超级军网难题不在破解 教你从iCould盗窃别人照片
来源:百度文库 编辑:超级军网 时间:2024/04/28 16:21:29
前两天发生了一件让全世界人民沸腾的事情,那就是传说中的好莱坞事件,事件给我们带来了诸多邪恶的快乐,同时也给我们带来了很多的恐慌,为什么iCould里边的照片那么容易就被盗出来了呢?我们今天的主题自然不可能是那些邪恶的东西,而是来给大家解读一下这件事情为什么会发生,以及这个破解的过程是怎么回事。
海量照片被泄露 全球沸腾引疑问
当然在整个文章开始之前,笔者一定要说,以下所有方法请大家不要学习也不要借鉴,当然笔者最希望的是大家能够通过这些方法,了解到自己有多少不安全之处,并且改进。如果您有什么意见或建议,或者什么笔者说的不恰当的地方,也请在文章下方留言,使用“@作者”功能可以在第一时间得到反馈。
注:无论我说谁,你们都不要对号入座,因为名字和事情都是我瞎编的!
破解方法先来谈 一切源于我知道
既然是有料的内容,我们就来说说好莱坞事件是怎么发生的。如果我是一个黑客,我要做的第一件事情是什么呢?那就是猜测一个圈内人的邮箱,更简单的办法一般来说是购买那种所谓的名人私人联系方式名单,虽然不好获得,但是也没问题。好了,比如说我们在这份名单里找到了L先生的邮箱,L先生虽然不是演员,但是是一个在娱乐圈里边很吃得开的人。L先生的邮箱只需要3个简单问题就可以找回密码,他们分别是:我在哪上的小学,我最喜欢吃什么,我第一次出镜是什么时候。这3个问题如果放在笔者身上肯定是不得而知的,但是L先生是个公众人物,平时又喜欢参加那种访谈类节目,过去那点事儿早就抖落的人尽皆知了,于是乎我就成功的取得了L先生的邮箱权限,成功的进去了L先生的邮箱。
进入邮箱是起点 一个一个挨个来
有些人可能觉得这就胜利了,其实这只是一个起点,你得到的只是L先生一个邮箱,L先生虽然业内人缘好,但是早有妻室也并无绯闻,所以显然找不到任何关于L先生的“邪恶照片”。但是L先生有个使用邮箱整理联系人的好习惯,而且由于人缘好,邮箱里的人员数量也是非常庞大的。这些联系人里边自然少不了那些绯闻缠身的女星们,要知道女人的邮箱数量往往比男人少很多,所以女星们的邮箱就很可能是他的iCould账号了。至于这些女性的iCould账号里边有什么,我想就不需要我强调了吧……只是这里边我们还有一点需要注意,那就是iCould账号里边仍然有着非常庞大的联系人,于是乎我们的联系人网络就这么一波一波一波的建立起来了。好吧,当然这还不是最阴险的,在盗号之后我们往往会连带设置一些2次同步项,比如把收到的邮件自动转发,比如把发送出去的信息自动转发,比如把附件啊图片啊什么的来个自动转发,当然以上所有功能都需要我们的邮箱服务商(iCould)做支持,但是被盗号的人9成反应不过来这里会有问题,即使把密码改过来,仍然会不断的泄露信息。
暴力破解可否行 成本高昂效果差
以上就是这一次好莱坞事件发生的背景,那么有没有可能进行暴力破解呢?其实是很难的,因为现在的iCould(邮箱)系统都留有多级验证机构,比如输出错2次跳出验证码,输入错10次提高验证码难度,输入错50次转接人工客服等等,即使一些系统预留了不需要验证码的接口,也会拥有一些限定时间登陆次数的限制。而且随着互联网普及度的提升,简单的英文密码和数字密码已经越来越少见了,一般人都不会傻到拿自己的生日当做密码,更有诸如苹果这种服务商强制要求你的密码使用大写字母、小写字母、数字,而这么复杂的密码依然暴力破解需要相当长的时间。总的来说暴力破解放在今天基本是不可能的,就算我们可以随便试,但是越来越复杂的强制密码设定规则让暴力破解的成本越来越高,虽然我们运算能力的提高还是很迅速的,但是任何一个略懂密码学的管理员都不会让你有任何可以暴力破解的机会。
你的会不会泄露 问题设定有技巧
现在的你有没有发现这些明星iCould以及邮箱被破解的关键在哪?在于我们把问题设定的太简单了。而这个问题是否简单,一定要再衡量一个点,那就是你的这些信息是否真正隐秘的。我给大家举个最简单的例子,比如我有个朋友,他叫“诸葛麒麟”,他的账号叫做zhugeqilin880229,然后他设定了什么问题呢?
问题一:我姓什么?
问题二:我爸爸姓什么?
问题三:我是什么星座的?
