被MD5加密坑了?雅虎大規模泄密是個咋樣的悲劇
2月19日消息 據路透社報道,2013年夏天,雅虎推行一個新項目來保障用戶密碼,同時宣布放棄舊有的安全性不佳的MD5加密方案。希望通過這一舉措更好地保障用戶密碼安全。
然而為時已晚,一切來得太遲了。同年八月份黑客入侵雅虎盜取了超過十億條賬戶信息,賬戶密碼和個人信息一并在泄露之列。失竊信息如此之大堪稱歷史之最。而雅虎三年之后才察覺到這此數據失竊,并在上周對外公布。
攻擊的時間的巧合可能看上去只是雅虎運氣不好。但MD5加密的缺點早在十年前就已為黑客和安全專家知曉。相比其他采用“哈希”(hashing)算法的加密,MD5更容易被破解。
早在雅虎后知后覺的前五年,也即2008年,卡內基梅隆大學的軟件工程研究所通過美國政府資助的漏洞警報系統向安全專業人員發出公共警告:MD5應被視為已被破解的加密方式,不適合繼續使用。
根據五名雅虎前雇員和外部安全專家的說法,雅虎因單方面側重業務發展而導致了輕視安全問題。如果雅虎及時采用了更強的加密方案,那么即使后來黑客侵入了雅虎網絡,所造成的破壞也會遠遠小于當下。
網絡公司TrustedSec LLC的首席執行官大衛·肯尼迪(David Kennedy)說:“MD5被認為在2013年之前就已經過時了。 大多數公司在那之后都開始使用更安全的哈希算法。”不過他并未指出具體公司名稱。
而雅虎直到被攻擊時仍在使用MD5加密,最終一代網絡巨人為它忽視安全付出了代價。
雅虎在給路透社的一份聲明中表示:“在20多年的歷史中,雅虎一直專注于安全領域的投資以保護我們的用戶。自2012年來,公司在安全領域投資超過2.5億美元。”
只看業務 ,輕視安全
然而內部人士的說法卻與聲明有異。據雅虎安全部門前員工透露,安全團隊提出的包括強加密在內的新安保措施經常被高層拒絕,理由是開支過高。并且領導層似乎認為安全問題不足以有那么高的優先級來占用資金。
囊中羞澀從內部角度反映了互聯網領域金融斗爭的激烈。雅虎的收入和利潤在2008年達到峰值,之后便一路下跌。而同時谷歌、Facebook和其他后起之秀已經逐漸搶占了消費者互聯網業務。
“當業務好時,安全上的事就很容易做。業務不好時,安全領域的經費也被削減。”杰里米亞·格羅斯曼(Jeremiah Grossman)說。他曾在1999年至2001年任職于雅虎安全團隊。
雅虎使用過時的弱加密釀成大禍,并不意味著采用先進算法的強加密就可以高枕無憂。沒有任何系統能夠保證絕對安全。目前黑客已經成功攻破比MD5更先進的加密技術。LinkedIn和AOL這些互聯網公司也曾受到過黑客入侵,只不過損失不像雅虎那么嚴重。
“這種事可能發生在任何大公司頭上。”世界銀行前安全經理和安全行業執行官湯姆·凱勒曼(Tom Kellermann)說。凱勒曼現任投資公司Strategic Cyber Ventures的首席執行官,他對雅虎足足用了幾年才發現自己遭受了攻擊并不感到驚訝。“黑客經常有能力潛伏多年,神不知鬼不覺地行動。”他說。
或許事情可能更糟?外界尚不清楚2013年除了雅虎之外是否還有其他大互聯網公司也在使用MD5加密,以及是否還有其他公司被入侵。谷歌、Facebook和微軟沒有立即對路透社就此的詢問作出回應。
據另一位前雅虎安全專家講,既是在公司業務迅速增長時,安全措施仍然落后于時代。因為相對于安全,公司更專注于讓系統表現跟的上業務的增長。
后來,郁悶無為的高級安全人員紛紛離開,剩下的人獲得經費批準的機會進一步下降。
雅虎拒絕對其具體安全措施置評,只是表示它有定期舉辦網絡安全攻防演練并開展“Bug Bounty”。“Bug Bounty”是一種安全漏洞獎勵計劃,公司懸賞獎金,給那些能發現系統漏洞并上報給公司的人。
兩次刷新泄露記錄
今年秋天絕對是雅虎的“多事之秋”。就在最近這次承認數據泄露三個月前,雅虎披露了一項發生在2014年的網絡攻擊,稱有五億賬戶受到影響。先是五億,后是十億,雅虎兩次刷新了人類最大規模數據泄露的記錄。
在上周這則消息傳出之后,美國聯邦調查員和立法者表示,他們正在對雅虎的安全實踐進行調查。而原本計劃以48億美元收購雅虎互聯網業務的Verizon也在尋求重新談判。
據雅虎前員工表示,公司的安全問題在梅耶爾上任之前就已存在,在更換新掌門之后也不見好轉。有兩名工作人員稱多年來雅虎一直受到俄羅斯黑客的攻擊。
2014年雅虎聘請亞歷克斯·斯塔莫斯(Alex Stamos)擔任安全主管。斯塔莫斯和他的團隊因其在網絡安全領域的作為為人所知,此舉被認為是雅虎開始重視安全的信號。隨后安全人員在2015年發現一個隱藏在雅虎郵件系統的程序,該程序監視用戶郵件內容。當時安全人員大為震驚,以為是俄羅斯黑客所為。但事實證明,監視不假,監者卻搞錯了。這個程序原來是美國情報機構和互聯網公司合作的產物。這之后不久斯塔莫斯和他一些員工便離開了雅虎,留下了更加混亂的攤子。
上周,除了披露發生在2013年的史上最大規模數據失竊案,雅虎還表示有人訪問了其專有計算機代碼,以了解如何偽造“cookie”,通過此手段能夠繞過密碼訪問賬戶。并且雅虎認為這些活動同2014年入侵是同一伙黑客所為。
網絡安全公司Trail of Bits的首席執行官丹·吉多(Dan Guido)形象地描述這一切:“他們鑿了個洞,由此窺探一切。”
周四,德國的網絡安全機構批評雅虎未能采用適當的加密技術,并建議德國網民使用其他電子郵箱服務。
