几天前, 一个令人震惊的消息在安全圈里传开了, 俄罗斯黑客集团盗窃了12亿用户密码。 这条消息过于骇人听闻, 因此安全牛并没有一键转载, 而是继续跟进此消息, 通过进一步的深挖, 我们发现了一些疑点。 很可能这个消息是一场精心策划的公关事件。 下面为您解读:
纽约时报爆料的源头来自一家美国安全公司——Hold Security。 凭借纽约时报的全球影响力和公信力, “12亿用户密码泄露”迅速成为安全界的头条新闻。 然而, 仔细分析这则新闻, 我们会发现以下一些疑点:
1) 从报道来看, Hold Security把盗取的用户密码数量达40亿, 属于12亿独立用户。 黑客从42万个网站上获取到这些数据。 但是, Hold Security并没有说明他们是否或者如何得到这42万个网站列表。
2)Hold Security以进一步调查为理由, 没有公布这些网站的名称以便让用户可以修改密码。 这在安全事件的公布里显得很奇怪。
3) Hold Security推出了一系列服务, 针对企业, 每年120美元, 可以对企业网站是否遭到数据泄漏提出告警, 对个人, 免费测试用户密码是否泄漏。这对于一个“还在进一步调查”的安全事件也显得非常奇怪。
4) 出了这么大的安全事件, 我们没有看到任何美国或者其它国家的计算机应急中心(CERT)发出的任何警告, 也没有看到任何有关国家执法机构介入调查的相关报道。
我们访问了Hold Security的站点,发现这家公司是一个名为Alex Holden的人创办的。 而这个Holden就是向纽约时报爆料的安全专家。 除了这次的安全事件外, 这个公司还爆料过 Adobe源代码泄漏事件, 以及PRNewswire的用户密码泄漏事件。 有趣的是, 这几次安全事件的报道, 都与一个叫Brian Krebs的安全博客能够形成互动。 Brian Krebs以前是一个记者, 后来开始建立自媒体, 专注于网络安全方面的事件,因对(俄罗斯)地下网络犯罪的深入独家报道而著称,而真正让Krebs这个博客火起来的,是2013年底率先披露了Target等美国零售商去年黑色星期五网购高峰期间的用户信用卡数据泄露事件,该事件也恰恰出自俄罗斯网络犯罪集团之手。根据纽约时报的报道,Krebs从一位没有信息安全技术背景的记者摇身一变成为全球超一流信息安全威胁分析师,这着实有些匪夷所思。Hold Security的网站上, Brian Krebs是该公司的特别顾问(Special Adviser).
Hold Security位于美国威斯康星州的密尔沃基。 当地报纸《密尔沃基哨兵日报》的两个记者随即对Alex Holden进行了一番调查。 他们发现, Alex Holden 来自乌克兰, 其父母曾在乌克兰首都基辅做工程师, 他小的时候随父母从苏联来的美国。 而他在2013年2月成立这家公司前, 他声称在密尔沃基当地的一家证券公司Robert W. Baird & Co担任首席信息安全官达10年之久。而记者询问Robert W. Baird & Co时公司表示不予评论。 此外, 他的LinkedIn主页上写道他1993年到2001年在威斯康星密尔沃基大学获得机械工程学士学位, 在他接受采访时也是这样说的。 而记者向威斯康星密尔沃基大学进行查询时, 学校方面则表示没有Alex Holden的学位记录。 随后在与《密尔沃基哨兵报》的记者的电话采访时, 当被告知学校查不到记录时, Alex Holden承认他没有读完学位。
当然, 我们不能仅凭Alex Holden在学位这样的问题上撒谎就否定他说的任何话。 下面我们来就事论事看一看一些疑点。
安全牛编辑试了一下个人的服务。 要求你输入你的邮件进行注册, 注册成功后可以验证密码是否泄漏, Hold Security网站你要求输入你要查询的密码, 通过Javascript用SHA-512传给到Hold Security的后台数据库去做比对。好吧, 是不是有点眼熟? 对, 钓鱼网站是不是经常这么搞?
