控制的服務(wù)器去滲透其他服務(wù)器,或者入侵?jǐn)?shù)據(jù)庫(kù),偷竊數(shù)據(jù)。

四:目的達(dá)到,清理日志,安裝系統(tǒng)后門。

在上述每個(gè)行為都會(huì)有自己的特征行為,可以基于行為通過(guò)主機(jī)監(jiān)控系統(tǒng)進(jìn)行防范。

在入侵者的典型入侵環(huán)節(jié)上都設(shè)置相關(guān)的探頭和監(jiān)控點(diǎn),比如當(dāng)入侵者上傳網(wǎng)頁(yè)后門時(shí),或者是使用木馬時(shí)系統(tǒng)都會(huì)及時(shí)發(fā)出告警,又或者入侵者通過(guò)漏洞操作系統(tǒng)的shell進(jìn)行入侵時(shí),監(jiān)控平臺(tái)也會(huì)記錄下所有操作,便于事后追查。

用不了

一:密碼用不了

Linkedin密碼樣本,加密方式為SHA1,比起直接粗暴的明文要強(qiáng)很多,但是SHA1加密真的安全嗎?很多人都意識(shí)中,認(rèn)為標(biāo)準(zhǔn)的hash算法(md5 sha1 sha256等)用于密碼加密是安全的,這個(gè)是一個(gè)誤區(qū)。我在網(wǎng)上截取了知名GPU破解工具破解指標(biāo)對(duì)比表。

【事件回放】

5000M c/s可大約換算對(duì)應(yīng)20億條每秒,那么暴力去“撞庫(kù)”,密碼真的安全嗎?

咨詢了國(guó)內(nèi)最大的密碼破解網(wǎng)站的站長(zhǎng),他給出來(lái)的建議是非標(biāo)準(zhǔn)hash+salt。

二:文件用不了

在互聯(lián)網(wǎng)上,經(jīng)常有人爆出某某絕密文件,某某公司財(cái)務(wù)報(bào)表等等,這些數(shù)據(jù)的價(jià)值無(wú)可非議,如何保證數(shù)據(jù)即使被偷竊也不會(huì)造成損失。推薦企業(yè)內(nèi)部使用文件加密系統(tǒng)。

應(yīng)急響應(yīng)

假如數(shù)據(jù)庫(kù)泄漏了怎么辦呢?

于周四,Linkedin發(fā)布聲明

在此事中,Linkedin在不斷的去補(bǔ)救密碼泄漏帶來(lái)的負(fù)面影響。發(fā)布公告—>限制被竊號(hào)碼登錄(止損)—>引導(dǎo)用戶修改密碼—>承諾整改。下面做了整理了一個(gè)表格,對(duì)Linkedin的應(yīng)急響應(yīng)做了梳理。

廠商

響應(yīng)時(shí)間

處理方法

態(tài)度

Linkedin

事件發(fā)生到發(fā)布聲明不超過(guò)12小時(shí)

引導(dǎo)用戶在網(wǎng)站修改密碼,不通過(guò)第三方媒介修改

承諾安全保護(hù),在加密的密碼上再加強(qiáng)驗(yàn)證

應(yīng)急響應(yīng)是門大學(xué)問(wèn),處理好可以達(dá)到亡羊補(bǔ)牢的作用,處理不好會(huì)帶來(lái)更多的危機(jī)。

【其他】

帳號(hào)的強(qiáng)弱鑒定

CSDN數(shù)據(jù)庫(kù)泄漏以后,有好事之人把數(shù)據(jù)庫(kù)進(jìn)行熱門密碼匹配,出現(xiàn)了普通,文藝,2B密碼排行榜。這次也不例外,有人把linkedin的密碼也做了下分析,如下圖所示:

【事件回放】

從圖中可以看到,“link”是最容易被獲取的密碼,其次是“work”和“job”,宗教如“god”、“angel”、“jesus”也是流行的密碼主題。另外,數(shù)字串“1234”和“12345”也榜上有名。

在帳號(hào)體系中,1.單點(diǎn)設(shè)置密碼是有強(qiáng)密碼策略,那么很多人就習(xí)慣性的去輸入1qazxsw2,完全符合策略,可是這個(gè)只能算大眾強(qiáng)密碼。2.預(yù)防這種符合策略又不安全的密碼,我們?cè)趲ぬ?hào)體系中有比較有效的方法防止自動(dòng)化密碼驗(yàn)證行為。

可是筆者擔(dān)心的是,隨著密碼庫(kù)泄漏的數(shù)量越來(lái)越多,不能在密碼設(shè)置中去徹底解決弱密碼問(wèn)題,需依靠堵截自動(dòng)化行為密碼驗(yàn)證的行為難免百密一疏。

隱私保護(hù)

這次linkedin密碼泄露的問(wèn)題,衍生出了一個(gè)隱私問(wèn)題,有關(guān)科技網(wǎng)站爆料,linkedin的IOS客戶端存在偷偷上傳用戶的日歷,待辦事件,通訊錄或者還有密碼信息,linkedin的解釋是上傳一些非必要的數(shù)據(jù),是為了做數(shù)據(jù)分析,更好地為用戶服務(wù),但是這個(gè)在隱私保護(hù)意識(shí)強(qiáng)的國(guó)外,無(wú)疑是會(huì)受到指責(zé)的,在IOS客戶端中,Path等也出現(xiàn)過(guò)這樣的問(wèn)題。不過(guò)都在被爆出來(lái)后迅速修復(fù)了。

 

 

由linkedin數(shù)據(jù)庫(kù)泄漏引發(fā)的思考

我們不僅要保護(hù)我們的客戶端沒(méi)有危害用戶隱私和密碼明文存儲(chǔ)的行為,而且要保護(hù)我們的用戶不受到惡意程序的侵害,特別是在安卓平臺(tái)下,未經(jīng)用戶允許,讀取短信,圖片,甚至是吸費(fèi)的程序一直層出不窮。

【尾聲】

安全無(wú)小事,僅靠網(wǎng)絡(luò)安全工作者的努力是遠(yuǎn)遠(yuǎn)不夠的,一方面我們?cè)谇靶,另外一方面安全需要大家的參與和配合,這樣黑客才無(wú)處遁形。

寫完這篇稿子的時(shí)候,在微博上得知last.fm的數(shù)據(jù)庫(kù)也泄漏了,在日益嚴(yán)峻的網(wǎng)絡(luò)安全環(huán)境下,安全工作任重道遠(yuǎn)。


本文出自:億恩科技【www.allwellnessguide.com】

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]

  • 您可能在找
  • 億恩北京公司:
  • 經(jīng)營(yíng)性ICP/ISP證:京B2-20150015
  • 億恩鄭州公司:
  • 經(jīng)營(yíng)性ICP/ISP/IDC證:豫B1.B2-20060070
  • 億恩南昌公司:
  • 經(jīng)營(yíng)性ICP/ISP證:贛B2-20080012
  • 服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:0371-60135900
  • 虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:0371-60135900
  • 專注服務(wù)器托管17年
    掃掃關(guān)注-微信公眾號(hào)
    0371-60135900
    Copyright© 1999-2019 ENKJ All Rights Reserved 億恩科技 版權(quán)所有  地址:鄭州市高新區(qū)翠竹街1號(hào)總部企業(yè)基地億恩大廈  法律顧問(wèn):河南亞太人律師事務(wù)所郝建鋒、杜慧月律師   京公網(wǎng)安備41019702002023號(hào)
      0
     
     
     
     

    0371-60135900
    7*24小時(shí)客服服務(wù)熱線