目前，全球各國都在共同努力阻止新型冠狀病毒疫情的蔓延。如同新冠肺炎的流行過程一樣，輕視網(wǎng)絡(luò)“衛(wèi)生”同樣會(huì)導(dǎo)致嚴(yán)重的后果。

在網(wǎng)絡(luò)世界，所有互聯(lián)網(wǎng)用戶最好都為他們?cè)L問的每個(gè)網(wǎng)站設(shè)定一個(gè)特有且牢固的密碼。而更理想的情況是，用戶將不再需要向其正在登錄的網(wǎng)站“暴露”密碼，并且網(wǎng)站本身具備針對(duì)惡意登錄嘗試的強(qiáng)大防御措施。

此外，用戶還將在登錄時(shí)使用多重身份驗(yàn)證(例如智能手機(jī)應(yīng)用程序)來輔助證明其身份，并且Web應(yīng)用程序?qū)⒛軌虬踩鎯?chǔ)用戶密碼并在設(shè)計(jì)中考慮到證書泄露的必然性。但可以肯定的是，這些做法尚未普及，并且網(wǎng)絡(luò)竊賊正在從用戶和網(wǎng)站的糟糕安全“衛(wèi)生”狀況中獲利。

去年五月，北京警方破獲了一起針對(duì)一款流行短視頻應(yīng)用程序的網(wǎng)絡(luò)攻擊案件。其千萬級(jí)外部賬號(hào)遭到惡意撞庫攻擊，其中上百萬賬號(hào)密碼與外部泄露密碼吻合。這類攻擊有多個(gè)不同的名稱：賬密猜測(cè)、撞庫、證書(憑據(jù))填充或密碼填充。然而，正如我們從此案中所看到的，此類攻擊都有一個(gè)前提，就是惡意攻擊者會(huì)使用盜取的用戶名和密碼組合嘗試登錄他們的目標(biāo)網(wǎng)站，他們之所以這么做是因?yàn)橛脩魰?huì)在多個(gè)網(wǎng)站上使用相同的密碼。大多數(shù)網(wǎng)站會(huì)默認(rèn)使用用戶的電子郵件地址作為用戶名，這非但無法起到保護(hù)作用，而且還誕生了反復(fù)使用同一證書這一“秘訣”。

撞庫攻擊成功后的結(jié)果就是賬戶接管。被盜的有效賬戶證書可能會(huì)出售給暗網(wǎng)上的其他犯罪分子，或被網(wǎng)絡(luò)竊賊消費(fèi)賬戶的儲(chǔ)值，亦或是竊取數(shù)據(jù)。例如，在中國公安部組織部署的“凈網(wǎng)2019”專項(xiàng)行動(dòng)中，前十個(gè)月共偵破侵犯公民個(gè)人信息類案件近3000起，而被侵犯的個(gè)人信息主要來自暗網(wǎng)。

圖一、撞庫和賬戶接管攻擊概覽

根據(jù)Ponemon的“撞庫攻擊造成的損失”(The Cost of Credential Stuffing)報(bào)告，撞庫每年會(huì)使企業(yè)損失數(shù)百萬美元。有金融機(jī)構(gòu)曾報(bào)告稱，其因撞庫產(chǎn)生的賬戶接管成本為每個(gè)賬戶1500至2000美元。但攻擊者的目標(biāo)不僅僅是金融服務(wù)行業(yè)。Akamai通過分析發(fā)現(xiàn)，流行的撞庫工具可以輕而易舉地攻擊多個(gè)行業(yè)的網(wǎng)站，包括零售、旅游、博彩等。

目前，由于高知名度和價(jià)值度的原因，黑客對(duì)在線直播服務(wù)和游戲行業(yè)興趣極大?？梢哉f，哪里有錢，哪里就有撞庫攻擊。撞庫對(duì)黑客而言是一筆收入極其可觀的生意，并且已經(jīng)形成了涵蓋撞庫工具、配套服務(wù)和知識(shí)以及攻擊成功后的豐厚收益這樣一個(gè)正在蓬勃發(fā)展的市場(chǎng)。在上文所提到的流行短視頻應(yīng)用程序案件中，犯罪分子就承認(rèn)對(duì)時(shí)下流行的多個(gè)網(wǎng)絡(luò)平臺(tái)發(fā)起過撞庫攻擊，累計(jì)獲利超百萬元人民幣。

最近的一項(xiàng)研究顯示，Akamai在17個(gè)月內(nèi)(2017年11月至2019年3月)觀察到550億次撞庫攻擊，且沒有一個(gè)行業(yè)能夠幸免。僅游戲行業(yè)就遭到了120億次撞庫攻擊，這表明越來越多想賺快錢的犯罪分子正將黑手伸向該行業(yè)。

