第660章 群島計劃(1/2)
馬競說話時,湯佳怡卻在努力控制自己的下巴,既是為了強忍笑意,也是為了避免開口吐槽製造夫妻不合。
作為知情者的她很是清楚,別看帳號自檢器最近大出風頭,在大屏小屏上不停刷屏,各種頭條也上了不少,但實際上那個網頁小工具並沒有人們想像的那麼厲害。
馬競倒還沒有掉節操到弄虛作假,直接虛構數據的地步,之所以出現這樣的結果完全是多種因素共同造就的結果,他和安全部門的努力、現場記者的生花大嘴,以及某位黑客的莫名助攻,三方面的力量合在一起才掀起了這波滔天巨浪。
小工具的亮相是很驚艷的,隨著有人忍不住嘗試使用,工具首頁上就開始不斷刷新被攻破的帳號id以及總數和破解率數字,卻沒有顯示具體被攻破的網站/應用名稱,因為實際上被它破解的帳號大多出自一些不知名的小站,大站帳號並沒有多少。
因為心理上的不重視,用戶在小網站/雜牌應用上註冊帳號時往往相當隨意,會更加更傾向於使用好記簡單的帳號與密碼,比如abcde、1456、qweasdzxc之類,而通常都是小公司甚至個人的運營者在安全防範方面也要鬆懈不少,不說密碼複雜度提醒、登錄重試次數限制,還有異常登錄攔截這些常見安全舉措一般都沒有,自然容易攻破。
實際上,限於成本和技術水平,他們的伺服器也都是便宜的虛擬主機裝上免費開源的建站系統,通用漏洞特別多,被整站攻破的機率非常高,因此也是各路脫褲魔的首選攻擊目標。
相反,正規大站帳號被攻破的機率就小很多了,用戶心理上更加重視可以容忍複雜難記的密碼,運營方自身各種安全措施也會比較到位,一般不容易被直接攻破。就算偶有用戶帳號被盜,也多是通過弱密碼/撞庫嘗試、木馬病毒、釣魚攻擊,甚至補卡重置密碼等方式實現的。
撞庫就是通過各種渠道,比如攻擊某個知名小站獲得用戶資料庫,再將其整理後拿到別的網站上進行登錄嘗試,就像撿到一串鑰匙在門鎖上挨個試一樣,運氣好撞上了就能打開帳號可以進行進一步操作,運氣孬啥也沒有,那一條帳號密碼自然變成垃圾信息。
經過幾十年的時間發展,明面上的信息產業發展繁榮,黑客的世界也開始有了「產業化」和「產業鏈」,這麼做的黑客也因此被大家叫做黑產者,負責入侵拖庫的黑客想辦法拿到某網站資料庫以後將其打包賣掉,有心人買下來以後再通過其他方式變現。比如掛機撞庫得到有效帳號再進行深入「開發」,又比如做成「開房查詢」網站吸引流量賣GG,到了最後價值被基本榨乾的資料庫才會被披露給外界,放出來讓人公開下載以達到廢物利用的目的。前幾年被人泄露出來的csdn和天涯論壇資料庫,就是產業鏈開發的典型,泄露時間遠遠晚於入侵時間。
撞庫攻擊自然是違法犯罪的,畢竟撿來的鑰匙不是你的,無論保存還是使用都是被禁止的。
馬競當然不能知法犯法,所以他的網頁小工具並沒有採用成功率和效率可能更高的撞庫攻擊,而是用了比較「傳統」的密碼字典猜測法,唯一的區別就是他的字典來自真實數據,又經過反覆訓練優化,可以說是「基於大數據」的字典2.0,成功率比傳統方法高不少。
特別是這貨還有意混淆概念,讓大站小站攪在一起,大家一眼看過去,顯示安全的都是gjshgld之類一看就是胡亂輸入的帳號,而外觀正常普通的帳號大部分都被攻破了,看起來就顯得非常嚇人。
其實只要嘗試過的人就很容易發現,被成功登錄的網頁大部分都是些不入流的小網站,比如圖片下載站盜貼小說站之類。不過大家畢竟在聽演講沒辦法公開交流,因此並不知道小站帳號的比例是多少,只能看到工具首頁上不斷增漲的攻破帳號id總數以及破解率數字。
馬競的聽眾里有很多各種科技公司的頭頭腦腦,他們或者出身技術或者耳濡目染,都有著不錯的的技術底子,自然都能明白台上那位玩了那些花招。但是另外一幫人,媒體圈特別是科技類新聞網站的記者朋友就有些「不懂」了,這群經常震驚崩潰哭慘賺翻的特殊人類,看到手機上「怵目驚心的」數字後想到的第一件事不是猜測原理質疑真實性,而是立即截圖發文章,畢竟搶新聞可是分秒必爭的說。
原本,這種一圖流新聞並不見得能夠火起來,其熱度甚至可能還不如老中醫祖傳的食物相剋表和子虛烏有的轉基因毒害國人體質的傳言,但是這時卻有人跳出來放助攻了,最近正在籌備私有化退出美股市場的nasdaq中概股佳百網,昨晚突然被人爆出網站被攻破、一億用戶數據慘遭泄露的消息,一下子引燃了全國乃至全世界的討論熱情。
不知道巧合還是冥冥之中自有定數,在半年前號稱前球最大的婚外情網站ashleymadison就曾被黑客攻破,鬧出了一場瀰漫幾個月至今還沒有徹底消散的風波鬧劇。一開始黑客放話時網站還是不承認的,直到人家放出包含3700萬用戶基本資料的數據包,這家成立13年的加拿大約x網站立即被推上了風口浪尖。
各路媒體下載披露的數據後紛紛化身「大數據分析師」,製作出各種全球出軌地圖、全球最放『盪城市、最開放大學、用戶性別構成分析、出軌年齡排行榜、表里不一政客等等衍生產品,很是為全球人民發現了一整個夏天的精彩娛樂。搞笑的是,因為被全世界媒體深入分析解讀挖苦,反而導致了強烈的品牌傳播效果,他們的註冊用戶數因此終於突破了4千萬大關。
本來過去了半年時間,除了美國f逼和加拿大皇家騎警以外,已經沒有多少人還關注這起入侵事件了,畢竟該分的已經離了、離不了的已經繼續過了,不過佳百網這一發震撼彈放出來,卻是把大家重新炸醒了。
因此之故,本來眼看著就要石沉大海無人問津的「馬競當場演示入侵,你的密碼不安全」的話題一下子就火了起來,在網絡上相關話題迅速走紅到處刷屏不說,即便在線下人們茶餘飯後也免不了談論一下密碼安全。畢竟這年頭各種各樣的密碼充斥大家的生活,想躲也躲不開,除非你跑去深山種玉米。
至於這兩種攻擊方式的異同,卻不在那些樂於談論之人的注意列表裡面,畢竟熱門話題什麼的只是熱門話題而已,不知道顯得low,知道太多也沒意義,誰知道啥時候就過時了呢。
馬競早就知道佳緣網被黑了,但是具體是誰幹的卻不清楚,那破網站在他看來就跟草棚子一樣四面通風毫無安全性可言,需要猜測是誰幹的自然是難上加難。不過他卻完全沒想到那幫子黑客們居然這麼快就把帳號數據放了出來,要知道這種新鮮資料庫「開發價值」巨大,一般要倒好幾次手才會公開傳播進入公眾視野,現在放出來完全是浪費資源的說。
本章未完,點選下一頁繼續閱讀。