当然这属于一个极端213的例子,他在账号里边就写明了所有问题的答案,我们一般人绝对不会犯这个错误,但是对于明星(公众人物)就不一样了,你可能已经在3个节目里边和别人说过你小学的光荣战绩,在2个访谈里边大谈对父母的感情,顺便再为了提高知名度,放个“芒果台”知名“坑爹”节目的假消息,就连孩子那点事儿也抖落干净了。这些话听起来很可笑,但是名人世界无隐私并不是一句玩笑话,一个人只想让自己一方面拼命曝光在世人面前,另一方面丝毫不见是极难的。很多我们平时看来不可能知道的事情,一个铁杆粉丝很可能背的溜溜转了,而这些粉丝本身就对传播这些隐私颇为乐道,所以说想要真的不被知道真的太难太难。
曾经还有更大事 信用卡成为关键
其实今天的好莱坞事件已经不算什么了,他的手法非常低级,能引起那么大的关注无非是因为这里边沾了点荤腥而已。相比之下,在2012年发生的Mat Honan(美国连线Wired杂志著名专栏作家)的iCould密码泄露事件才是一个完全无法让我们原谅的事情。
以下事件的逻辑比较复杂,而且相关漏洞已经封堵,不愿意动脑子的朋友请自行跳过。那么Mat Honan的iCould密码是怎么泄露的呢?问题首先出在亚马逊,Mat Honan的名字,Eemail地址都是绝对公开的信息,而他接收亚马逊账单的地址也很容易被人查到,黑客就利用了这一点给亚马逊打了个电话,以以上的理由向亚马逊官方增加了一张信用卡信息,因为这个操作不涉及到直接损失,所以亚马逊就把这张信用卡绑定了,这是第1个问题。
然后就是这张没有用过的信用卡成为了重要的突破点,黑客们用这张没有用过的信用卡给这个亚马逊账号添加了一个可以用于接收账单的电子邮箱地址,这里边又有1个问题,那就是并非1张信用卡对应1个邮箱,而是每一个邮箱可以收到所有信用卡的信息。之后我们就依靠这个新加入的邮箱,获取了账号原本的信用卡信息,然后再用这个信用卡信息去找苹果套出来了iCould的密码信息,这里又有一个新的问题,那就是苹果怎么能只依靠信用卡信息就重置了密码呢?要知道有目的的盗取一张信用卡的基础信息实在是过于简单。
泄露源头在哪里 验证机制是根本
好了,之后的事情我们就都知道了,Mat Honan肯定是没啥艳照,但是对应的他的联系人和一部分工作资料肯定是没了。估计是因为废了这么半天劲也没货的什么有价值的东西,所以黑客一气之下删干净了Mat Honan的所有资料,当然iCould一删,iPhone与iPad自然没法避免,于是乎Mat Honan也就知道了被盗这件事儿。因为iCould本身是同步的 所以如果账号被盗取手机上的联系人也有可能一次被删个干净
要么为什么会发生这样的事情呢?说点比较拗口的话,那就是服务器商在没有验证关键安全信息(比如密码、手机验证码)的情况下,添加了一个可以更改关键安全信息的信息(比如密码提示问题,可供找回的邮箱,可供找回的手机)。当然了那一次事件有一个非常特例的情况,那就是信用卡信息。美国可以说是世界上第1个建立现代信用制度的国家,所以说信用卡信息也就成为了一个人身份的标识,无论是亚马逊(美国)还是苹果都因为黑客拿到了完整的信用卡信息而给出了个人信息,这在国内是绝不可能发生的事情,毕竟在中国人的眼中,信用卡(贷记卡)仅仅就是个可以拖延付款的银行卡而已。
要如何防止泄露 要点其实颇为多
好了,关于如何获得别人的iCould密码也就到此为止了,一般来说这类密码泄露问题都是基于安全策略的漏洞,虽然偶然苹果也会犯二楼下一些暴力破解的可能性(比如今年的9月份就暴露出了Find My iPhone的漏洞),但是暴力破解只能用于弱密码,只要我们不把密码设定为诸如12345678之类的东西,暴力破解就很难奏效。而且就此次好莱坞事件而言,我们能看到如此多邪恶的东西,最根本原因绝不是什么分享精神或者猎奇精神,而是掌握这些资源的灰色渠道之间的内斗造成了这些“商品”的丢失。正所谓我赚不到的钱你也赚不到,如果我们无法达成一个大家都满意的分配协议,那么还不如把这些东西公开,让任何人都无法靠他牟利。
所以说如果我们如果想要防止类似的泄露情况,最根本的办法只有1个,那就是完全不相信类似产品,昨天的修电脑与今天的云存储,昨天的Edison Chan与今天的Jennifer Lawrence虽然照片露出渠道非常不同,但是他们犯了一个相似的错误,那就是让别人接触到了储存这些东西的介质。我们一定要记住一个点,那就是现在的最流行的玩法已经从寻找技术漏洞转移到了社会工程学攻击上,你在生活中的任何一丁点信息都可能导致严重的蝴蝶效应,没准你今天在微信朋友圈中晒得幸福,就是你明天被人算计的起点,谨慎晒生活非常重要。
隐私安全如何保 多点防护是关键
虽然上边我们给云泼了那么多的冷水,不过完全不用云也不算是什么好办法,这就和我们吃饭会噎死,喝水会呛死,走路会摔死一个道理,电脑可以不给别人修,但是如果不用云存储本身就丧失了一种便利性,如果我们非要使用云存储,有哪些关键点可以防止这些信息泄露呢?
首先最重要一个点,不要使用太简单的密码,现在暴力破解的可能性的确是越来越小了,但是相对应的服务商对于暴力破解的防范也会越来越松,服务商都认为那些老套的规则可以抵御住暴力破解(毫无疑问是可以的),却忽略了这些老套的规则也许不能覆盖所有的入口。
然后就是如果数据真的很重要,首先我们最好不要把他储存在公开云当中,当然非公开云也有一定被连带破解的可能性。所以还是要给予这一部分数据第2次密码认证(一部分网盘带有这部分,没有的则可以利用编辑软件或者压缩软件实现),这样即使文件被盗,强密码想要通过暴力破解仍然是不可能的事情。最后就是账号方面,我们建议大家最好把自己的账号分级以避免撞库等类似情况,比如一般的网站(兴趣论坛)使用A账号,带有一定交易性质的网站(电子商务、淘宝)和联系人、信用卡等信息的使用B账号,保存关键隐私使用C账号,这样的话账号即使泄露也泄露不到C账号上。
最后的最后,那就是永远记住一点,不怕贼偷就怕贼惦记,如果别人惦记上了你,那么使用再完善的防护措施也是没什么效果的。如果您想要福利,出门左转是个好的选择。如果您有什么意见或者建议,也请在文章下方留言,使用@作者功能可以获得第一时间反馈。http://digi.163.com/14/0923/06/A6QAQPTU001624JO.html
前两天发生了一件让全世界人民沸腾的事情,那就是传说中的好莱坞事件,事件给我们带来了诸多邪恶的快乐,同时也给我们带来了很多的恐慌,为什么iCould里边的照片那么容易就被盗出来了呢?我们今天的主题自然不可能是那些邪恶的东西,而是来给大家解读一下这件事情为什么会发生,以及这个破解的过程是怎么回事。
海量照片被泄露 全球沸腾引疑问
当然在整个文章开始之前,笔者一定要说,以下所有方法请大家不要学习也不要借鉴,当然笔者最希望的是大家能够通过这些方法,了解到自己有多少不安全之处,并且改进。如果您有什么意见或建议,或者什么笔者说的不恰当的地方,也请在文章下方留言,使用“@作者”功能可以在第一时间得到反馈。
注:无论我说谁,你们都不要对号入座,因为名字和事情都是我瞎编的!