此外，從2018年全年看，Akamai《互聯(lián)網(wǎng)安全狀況報(bào)告：撞庫：攻擊與經(jīng)濟(jì)——特別媒體報(bào)告》(State of the Internet / Security: Credential Stuffing: Attacks and Economies – Special Media Report)發(fā)現(xiàn)，針對(duì)視頻、媒體和娛樂行業(yè)的撞庫攻擊從一開始的1.33億次激增至近2億次。顯而易見的是，惡意登錄的嘗試次數(shù)已超過合法登錄，并且這種情況每天都在發(fā)生。隨著互聯(lián)網(wǎng)經(jīng)濟(jì)成為中國新經(jīng)濟(jì)驅(qū)動(dòng)力的關(guān)鍵引擎，中國已成為撞庫攻擊的前五大目標(biāo)之一，排在前兩位的分別是美國和俄羅斯。

那我們?cè)撊绾芜M(jìn)行反擊呢?現(xiàn)在開始保護(hù)企業(yè)機(jī)構(gòu)(或其客戶)的網(wǎng)絡(luò)賬戶免遭攻擊還為時(shí)未晚。

給終端用戶的建議

終端用戶可以采取多種措施避免成為撞庫和賬戶接管攻擊的受害者，而這些措施均關(guān)于良好的互聯(lián)網(wǎng)“衛(wèi)生”習(xí)慣。遵循這些建議的人越多，第三方數(shù)據(jù)泄露所造成的連帶損害影響就越小。

第一，我們都知道好的密碼很難記住，因此最好使用“密碼短語”來記住您所編寫的安全密碼[5]。但一個(gè)密碼切勿重復(fù)使用，也不要在多個(gè)網(wǎng)站或應(yīng)用程序中使用同一個(gè)密碼。

第二，使用諸如LastPass或1Password這樣的密碼管理器來為每個(gè)需要身份驗(yàn)證的網(wǎng)站創(chuàng)建唯一的牢固密碼[6]。大多數(shù)情況下，密碼管理器的主密碼應(yīng)是您需要記住的唯一或最后的密碼，而您其他的證書會(huì)隨機(jī)生成并安全地保存在密碼管理器的“密碼庫”中。此外，由于密碼管理器只會(huì)為之前保存過的合法網(wǎng)站填寫用戶名和密碼，因此密碼管理器有助于阻止網(wǎng)絡(luò)釣魚攻擊。換言之，當(dāng)您訪問釣魚站點(diǎn)或假冒銀行站點(diǎn)時(shí)，密碼管理器不會(huì)自動(dòng)在頁面上的登錄表單中填寫證書。將您訪問的網(wǎng)站的所有登錄信息遷移到密碼管理器可能會(huì)十分繁瑣，但卻能更好地保護(hù)您的數(shù)據(jù)免遭泄露，因此值得您這么做。請(qǐng)注意，使用免費(fèi)版密碼管理器通常就已足夠，您不必為確保安全而購買任何東西。

第三，終端用戶可以啟用多重身份驗(yàn)證(MFA)來降低賬戶被盜的風(fēng)險(xiǎn)。這種方法能給我們所研究的撞庫工具設(shè)置障礙并可以讓賬戶接管攻擊無功而返。由于安全研究人員已證實(shí)可以利用蜂窩網(wǎng)絡(luò)中的已知缺陷來攔截多重身份驗(yàn)證短消息[7]，因此鑒于電子郵件通信可能更加安全，另一種方法是將多重身份驗(yàn)證的驗(yàn)證質(zhì)詢發(fā)送至您的電子郵箱而不是通過短消息發(fā)送。而比短消息或電子郵箱更好的選擇是使用Yubico的Yubikey這樣的硬件身份驗(yàn)證設(shè)備或Google Authenticator等身份驗(yàn)證器應(yīng)用程序來安全地進(jìn)行多重身份驗(yàn)證。許多時(shí)下流行的網(wǎng)站都支持使用此類增強(qiáng)安全功能來進(jìn)行登錄。

給網(wǎng)站負(fù)責(zé)人和安全人員的建議

對(duì)于在后臺(tái)確保網(wǎng)站安全和正常運(yùn)行的人員而言，他們可以采取多種方法來消除由于安全漏洞或證書信息被賣到暗網(wǎng)而導(dǎo)致的撞庫影響。

第一，企業(yè)機(jī)構(gòu)應(yīng)具有穩(wěn)健的身份和訪問管理解決方案。開放式Web應(yīng)用程序安全項(xiàng)目(OWASP)的身份驗(yàn)證備忘單(Authentication Cheat Sheet)[8]和密碼存儲(chǔ)備忘單(Password Storage Cheat Sheet)[9]分別針對(duì)處理身份驗(yàn)證和會(huì)話管理以及正確存儲(chǔ)密碼和類似證書信息提供了一些實(shí)用的指導(dǎo)。

