作者 | 譚冠群、PA Shanshan,阿里雲安全專家
頭圖 | CSDN 下載自東方 IC
出品 | CSDN(ID:CSDNnews)
撞庫的原理和危害
“撞庫”在網絡安全中是一個古老的概念,按中文的字面意思解讀,就是“碰撞數據庫”的意思。“碰撞”意味著碰運氣,即不一定能成功;而“數據庫”中往往存儲著大量敏感數據,比如我們登錄一個網站所需要的用戶名、密碼,再比如手機號、身份證號等個人隱私信息。“撞庫”在英文中的表述為 Credential Stuffing(密碼嗅探),也非常直白的說明了撞庫的主要場景:試圖獲取正確的賬號/密碼組合,大白話就是“盜號”。
現實中發生的撞庫攻擊主要是攻擊者通過一些自動化工具(如腳本)針對要撞庫站點的相關接口(比如登錄接口)批量提交大量的用戶名/密碼組合,記錄下其中能成功登錄的組合並盜取該賬號,為接下來做其他的壞事(比如將銀行賬號中的資金轉走,或是遊戲賬號中的虛擬物品出售,或是盜用他人身份發表一些言論等等)做好準備。
值得注意的是,盜號並不是撞庫攻擊的唯一目的,驗證某個賬號有沒有在一個站點中註冊過也是常見的撞庫目的。
舉個例子,同樣是登錄失敗,很多站點對於“用戶不存在”和“密碼錯誤”會給出明確不同的兩種提示,這意味著我即使不知道你的密碼,也可以知道你的手機號有沒有在這個站點註冊過。知道這個有什麼用呢?舉個 P2P 行業的例子,假設一個手機號在幾十個借貸平臺上都註冊過,那這個手機號的主人恐怕有著很糟糕的財務狀況(多頭借貸),貸款給他的風險就很高了。
從攻擊目的上區分,撞庫有以下幾種常見場景:
弱密碼嗅探:
類似 111111、123456 這樣的簡單密碼因為很多人用,用這樣的弱口令去試探大量的賬號,就有一定概率能發現一些真正在使用弱密碼的賬號。實施這樣的攻擊一般要求攻擊者手上已經掌握了大量的賬號以及常見的弱密碼庫,當然如果不知道賬號,隨機構造一些也是有概率成功的,比如手機號這種格式固定的賬號。
利用拖庫數據:
這是攻擊成功率更高的一種方式,原理是大多數人傾向於在多個站點上使用同一個密碼(有多少人淘寶和支付寶的密碼是一樣的?)。當攻擊者成功入侵一個安全防護能力很弱的站點 A,並拿到其數據庫的所有用戶名密碼組合,然後再拿著這些組合去站點 B 嘗試,如果你兩個站點都註冊過並且使用了同樣的密碼……撞庫就成功了。
針對高權限賬號的暴力破解:
暴力破解嚴格來說跟撞庫是兩種類型的攻擊,但我們還是要提一下,因為二者從攻擊方法和防護方式的角度來看都差不多。這主要是針對一些高權限賬號(如網站的管理員)用大量密碼去試探,想要盜用的賬號目標非常明確。
雲上常見的撞庫案例
明白了原理,撞庫攻擊的危害也就很明確了。對個人用戶來說,這會導致個人密碼洩露、賬號被盜,進而造成財產或名譽損失;對企業來說,不僅會造成客戶信息等商業機密的洩露,還會對企業的聲譽和形象造成嚴重傷害。
撞庫攻擊現狀
撞庫離我們遠嗎?實際情況如何?根據我們對阿里雲 WAF 流量的分析,分享下面幾個數據,不難看出撞庫攻擊早已日夜相伴於我們的身邊,且已極具規模化、專業化。
數字 1:50 萬個
