【导读】
近期接连爆出网站注册用户的账号密码,以及邮箱地址信息,被公布在网络上,并且提供网络下载地址,而且这些网站泄漏的信息都一个特点,多数为2009年左右,且是提供账号名称、密码和邮箱地址信息,这就非常值得可疑,为此以一个IT从业者的角度谈谈个人看法。
首先我们梳理下,这次网站账号密码被人公布在网络上事件的过程:
(1). 新浪微博爆出部分用户被劫持,用户投诉自己的新浪微博莫名其妙地帮转其他人的微博信息;
(2). 行业内爆出著名IT技术领域网站CSDN 600万用户的账号密码和邮箱地址信息被人公布;
(3). 著名论坛型社区网站被爆出天涯4000万用户的账号密码和邮箱地址信息被公布出来;
(4). 即时在线IM用户最多的腾讯也被爆出,用户的账号密码信息被人公布出来,暂时未见下载地址;
(5). 最后,行业内有更多相关信息,描绘 人人网、开心网等网站的账号密码信息也泄露了,但是还未见相关下载地址等信息;
上述网站账号密码信息被爆出的都是明文密码,这说明国内多数网站保存用户账号密码为明文的习惯还是没有改变,其实我们以前的游戏注册网站也是保存明文密码的,只不过是单独存放在特殊的数据库服务器中,并且隐藏在最后面的方式,内部应用程序都无法直接访问。
wooyun.org网站正式公开访问以来,确实公布了不少网站应用、在线企业软件、网络游戏等应用的漏洞,而且这些重大新闻信息的公布都与其有关,并不是说始作俑者是该网站的作者(注:请各位不要误解),再结合上述所言这些被泄漏的用户信息多数为2009年左右时期的数据,也即说明这些信息可能早就被盗出,只是还未公布或未大规模范围内传播而已,只不过wooyun.org网站的影响力越来越大,关注的人数越来越多,为此已经公布立即被传播开而已。
我们再谈谈关于明文密码的相关事情,很多人在网络上散步言论说是政府要求审查用户信息而不得不方便政府的人员登录访问,而对用户密码信息存储为明文,这个说法几年前就有的,个人阐述下此说法不靠谱的前因后果:
(1). 即使有关部门需要审查用户的资料信息,也没有必要需要用明文密码登录的方式,可以通过相关系统直接提供此类服务,根本不需要登录,就像网络游戏行业的GM工具一样;
(2). 保存明文密码,主要是早期企业无相关技术实力,更多是安全意识,为此就保存为明文密码;
(3). 保存明文密码,是为方便用户借助账号名称,外加邮箱地址或手机号码的方式找回密码,而多数采用邮箱地址,多数人担心自己的手机号码信息被倒,而担忧短信骚扰;
关于账号、邮箱地址及明文密码被泄露是否黑客所为?若是真正的黑客行为,往往不会这么公开地提供下载地址,而往往是以网络交易方式进行,一般一封邮件(注:一封邮件单位为100个用户账号信息)售价是1元人民币,若是以此价钱出售的话,像CSDN的账号密码信息至少可以卖6W块,综合相关信息考虑,应该不是黑客直接攻入其系统内部偷盗的数据,更多的信息指向是内部人员自己倒卖,或者是内部人员不慎在个人电脑 或者 无安全措施且有外网IP地址的服务器上,被黑客扫描到或者像360杀毒软件等途径泄漏,不过我更加相信最后一种猜测,因为只是安全意识造成的,而不是人为出卖自己品格方式造成的。
既然已经发生用户账号密码等信息泄漏,IT从业者及互联网行业公司也别庆幸自己家没发生此类事情,我们应该反思如何杜绝此类事情的发生,或者说让违法成本更高,那么我们大家可以一起探讨下:是否真有必要保存用户的明文密码?或者把用户密码加密成可逆的密文?
