分类
Hack

著名黑客组织Anonymous黑进石油公司 散布支持绿色和平运动邮件

黑客组织Anonymous近日黑进五大国际石油公司,散布超过1000封电子邮件呼吁绿色和平。而这些被黑的公司包括埃克森美孚公司、壳牌石油化工股份有限公司、BP全球、俄罗斯天然气工业股份公司以及俄罗斯石油天然气集团公司。

Anonymous侵入这些公司的数据库后,破解了其哈希密码,列出了所有的内部邮件系统的路由器、操作系统类型、数据库的详细信息和服务器硬件供应商的详细信息。并公布在其网络安全博客网站NovaInfoSeco.com。

一些被泄露的数据已被第三方用于电子邮件钓鱼攻击,电子邮件上签署了一份请愿书,号召运行绿色和平组织网站SaveTheArctic.org。

Anonymous用他们自己的方式来支持“绿色和平”事业。

分类
Hack

黑客偷了你的密码 为什么还把密码放出来给所有人看

俄罗斯黑客窃取了600万LinkedIn账户密码。难道他们把“世界上最大的职业网络”误翻成了“大家都在用的职业网络”?他们下一步要黑哪一家,谷歌+么?窃取这些账户之后,他们还打算干嘛,到黑市上卖简历吗?嫌LinkedIn邀请注册邮件还不够多,所以要利用联系人列表来发垃圾邮件么?


漠不关心者有之,冷嘲热讽者有之,但是还有一小掇人高度重视这次LinkedIn被攻击事件:安全专家。

上文几个恶搞问题最有可能的答案是:不、不、是的、是的。第一个问题,俄罗斯黑客又不傻,他们才不关心你到底有没有在用LinkedIn。第二个问题,他 们并没有紧接着攻击谷歌——谷歌太难攻了——而是攻击了人气很旺的约会网站一派和谐(eHarmony)。第三个问题,窃取简历等个人信息几乎可以肯定是 黑客计划的一部分,那可是潜在的金矿。第四个问题,伪装熟人发邮件是黑客请君入瓮的主要手段。这比自称是尼日利亚王子的邮件可信多了。

目前还不清楚此次攻击所造成的影响。LinkedIn和一派和谐现在还没有给个说法,也许是因为他们根本还没查出来究竟哪里出了问题。不过计算机安全方面的专家越来越肯定,这起事件本身远比这两家公司所说的要复杂险恶。

警告:注册了LinkedIn或者一派和谐的用户要小心了。如果你在其他网站上用了同样的用户名,特别是像贝宝(Paypal)和脸谱这样的高危网站——就更要特别小心了。如果注册了这两个网站,就要马上去改密码。(别轻举妄动,先看完这篇文章再改!)

最初的攻击报道显示,约有650万LinkedIn用户密码被放到了网上,不过还没有电子邮箱地址可以追溯到具体账号。这看上去让人松了一口气,不过又引 出了一大串疑问:黑客把大家的密码放出来给所有人看,这葫芦里究竟卖的是什么药?这些密码一旦公之于众,谁还会继续用呢?如果没有遭到“破解泄漏”的用户 密码就安全吗?

安全专家作了这样一个惊人的假设:黑客把这些密码公布出来,是为了让公众帮助他们破解其中一部分密码。如果用户密码不在公布之列,很有可能意味着用户的账 户已经不安全了。黑客有可能已经暗中掌握了密码。如果假设成立,黑客没有公布电子邮箱地址等个人信息也就合情合理了。黑客并非没有得到这些个人信息,而是 他们将其“雪藏”了,为的是有朝一日能到黑市上卖给犯罪黑客组织。

赛门铁克专家马里安·梅里特(Marian Merritt)称,有组织的黑客攻击大多是由犯罪团伙策划的,意在谋财。其次是“黑客活跃分子”组织所为,比如“匿名(Anonymous)”和 “LulzSec”。这些团伙的主要目标是恶心、揭露、阻遏以及恐吓他们的攻击目标,主要与黑客意识形态格格不入的大公司。攻击LinkedIn的手法跟 LulzSec有相似之处,比如去年夏天索尼公司100万用户个人信息失窃。不过,没有任何黑客活跃分子声称对此事负责,而且这些数据最先公布在俄罗斯专 注于密码破解论坛的事实表明,公开密码只是此番攻击的副产品,而决不是主要目标。