這是我們明確觀察到的每天有大量聚集性進行撞庫攻擊的 IP 量,考慮到還有相當多的攻擊場景中使用了秒撥等離散 IP 資源沒有被統計進來,每天實際參與撞庫攻擊的 IP 數量估計還要大 1-2 個數量級。另外值得注意的是,相當一部分攻擊源 IP 在 C 段上有聚集性,從我們觀察到的情況來看,每天有 200 多個 C 段(共 256 個連續 IP)中有超過 200 個 IP 實施撞庫攻擊。
數字 2:4.48 億次
雲 WAF 流量中每天檢測到的撞庫/暴力破解請求量高達 4.48 億次,這只是每天的數據,由此可以看出撞庫這種攻擊手法是多麼受到黑客的歡迎。
數字 3:630 萬次
這是某網站一天內被撞庫攻擊的總請求量。
實際上,我們觀測到在一些撞庫攻擊的“熱門行業”,如 P2P、遊戲、區塊鏈、信用卡、電商等,撞庫攻擊已經在非常成規模的持續進行,這個持續時間可能達數月甚至是長年在跑,與業務相生相伴。而在一些筆者意想不到的行業(比如醫美,瞎猜一下攻擊意圖也許是想通過驗證你是否註冊過醫美類網站來給醫美廣告提供更精準的投放參考),也發現了大規模的撞庫事件。
數字 4:83%
從實施撞庫攻擊的攻擊工具來看,83%以上的攻擊流量來自簡單的腳本,這裡的“簡單腳本”定義為一些通過最簡單的人機識別方式(如 JS 校驗)就能檢測出的腳本工具,而在這其中 Java Tools 和 Python Requests 是“最有存在感”的兩種腳本工具。
不過值得注意的是,近些年隨著爬蟲技術和相關產業的迅猛發展,“正規軍”佔比已越來越大,這些團伙手中掌握大量的攻擊資源和最新的爬蟲技術,整個產業鏈上下游分工精細,協同流暢,普通企業防禦起來的難度也在迅速上升。
撞庫帶來的合規風險
自歐盟隱私法 GDPR 生效以來,世界各國監管對於數據保護極為重視,自 2019 年開始,對洩露的處罰和後果也呈上升趨勢。在 GDPR 的第 4 條中提出,個人數據洩露是指“由於違反安全政策而導致傳輸、儲存、處理中的個人數據被意外或非法損毀、丟失、更改或未經同意而被公開或訪問。”
所以,即使是使用已經洩露的數據來進行撞庫攻擊,但是企業自身的安全防護工作沒有能夠避免被未經授權的訪問,也是違規的一種。美國的健康保險攜帶和責任法案(HIPAA)也有規定 “以 HIPAA 隱私規則所不允許的方式獲取、訪問、使用或披露個人醫療信息,等於損害安全性或隱私。”即使被非法訪問的數據是被加密的,但是系統和數據受到了未經授權的攻擊,因此也屬於 HIPAA 隱私權規則所不允許的披露。被撞庫的企業為受害者,但是每個受害者都因自身安全控制不到位而成為這雪球效應中貢獻的一分子。
2019 年夏天,信用評級公司穆迪(Moody's)對網絡安全的業務影響進行了新的調整,將網絡風險納入其信用評級。穆迪根據企業違規而造成的業務影響將上市企業的評級從穩定降至負面。穆迪正在積極將網絡風險納入其信用評級,這可能只是第一個倒下的多米諾骨牌。信用評級廣泛影響到投資者在選擇投資對象時所考慮的風險評估以及投資決定。對上市企業來說,重新考慮其網絡安全和合規性方法,尤其是隨著法規變得越來越難以遵守。不僅如此,針對特定的行業,也將面對更多不同的處罰規定。
隨著近年來物聯網設備的爆炸性增長,再加上公共雲、容器和 VM 的激增,導致人們對數據流量的可見性普遍缺乏,從而大大增加了整體威脅面和公司的漏洞。數據洩露事件不斷增加,導致撞庫攻擊成為近年來常用的一種入侵辦法。每一次洩露的數據都可能變成下一次入侵的開門匙。
如何防護撞庫攻擊?
