※ 引述《patentstm (暖暖苗圃沒有樹...)》之銘言:
: FBI公佈某國家級的駭客密技:繞過去!!
: 自美國大選之後,FBI接連公佈國家級駭客密技,
: 最引人注目的手法不是直接攻擊帳號密碼,而是「繞過去!!」
: 大型網站登入一次,有效期可維持30天到3個月,
: 與其想破腦筋破解密碼,駭客直接盗取"登入有效期"資訊,
: 讓網站誤以為駭客的電腦還在"登入有效期"內,便可橫行無阻地取得資料
: 聴說這是盗cookie, 就讓專業的人來說明吧
: ref.
: https://udn.com/news/story/6897/2348767?from=udn-hotnews_ch1015
: FBI 揭密 俄羅斯駭客如何盗走5億個Yahoo帳號
看到有鄉民推文希望多懂一點 我就來獻醜一下 如有錯誤請不吝指教
其實這也挺簡單的 雅虎2000年剛起來的時候 大家對於互聯網的網路安全並不重視
雅虎基本上又是互聯網大頭 當時又幾乎人手一個雅虎帳號
在其他網站也都是用雅虎帳號來驗證
在十幾年前 你的密碼隨便一點也不會怎麼樣
所以有很多人的密碼都太簡單好猜 頂多七八個character
但現在運算速度跟記憶體空間跟十年前比差太多
駭客很容易用暴力硬破的(有興趣可以參考小弟的文章
http://www.jyt0532.com/2017/02/19/password-security/)
所以密碼光是hash已經不夠強了 還需要加salt
那你知道要加salt後 又不能跟所有user說要更新密碼 只能說建議更新密碼
所以總是有少部分的密碼更新速度比不上機器運算速度
當然這裡的case不是單指yahoo
回到主題 俄羅斯駭客這個案件感覺跟原po說的是不同事情
原PO說的是CSRF(Cross Site Request Forgery)
這是OWASP這個project排行的網路安全第八名
基本上我們跟server能做的互動 取決於server開放給我們的權限
比如說A可以轉錢到別人信箱 可是不能改B的密碼 也不能把C的錢轉給自己
可是今天要是有權限的話就不一樣了 什麼時候會有權限呢
就是你的cookie/session還有效的時候
(比如你現在開facebook不用輸入密碼 因為你cookie還有效)
讓你在你不知情的情況下送http request
這就是你很常收到垃圾郵件或惡意郵件的時候
他都會要你點個link 那絕不是只是要你點廣告衝流量而已
如果你點了 剛好你另外一個網站(比如銀行)的cookie沒有到期
他就可以假裝是你 送http request
更多細節還是可以參考小弟的拙作 OWASP的前十名都有介紹
(http://www.jyt0532.com/2017/03/19/owasp/)
yahoo這次leak我倒要幫雅虎說話
是因為太多人yahoo跟別的網站用相同帳號密碼
其他網站被破了帳密被盜了後 駭客拿來試試看雅虎的是不是也一樣
結果他媽這麼多人帳密跟其他很爛的網站帳密一樣
而且這種每個網站帳密都一樣的人也不太可能定期改密碼
所以即使你之後才加salt也來不及了gg 基本上就是樹大招風
Sony Dropbox JPMC其實都有被一樣的攻擊 只是雅虎這幾年就是沒有媒體緣
媒體一直抓雅虎痛處打 不然其實我們內部員工都蠻喜歡梅姐的