最近与信息安全有关的事件真是层出不穷。正好可以带大家撸一撸。
1、拉勾网的致歉信
2、百度云盘隐私泄露
3、网易邮箱账号密码泄露
4、美国政府完成对苹果手机破解
阅读之前,如果有最近新加入的订阅者,建议可以看我的旧文了解一些技术背景信息。
怎样成为一名黑客
信息安全常识科普
创业公司如何做好信息安全(上)
创业公司如何做好信息安全(下)
1、拉勾网的致歉信
前段时间朋友圈被一条内容刷屏,叫做,“对不起,这个黑锅我们不背。”,拉勾网的公关文采说实话,相当好,很有理有利有节,被对手抹黑,自己如何无辜,恶意竞争如何没底线,然而仅仅不到两个月,剧情大逆转,拉勾网的致歉信再度刷屏,原来对手没有抹黑!而这一次刷屏没多久,基于各方面压力,这封致歉信又被发布方主动删除。
剧情还原
2个月前, Boss直聘网说拉勾网通过不正当手段导致他们APP下架,拉勾网反驳说对手造谣污蔑,下架是因为自己产品采用了不正当推广方式。 此事拉勾网的反驳文章在网上广为流传,Boss直聘网产品被下架,颜面也尽失。然后,Boss直聘网报警,警方介入调查。
今天,拉勾网致歉信出来了,大意是这样,是公司不知情的情况下,一个公司程序员自发的黑入了对方的邮件和苹果商店后台,将对方产品下架并修改了诸多信息。公司表示完全不知情,对之前的文章表示道歉,然后表态说,大家要良性竞争,不要彼此恶性攻击。
那么,问题来了,你信么?
我一向不喜欢阴谋论,但是一个程序员在没有任何激励,没有任何领导授权的情况下,冒着这么大的法律风险,作出如此行为,如果让我相信许单单,就只有一个解释,这个程序员对公司的忠诚和热爱,这种自发的工作精神,远远超出了我们这个境界。 当然,这是有可能的。
顺便多说一句,可能很多人以为黑客的行为诡秘,很难被抓,很多人会有这样的侥幸心理,我以前在知乎回答过这个问题,很简单的回答,黑客被抓,主要是因为三个原因。
第一,水平不够,简单说,屁股没擦干净。
第二,得罪了不该得罪的主儿。
第三,自己背后没人罩着。
第一条,可能大家觉得门槛不高,但实际上,基本上,99%+的黑客入侵行为,只要有关部门想抓,都是有痕迹的,屁股真能完全擦干净的,凤毛麟角。
第二条,你说Boss直聘网算不算不能得罪的?真不算,很多创业公司被人黑,被人DDoS根本就没脾气,但这事,你中间黑了别人的腾讯邮箱账号,这事说来可大可小,但腾讯要是肯配合,基本没有查不出的。
第三条,那啥,不展开了。
拉勾网是真无辜还是装无辜,我不是知情人,我不敢下结论,看后续是不是走司法流程了,这可真不是一个道歉可以解决的事情。
中国互联网的恶性竞争,引入黑客攻击的手段打击竞争对手,这事我还真是见得多了,绝大部分都不了了之,我自己在十来年前做网站的时候也被人攻击的很惨,我见识过的最早案例发生在大约20年前,恩,连三大门户和上市公司都还没有的年代,别问我细节了,不讲。
2、百度云盘泄露,艳照门事件
有人反馈,在google上用某些关键词可以搜到百度云盘里的用户分享照片,其中存在相当多暴露隐私的露点和XX照片。
百度今天发了辟谣,说自己的策略没有任何问题,只有用户主动开启分享才会被外界看到,这些问题都是别人诋毁,保留法律手段。
我还真的看到了别人分享的某些云盘艳照记录,很多都是生活照,而且是正常人正常家庭,然后部分露点乃至XX照就被分享出去了,你说这是他们主动分享的?这真不信。
但是话说回来,用相关关键词搜索,得到的结果并不多,说明不是普遍泄露,而且,这些策略是可以自己测试的,我倾向于认为,应该也不是百度的产品策略问题,这里最大的可能是,用户自己的误操作,相关的提示不够明显,用户在不明确风险的情况下开启了分享。然而,百度说,这都是诋毁,要保留法律手段。
这真不是诋毁,你看看那些照片,体会一下,被分享的用户是不是很无辜,他们的家庭和生活是不是很受伤。然后你想想,真的是人家为了诋毁你做的这事么?!
