8455澳门新

8455网站 1
2014年铁路春运购票日历出炉
图片 1
电子书阅读器帝国将倾 年度出货量大跌36%

8455网站雅虎邮箱密码破解

雅虎邮箱密码破解

• 2013年01月03日10:56

《中国隐士黑客联盟》提供 QQ密码盗取,QQ密保修改!QQ邮箱盗取修改
QQ相册加密盗取修改 QQ邮箱密码修改,MSN密码盗取,MSN邮箱密码盗取
新浪uc密码盗取
人人网密码盗取 开心网密码盗取 淘宝密码盗取 淘宝差评修改
126邮箱密码修改 163邮箱密码修改 雅虎邮箱密码修改
新浪邮箱密码修改,新浪博客密码修改 QQ刷钻红黄蓝紫粉绿黑等 QQ会员永久

另有大量Q币半价出售
 
入侵和反入侵!各种游戏账户盗取修改!网页,论坛,空间,服务器,挂马攻击,
等等只要与网络有关的!我们都可以帮你们做到!在一天之内完成你交托的任务!条件:必须绝对保密,如造成严重损失和法律问题与我们无关,诚信第一信誉第
,不诚信者免谈。

《中华隐士黑客联盟》 qq聊天记录查询和监控  强制视频软件 监控软件
,专业盗取qq号,淘宝号,博客,论坛,邮箱,差评删除,删除百度引爆,论坛差评,等。

《中国隐士黑客联盟》唯一接单客服QQ:529544999
《中国隐士黑客联盟》唯一接单客服QQ:529544999
 

                                                  通信业务
 
《中国隐士黑客联盟》
提供手机通话清单查询,手机机主资料查询,短信清单内容查询,手机密码盗取修改,手机定位找人,400,800免费电话通话清单.
联通,移动 网通 电信 铁通 等    中国通信公司 只限国内。

《中国隐士黑客联盟》唯一接单客服QQ:529544999

《中国隐士黑客联盟》唯一接单客服QQ:529544999

内容摘要:这个漏洞影响究竟有多大?根据系统扫描,中国全境至少有33303台服务器受本次OpenSSL漏洞影响。网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、3…

自从carry_your 上次技术反制逼小偷还回 iPhone
后,很多红黑联盟读者反馈,希望有人帮他们拿回被偷的手机。

“2014年4月8日是黑客和白帽子们的不眠之夜。”有人这样形容。早上还在讨论WIN
XP停止服务,到晚上已到处是OpenSSL的漏洞消息。

但是,这件事情很难,为什么难?我们先看一个悲伤的故事。

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,在各大网银、在线支付、电商网站、门户网站、电子邮件等广泛使用。就是这个被许多企业和服务商用来加密数据的安全协议,爆出了本年度最严重的安全漏洞——黑客可以利用这个漏洞从服务器内存中窃取64KB数据,64KB数据量并不大,但黑客可以重复利用该漏洞,多次窃取数据,并可能因此获得用户的加密密钥,解密敏感数据。

悲剧!遇上用零日漏洞“钓鱼”的黑客

打个比方,OpenSSL是目前互联网上应用最广“门锁”,而这个漏洞让特定版本的OpenSSL成了不设防的保险箱。

作为一个优秀的网络安全从业人员,白帽汇的联合创始人邓焕与
carry_your 也曾是同事关系,提到那篇十分火热的报道《黑客讲述 |
我如何逼小偷把 iPhone
还回来》,邓焕脸上写满忧伤——他的女朋友曾经也被扒走了一个
iPhone,然后有人天天发钓鱼短信来骗妹子的苹果 ID 和密码。

惊现安全漏洞

由于家庭安全教育做得十分到位,妹子及时通知了邓焕。

黑客、白帽子们忙了一夜

后续 | 为何正义的黑客不能帮你找回被扒的iPhone

“我们最初是在海外论坛上看到的,很快传回了国内。”金山首席安全专家李铁军说,2014年4月7日有黑客公布了旧版本OpenSSL的安全漏洞,“因为漏洞机制描述得非常详细,很快就在圈内传开了。”

邓焕作为一个优秀的安全人员,想到的第一步当然不是乖乖输入 ID
和密码,而是研究这个钓鱼网址。然后,他登录了这个网站,准备攻击一下,发现点什么。

漏洞的发布在一个相当危险的时间点——黑客们已经纷纷出动,而一些公司的负责人却正在睡觉。发现者们给这个漏洞起了个相当形象的名字“heartbleed”,直译为“心脏出血”。这一夜,互联网的安全核心,开始滴血。

突然,就悲剧了!

