本帖最后由 【乱】 于 2015-2-6 06:35 编辑
腾讯的安全坑 前世今生啊
===========
相关内容转自知乎问答
http://www.zhihu.com/question/23583121
以下纯个人阅读后有点小意思就分享下,问答不具有任何实名或专业性认证 ,仅供参考 其真实性也待审查
问:
盗取 QQ 密码的难度是否在增加,账号保护措施是否更好了?修改
最近几年越来越少听到有木马窃取QQ密码了, 是否QQ密码被盗率在下降? 若如此, 是腾讯的对QQ密码的保护能力在提升还是其他原因? 从社会工程学的角度看, 盗取一个人的QQ密码有多难?作为安全界的大牛,会不会不屑去盗取一个人的QQ密码?
答:1 柯鼠,产品推广汪~
我06年因为盗QQ号的邮箱收到号码太多而被迫关闭邮箱~所以小有经验,盗号其实是件挺好玩的事情,如果你不想以此来非法牟利的话——我盗号是为了好玩而已,没干坏事,我是个好人,真的。
下面纯粹是流水账小故事。
一般来说盗取QQ号码用破解方法的非常少,早年,嗯,挺早年的了。大概在03年以前吧,当时的确是有挺多用暴力猜测QQ密码来破解的,不过03年以后这种方法就很少了,因为123456789这样的密码越来越少,而且腾讯QQ防止暴力猜测的安全机制很容易拦截。比较多的盗取QQ号的方法应该是种植木马——也就是监听你输入到QQ密码框信息。当初我就是用的这个方法,把镇上的大部分网吧电脑上的还原系统破坏掉,然后种植盗号木马——然后再把还原系统开启——很贱是不?因为这样就算你查杀了我的木马电脑重新启动以后我的木马又回来了~用监听的方法真的是完全无视你密码的复杂度的——像ppnn13%dkstfeb.1st这种复杂而充满诗意的密码,也就难为你自己的记忆而已,不过如果有黑客要暴力破解这段密码,估计得用上几年时间。
有段时间还流行过提取自动登录的QQ账号保存到本地的加密密码的方法,然后再用彩虹表之类的进行查询,不过我没找到过具体方法。我见过的比较牛逼的盗号,是一个黑客在腾讯网上偶然发现的漏洞,根据那个漏洞那货一分钟之内从腾讯网站上提取了数以万计的QQ账号和密码。最牛逼的话,在我记忆里就是当年的菜霸了,天涯种菜基地集团有限公司的菜总,那小子十六岁拿下了腾讯服务器最高权限,然后用麻花藤的QQ号到处聊天撒欢~
大概是07年左右的时间,据说腾讯使用了韩国的驱动过滤技术使得木马盗号变得比较困难了~不过在利益面前,腾讯还是斗不过千千万万的黑客的。
SO,为毛这些年听到盗号的声音不多了?依照我个人看法,应该跟QQ号码背后的利益价值变动有关。不知道大家有没有经历过早年一个具有“太阳等级”的QQ号码卖到五十块钱软妹币的情况?在现在看来这是很不可思议的,但是那个年代QQ号码申请有一段时间都是要银子的。还有就是账号里面的Q币~不过从我学会盗号开始Q币就不能转赠什么的(当然也不知道以前能不能转赠)。所以花费那么多心机去盗取QQ号码其实利益也不大~至少我06年关闭那个存了数千QQ账号的邮箱之后就再也没兴趣了。还有就是早年QQ诈骗还是比较有效的,冒充好友骗取钱财的事情很多,不过近些年大家的智商都提高了不少,骗子得逞率就比较低了。
我大二的时候,大概是10年的时候还有人找我盗号,不过是两个很特别的原因:一个同学被人恶意诽谤,想找我盗取那人的账号密码——你肯定想不到是警察叔叔让我那同学这么做的。二是一个男人怀疑他老婆出轨,让我帮忙盗取他老婆QQ号码,查看记录——感情我还成了私家侦探了。
关于盗号的难度,社会工程学是个好方法,这在定向盗取QQ号的时候非常有用——其实很多黑客盗取QQ号码多半不是指定盗取,都是海量盗窃,谁中招就收了谁的密码,指定盗号是比较难的。关于社会工程学的牛逼之处,大家可以去购买世界上头号电脑黑客凯文·米特尼克写的那本《欺骗的艺术》,这个黑客的经历非常吊炸天,大家有兴趣可以了解下。以我个人经验来说,盗号的难易程度大致可以这样排列:木马监听<社工<暴力破解。
这里给大家一个小经验,就我刚才提到的,在木马监听面前,你多复杂的密码都是没用的。我早年为了尽量避免中招,习惯在设置密码的时候在后面加两个空格,因为很多监听软件并不识别盗取密码中的空格,比如说:
密码1:123456789
密码2:123456789
看上去是不是一样的密码?其实第二个密码是123456789[空格][空格](用鼠标选取那段文字你就会发现区别),用这种简单的办法可以预防一些盗号软件。(经 @Laughing man 提醒QQ似乎不能这样设置密码的,不过我早年的确有这个设置习惯,比如我个人的网易邮箱到现在为止仍然是带空格结尾的)
早些时候还有一个简单的方法可识别QQ程序是否被木马程序破坏,就是在登录QQ的时候右键点击QQ密码输入框,正常情况下是不能弹出右键菜单的,如果能弹出菜单一般就是QQ程序被木马破坏了,这个方法我在09年的时候似乎还能用,不过这些年QQ开发的方法一直在革新,也不懂是否还有用。
半夜码的字,有错的地方欢迎指正。
答2:陈慎远,请叫我ULiiAn·喵
中学的时候一度迷醉于这些奇技淫巧,当时学校给我们每个班一个小网站,让我们自己维护了玩,但是我偶然一次发现另一个班的小朋友居然维护出了我们班维护不出来的效果,找老师问~老师很腹黑地告诉我,给他们班开了个小权限,之后会关闭。一怒之下找到了这个网站的整站系统,然后自己搭建服务器跑通,然后发现这个很简陋的系统中有各种各样的当时流行的漏洞。注入,上传,备份......可谓是个练手的好靶子。之后用百度搜索关键字,发现用这个系统的人不少,当时正好也迷醉于免杀技术的研究。记得当时怎么补都补不好的MS-06014漏洞。然后当时用tom邮箱,最高纪录一个星期斩获5000+个QQ密码。(我一个都没改密码,请组织相信我)
之后在一次偶然别人发给我的钓鱼链接中发现那个钓鱼网站有注入,然后进去后发现纪录的QQ号和密码好多啊,但是很奇怪的是为什么不见增长咧?后来灵光一闪,感觉是不是他的空间满了?把所有已纪录的QQ号删除,几秒钟过后,上千条新纪录进入了我的视线。从那时起,我就领悟到最大的漏洞原来是人本身啊!