一遇到负面就想到是竞争对手在搞,一遇到批评就想到是自己受到了不公正的评价,百度现在这公关反应到跟某国政府挺像的。
当然,对这事的最终内情,我也是不够了解,以上基于常识判断,烦请读者自辨。
3、网易账户泄露
先是被暴出有50多G的邮箱账户密码资料,后来又暴露出90多G的版本。
其实我以前是夸过网易的,这家公司是国内非常扎实有成就的公司。
了不起的网易
其实关于网易邮箱密码泄露的事情,很早就有风传,网易一直坚持说,他们系统没有明文密码,没有泄露过,所有出问题的账户,都是撞库攻击,被彩虹库撞出来的。(这段看不懂的请去看我前面的科普文章,请相信我,信息安全科普对每个读者都是有价值的。)
那么这次,这么多的大量集中曝光,真的是撞库撞出来的? 这是多大毅力的黑客撞了多少年?网易的日志系统里看不见,这么大规模从没防御过?
基于常识,很抱歉,我依然不知道内情,只是基于常识,做一个个人的简单判断,也许我是错的,但是这是就目前公开资料,基于我的理解所能做出的最合理解释。
网易邮局是一个历史悠久的系统,其产品原型要追溯到上个世纪。在那个年代,大家其实对彩虹库也好,对撞库攻击也好,都还一知半解,那还是SQL注入没有几个人明白的年代,那时候网易的邮局系统设计,我猜测,可能没有考虑到随机salt这件事,那时候没人有这个概念啊,估计大家觉得加个md5就够了。
那么中间,在运营的过程中,会不会出现因为某个原因,数据库被人扒库的情况? 信息安全防御技术实际上一直是落后于攻击手段的发展的,可能很多人不知道这个真相,要不为啥有0day一说,以网易邮局的规模,体量,影响力,我觉得被扒库也不是不可能的,也不是多丢人的,你就算运维多专业,安全工作多到位,真来了个新的0day,你哪怕晚一个小时知道你可能都出事了。而且,很可能被扒了还蒙在鼓里,人家只要不立即做下一步的破坏行动,你还真察觉不到这中间出事了。
但网易可能过于相信自己,认为我没有存明文密码,我所有密码都加密过的,所以没事,漏出去也不会被破解。
但事实上不是,你就算md5过了,你就算二次md5,你就算用统一salt加md5,人家拉一个密码档规则,按你同样的加密方式跑一下,破掉80%+的用户密码根本就不是个事!如果计算力够,破掉95%+的用户密码也属稀松平常!!
我的猜测是,网易早期存在数据库泄露,虽然有加密,但是没用随机salt,所以,被破出来了非常高的比例的账户密码。
以上为常识猜测,如不符实,概不负责。
但这个猜测逻辑,也请各个创业公司的技术运维,自检一下,凡是没有随机salt加密的,用户库都是不安全的。(别跟我争执说随机salt加密也不安全的问题,这涉及破解成本,基本上我们可以认为从整体规模上是安全的)
4、美国政府完成对苹果手机破解
故事前情简介
美国前段时间发生了一起自杀式恐怖袭击事件,袭击者在事件中当场死亡,残存iphone手机一部,为更好掌握案情,以及了解其他风险和威胁,美国政府要打开iphone手机记录调查,但因该手机存在密码锁,在好莱坞电影里经常出境,大家已经非常熟悉的FBI,就要求苹果公司给予配合,提供破解工具。
库克表示,为保护用户隐私,坚决不同意给美国政府任何部门,提供任何破解工具!
