入侵Twitter很容易:最大型黑客入侵背后的方法意外的简单

安全 黑客攻防
目前为止最常见的黑客攻击是“网络钓鱼”。他们想要获取某人的Twitter密码,于是制作了一个Twitter登录页面,看上去和真实的完全一样,并将其放在自己的网站上。

本文转载自公众号“读芯术”(ID:AI_Discovery)。

不久前,我读了诺贝尔物理学奖获得者理查德·费曼的自传,他曾与爱因斯坦一起研究原子弹。这本书讲述了一系列的奇闻轶事:费曼曾经为蚂蚁造过电梯,还曾用邦高鼓为芭蕾舞剧伴奏。

[[339798]]

其中一章中写到,他花了一年半时间在洛斯阿拉莫斯破解保险箱。当他发现一个他无法破解的保险箱时会猜测密码组合,并能在第二次尝试时正确无误。最后,他遇到了一个保险箱,小诡计不顶用了。于是他请来了专业的锁匠,锁匠在钻锁之前锁匠就破解了密码。

费曼被迷住了,问他是怎么做到的,结果发现锁匠很惊讶:“你是费曼!伟大的保险箱破解者!我还想从你那儿学着怎么撬开保险箱呢。”

费曼很困惑,“但你打开了!你一定知道怎么破解保险箱。”锁匠承认他没有什么特别的能力,“我知道锁具的出厂设定组合是25–0–25或50–25–50,所以我想——谁知道呢,也许那家伙懒得换密码,所以第二次就成功了。”

当我上周读到一篇关于Twitter黑客的文章时,我又想到了这个故事。那个黑客黑了很多知名人士的账户,并发推承诺将所有收到的比特币翻倍。

每当我们读到有关黑客攻击的文章时就会想到计算机程序员,他们通过编写巧妙的代码来访问系统。影视剧中的黑客就像是是巫师,他们穿着卫衣坐在电脑前,轻敲几下按键,然后得意洋洋地宣布“我成功了!”

不过,虽然事实上大多数非法入侵都很巧妙,但相对直接。比起巫师,黑客更像舞台魔术师,他们的方法是使用一系列镜子和磁铁,如果知道了他们的做法之后你可能会失望。就像《绿野仙踪》,窗帘后面没有任何奇幻的魔法。

当然,这里面包含了很多好想法。最难的不是执行力,而是一开始就想到这个点子。黑客世界总有一些奇怪的合成词,比如phishing(网络钓鱼)、smishing(短信诈骗)、Ddosing(洪水攻击),还有一些晦涩难懂的术语,比如SQL注入、XSS脚本和远程代码执行。但复杂的技术开发实际上相当罕见。如果有人留下了默认的管理员密码,为什么还要费心去做这些工作呢?

目前为止最常见的黑客攻击是“网络钓鱼”。他们想要获取某人的Twitter密码,于是制作了一个Twitter登录页面,看上去和真实的完全一样,并将其放在自己的网站上。然后引诱用户去访问那个网站,可能是通过向他们发送一封假装来自Twitter的电子邮件,并附上他们伪造登录页面的链接。

[[339799]]

图源:unsplash

当用户输入用户名和密码时,假页面会保存它们,这样黑客就可以知道密码是什么了。就是这样。黑客不需要任何高级编码就可以进入Twitter,他们只需输入密码就行。

我喜欢阅读有关黑客的文章,就像我喜欢了解魔术是如何实现的一样。任何系统中最大安全隐患就是人类。几年前,在亚马逊更新流程之前的一次网络入侵中,黑客通过打电话给亚马逊服务台就进入了某人的账户,他们甚至连电脑都没碰。

“首先你打电话给亚马逊,告诉他们你是账户持有人,并想在账户上增加一个信用卡号。你只需要帐户上的名称、关联的电子邮件地址和帐单地址。然后亚马逊就允许你输入一张新的信用卡。”

“接下来打电话给亚马逊,告诉他你无法访问账户。在提供姓名、帐单地址和前一次电话中的新信用卡号码后,Amazon将允许在帐户中添加新的电子邮件地址。之后你就可以进入亚马逊网站,将电子邮件密码重置。”

更糟糕的是,既然你能访问某人的亚马逊账户,你就可以看到他们实际信用卡号的最后四位数字,根据《连线》杂志的说法,“访问某人苹果ID所需的全部信息”,除了他们的姓名和地址之外,就是“信用卡的最后四位数字”。通过访问一个服务器,拿到了另一个服务器的密匙,且两个服务器并不相关。

Twitter攻击的全部细节仍有待披露,但据我们目前所知,幕后黑手柯克获得了Twitter内部管理面板的权限,并任意更改了电子邮件和密码。

但是他是怎么拿到Twitter管理面板的权限的呢?据《纽约时报》报道,他“找到了一条进入Twitter内部Slack信息通道的途径,能看到发布在那里的信息,以及可以访问公司的服务器。”

这是一种高科技版本的入侵,看到安全密码写在白板上。就像上面亚马逊和苹果的黑客攻击一样,访问一个服务器就可以访问另一个安全性更高的服务器,我们称之为“升级入侵”。

[[339800]]

图源:unsplash

为了访问奥巴马的Twitter帐户,攻击者从Twitter的Slack帐户开始。奇怪的是,一家无关的公司意外地、不知不觉地掌握了这些密匙。

我们还不知道柯克是如何进入Twitter的Slack账户的。但我们知道过去人们是如何进入Slack账户的:搜索GitHub。在编写软件时,开发人员有时会与其他产品集成。为此,他们要使用一个API密钥,它本质上是一个特殊的计算机密码,允许开发人员编写的代码与其他服务(比如Slack)一起工作。

有时,开发人员会意外地将这些密钥保存到他们的公共源代码存储库中。如果有人知道他们在找什么,那么他们就可以在GitHub中搜索并在那里找到密钥。即使现在,GitHub中也有成千上万可见的密匙。

这或许不是柯克访问Twitter Slack的方式,还有很多其他的方法,也许他钓鱼了一个Twitter员工。Twitter在一份声明中说,他们发现了“一场有组织的社会工程攻击,目标是我们的一些员工”。他们在博客上补充道,“攻击者成功地操纵了一小部分员工,并利用了他们的资信。”

还有其他一些巧妙的黑客攻击,比如这个利用服务台发送了电子邮件。但事情可能没有这么复杂,有人认为他“只是贿赂了一名推特员工”,让他们可以访问Slack。

图源:unsplash

我的朋友在一家大公司从事信息安全工作,他给我讲了一个故事,有一次黑客猜中了一位知名员工的密码,是密码1。黑客行为被发现后,安全团队就将该账户上锁,并联系此人更改密码。但下周他的账户又被黑客入侵了。

“他们这次是怎么破解的?”我问,他把密码改成了密码2。

尽管我们拥有各种聪明的安全措施——庞大复杂的保险箱、软件库和漏洞检查,但每个系统中最薄弱的部分仍然是人类自己。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2019-04-03 10:03:23

2010-09-13 13:40:20

2010-07-10 11:50:56

2010-12-17 09:26:16

2009-07-29 22:18:46

2010-09-09 11:34:10

2010-04-01 09:30:57

2010-02-01 12:05:57

2010-02-01 12:01:53

2010-02-01 12:07:42

2010-09-30 10:44:43

2012-12-13 13:33:48

2011-06-23 13:50:34

2011-06-23 13:40:22

2010-12-31 09:45:12

2011-06-23 13:20:46

2011-06-23 14:03:23

2011-04-13 11:13:56

2010-09-30 10:03:53

2009-11-11 10:35:04

点赞
收藏

51CTO技术栈公众号