针对上述抛出的问题,我们简单做下解答:
(1). 明文密码是100%没有必要保存,这样成本和风险代价太高;
(2). 不保存明文密码,也不影响用户忘记密码如何办,我们可以提供密码重置功能,还可以对用户注册信息更完整地收集有帮助,比如与手机号码绑定的方式,与身份证绑定的方式,密保问答的方式等;
(3). 若真是有关部门要求查阅用户信息,也可以通过内部系统的方式访问,但是限定于公司内部IP地址方式;
(4). 用户密码加密成可逆的密文,主要是不采用客户端许可证等模式,非常容易被黑客破解。采用客户端许可证、U盘等模式,又限制用户的方便性,以及网页JS端就必须支持加密,否则明文传输就容易被拦截,若是JS端就运行加密算法,无客户端支持情况下,更会加大黑客们破解加密解密算法的容易性,为此保存为可逆的密文方式基本不靠谱,对于多数应用性网站,除非指纹技术在终端设备上非常普及;
综合上述信息的描述,鼓励互联网企业应用必须转变方式,改为苛刻模式保存明文密码,或者立即转换成只保存不可逆的密文,但是提供更加完备,相对而言更安全可靠的密码修改方式,另外不少公司对待用户输入的账号密码信息都没有加密,而是明文在互联网上传输,这是一种非常危险的方式,至少要对用户输入的密码信息在JS端就进行加密,然后进行网络传输给服务器端。
最后,我们再谈下互联网行业从业人员的安全意识及自身品质的要求。国内不少早期创业且现在有所成就的公司,其系统中都有创业者也即老板性角色自己写的代码身影,以及元老们写的代码,从当时的角度看很好的做法,但是现在已经落伍了,为此管理者必须坚定地支持和推进系统的技术改造,以适应IT行业技术的飞速发展,否则就可能要吃大亏的,像京东商城属于当下吃亏最严重的公司,千万不要碍于个人面子关系而去阻碍后来者的技术改造。
安全意识必须贯彻到每个人的心窝里,否则就随时可能因某个人的疏忽大意而出问题,以前可能很多黑客是直接攻击外网服务器的模式,而这块多数技术人员都有明显的安全意识,并采取了相应的预防措施,然后公司的办公网络,以及个人办公电脑确实最容易被疏忽,从而成为被秘密攻击的对象,然后借助个人办公电脑或办公网络去攻击企业的服务器,或者偷盗数据的方式早已经成为公认的捷径,为此对于有条件的公司,必须净化公司的办公网络,对非必须人员(如SA、DBA、NA以外人群)尽量不要开放个人电脑的系统管理员权限,而是采用按工作需要统一安装软件或公司内网程序安装软件的模式;对能访问服务器系统的人员,采用VPN的模式,并且集中访问某内网某台或集群的挑战模式,再去访问需要到达的服务器。
关于服务器的访问权限及人群关系,比如应用程序服务器 和 后端数据库服务器,以及数据备份存储的设备等,必须进行网络路由隔离和控制的模式。对访问的人群,必须做一些必要性限制,尽量减少接触相关服务器的人员,以及针对不同需求只给定合理的权限,并且尽量给予其更小的权限,避免权限过大;对于需要真实环境数据测试之用时,要尽量使用模拟程序自动生成的模式,或者对需求者实行总监审批流程,并且要求去掉敏感数据,以及把一些信息混淆之后再提供给内网进行之用。
对于上规模的公司,也即走上正轨的公司不要省掉花费在安全防护上的费用,应该花费的钱必须花,并且不要一味相信设备是万能的,而应该多坚信安全技术从业者才是最重要的,并且让他们定期给出公司的安全信息报告,并且针对DBA、SA、网络工程师等要采用秘密内审计的模式,以防止出现隐患。
【结束语】
上述也只是个人泛泛而谈,再次强调网络完全靠架构师、Coding工程师、网络安全工程师、系统工程师等,对于DBA人员必须加强安全意识信息传达,而且招聘DBA的时候必须考虑其人品,否则可能出大问题,以前的公司曾被我查出过一位老员工偷公司的游戏点卡,不过他很识趣地提前离职了,以前盛大也发生过,另外也请老板级别人物别亏待这些苦逼的DBA们,但是也请DBA从业者以人品为重,不要因小失大,既犯道德上的错误,还违法而可能遭受法律的惩罚。我们技术圈内的人,要多努力,避免再次发生 天涯4000万,CSDN600万用户账号密码信息泄漏的事情,安全无小事,一丁点细节都可能被网络高手发现和利用。