破解方法先来谈 一切源于我知道
既然是有料的内容,我们就来说说好莱坞事件是怎么发生的。如果我是一个黑客,我要做的第一件事情是什么呢?那就是猜测一个圈内人的邮箱,更简单的办法一般来说是购买那种所谓的名人私人联系方式名单,虽然不好获得,但是也没问题。好了,比如说我们在这份名单里找到了L先生的邮箱,L先生虽然不是演员,但是是一个在娱乐圈里边很吃得开的人。L先生的邮箱只需要3个简单问题就可以找回密码,他们分别是:我在哪上的小学,我最喜欢吃什么,我第一次出镜是什么时候。这3个问题如果放在笔者身上肯定是不得而知的,但是L先生是个公众人物,平时又喜欢参加那种访谈类节目,过去那点事儿早就抖落的人尽皆知了,于是乎我就成功的取得了L先生的邮箱权限,成功的进去了L先生的邮箱。
进入邮箱是起点 一个一个挨个来
有些人可能觉得这就胜利了,其实这只是一个起点,你得到的只是L先生一个邮箱,L先生虽然业内人缘好,但是早有妻室也并无绯闻,所以显然找不到任何关于L先生的“邪恶照片”。但是L先生有个使用邮箱整理联系人的好习惯,而且由于人缘好,邮箱里的人员数量也是非常庞大的。这些联系人里边自然少不了那些绯闻缠身的女星们,要知道女人的邮箱数量往往比男人少很多,所以女星们的邮箱就很可能是他的iCould账号了。至于这些女性的iCould账号里边有什么,我想就不需要我强调了吧……只是这里边我们还有一点需要注意,那就是iCould账号里边仍然有着非常庞大的联系人,于是乎我们的联系人网络就这么一波一波一波的建立起来了。好吧,当然这还不是最阴险的,在盗号之后我们往往会连带设置一些2次同步项,比如把收到的邮件自动转发,比如把发送出去的信息自动转发,比如把附件啊图片啊什么的来个自动转发,当然以上所有功能都需要我们的邮箱服务商(iCould)做支持,但是被盗号的人9成反应不过来这里会有问题,即使把密码改过来,仍然会不断的泄露信息。
暴力破解可否行 成本高昂效果差
以上就是这一次好莱坞事件发生的背景,那么有没有可能进行暴力破解呢?其实是很难的,因为现在的iCould(邮箱)系统都留有多级验证机构,比如输出错2次跳出验证码,输入错10次提高验证码难度,输入错50次转接人工客服等等,即使一些系统预留了不需要验证码的接口,也会拥有一些限定时间登陆次数的限制。而且随着互联网普及度的提升,简单的英文密码和数字密码已经越来越少见了,一般人都不会傻到拿自己的生日当做密码,更有诸如苹果这种服务商强制要求你的密码使用大写字母、小写字母、数字,而这么复杂的密码依然暴力破解需要相当长的时间。总的来说暴力破解放在今天基本是不可能的,就算我们可以随便试,但是越来越复杂的强制密码设定规则让暴力破解的成本越来越高,虽然我们运算能力的提高还是很迅速的,但是任何一个略懂密码学的管理员都不会让你有任何可以暴力破解的机会。
你的会不会泄露 问题设定有技巧
现在的你有没有发现这些明星iCould以及邮箱被破解的关键在哪?在于我们把问题设定的太简单了。而这个问题是否简单,一定要再衡量一个点,那就是你的这些信息是否真正隐秘的。我给大家举个最简单的例子,比如我有个朋友,他叫“诸葛麒麟”,他的账号叫做zhugeqilin880229,然后他设定了什么问题呢?
问题一:我姓什么?
问题二:我爸爸姓什么?
问题三:我是什么星座的?