当然,我放了webshell到他的网站里,把他的网站源码整个拿走(原谅我那时候根本不会写代码)然后连蒙带猜改了他的程序,改成了所谓的许愿版,然后发给女神,然后知道了女神心里面的人是谁(无语凝噎)!
不知道现在还有多少人记得QQ2008登录窗的那把小锁,当时我判断一个QQ木马好不好就看他处理那把小锁好不好,好的马会破坏了QQ的保护,但是小锁依然是亮的,不好的马小锁就会有一个无效的标识。那时候对抗卡巴斯基,金山毒霸,瑞星,其实很容易的,加壳已经不容易了,但是加花,跳转还是很容易对抗的。
后来QQ保护真的越做越好,无论是破坏保护还是钓鱼都越来越难以实施,我也再那次打击之后退出了这个圈子,研究的也不多了。而大M$也越来越好,像MS-06014这样风骚的漏洞也没再遇到了,并且随着熊猫烧香的爆发和360的普及,广大盗版用户学会了如何优雅地安装系统补丁,对于普通小骇客真是一次不小的打击,顺便一说,当时名噪一时的pcshare 也只能保证普通杀毒软件能免杀,而360不敢保证。
如今看来,盗QQ的门槛已经提升不少,软件方面的门槛越来越高,但是只要有操作人这个大BUG存在,用心去突破也不是什么难事。
而QQ号的安全性现在更多的和号主本身的价值成负相关,没有攻不破的软件。
我想起那天夕阳下的奔跑,那是我逝去的青春
答3:Laughing man,信息安全
非黑产相关人员, 从普通用户的角度回答一下这个问题.
难度确实在提高, 体现在QQ自身防护水平的提升, 多因子验证, 更安全的操作系统, 逐渐提高的用户安全意识, 更少的暴露这几个方面.
------------------------------------------------------------------------------------------------------------------------------
1, 腾讯技术的进步. 正如@柯鼠 所述, 早期, 腾讯QQ对木马防范能力有限, 直接盗取较多, 而且据说密码早期是明文传输, 这个我08年接触时, 嗅探的内容已经是密文了, 直接在通讯中间节点获取密钥难度已经超出多数普通安全从业者的能力. 相对而言,如今对密码输入部分增加了保护模块, 并自带安全检查模块. 每次登陆, 前者会防止内存钩子直接获取密码, 后者会扫描当前系统是否感染已被列入指纹库的恶意软件.
2, 多因子验证. 如今QQ若是在非常规登陆点登陆, 比如, 平时在A地, 此时突然在B地登陆, 就需要输入reCAPTCHA验证码和一定验证途径, 比如手机验证码等. 最近一年, 腾讯一直在推QQ安全中心, 在你不登陆时, 可以锁定QQ, 并提供时间令牌, 进行二(多)次验证. 此时, 就算QQ密码被盗, 未必能产生一定实质影响, 所以, 有时候似乎没有被第三方恶意登陆, 但此时可能QQ密码已经被盗取.
3, 更安全的操作系统. 这个QQ早期密码输入模块保护有限, 系统保护也是, 很容易被钩子获取到密码. 而如今, 更安全的操作系统, 降低了恶意软件感染率的同时, 也提高了对QQ程序本身的保护.
4, 逐渐提高的安全意识. 比如我自己在我电脑以外系统登陆时, 就会利用软键盘来进行密码输入, 这个可以直接防御针对键盘本身制作硬件版的键盘记录器的攻击(远甚于软件版的, 可以买一个玩玩, 很有趣). 密码的复杂度在增加, 同时, 不同系统采用不同密码的情况也在增多, 加大了"撞库"的难度.
5, 更少的暴露. 网吧安全管理水平也在提升, 在网吧种木马的难度明显增大. 拥有自己电脑的人也在增多, 更何况, 不少人一直使用自己手机登陆QQ, 暴露在非安全环境的几率也在降低. 国产的杀毒软件, 一定程度上, 也能标注出钓鱼网站, 这点, 也同时挽救了大量的QQ密码被盗.
综合来看, 就导致了安全性在增加的感觉. |
发表于 2015-2-6 06:30:35
楼主