黑客、白帽子们、运维主管、安全厂商们,闻着“血”而动:他们有的开始狂欢,逐一进入戒备森严的网站,收集泄露数据;有的开始测试有多少网站受到影响以及推出检测脚本;有的在统计漏洞信息,还要准备说服客户,解释问题的严重性;有的连夜开始紧急预警修复升级系统版本;WooYun漏洞平台上很多白帽子开始对大范围网站进行了测试刷分,场面颇为壮观……而普通网民们却毫不知情。

妹子的 ID 是用 QQ 邮箱注册的。邓焕痛心疾首地对红黑联盟说:

“很快,甚至有黑客发布了旧版本OpenSSL的‘傻瓜攻击’。”李铁军解释说,这意味着非专业技术人员只要依样画葫芦就能利用漏洞从服务器内窃取数据。

“唉,我大意了!没想到这个骗子黑客愿意花这么大力气来夺取一个 iPhone
手机!”
原来,这位钓鱼的黑客花费很多精力挖掘了 QQ 某官网的一个 XSS
零日漏洞,只要受害者 ID 是由 QQ
邮箱注册,那么只要受害者打开这个网站,黑客就能利用这个漏洞,无需受害者填入苹果ID和密码,就可以劫持受害者的qq域名下的
cookie 信息,从而夺取受害者 QQ 邮箱的控制权。换句话说,他成了这个 QQ
邮箱的主人,可以随意获取邮箱的信息,如发到qq邮箱里的icloud重置密码邮件。

“收到这个漏洞后我们最先测试了支付宝,确认存在此漏洞,发起检测。之后我们又发现雅虎门户主页、微信公众号、微信网页版、YY语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。”网友Evi1m0在知乎上透露,“在一个社交网站中我获取到了用户登录的帐号以及密码甚至是安全问题与答案。这里的密码使用的明文传输,以至于通过这样的漏洞攻击,我成功地登录了上百个账户,当然我什么都没做,出于测试而已。”

等等,零日漏洞是什么?为什么说这个黑客花了大力气?

国内知名网站几无幸免

科普一下。

目前支付宝、淘宝已修复漏洞

 

这个漏洞影响究竟有多大?安全专家们不约而同地推荐参考zoomeye的扫描数据,这是一个网络空间搜索引擎,业界公认的权威。根据zoomeye系统扫描,中国全境至少有33303台服务器受本次OpenSSL漏洞影响。网易、微信、QQ邮箱、陌陌、雅虎、比特币中国、支付宝、知乎、淘宝网、360应用、京东、YY语言……从消费到通讯、社交,国内知名网站几乎无一幸免。而很多用户毫不知情,仍然在访问着老虎嘴中的站点。

“零日漏洞”( zero-day
)又叫零时差攻击,是指被发现后立即被恶意利用的安全漏洞。通俗地说,即安全补丁与瑕疵曝光的同一日内,相关的恶意程序就出现。这种攻击往往具有很大的突发性与破坏性。
一般而言,QQ
官网的零日漏洞一旦被腾讯发现或被报告给腾讯,会迅速得到补救(此处应给广告费),而零日漏洞也不是那么好找,也就是说,黑客费心费力研究的零日漏洞用在“钓鱼”一部手机上,消耗的成本太高。

幸好,官方很快发布了漏洞的修复方案:因为这是一个旧版本OpenSSL的安全漏洞,开发者把服务器程序升级到OpenSSL1.0.1g可以解决。

邓焕为什么不像 carry_your
一样攻击钓鱼网站,然后联络小偷,逼他们把手机还回来?

“目前腾讯几大产品线已经都升级修复了,而且反复进行了扫描,确保漏洞已经被修复。”腾讯相关负责人表示,在腾讯相关的产品业务如邮箱、财付通、QQ、微信等都已经可以放心使用。

呵呵,问这句话的少年,你还是太年轻。

“阿里旗下网站已经都没有问题了。”阿里集团相关负责人也表示,技术部门一得到漏洞消息就连夜进行了版本升级,修复了漏洞。目前支付宝、淘宝、天猫都可以正常使用。

后续 | 为何正义的黑客不能帮你找回被扒的iPhone

目前,包括支付宝、淘宝、微信、QQ平台、网易、12306铁路客户服务中心等在内大型网站已修复漏洞。

邓焕说:

应对未知风险

“其实,在某宝上,就有专门的‘钓鱼’服务,这意味着,小偷和钓鱼网站极有可能不是一伙人,你攻击了钓鱼网站,威胁钓鱼的黑客,根本不管用。”
所以,carry_your
技术反制找回手机的案例还是“天时地利人和”,不能大规模复制。何况,对方可能是一个愿意消耗零日漏洞来“钓鱼”的黑客。

安全专家给出两条建议

卧底黑产群

互联网门户洞开的“惊魂一夜”过去了,从开始到基本结束,绝大多数网友都一无所知。

虽然这件事情已经过去很久,但邓焕还是记忆深刻,因为在后来的一系列的网络安全事件中,邓焕发现,QQ
邮箱经常中招。

我们安全了吗?

最近,通过 QQ 相册盗取 QQ 邮箱和密码,从而对使用 QQ 邮箱作为苹果 ID
的用户进行远程锁机敲诈的新型手法浮出水面,红黑联盟对此也有报道。详情请见:你的
Apple ID 是 QQ 邮箱吗?有人专门锁机勒索!