当然这属于一个极端213的例子,他在账号里边就写明了所有问题的答案,我们一般人绝对不会犯这个错误,但是对于明星(公众人物)就不一样了,你可能已经在3个节目里边和别人说过你小学的光荣战绩,在2个访谈里边大谈对父母的感情,顺便再为了提高知名度,放个“芒果台”知名“坑爹”节目的假消息,就连孩子那点事儿也抖落干净了。这些话听起来很可笑,但是名人世界无隐私并不是一句玩笑话,一个人只想让自己一方面拼命曝光在世人面前,另一方面丝毫不见是极难的。很多我们平时看来不可能知道的事情,一个铁杆粉丝很可能背的溜溜转了,而这些粉丝本身就对传播这些隐私颇为乐道,所以说想要真的不被知道真的太难太难。
曾经还有更大事 信用卡成为关键
其实今天的好莱坞事件已经不算什么了,他的手法非常低级,能引起那么大的关注无非是因为这里边沾了点荤腥而已。相比之下,在2012年发生的Mat Honan(美国连线Wired杂志著名专栏作家)的iCould密码泄露事件才是一个完全无法让我们原谅的事情。
以下事件的逻辑比较复杂,而且相关漏洞已经封堵,不愿意动脑子的朋友请自行跳过。那么Mat Honan的iCould密码是怎么泄露的呢?问题首先出在亚马逊,Mat Honan的名字,Eemail地址都是绝对公开的信息,而他接收亚马逊账单的地址也很容易被人查到,黑客就利用了这一点给亚马逊打了个电话,以以上的理由向亚马逊官方增加了一张信用卡信息,因为这个操作不涉及到直接损失,所以亚马逊就把这张信用卡绑定了,这是第1个问题。
然后就是这张没有用过的信用卡成为了重要的突破点,黑客们用这张没有用过的信用卡给这个亚马逊账号添加了一个可以用于接收账单的电子邮箱地址,这里边又有1个问题,那就是并非1张信用卡对应1个邮箱,而是每一个邮箱可以收到所有信用卡的信息。之后我们就依靠这个新加入的邮箱,获取了账号原本的信用卡信息,然后再用这个信用卡信息去找苹果套出来了iCould的密码信息,这里又有一个新的问题,那就是苹果怎么能只依靠信用卡信息就重置了密码呢?要知道有目的的盗取一张信用卡的基础信息实在是过于简单。
泄露源头在哪里 验证机制是根本
好了,之后的事情我们就都知道了,Mat Honan肯定是没啥艳照,但是对应的他的联系人和一部分工作资料肯定是没了。估计是因为废了这么半天劲也没货的什么有价值的东西,所以黑客一气之下删干净了Mat Honan的所有资料,当然iCould一删,iPhone与iPad自然没法避免,于是乎Mat Honan也就知道了被盗这件事儿。因为iCould本身是同步的 所以如果账号被盗取手机上的联系人也有可能一次被删个干净
要么为什么会发生这样的事情呢?说点比较拗口的话,那就是服务器商在没有验证关键安全信息(比如密码、手机验证码)的情况下,添加了一个可以更改关键安全信息的信息(比如密码提示问题,可供找回的邮箱,可供找回的手机)。当然了那一次事件有一个非常特例的情况,那就是信用卡信息。美国可以说是世界上第1个建立现代信用制度的国家,所以说信用卡信息也就成为了一个人身份的标识,无论是亚马逊(美国)还是苹果都因为黑客拿到了完整的信用卡信息而给出了个人信息,这在国内是绝不可能发生的事情,毕竟在中国人的眼中,信用卡(贷记卡)仅仅就是个可以拖延付款的银行卡而已。
要如何防止泄露 要点其实颇为多
好了,关于如何获得别人的iCould密码也就到此为止了,一般来说这类密码泄露问题都是基于安全策略的漏洞,虽然偶然苹果也会犯二楼下一些暴力破解的可能性(比如今年的9月份就暴露出了Find My iPhone的漏洞),但是暴力破解只能用于弱密码,只要我们不把密码设定为诸如12345678之类的东西,暴力破解就很难奏效。而且就此次好莱坞事件而言,我们能看到如此多邪恶的东西,最根本原因绝不是什么分享精神或者猎奇精神,而是掌握这些资源的灰色渠道之间的内斗造成了这些“商品”的丢失。正所谓我赚不到的钱你也赚不到,如果我们无法达成一个大家都满意的分配协议,那么还不如把这些东西公开,让任何人都无法靠他牟利。
所以说如果我们如果想要防止类似的泄露情况,最根本的办法只有1个,那就是完全不相信类似产品,昨天的修电脑与今天的云存储,昨天的Edison Chan与今天的Jennifer Lawrence虽然照片露出渠道非常不同,但是他们犯了一个相似的错误,那就是让别人接触到了储存这些东西的介质。我们一定要记住一个点,那就是现在的最流行的玩法已经从寻找技术漏洞转移到了社会工程学攻击上,你在生活中的任何一丁点信息都可能导致严重的蝴蝶效应,没准你今天在微信朋友圈中晒得幸福,就是你明天被人算计的起点,谨慎晒生活非常重要。
隐私安全如何保 多点防护是关键
虽然上边我们给云泼了那么多的冷水,不过完全不用云也不算是什么好办法,这就和我们吃饭会噎死,喝水会呛死,走路会摔死一个道理,电脑可以不给别人修,但是如果不用云存储本身就丧失了一种便利性,如果我们非要使用云存储,有哪些关键点可以防止这些信息泄露呢?
首先最重要一个点,不要使用太简单的密码,现在暴力破解的可能性的确是越来越小了,但是相对应的服务商对于暴力破解的防范也会越来越松,服务商都认为那些老套的规则可以抵御住暴力破解(毫无疑问是可以的),却忽略了这些老套的规则也许不能覆盖所有的入口。
然后就是如果数据真的很重要,首先我们最好不要把他储存在公开云当中,当然非公开云也有一定被连带破解的可能性。所以还是要给予这一部分数据第2次密码认证(一部分网盘带有这部分,没有的则可以利用编辑软件或者压缩软件实现),这样即使文件被盗,强密码想要通过暴力破解仍然是不可能的事情。最后就是账号方面,我们建议大家最好把自己的账号分级以避免撞库等类似情况,比如一般的网站(兴趣论坛)使用A账号,带有一定交易性质的网站(电子商务、淘宝)和联系人、信用卡等信息的使用B账号,保存关键隐私使用C账号,这样的话账号即使泄露也泄露不到C账号上。
最后的最后,那就是永远记住一点,不怕贼偷就怕贼惦记,如果别人惦记上了你,那么使用再完善的防护措施也是没什么效果的。如果您想要福利,出门左转是个好的选择。如果您有什么意见或者建议,也请在文章下方留言,使用@作者功能可以获得第一时间反馈。http://digi.163.com/14/0923/06/A6QAQPTU001624JO.html
海量照片被泄露 全球沸腾引疑问
当然在整个文章开始之前,笔者一定要说,以下所有方法请大家不要学习也不要借鉴,当然笔者最希望的是大家能够通过这些方法,了解到自己有多少不安全之处,并且改进。如果您有什么意见或建议,或者什么笔者说的不恰当的地方,也请在文章下方留言,使用“@作者”功能可以在第一时间得到反馈。
注:无论我说谁,你们都不要对号入座,因为名字和事情都是我瞎编的!