就算我们以小人之心度君子之腹, Hold Security的做法又令人产生一个怀疑, Hold Security难道手上就有这个12亿用户密码的数据库吗? 而且, 做个网站开发的都知道, 不同网站采用的加密算法或者Hash算法不同, 比如有的用MD5, 有的用SHA1, 有的用SHA256等等 , Hold Security如何能够知道我输入的密码经过SHA-512生成的Hash值就能与数据库对上呢? 难道Hold Security已经把这些密码转成明文后又重新用SHA-512生成了一遍?此外, 还有的网站会对密码采取“盐化”,如果这样的话, 就算是Hold Security有了数据库, 也没办法做密码比对。
此外, Hold Security也一直不肯透露它究竟是如何获得关于这12亿泄漏密码的消息的。 不过, 根据我们对Hold Security提供的主要服务Deep Web Monitoring的分析, 它基本是通过Tor网络进入一些在Tor上面的论坛和聊天室进行监控的。 这些论坛和聊天室其实每个Tor用户都能进入。 你我都可以。 只不过我们都不懂俄语, 所以不知道俄罗斯黑客们在聊些什么或者在交易些什么。 而Alex Holden由于懂俄语, 则有可能通过监控这些论坛和聊天室获得一些信息。 只是我们无法验证这些信息的真伪。
The Verge的一个作者Russell Brandom也质疑了被Alex Holden成为CyberVor的黑客团伙, 根据Alex Holden, 这些黑客坐拥12忆用户密码, 却并不在黑市上卖这些密码或者利用这些密码进行真正的金钱盗取活动, 而是仅仅用来用来通过Twitter发送垃圾消息。 Russel Brandon认为这说明这些密码虽然数量惊人, 其实质量并不高。事实上, 对于网络黑市来说, 12忆密码可不是一个小价钱, 而如果这些密码都是有效的话, 那么我们只能认为那些仅仅用来进行发送Twitter垃圾信息的黑客们纯粹是一群白痴。
还有, Alex Holden宣称俄罗斯黑客通过僵尸网络进行自动化的扫描和SQL注入的方式入侵了40多万个网站从而获取了这些数据。 这一点也同样令人怀疑。 如果真是这样的话, 那么自动化扫描的站点至少是几百万个。 而且一定是利用了某些流行的CMS的漏洞才能如此大规模的进行自动化的SQL注入和拖库。 而遗憾的是, 如此大规模的僵尸网络行为竟然没有引起任何网络安全公司和国家CERT的注意。 这未免也太小看美国和其它国家的网络安全防护能力了。 尤其是, 具备如此能力的黑客团伙居然只是拿这些密码来干干Twitter垃圾信息之类的事, 这也实在让人难以理解。
结合上面的种种疑点, 我们做出这样的推测。 这个成立于 2013年由来自乌克兰的移民创办的名为Hold Security的公司, 主要通过监控Tor网络上的俄语论坛和聊天室获取关于入侵和数据泄漏的信息。 也许还会从黑客那里买一些数据。 通过几个熟悉媒体运作的自媒体博主和媒体圈的关系, 经常抛出一些数据泄漏的案例来吸引人注意。 而这次的12亿密码泄漏, 则是经过精心的策划在黑帽大会期间发布, 以期引起轰动效应。 而实际上是为了推广自己的服务而采取的公关手段。 而“12亿”, “俄罗斯”, “用户密码泄漏”等等关键字也是能让纽约时报等媒体兴奋的字眼。
不得不说, 网络安全非常重要, 而网络安全引发的事件也越来越得到人们的重视。 不过, 由于网络安全的特殊性, 很多信息往往难以证实。 这样也给了很多公司和个人利用这个话题进行炒作和虚假宣传的机会。 而这样一些炒作和媒体的推波助澜, 对建立一个真正网络安全环境和提高人们的网络安全意识是没有益处的。