第二，多重身份驗(yàn)證也具有兩面性。它的弊端在于網(wǎng)絡(luò)應(yīng)用程序必須支持并正確地實(shí)施多重身份驗(yàn)證，這樣才能增加一層撞庫攻擊保護(hù)。在強(qiáng)制使用多重身份驗(yàn)證的同時(shí)提供多種驗(yàn)證選項(xiàng)將能夠提高登錄安全措施的安全性和靈活性。此外，通過短消息發(fā)送身份驗(yàn)證推送并不是安全的多重身份驗(yàn)證方法。相反，企業(yè)機(jī)構(gòu)應(yīng)使用電子郵件進(jìn)行多重身份驗(yàn)證的驗(yàn)證質(zhì)詢;或者，比這更好的方法是使用安全的智能手機(jī)應(yīng)用程序或硬件身份驗(yàn)證設(shè)備。

第三，企業(yè)機(jī)構(gòu)不應(yīng)使用電子郵件地址作為身份驗(yàn)證的用戶名。許多泄露的證書列表中都有電子郵件地址加密碼的組合，因此這些組合很容易通過許多網(wǎng)站的驗(yàn)證，尤其是當(dāng)終端用戶在多個(gè)網(wǎng)站上重復(fù)使用相同的密碼時(shí)。用戶登錄時(shí)，除了用戶名和密碼外，企業(yè)機(jī)構(gòu)還應(yīng)要求用戶創(chuàng)建網(wǎng)站特定的唯一用戶ID并進(jìn)行第二重身份驗(yàn)證，比如一次性登錄碼或向智能手機(jī)發(fā)送身份驗(yàn)證。這還有助于保護(hù)用戶和企業(yè)機(jī)構(gòu)均免受第三方數(shù)據(jù)泄露引起的連鎖反應(yīng)影響。

第四，事實(shí)證明，對(duì)登錄頁面添加第三重信息證明元素(例如客戶ID或姓氏)這一方法對(duì)于許多酒店和旅游企業(yè)非常有效。這種方法要求自動(dòng)化工具在有用戶名加密碼組合的同時(shí)還要有第三個(gè)元素，因此增加了自動(dòng)化工具的工作難度。

第五，惡意攻擊者會(huì)創(chuàng)建配置文件或“配置”(configs)。如同食譜一樣，配置能夠告訴撞庫工具入侵企業(yè)機(jī)構(gòu)網(wǎng)站的方法。Akamai強(qiáng)烈建議企業(yè)機(jī)構(gòu)查看白皮書《隱藏在眾目睽睽之下：撞庫攻擊所使用的工具和資源》(Hidden in Plain Sight: The Tools and Resources Used in Credential Abuse Attacks)中所述工具的目標(biāo)網(wǎng)站配置文件[10]，以此了解自己的網(wǎng)站是否被列為潛在目標(biāo)并采取措施避免受到進(jìn)一步的攻擊。避免措施可能包括更改網(wǎng)絡(luò)應(yīng)用程序身份驗(yàn)證工作流中的某些內(nèi)容，以此“破壞”自動(dòng)攻擊工具的配置;此外，措施也可能包括找到配置中的特征(例如被設(shè)置成發(fā)送的header)和創(chuàng)建用于標(biāo)記來自自動(dòng)攻擊工具潛在請(qǐng)求的簽名或規(guī)則。

最后一個(gè)要點(diǎn)是部署Akamai的Bot Manager Premier(爬蟲管理器豪華版)云安全解決方案，并在“拒絕”模式下利用“行為控制”來保護(hù)敏感的交易鏈接，例如登錄、賬戶創(chuàng)建或付款信息輸入，從而阻止互聯(lián)網(wǎng)邊緣的這種惡意活動(dòng)。

在這場(chǎng)防止惡意攻擊者入侵網(wǎng)絡(luò)賬戶的“貓鼠游戲”中，由于有Cr3d0v3r、Sentry MBA和SNIPR這些創(chuàng)新、方便使用的撞庫工具，加之終端用戶較差的網(wǎng)絡(luò)安全“衛(wèi)生”習(xí)慣以及Web應(yīng)用程序缺乏足夠的保護(hù)，因此“壞人”似乎更容易取勝。然而，從終端用戶到他們?cè)L問的網(wǎng)站，再到像Akamai這樣的公司，每個(gè)人都可以采取行動(dòng)來保護(hù)網(wǎng)站免遭入侵，從而贏得這場(chǎng)戰(zhàn)斗。