破解方法先来谈 一切源于我知道
既然是有料的内容,我们就来说说好莱坞事件是怎么发生的。如果我是一个黑客,我要做的第一件事情是什么呢?那就是猜测一个圈内人的邮箱,更简单的办法一般来说是购买那种所谓的名人私人联系方式名单,虽然不好获得,但是也没问题。好了,比如说我们在这份名单里找到了L先生的邮箱,L先生虽然不是演员,但是是一个在娱乐圈里边很吃得开的人。L先生的邮箱只需要3个简单问题就可以找回密码,他们分别是:我在哪上的小学,我最喜欢吃什么,我第一次出镜是什么时候。这3个问题如果放在笔者身上肯定是不得而知的,但是L先生是个公众人物,平时又喜欢参加那种访谈类节目,过去那点事儿早就抖落的人尽皆知了,于是乎我就成功的取得了L先生的邮箱权限,成功的进去了L先生的邮箱。
进入邮箱是起点 一个一个挨个来
有些人可能觉得这就胜利了,其实这只是一个起点,你得到的只是L先生一个邮箱,L先生虽然业内人缘好,但是早有妻室也并无绯闻,所以显然找不到任何关于L先生的“邪恶照片”。但是L先生有个使用邮箱整理联系人的好习惯,而且由于人缘好,邮箱里的人员数量也是非常庞大的。这些联系人里边自然少不了那些绯闻缠身的女星们,要知道女人的邮箱数量往往比男人少很多,所以女星们的邮箱就很可能是他的iCould账号了。至于这些女性的iCould账号里边有什么,我想就不需要我强调了吧……只是这里边我们还有一点需要注意,那就是iCould账号里边仍然有着非常庞大的联系人,于是乎我们的联系人网络就这么一波一波一波的建立起来了。好吧,当然这还不是最阴险的,在盗号之后我们往往会连带设置一些2次同步项,比如把收到的邮件自动转发,比如把发送出去的信息自动转发,比如把附件啊图片啊什么的来个自动转发,当然以上所有功能都需要我们的邮箱服务商(iCould)做支持,但是被盗号的人9成反应不过来这里会有问题,即使把密码改过来,仍然会不断的泄露信息。
暴力破解可否行 成本高昂效果差
以上就是这一次好莱坞事件发生的背景,那么有没有可能进行暴力破解呢?其实是很难的,因为现在的iCould(邮箱)系统都留有多级验证机构,比如输出错2次跳出验证码,输入错10次提高验证码难度,输入错50次转接人工客服等等,即使一些系统预留了不需要验证码的接口,也会拥有一些限定时间登陆次数的限制。而且随着互联网普及度的提升,简单的英文密码和数字密码已经越来越少见了,一般人都不会傻到拿自己的生日当做密码,更有诸如苹果这种服务商强制要求你的密码使用大写字母、小写字母、数字,而这么复杂的密码依然暴力破解需要相当长的时间。总的来说暴力破解放在今天基本是不可能的,就算我们可以随便试,但是越来越复杂的强制密码设定规则让暴力破解的成本越来越高,虽然我们运算能力的提高还是很迅速的,但是任何一个略懂密码学的管理员都不会让你有任何可以暴力破解的机会。
你的会不会泄露 问题设定有技巧
现在的你有没有发现这些明星iCould以及邮箱被破解的关键在哪?在于我们把问题设定的太简单了。而这个问题是否简单,一定要再衡量一个点,那就是你的这些信息是否真正隐秘的。我给大家举个最简单的例子,比如我有个朋友,他叫“诸葛麒麟”,他的账号叫做zhugeqilin880229,然后他设定了什么问题呢?
问题一:我姓什么?
问题二:我爸爸姓什么?
问题三:我是什么星座的?