此事在网上传的挺沸沸扬扬的,相信很多人都听说过,比袭击案本身还有名。至于你支持谁,不支持谁,这事咱不讨论了。
今天要说的是,FBI已经破解了这台手机,如愿拿到资料,而且,放弃了对苹果公司的要求! 简直双赢结局有没有,苹果完成了承诺,FBI完成了安全诉求。
一家来自以色列的安全公司(好像被日本公司控股了),花了几天的时间,与另外一家从事数据恢复的公司合作,协助FBI破解了进入口令。具体技术细节就不展开了,有点黑科技的味道,但是其实也蛮好懂。
我看了某些阴谋论,说库克表面上拒绝美国政府要求,背地里输送了技术,这样既不得罪政府也不得罪用户,但通过网上已经公开的破解的技术文章看,应该还是人家独立破解出来的,和苹果公司确实没关系。
以色列的信息安全技术真的很牛逼。
有人会好奇,你为啥不把技术文章列出来呢?其实我看到的也是二手的,我也没去找原文在哪里,不过这事也是考验您搜索能力的时候了,如果您搜不到,那么,我觉得您就别耽误这功夫了。
今天讲了这些,简单总结一下。
很多网上的新闻,事件,不管是不是信息安全领域,我们绝大部分人,都不是当事人,不是知情人,(即便是当事人,也未必是知情人),在这种情况下,我们每个人会根据自己的常识,好恶进行判断,选择相信谁,不相信谁。那么,如果我们的常识更多一些,更准确一些,我们的个人好恶不要那么具有倾向性,也许可以判断的准一些,但是即便如此,误判也是常有的。
误判可以,尽量不要误导别人,我会说出我的判断,和判断的依据,但我希望每个人有自己的判断。 如果不是知情人就不能评论,那么99%+的媒体评论和公众号都不用开了,毕竟还是要可以讨论对不对。
黑客其实并不神秘,他们背后也有领导,有决策者,有利益诉求,有价值观,有禁区,有法律和道德的约束。
技术本身无罪,关键看在谁手里,用来干嘛。
两个月前,我没转过拉勾的那篇文章,而且也一直没接拉勾的广告,所以今天,我不用致歉。 当然,这不代表我一直是对的,只是很巧这次我没事,希望以后都这么巧。
顺便啰嗦一句,昨天发的
谈谈基因的黑科技 - 抛砖引玉篇
今天看到一些文章,才知道还漏了一项,肿瘤免疫技术,对黑色素瘤,非小细胞肺癌,等多种癌症和肿瘤都有了明显效果。
有一项相关的技术获得了2013年 Nature杂志(就是发布阿法狗封面的那个牛逼杂志)评为年度最重要科学突破,并在美国被FDA批准临床应用。
我看到有些评论说还很遥远,技术不成熟云云,或者说不能取代什么云云,我希望大家多睁开眼看世界,当然我知道我不专业,对很多领域都是一知半解,但我愿意多去了解一些,这其实跟我们的未来,我们自己的健康息息相关。
另外,我愿意写一些自己不熟悉的领域,其实也很期待专业人士来打脸,这对我来说是一种巨大提升,(分享即学习 我一直秉承这个理念!)我敢写就不怕被人说。但还好,昨天就有特别专业的大牛主动找我,给予肯定的多,当然也挑了几个错让我有了新的认识。有机会我了解更多会写新的出来。
我真的很好奇那些冷嘲热讽说两句怪话的人日常都是干啥的。
Qcon广告,再发一次。
Qcon架构师大会,我以前参加过2-3次,具体记不清了,很惭愧好像还担任过一次还是两次的分享嘉宾,大概是里面技术水平最low的分享嘉宾了,但因为脸皮够厚,站台的功夫还行,好像整体评价说得过去。
通过Qcon大会认识了很多技术大牛,特别是第一次参加的时候认识了冯爷,从此人生进入了新的境界。此外印象深刻的还有余峰老师,让我知道自己对数据库和性能调优的认识多么的肤浅,简直是井底之蛙。 后来因缘际会给余峰老师做过司机,这事一直让我荣耀至今。
这一届余峰老师又出江湖了,当然其他牛人也是多多,infoq的组织能力杠杠的,我一向讨厌参加各种乱七八糟的营销会和吹水会,但是Qcon架构师大会,我认为还是非常非常推荐,值得学习的活动!
本公众号读者专属优惠码:
QCON-CAOZVIP-PROMO 八折优惠,4月3日之前有效,数量有限,先抢先得!
QCON-CAOZVIP-PROMO 八折优惠,4月3日之前有效,数量有限,先抢先得!
QCON-CAOZVIP-PROMO 八折优惠,4月3日之前有效,数量有限,先抢先得!
嗯,重要内容重复三遍。
点击原文链接,即可参与报名!