86析与启示-启明星辰安星web安全运维团队【荐】.pdfVIP

2011 年底大规模数据库泄密事件的启示与分析 启明星辰安星 web 安全运维团队 第一部分：泄密风云 2011 年 12 月 21 日，著名 CSDN 程序员社区网站 600 多万用户账户信息，明文密码 遭泄露；仅过了一天，天涯社区近 4000 万账户信息被泄露。然而大风起于青萍之末，中国 互联网出现史上最大规模泄密事件刚刚拉开大幕。据统计截至 12 月底，疑似泄露的数据库 有 26 个，涉及帐号、密码 2.78 亿条。但大家更多的相信这只是其中的一部分— 对于黑客 地下产业链基本已经失去经济价值的部分，更有一些未公开的数据在流通。 1.1 成熟的地下产业链 互联网安全经过近 10 年的历练，攻防技术都有了很大程度的提升，但黑客地下产业链 也随之日益成熟，对于如何把存在于计算机中的冰冷字符，变成现实中的货币，已经有一套 完整的，成熟的分工协作渠道。如此大规模的数据泄密，背后当然不是一个黑客或者团队所 为，其手段也必然包含了入侵技术，社会工程，甚至是高级持续性威胁（APT）。能够鼓舞 黑客们宁愿冒着很大的法律风险，那就是其背后巨额的经济利益。 入侵者从发起攻击，到获得经济收益，大致可以分三个步骤--①拖库：把目标系统的用 户数据导入或者下载到本地；②洗库：对数据库进行层层利用，获取经济收益；③撞库：以 大量的用户数据为基础，利用用户相同的注册密码习惯，尝试登录其他目标网站。以下是一 个“拖库—洗库—撞库”的示意流程图： 1.2 本次泄密的进一步影响 ① 史无前例的密码危机：2 亿以上的用户注册信息，会极大的提升撞库和暴力破解的效率， “彩虹表”信息也会变得更加高效，这会把那些未被拖库，或者对用户密码信息进行一定保 护的运营者推向更大的风险之中。在已经爆出的部分数据库，实际上并不是真正的源网站泄 露，而是通过“撞库”拼接出来的，尽管如此，对目标系统用户信息进行窃取的目的也基本 达到。 另外，原本在地下流行大量用户信息，突然之间变得平民化，这样除了黑客团体，又有 可能存在大量的，存有好奇心的网民加入到不需要任何技术基础的，无明显目的性的入侵事 件，对此带来的影响实际上无法定量的评估。 ② 网民的个人隐私危机：大量的 SNS 网站，电商网站的注册用户信息非常全面，除了邮件， 手机，即时通讯等，还包含了真实姓名，收货地址，职业，单位，甚至是身份证号码。“人 肉数据库”可能在地下产业链更加完备— 通过你的用户名或者邮件，快速定位你的常用密 码及所有的个人隐私信息。 如果说密码失窃了还可以更改，但个人的隐私泄露却难以弥补，网民有可能承受更多的 垃圾推广，恶意诈骗等的骚扰。 ③ 为 APT 提供了丰富的社会工程信息：一般来说，高级持续性威胁（APT）攻击是针对某 个组织或者国家重要部门发起的一系列攻击。其很重要的一个手段就是渗透到内部网络，并 长期蛰伏，收集重要信息。在被暴露的电商数据库中，里面存有用户的真实姓名及带有明显 单位信息收货地址。这就为入侵者提供了目标系统的多个跳板，通过控制这些用户的电脑， 有可能进入该单位的专业系统。 第二部分：“拖库”的几种典型技术手段 拖库，有时也被称为爆库，刷库。是指某个数据库被入侵后，攻击者从数据库导出数据 的过程。常见的脱库技术手段主要有以下几种方式： 2.1 直接利用 Sql 注入点 这里以一个 SA（数据库管理员）注入点为例，对于没有对 SQL 注入进行防范的 web 系统，通过执行几条 Sql 语句，便可轻易将目标数据库中所需要的信息导入到攻击者本地数 据库。 ①首先，复制目标数据库信息 ②根据第一步得到的数据库名称，复制库中的表信息 ③根据第二步得到的数据库表信息，复制指定表中的字段信息