当然这属于一个极端213的例子,他在账号里边就写明了所有问题的答案,我们一般人绝对不会犯这个错误,但是对于明星(公众人物)就不一样了,你可能已经在3个节目里边和别人说过你小学的光荣战绩,在2个访谈里边大谈对父母的感情,顺便再为了提高知名度,放个“芒果台”知名“坑爹”节目的假消息,就连孩子那点事儿也抖落干净了。这些话听起来很可笑,但是名人世界无隐私并不是一句玩笑话,一个人只想让自己一方面拼命曝光在世人面前,另一方面丝毫不见是极难的。很多我们平时看来不可能知道的事情,一个铁杆粉丝很可能背的溜溜转了,而这些粉丝本身就对传播这些隐私颇为乐道,所以说想要真的不被知道真的太难太难。
曾经还有更大事 信用卡成为关键
其实今天的好莱坞事件已经不算什么了,他的手法非常低级,能引起那么大的关注无非是因为这里边沾了点荤腥而已。相比之下,在2012年发生的Mat Honan(美国连线Wired杂志著名专栏作家)的iCould密码泄露事件才是一个完全无法让我们原谅的事情。
以下事件的逻辑比较复杂,而且相关漏洞已经封堵,不愿意动脑子的朋友请自行跳过。那么Mat Honan的iCould密码是怎么泄露的呢?问题首先出在亚马逊,Mat Honan的名字,Eemail地址都是绝对公开的信息,而他接收亚马逊账单的地址也很容易被人查到,黑客就利用了这一点给亚马逊打了个电话,以以上的理由向亚马逊官方增加了一张信用卡信息,因为这个操作不涉及到直接损失,所以亚马逊就把这张信用卡绑定了,这是第1个问题。
然后就是这张没有用过的信用卡成为了重要的突破点,黑客们用这张没有用过的信用卡给这个亚马逊账号添加了一个可以用于接收账单的电子邮箱地址,这里边又有1个问题,那就是并非1张信用卡对应1个邮箱,而是每一个邮箱可以收到所有信用卡的信息。之后我们就依靠这个新加入的邮箱,获取了账号原本的信用卡信息,然后再用这个信用卡信息去找苹果套出来了iCould的密码信息,这里又有一个新的问题,那就是苹果怎么能只依靠信用卡信息就重置了密码呢?要知道有目的的盗取一张信用卡的基础信息实在是过于简单。
泄露源头在哪里 验证机制是根本
好了,之后的事情我们就都知道了,Mat Honan肯定是没啥艳照,但是对应的他的联系人和一部分工作资料肯定是没了。估计是因为废了这么半天劲也没货的什么有价值的东西,所以黑客一气之下删干净了Mat Honan的所有资料,当然iCould一删,iPhone与iPad自然没法避免,于是乎Mat Honan也就知道了被盗这件事儿。因为iCould本身是同步的 所以如果账号被盗取手机上的联系人也有可能一次被删个干净
要么为什么会发生这样的事情呢?说点比较拗口的话,那就是服务器商在没有验证关键安全信息(比如密码、手机验证码)的情况下,添加了一个可以更改关键安全信息的信息(比如密码提示问题,可供找回的邮箱,可供找回的手机)。当然了那一次事件有一个非常特例的情况,那就是信用卡信息。美国可以说是世界上第1个建立现代信用制度的国家,所以说信用卡信息也就成为了一个人身份的标识,无论是亚马逊(美国)还是苹果都因为黑客拿到了完整的信用卡信息而给出了个人信息,这在国内是绝不可能发生的事情,毕竟在中国人的眼中,信用卡(贷记卡)仅仅就是个可以拖延付款的银行卡而已。
要如何防止泄露 要点其实颇为多
好了,关于如何获得别人的iCould密码也就到此为止了,一般来说这类密码泄露问题都是基于安全策略的漏洞,虽然偶然苹果也会犯二楼下一些暴力破解的可能性(比如今年的9月份就暴露出了Find My iPhone的漏洞),但是暴力破解只能用于弱密码,只要我们不把密码设定为诸如12345678之类的东西,暴力破解就很难奏效。而且就此次好莱坞事件而言,我们能看到如此多邪恶的东西,最根本原因绝不是什么分享精神或者猎奇精神,而是掌握这些资源的灰色渠道之间的内斗造成了这些“商品”的丢失。正所谓我赚不到的钱你也赚不到,如果我们无法达成一个大家都满意的分配协议,那么还不如把这些东西公开,让任何人都无法靠他牟利。
所以说如果我们如果想要防止类似的泄露情况,最根本的办法只有1个,那就是完全不相信类似产品,昨天的修电脑与今天的云存储,昨天的Edison Chan与今天的Jennifer Lawrence虽然照片露出渠道非常不同,但是他们犯了一个相似的错误,那就是让别人接触到了储存这些东西的介质。我们一定要记住一个点,那就是现在的最流行的玩法已经从寻找技术漏洞转移到了社会工程学攻击上,你在生活中的任何一丁点信息都可能导致严重的蝴蝶效应,没准你今天在微信朋友圈中晒得幸福,就是你明天被人算计的起点,谨慎晒生活非常重要。
隐私安全如何保 多点防护是关键
虽然上边我们给云泼了那么多的冷水,不过完全不用云也不算是什么好办法,这就和我们吃饭会噎死,喝水会呛死,走路会摔死一个道理,电脑可以不给别人修,但是如果不用云存储本身就丧失了一种便利性,如果我们非要使用云存储,有哪些关键点可以防止这些信息泄露呢?
首先最重要一个点,不要使用太简单的密码,现在暴力破解的可能性的确是越来越小了,但是相对应的服务商对于暴力破解的防范也会越来越松,服务商都认为那些老套的规则可以抵御住暴力破解(毫无疑问是可以的),却忽略了这些老套的规则也许不能覆盖所有的入口。
然后就是如果数据真的很重要,首先我们最好不要把他储存在公开云当中,当然非公开云也有一定被连带破解的可能性。所以还是要给予这一部分数据第2次密码认证(一部分网盘带有这部分,没有的则可以利用编辑软件或者压缩软件实现),这样即使文件被盗,强密码想要通过暴力破解仍然是不可能的事情。最后就是账号方面,我们建议大家最好把自己的账号分级以避免撞库等类似情况,比如一般的网站(兴趣论坛)使用A账号,带有一定交易性质的网站(电子商务、淘宝)和联系人、信用卡等信息的使用B账号,保存关键隐私使用C账号,这样的话账号即使泄露也泄露不到C账号上。
最后的最后,那就是永远记住一点,不怕贼偷就怕贼惦记,如果别人惦记上了你,那么使用再完善的防护措施也是没什么效果的。如果您想要福利,出门左转是个好的选择。如果您有什么意见或者建议,也请在文章下方留言,使用@作者功能可以获得第一时间反馈。http://digi.163.com/14/0923/06/A6QAQPTU001624JO.html
前两天发生了一件让全世界人民沸腾的事情,那就是传说中的好莱坞事件,事件给我们带来了诸多邪恶的快乐,同时也给我们带来了很多的恐慌,为什么iCould里边的照片那么容易就被盗出来了呢?我们今天的主题自然不可能是那些邪恶的东西,而是来给大家解读一下这件事情为什么会发生,以及这个破解的过程是怎么回事。
海量照片被泄露 全球沸腾引疑问
当然在整个文章开始之前,笔者一定要说,以下所有方法请大家不要学习也不要借鉴,当然笔者最希望的是大家能够通过这些方法,了解到自己有多少不安全之处,并且改进。如果您有什么意见或建议,或者什么笔者说的不恰当的地方,也请在文章下方留言,使用“@作者”功能可以在第一时间得到反馈。
注:无论我说谁,你们都不要对号入座,因为名字和事情都是我瞎编的!
