顶级黑客欢乐解析:宋喆被人肉的七种方法
作为敢抢奥运会头条的男人,宋喆遭遇了围追堵截。这次全民捉奸不仅是娱乐圈的狂欢,科技圈也神乱入了一下: 如果没有广大黑客技术爱好者的参与,狗仔们似乎也无法在几天之内扒出宋喆的身世、爱好、住址、开房记录,用体无完肤来形容毫不为过。 【网友总结的宋喆个人信息(保护公民隐私,敏感信息已被打码)】 实际上,黑客们认真捉起奸来,可以获得诸多让人惊讶掉下巴的奇异信息。雷锋网(搜索“雷锋网”公众号关注)决定向顶级黑客请教一下,暂时抛开法律和道德因素,究竟怎样人肉一个人呢?或者从反面来说,如果你不小心爱上了明星的媳妇而成为了全民公敌,如何避免被人肉的悲惨遭遇呢? 这次雷锋网采访到了拥有傲人娱乐气质和专业黑客精神的安全研究员——360 网络攻防实验室老大林伟。以下是干货。 一、iPhone——随身携带的定时炸弹憋说话,掏出你的 iPhone。(如果你有的话) 打开:设置—隐私—定位服务—系统服务—常去地点 看到了没,让我猜猜,你去的次数最多的地方是你的家,而排名第二的,就是你的公司。如果觉得不够详细,点进去还有地图。就是这么惊悚。 【苹果手机会默认开启“常去地点”功能,完整记录你的生活轨迹】 如果黑客搞到了你的 iCloud 账号,用任意一台 iPhone 登陆,都可以获得你常用的位置信息。所以如果你成为了全民公敌,就不要惊讶为神马第二天就有人在你家楼下堵住你的去路。 当然,事情原本可以不用这么复杂,看到“查找我的 iPhone”了吗? 然而所有的信息都建立在你的 iCloud 被破解的基础上。而 iCloud 的安全性, 很大程度上依赖于你的密码强度还有密保邮箱的密码强度。如果你的密保邮箱是网易,呵呵。 【宋喆的邮箱用于找回密码的密保邮箱使用了相同的弱密码,这导致黑客可以轻易修改他的邮箱密码】 这一点都不可笑,宋喆的常用邮箱就是网易,这也是他被突破的关键点之一。从网上流传的马蓉自拍图来看,这些图片来源很可能是马蓉或宋喆的 iPhone 手机。这表示很可能已经有黑客攻陷了二人至少一部手机。 二、弱密码——纸糊的门锁现实世界中的情况是,几天之内宋喆的所有邮箱、人人网、京东账号似乎都已经被攻破。黑客们是如何做到的呢?根据爆出的信息,林伟为我们简单地梳理了一下他被“社工”的步骤:
我们来追本溯源,这一切的一切都始自于邮箱被破解。众所周知,网易并不给力,曾传言被拖库(用户信息库被黑客拖下来)。虽然官方否认,但多个渠道证明在黑产中流传着完整的网易邮箱的用户信息。 【在黑产中流传的网易邮箱密码库】 正因为如此,才能在社工库里看到宋喆的邮箱密码。然而有一件事必须说明,那就是网站被拖库,并不意味着你的密码信息一定会被泄露。 科 普一下。现在几乎所有网站的用户信息都已经被“加盐”,即所有的用户名和密码都是在加密状态被存储的。即使黑客黑进了网站服务器,拿到了你的密码信息,也 不能读出明文,而是需要通过密码字典破译。破译的难度和密码的复杂度成正比。也就是说,如果你的密码足够复杂,以目前计算机的算力,仍然难以被破解。 事实上,看似精明的宋喆在网络安全意识方面还不及一个普通人,他的密码之简单令人发指。确切来说,他的常用密码只是自己名字的拼音,或者在前后加上自己的生日。这才造成了短时间内一连串账号被破解的悲惨遭遇。 那么问题来了,应该怎样设置密码才安全呢? 林伟告诉雷锋网,密码应该和电影一样,至少分为三级:
【提供几个高强度密码供童鞋们参考,忘了别怪我】 三、微信朋友圈——潜伏+无间道你认识你的所有微信好友吗?相信你一定会回答“不”。那么,你又怎样确定自己的朋友圈里是不是潜伏着一个无间道呢? 如果你看到微信上有多年不见的老同学加你好友,看头像还确实认识,你会通过验证吗?正常人十有八九会通过验证。 然而事情的真相可能是:黑客通过你人人网上的公开信息和好友信息,拿到了你的老同学的照片和基本信息,然后躲在微信后面添加你为好友。 一旦通过,你的朋友圈便对黑客敞开了。想想看,你在朋友圈里晒的每一张照片,每一个感想,都能成为黑客判断你位置和性格的有力证据。 林伟说:
四、微博、人人网、豆瓣——再见,隐私宋 喆在事发后第一件事就是清空了自己的微博,看来他也意识到,自己在微博上发的信息,都会成为对自己不利的“呈堂证供”。然而,他没有在第一时间清空自己的 人人网。(一般人确实很难在第一时间意识到还有人人网这个神器的存在。)这导致了黑客抢先黑进了他的邮箱,更改了他人人网的密码。很可能他已经无法登陆自 己的人人网账号。 【看起来,帝吧的朋友们已经占领了宋喆的人人网】 你 可能会问,宋喆为什么不可以通过登陆邮箱把人人网密码修改回来呢?答案是,他的邮箱被曝光出来之后,已经有潮水般的网友在世界各地尝试登陆,进入了异常保 护状态,任何人都已经不能尝试登陆。另外,就算没有这种人肉 DDoS,之前提到,他的邮箱很可能已经被攻破并且改密,所以宋喆已经失去了对自己邮箱控制。 想想你都在人人网上做过什么吧?这个已经有点过气的社交平台,潜伏着你的所有黑历史。以宋喆为例,在人人网上,你可以公开查询到他的生日、从小到大的学校信息、他喜欢养狗、他的偶像是陈冠希、他的性格放浪不羁等等。 稍后会提到,在破解其他账户或邮箱的时候,这些个人信息会作为密保问题的答案,扮演破解的重要角色。 【王珞丹在微博中晒出的两张图片导致住所被网友定位】 再来说说微博,假设被人肉者没有第一时间清空,所有人都可以公开查看他发布过的信息。因为发微博被人肉的事情,已经屡见不鲜:
【宋喆以自家斗牛犬的名号开了微博“虎斑小DD的幸福生活”,网友据此照片定位到了他生活的小区】 作为一名拥有顶级安全意识白帽子黑客,林伟也会在微博、人人网抒发情感,但是他有一些发布微博的心得:
|