在过去的几个月里,有几个不同的黑客组织(媒体喜欢将其归为一个域 - “匿名”)进行了几起公开的数据泄露和公共网站破坏,最近一些针对 BART 和附属组织的攻击是在一个有争议的由运输机构移动。
可以想象,一些面向公众的网站(实际上是广告牌)没有得到很好的保护(比如两个月前的中央情报局“黑客”),允许具有一些黑帽经验的人能够进入并弄乱和破坏网站(以及发布一些关于 FS 组织和其他东西的无关紧要的细节)。然而,他们每隔一段时间就会发布一些更私密的细节,比如来自攻击中的各种数据库服务器的用户名密码的纯文本列表。
我感到困惑的是他们如何获得如此庞大的密码列表。这些服务器的配置是否如此糟糕以至于 Web 服务的密码以纯文本形式存储?“匿名”暴力是否强制一些哈希列表并释放低悬的密码果实(这会扭曲看起来简单的密码数量)?他们是否根据被黑的服务器进行设置并记录所有密码?
对我来说,与合法组织相关的网络服务会以这样一种方式存储密码信息,让任何拥有一些黑客脚本的人都可以轻松检索到它,这似乎有点令人不安。
是的,很多这些网站的配置都非常糟糕,以至于它们以纯文本形式存储密码。
或者,当密码被存储为加密哈希时,黑客正在释放易于解密的密码。实际上,只有在 NewsCorp 黑客事件中,Anonymous 才解密了密码,除此之外,他们只是发布了密码哈希值:不过,主流新闻感到困惑,并将其描述为发布密码。在实践中,解密哈希非常简单。例如,人们能够解密 Booz-Allen 转储中 40% 的密码。
不,他们没有拦截密码。他们基本上只是将所有东西都倾倒在服务器上,破坏网站,然后继续前进。
我不知道您为什么会感到不安:您在 Internet 上提供密码的大多数网站都会以纯文本形式存储密码。只有非常有安全意识的人,那些一开始就倾向于保护自己免受黑客攻击的人,才会担心对密码进行散列处理。
据我了解,来自 LulzSec、Anonymous 等的大多数妥协都是 SQL 注入。HBGary、Sony、Apple ……他们都因为 Web 应用程序中的 SQL 注入缺陷而倒下。http://www.google.com/search?q=anonymous+sql+injection
有时密码是明文的,有时它们是由小组预先破解的哈希值,有时他们只是发布所有哈希值的洪流,让全世界弄清楚。
另外,一个很好的 infosect 提示:不要给你的网络应用程序查询密码的权限。使用存储过程来比较它们。这样,即使您是 SQL 注入受害者,也没有人可以转储密码哈希。
尝试关注 Troy Hunt 的博客,例如这篇文章。一个站点被黑客入侵和帐户信息(带有明文密码)被盗的最糟糕的部分意味着其他站点存在安全风险,因为人们倾向于重复使用密码。
干杯,维姆