破解方法先来谈 一切源于我知道
既然是有料的内容,我们就来说说好莱坞事件是怎么发生的。如果我是一个黑客,我要做的第一件事情是什么呢?那就是猜测一个圈内人的邮箱,更简单的办法一般来说是购买那种所谓的名人私人联系方式名单,虽然不好获得,但是也没问题。好了,比如说我们在这份名单里找到了L先生的邮箱,L先生虽然不是演员,但是是一个在娱乐圈里边很吃得开的人。L先生的邮箱只需要3个简单问题就可以找回密码,他们分别是:我在哪上的小学,我最喜欢吃什么,我第一次出镜是什么时候。这3个问题如果放在笔者身上肯定是不得而知的,但是L先生是个公众人物,平时又喜欢参加那种访谈类节目,过去那点事儿早就抖落的人尽皆知了,于是乎我就成功的取得了L先生的邮箱权限,成功的进去了L先生的邮箱。
进入邮箱是起点 一个一个挨个来
有些人可能觉得这就胜利了,其实这只是一个起点,你得到的只是L先生一个邮箱,L先生虽然业内人缘好,但是早有妻室也并无绯闻,所以显然找不到任何关于L先生的“邪恶照片”。但是L先生有个使用邮箱整理联系人的好习惯,而且由于人缘好,邮箱里的人员数量也是非常庞大的。这些联系人里边自然少不了那些绯闻缠身的女星们,要知道女人的邮箱数量往往比男人少很多,所以女星们的邮箱就很可能是他的iCould账号了。至于这些女性的iCould账号里边有什么,我想就不需要我强调了吧……只是这里边我们还有一点需要注意,那就是iCould账号里边仍然有着非常庞大的联系人,于是乎我们的联系人网络就这么一波一波一波的建立起来了。好吧,当然这还不是最阴险的,在盗号之后我们往往会连带设置一些2次同步项,比如把收到的邮件自动转发,比如把发送出去的信息自动转发,比如把附件啊图片啊什么的来个自动转发,当然以上所有功能都需要我们的邮箱服务商(iCould)做支持,但是被盗号的人9成反应不过来这里会有问题,即使把密码改过来,仍然会不断的泄露信息。
暴力破解可否行 成本高昂效果差
以上就是这一次好莱坞事件发生的背景,那么有没有可能进行暴力破解呢?其实是很难的,因为现在的iCould(邮箱)系统都留有多级验证机构,比如输出错2次跳出验证码,输入错10次提高验证码难度,输入错50次转接人工客服等等,即使一些系统预留了不需要验证码的接口,也会拥有一些限定时间登陆次数的限制。而且随着互联网普及度的提升,简单的英文密码和数字密码已经越来越少见了,一般人都不会傻到拿自己的生日当做密码,更有诸如苹果这种服务商强制要求你的密码使用大写字母、小写字母、数字,而这么复杂的密码依然暴力破解需要相当长的时间。总的来说暴力破解放在今天基本是不可能的,就算我们可以随便试,但是越来越复杂的强制密码设定规则让暴力破解的成本越来越高,虽然我们运算能力的提高还是很迅速的,但是任何一个略懂密码学的管理员都不会让你有任何可以暴力破解的机会。
你的会不会泄露 问题设定有技巧
现在的你有没有发现这些明星iCould以及邮箱被破解的关键在哪?在于我们把问题设定的太简单了。而这个问题是否简单,一定要再衡量一个点,那就是你的这些信息是否真正隐秘的。我给大家举个最简单的例子,比如我有个朋友,他叫“诸葛麒麟”,他的账号叫做zhugeqilin880229,然后他设定了什么问题呢?
问题一:我姓什么?
问题二:我爸爸姓什么?
问题三:我是什么星座的?