这些网络骗子拿到密码想干什么呢?数据安全企业Sophos的高级安全顾问切斯特·维斯涅夫斯基(Chester Wisniewski)说,用途很多。对于全世界的黑客来说,大批量泄漏的密码正好可以拿来更新他们所谓的“彩虹表(rainbow table)”——巨大的数据库,可作为破解加密密码的数字钥匙,称之为“哈希(Hash)”。最安全的网站使用另一层密码加密,称之为“放盐 (salting)”,如此一来,同样是用了“123456”这串密码,两个用户的哈希是不一样的。可是LinkedIn没有这样做,结果就是同样的钥匙 可以解锁一大批使用同一个密码串的用户,此法不仅可以用在LinkedIn上,还可以用在采取同一种哈希算法的网站上。(一派和谐的算法甚至更弱,同样没 有“放盐”。)

如果黑客同时拥有用户的电子邮箱地址和密码——多数分析师怀疑他们会这么做——这些信息同样可以直接针对LinkedIn和一派和谐用户。网络骗子得手之 后,首先要做的是运行软件,用同样的电子邮箱地址和密码组合来登录其他网站,看看是不是可以得到大家的财务或者社交账号。

LinkedIn账号上的个人信息也是某种网络攻击的理想目标,称之为“鱼叉式网络钓鱼(spear phishing)”。前国家安全局安全分析师马库斯·卡雷(Marcus Carey)说,钓鱼者的如意算盘是引诱他人下载流氓软件或者通过发送貌似正常的邮件让收件人泄露敏感信息。马库斯如今是网络安全企业快 7(Rapid7)的研究员。这些消息看上去是老板或者同事发来的,或者伪装成一封与用户业务相关的电子邮件,比如要求报价或者特定服务。由于这类邮件不 像是垃圾邮件,攻击目标往往会放松警惕。

因为鱼叉式网络钓鱼需要网络罪犯的照看和单独关注,所以仅会针对高价值目标——比如专家或者企业高管。这些人恰好又是LinkedIn的核心会员。

还有一种钓鱼几乎始终伴随着类似针对LinkedIn还有一派和谐的攻击,从某种角度来说,它是最诡计多端的。网络上图谋不轨者知道,很多人会读到包括本 文在内的文章,并且会随之修改密码。正确的办法是直接登录LinkedIn或者一派和谐网站去修改。错误的做法是点击一封看似来自官方的邮件中的链接,然 后被这个链接带到一个冒充的官方网站,并且照上面的提示重置密码。如果黑客在此之前没有得到密码,那么只要用户老老实实的照着他们设下的圈套输入密码,他 们就得逞了。别被骗了。密码被人偷走就够郁闷的了。把密码亲自送上门就更悲摧了。

分类
Hack

FBI出手 逮捕16名Anonymous黑客组织成员

周二凌晨,美国联邦调查局对涉及Anonymous黑客组织的16名成员进行了突击逮捕和搜查工作,范围包括纽约州、佛罗里达、新泽西州和加利福尼亚州部分城市,FBI先是跟踪了一些与Anonymous有关的互联网用户,并汇总出若干逮捕目标。

但目前尚不清楚行动中捕获的十几人是否会给捣毁Anonymous行动带来帮助,不但如此,FBI还和欧洲的执法机构联合调查Anonymous。

一个声称是团体成员的Twitter账户@ThaiAnonymous对此表示,逮捕这些人的意义并不大, Anonymous无论是核心成员还是普通黑客都是不可阻挡的。

之前,西班牙曾逮捕了三名涉及Anonymous黑客团体的成员。

分类
Hack

黑客集团Anonymous建泄密网站 曝光敏感信息

黑客集团Anonymous的一个分支已经发布两个类似维基解密的网站——LocalLeaks.tk和HackerLeaks.tk,内部人士和其它黑客能够在这两个网站上暴露政府和企业敏感信息。

LocalLeaks.tk网站暴露本地腐败和不道德行为信息;HackerLeaks.tk暴露其它被盗数据。

HackerLeaks站点于6月25日上线,上周二第一次提交有关佛罗里达州奥兰多市官员个人资料。Anonymous因奥兰多市逮捕数名“要食物不要炸弹”组织成员而攻击多家与奥兰多市相关的网站。

HackerLeak站点称:“黑客帮助黑客泄漏感兴趣的资料。你下载后,我们将透露你感兴趣的数据。”该站点并未明确感兴趣的含义。

LocalLeaks今年1月份上线,指出该站点为人们匿名提交与警察野蛮、腐败、政府不道德或工作场所骚扰相关的数据提供了一条途径。

该站点称:“我们的首要任务是为地方政府人员或企业员工披露敏感信息提供一条安全、可靠的途径。”该站点表示已经屏蔽了提交信息,确保提交者身份无据可查,并与媒体合作暴露数据。

Commander X是两家站点的主编,他表示这两家站点均为合法网站。他说:“我们并不设法获得数据,只是发布数据,并未触犯法律。”