从zoomeye系统的扫描结果看,比33303台服务器受漏洞影响更让人担心的是:这些服务器有的在银行网银系统中;有的部署在第三方支付里;有的在大型电商网站;有的在网络邮箱、即时通讯系统中……

当然,除了锁机敲诈,坏人有利用其干更多坏事的途径。

“特别是现在互联网金融和第三方支付的发展非常迅速,这意味着以前用银行卡、POS机进行的交易都将逐渐转移到互联网上,这对网络安全提出了越来越高的要求。”李铁军坦承比用户端更不可控的是服务端,如果黑客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。

抱着研究的目的,白帽汇安全团队曾潜入黑产贩卖 QQ 群,卧底观察包括 QQ
邮箱信息在内的数据贩卖生意。

“这个漏洞据说早在2012年就被挖掘出来,直到2014年4月9日CVE纳入编号CVE-2014-0160,2014年4月8号才正式爆发。”Evi1m0也在知乎上透露,“使用HTTPS的网站大多是因为数据需加密防止嗅探等攻击的发生,漏洞爆发后彻底将这层大门打破,于是很多网站处于被监听的状态中。”

上图瞻仰下安全人员卧底的成果之一:

两年多时间,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。

 

“最近两天不要登录未修复的服务器,以免自投罗网,即使想要修改用户名或密码也等几天再改。”几位安全专家给出的建议都很一致。因为最近几天网友登录一些关键服务网站,若网站未完成漏洞修复,登录信息就可能被黑客远程捕获。

后续 | 为何正义的黑客不能帮你找回被扒的iPhone

尽管zoomeye的扫描结果及涉及名单已经被提交给国家互联网应急中心,按照流程应由后者进行全国预警,但截止记者发稿时,在国家互联网应急中心官网上尚无相关信息发布。

据介绍,整个黑产链条大致有三类角色:出料人、收料人、买家。出料人是贩卖一手原始数据的人,这些原始数据有两类主要途径获取:第一,黑客入侵,拖库;第二,内鬼泄露。收料人负责对数据进行筛选、分类和测试,也可称之为洗料人,收料人可能自己也是最终买家,也可能将数据一层一层卖给买家。因此,中间可能还有数据倒卖商出现。这个产业中还有一个角色十分特殊——专门卖技术的人,即提供或制作技术工具。

事实上,除了移动、联通等这些大型企业外,国家互联网应急中心也没有强制力确保其他公司看到预警内容,旧版本OpenSSL的安全漏洞修复时间是个不确定值。

这些安全人员曾用 QQ 小号潜伏在这类 QQ
群里,发现了许多重要安全威胁线索。比如,今年4~5月,一个某著名国产手机品牌的用户详细物流信息曾在该类
QQ
群里被叫卖,白帽汇获取了部分样本信息后提交给了该合作厂商进行分析,后来发现是由他们在武汉的一家物流承运商所泄露,于是采取了相应措施。

对于普通用户怎么办呢?除了在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被漏洞后的黑客捕获外。

黑客身份可能会曝光

安全专家们给出了两条建议:一是对重要服务,尽可能开通手机验证或动态密码,比如支付宝、邮箱等。登录重要服务,不仅仅需要验证用户名密码,最好绑定手机,加手机验证码登录。这样就算黑客拿到账户密码,登录还有另一道门槛。二是如果随着事件进展,可能受累及的网络服务在增加或更明确,建议用户修改重要服务的登录密码。而且一个密码的使用时间不宜过长,超过3个月就该换掉了。

此后,由于要监控的安全威胁信息太多,白帽汇采用了监控软件。至于这个软件长啥样,很抱歉,红黑联盟编辑死磕了很久,白帽汇的童鞋也不肯把截图放出来。

后续 | 为何正义的黑客不能帮你找回被扒的iPhone

但是,经过长期监测,白帽汇发现,其实倒卖这些黑产的人,尤其是涉及其中的黑客,基本上是固定的圈子。

于是,白帽汇目前正在和上级监管部门合作,准备开展一个酷炫屌炸天的项目——黑客人员数据库。

这个黑客人员数据库囊括的是参与黑产的黑客,并不包括白帽子。红黑联盟编辑带着激动的心情“粗粗”浏览了这一数据库。

不过,由于涉及到保密信息,不宜向公众公开,红黑联盟(公众号:红黑联盟)只能文字描述下概况。

后续 | 为何正义的黑客不能帮你找回被扒的iPhone

这是一个目前覆盖了约3万名黑产相关人员详细资料的可视化平台。有多么详细?通过大数据挖掘与实时监控,平台挖掘出了黑客的私人
QQ 号、邮箱、地区、每次贩卖资料的记录……

哦,对了,真的不是地域歧视,这些黑产从业人员的从业省份也很集中……

由于黑产中很少有单独作案人员,邓焕告诉红黑联盟,后续他们将展开研究,将不同黑客之间的联系找出来。

但是,这个项目还要克服很多困难,比如,这个平台搜集的许多电子证据能否作为合法证据还需要有关部门进行认定。

后续该项目走势如何,何时将对外放大招,透露更多信息,红黑联盟逮着机会就会告诉你。

 

相关文章

No Comments, Be The First!
近期评论
    功能
    网站地图xml地图