安全漏洞致网络数据泄露 黑色产业链应运而生
2015-01-21 09:59:34   来源：辽宁经营网   [复制链接]

　　如果拿到VPS提供商的权限，就可以获取它所有VPS的权限，自然也就获取了该域名所指向的VPS权限。随后他发现这个VPS服务商的运维配置有一些问题，一步一步渗透下去，最终找到了该VPS提供商所有用户控制面板的账号密码，最后找到了对应人的账户密码。

　　拿到用户密码后，大鸟登陆了对方的控制面板。VPS是以控制面板进行操作的，进入控制面板就可以操控他服务器上的文件，但是没有文件打包编辑功能。最后，大鸟上传一个了网页后门，便获得了它的代码。

　　经过十分复杂的程序，大鸟获取了这台服务器的权限，顺利看到了代码。

　　或许从技术上，这并不算很难，但对于大鸟来说，这次“入侵”的复杂性远远高于技术，经过一个多月的“战斗”，看到代码后，他选择让自己大睡一场，进入冬眠。

　　窃取数据

　　对于白帽子而言，发现了网站的漏洞，他的工作就接近了尾声了。可对于黑色产业链(简称“黑产”)上的人来说，任务才刚刚开始，他们的目的是拿到数据，进而转化成金钱。

　　业内人士透露，黑客的惯用手法有很多种，但路径上存在相似性：获得外网服务器权限、进入内网、判断核心业务范围、获取核心业务服务器权限，找到数据库密码、看到核心数据、下载核心数据、拿到最高权限、抹掉所有痕迹。

　　这是一个相对理想的操作链条，但并不意味所有的黑客都能完成上述步骤，比如“拿到最高权限”并不容易，因此有些黑客下载了所有核心数据，但痕迹仍被记录。

　　对于目标的寻找，一位接近黑产的人士称，有时是黑客主动寻找“含金量高”的网站，侵入网站，窃取数据。这主要涉及的是一些与金钱交易有关的公共服务行业，如信用卡或网络支付、火车票购票网站、航空公司购票系统、网络购物网站等等。

　　还有一些则是接受定向委托，一般委托方来自商业竞争对手，需要获得竞争对手的客户数据，于是雇佣黑客。

　　在进入内网时，有时候黑客会直接查看对方的员工信息是否存在泄露，或根据常用密码top 100来进行测试，如果顺利登陆员工账号，就可以直接进入内网。

　　但对于需要核心数据的黑客而言，进入内网只是第一步，接下来，黑客需要对数据进行分析，判断核心数据所在位置，这就需要黑客对该网站的业务十分熟悉，甚至熟悉程度要高于网站运维人员，这样才能判断核心数据的子域名在哪一个IP段，进而找到核心数据。

　　当然，时机的选择十分重要，这一切都要在一个合适的时间里进行：一个网站流量大，看守者不容易发现的时间。比如，一般的社交网站，上午十点和下午三点比较活跃。在这样的时间里“拖库”相对不易被察觉。

　　“拖库”同样是行话，意思是将目标数据下载下来。但在许多时候，他们并非需要经过复杂的入侵程序获得数据。因为许多人在不同的网站注册信息时，会使用相同或相似的密码。因此，这就存在利用“撞库”的方式获得更多的数据的可能。

　　2014年底发生的12306网站用户信息泄露的事件，起初就被指是“撞库”行为，即用户的用户名和密码在其他网站泄露了，黑客利用其他网站获得的用户数据包，自动登录另一个网站，匹配出部分用户信息，形成数据库。

　　不过，即使是通过“撞库”发生的信息泄露，相关网站也难脱其责，因为只有存在安全漏洞，网站才可能被“撞库”。

　　目前，12306网站用户信息泄露事件发生的原因仍不明，官方仍未公布调查进展，网络也曾一度流传出泄露不是“撞库”行为产生用户信息泄露的例证。

　　黑色产业链

　　在数据被窃取之后，黑客不一定可以将这些数据销售出去。职业“中介”应运而生。黑产链条上，有人负责窃取数据，有人专门从事分销，寻找目标买家或帮买家寻找黑客。

　　记者试图寻找这样的人，于是在一些社工库论坛注册，发帖“雇佣黑客”，并且寻找一些专门从事数据交易的QQ群。在QQ群搜索功能中，只要输入“数据买卖”、“数据交易”等关键字就会看到有大量的活跃群，它们的名字直白简单，一般以“数据交易群”、“淘宝数据交易”等字样为主。

　　记者伪装成买家进入了其中一个交易群，并与一位声称可以提供“进线数据(打进某个电话的数据)”的人进行对接。该人士称，自己可以拿到每个行业里任意一家企业的进线数据。通过进入机房，实时监控拨打该公司号码的电话，并将其截取下来，进行销售。

　　但陌生人的网络交易，确保交易安全是个难题，数据提供方可能提供假数据，而数据购买方也不希望自己的购买行为被记录下来。对于这些疑问，该人士称，自己可以提供前一天的进线数据，并保证数据是一手信息。交易的过程，需要买家先少量购买，付钱后再工作，如果买家对第一批数据满意，再进行下一步更多数据的交易。

　　至于交易价格，该人士说，每个行业的价格不同，记者问到餐饮行业的某家巨头企业，他称这些数据价格1条10元，而这个价格称得上是“不便宜”。

　　数据交易达成的半年内，买家和数据提供商为唯一拥有者，数据商保证不会泄露给第三方。半年后，数据商就可以将数据打包销售，但此时数据已经大大贬值，一条的价格大概是几毛钱。

　　这时候，就产生了“二手数据”，二手数据一般会倒卖好几次，基本已经算是“公开”信息，这样的数据在一些社工网站上随处可见。记者潜水几个社工论坛多天，发现每天都会有几条数据供应帖发出，论坛用户只需要支付几个金币(一金币一元钱)的价钱就可以购买到大量数据，有的数据(如个别企业内部通讯录)甚至可以免费下载。