個人篇
從個人用戶自我保護的角度來說,我們給出 4 個建議:
儘量減少在不同網站使用相同密碼。當然,人性的懶惰跟密碼機制的安全性天然上就有衝突,大部分人很難做到這一點,據第三方統計,超過 60%的人依然在多個站點使用同一個密碼。
使用更復雜的密碼。比如請不要再用 123456、111111 了……
定期更換常用密碼。黑產手裡往往掌握大量的“社工庫”,裡面存儲了很多已知的用戶名-密碼組合,他們可能就包含了你多年前在某網站上使用的組合。因此經常更換密碼可以減小社工庫信息的有效期。
啟用更多密碼以外的身份驗證機制。其實很多安全性好的企業已經在採取一些二次驗證、多因素驗證之類的最佳實踐,如蘋果的二次驗證、Google 的身份驗證器、支付寶的人臉識別、微信的聲紋等,建議個人用戶儘可能的開啟類似的驗證機制。
最常用的密碼前 500 名(來自 Informationisbeautiful)
企業篇
從企業的角度來說,做好賬戶安全是非常非常重要且基礎的工作,因為賬戶很大程度上是業務安全體系的基石,賬號安全一旦失守,只會帶來後續更多的問題,補救這些問題需要付出的成本要遠遠大於做好賬戶安全防護本身。當然賬號安全本身是非常複雜的系統工程,這裡我們只是針對撞庫這個場景給出一些最佳實踐供參考:
強制用戶密碼的強度。
這點不少站點現在已經做得很好了,但是還有相當多的應用允許用戶使用 111111 這樣的弱密碼。同時也特別注意,不要忽略小程序、App 等非網頁環境的註冊接口。
定期強制用戶更換密碼。
這點主要針對企業內部員工,畢竟記住一個密碼已經很痛苦了,這帶來的用戶體驗將會直線下降。
在賬戶相關接口加強人機防控策略。
這裡的接口主要包括登錄、註冊、找回密碼、獲取短信驗證碼等,“人機防控”指的是將這些接口中“機器”的訪問請求和“真實的人”區別出來,在文章開頭我們已經講過,真實情況下攻擊者幾乎沒有手動實施攻擊的情況,如果能將大部分針對賬號的“機器流量”識別出來並攔截,會是安全水位很大的一個提升。從技術手段來說,常見的有使用驗證碼、封禁高頻請求的 IP/會話、部署人機識別的 SDK 組件等等。
重要業務流程採用二次驗證。
如轉賬前通過人臉識別、指紋聲紋、短信/郵件驗證碼、身份證末位數字驗證等機制來確認當前操作來自賬號擁有者。
建立業務維度的賬戶異常指標監控,並及時處理風險賬號。
區別於“人機”的技術手段,這裡主要是從業務角度(比如高頻發帖、異常轉賬等等),對一些行為上不正常的賬號進行監控和處罰,作為技術防控的補充。
藉助安全工具做好防撞庫攻擊。
如果遇到撞庫等賬戶安全問題的困擾,又沒有足夠專業的團隊或精力來按照上述建議進行對抗,建議選擇一款合適的安全工具來應對。一般來說, Web 應用防火牆(WAF)就能有效應對撞庫攻擊。以阿里雲 WAF 為例,其內置了內置撞庫、暴力破解、垃圾註冊、流量基線、弱口令檢測等多個檢測模型,多種形式的人機檢測組件,以及針對 APP 的安全 SDK 能力,還可以基於異常行為、時序、攻擊手法、團伙畫像等多維度識別惡意爬蟲,做到實時防護。從這個角度來看,對於企業來說,選擇一款功能豐富強大的安全工具往往可以起到事半功倍的效果。
結語
有人的地方就有江湖,有賬號的地方就有撞庫。密碼制度本身因安全需求而生,卻也帶來了撞庫這類的風險。我們相信,未來密碼會越來越多的被其他體驗更好、安全性更高的身份校驗方式所取代,而這些方式或許又存在隱私、合規相關的問題。最好的方案似乎永遠要在安全、便利、隱私這幾個因素之間互相平衡。著眼於當下,用戶名/密碼的形式依然主導著絕大多數站點的賬號管理方式,因此以撞庫攻擊為代表的賬號安全問題依然需要引起個人用戶和企業的足夠重視。希望本文能夠給您帶來一些參考和幫助,共同建設更安全的互聯網!
閱讀更多 CSDN 的文章