当然这属于一个极端213的例子,他在账号里边就写明了所有问题的答案,我们一般人绝对不会犯这个错误,但是对于明星(公众人物)就不一样了,你可能已经在3个节目里边和别人说过你小学的光荣战绩,在2个访谈里边大谈对父母的感情,顺便再为了提高知名度,放个“芒果台”知名“坑爹”节目的假消息,就连孩子那点事儿也抖落干净了。这些话听起来很可笑,但是名人世界无隐私并不是一句玩笑话,一个人只想让自己一方面拼命曝光在世人面前,另一方面丝毫不见是极难的。很多我们平时看来不可能知道的事情,一个铁杆粉丝很可能背的溜溜转了,而这些粉丝本身就对传播这些隐私颇为乐道,所以说想要真的不被知道真的太难太难。
曾经还有更大事 信用卡成为关键
其实今天的好莱坞事件已经不算什么了,他的手法非常低级,能引起那么大的关注无非是因为这里边沾了点荤腥而已。相比之下,在2012年发生的Mat Honan(美国连线Wired杂志著名专栏作家)的iCould密码泄露事件才是一个完全无法让我们原谅的事情。
以下事件的逻辑比较复杂,而且相关漏洞已经封堵,不愿意动脑子的朋友请自行跳过。那么Mat Honan的iCould密码是怎么泄露的呢?问题首先出在亚马逊,Mat Honan的名字,Eemail地址都是绝对公开的信息,而他接收亚马逊账单的地址也很容易被人查到,黑客就利用了这一点给亚马逊打了个电话,以以上的理由向亚马逊官方增加了一张信用卡信息,因为这个操作不涉及到直接损失,所以亚马逊就把这张信用卡绑定了,这是第1个问题。
然后就是这张没有用过的信用卡成为了重要的突破点,黑客们用这张没有用过的信用卡给这个亚马逊账号添加了一个可以用于接收账单的电子邮箱地址,这里边又有1个问题,那就是并非1张信用卡对应1个邮箱,而是每一个邮箱可以收到所有信用卡的信息。之后我们就依靠这个新加入的邮箱,获取了账号原本的信用卡信息,然后再用这个信用卡信息去找苹果套出来了iCould的密码信息,这里又有一个新的问题,那就是苹果怎么能只依靠信用卡信息就重置了密码呢?要知道有目的的盗取一张信用卡的基础信息实在是过于简单。
泄露源头在哪里 验证机制是根本
好了,之后的事情我们就都知道了,Mat Honan肯定是没啥艳照,但是对应的他的联系人和一部分工作资料肯定是没了。估计是因为废了这么半天劲也没货的什么有价值的东西,所以黑客一气之下删干净了Mat Honan的所有资料,当然iCould一删,iPhone与iPad自然没法避免,于是乎Mat Honan也就知道了被盗这件事儿。因为iCould本身是同步的 所以如果账号被盗取手机上的联系人也有可能一次被删个干净
要么为什么会发生这样的事情呢?说点比较拗口的话,那就是服务器商在没有验证关键安全信息(比如密码、手机验证码)的情况下,添加了一个可以更改关键安全信息的信息(比如密码提示问题,可供找回的邮箱,可供找回的手机)。当然了那一次事件有一个非常特例的情况,那就是信用卡信息。美国可以说是世界上第1个建立现代信用制度的国家,所以说信用卡信息也就成为了一个人身份的标识,无论是亚马逊(美国)还是苹果都因为黑客拿到了完整的信用卡信息而给出了个人信息,这在国内是绝不可能发生的事情,毕竟在中国人的眼中,信用卡(贷记卡)仅仅就是个可以拖延付款的银行卡而已。
要如何防止泄露 要点其实颇为多
好了,关于如何获得别人的iCould密码也就到此为止了,一般来说这类密码泄露问题都是基于安全策略的漏洞,虽然偶然苹果也会犯二楼下一些暴力破解的可能性(比如今年的9月份就暴露出了Find My iPhone的漏洞),但是暴力破解只能用于弱密码,只要我们不把密码设定为诸如12345678之类的东西,暴力破解就很难奏效。而且就此次好莱坞事件而言,我们能看到如此多邪恶的东西,最根本原因绝不是什么分享精神或者猎奇精神,而是掌握这些资源的灰色渠道之间的内斗造成了这些“商品”的丢失。正所谓我赚不到的钱你也赚不到,如果我们无法达成一个大家都满意的分配协议,那么还不如把这些东西公开,让任何人都无法靠他牟利。
所以说如果我们如果想要防止类似的泄露情况,最根本的办法只有1个,那就是完全不相信类似产品,昨天的修电脑与今天的云存储,昨天的Edison Chan与今天的Jennifer Lawrence虽然照片露出渠道非常不同,但是他们犯了一个相似的错误,那就是让别人接触到了储存这些东西的介质。我们一定要记住一个点,那就是现在的最流行的玩法已经从寻找技术漏洞转移到了社会工程学攻击上,你在生活中的任何一丁点信息都可能导致严重的蝴蝶效应,没准你今天在微信朋友圈中晒得幸福,就是你明天被人算计的起点,谨慎晒生活非常重要。
隐私安全如何保 多点防护是关键
虽然上边我们给云泼了那么多的冷水,不过完全不用云也不算是什么好办法,这就和我们吃饭会噎死,喝水会呛死,走路会摔死一个道理,电脑可以不给别人修,但是如果不用云存储本身就丧失了一种便利性,如果我们非要使用云存储,有哪些关键点可以防止这些信息泄露呢?
首先最重要一个点,不要使用太简单的密码,现在暴力破解的可能性的确是越来越小了,但是相对应的服务商对于暴力破解的防范也会越来越松,服务商都认为那些老套的规则可以抵御住暴力破解(毫无疑问是可以的),却忽略了这些老套的规则也许不能覆盖所有的入口。
然后就是如果数据真的很重要,首先我们最好不要把他储存在公开云当中,当然非公开云也有一定被连带破解的可能性。所以还是要给予这一部分数据第2次密码认证(一部分网盘带有这部分,没有的则可以利用编辑软件或者压缩软件实现),这样即使文件被盗,强密码想要通过暴力破解仍然是不可能的事情。最后就是账号方面,我们建议大家最好把自己的账号分级以避免撞库等类似情况,比如一般的网站(兴趣论坛)使用A账号,带有一定交易性质的网站(电子商务、淘宝)和联系人、信用卡等信息的使用B账号,保存关键隐私使用C账号,这样的话账号即使泄露也泄露不到C账号上。
最后的最后,那就是永远记住一点,不怕贼偷就怕贼惦记,如果别人惦记上了你,那么使用再完善的防护措施也是没什么效果的。如果您想要福利,出门左转是个好的选择。如果您有什么意见或者建议,也请在文章下方留言,使用@作者功能可以获得第一时间反馈。http://digi.163.com/14/0923/06/A6QAQPTU001624JO.html
诚心求好莱坞明星的床上礼仪教学资料
36435205@qq.com
36435205@qq.com