导语:加利福尼亚大学圣地亚哥分校(UCSD)的计算机研究小组已经成功地创建了一个工具,他们将该工具命名为Tripwire,Tripwire的基本原理就是通过基于提前设置的邮件陷阱来检测网站是否发生数据泄露。

u=2722066186,3372081146&fm=27&gp=0.jpg

加利福尼亚大学圣地亚哥分校(UCSD)的计算机研究小组已经成功地创建了一个工具,他们将该工具命名为Tripwire,Tripwire的基本原理就是通过基于提前设置的邮件陷阱来检测网站是否发生数据泄露。

其实Tripwire早就被研制了出来,不过基于科学的严谨性,从2015年1月到2017年2月,研究人员对Tripwire进行了为期2年的实际测试。在实测期间,他们共对2300多个网站进行了监测,结果发现有19个网站都发生过数据泄露。

Tripwire的测试过程

如果你对Tripwire的工作原理还不了解,那你可以把它理解为一个访问陷阱,Tripwire会为每个网站注册一个对应的电子邮件帐户,这些帐户只允许在该网站上使用,每个邮件帐户和网站的配置文件都使用相同的密码。Tripwire将定期检查是否有人使用这个密码来访问对应的电子邮件帐户,如果帐户有人访问了,即表明网站遭到攻击。因为攻击者在窃取网站的数据时,必须使用该邮件帐户进行登录,这就等于在网站设置了一个陷阱。

在测试期间,总共有19个网站中的电子邮件帐户被人访问过了,其中,就有一个用户数超过4500万的知名网站,出于各种原因,研究人员并未点名是哪个网站,目前只知道是一个旅游网站。不过要强调的是,这19个网站都没有向用户披露信息泄露的发生。

此外,为了保证测试的准确性,研究人员还对所注册的这些电子邮件地址的供应商进行了安全检查,以确保测试不受第三方的干扰。为此,他们创建了10万个电子邮件账户作为测试账户。如果单单是投入网站的那部分账号被攻击了,而其它未投入网站的账号未被攻击过,则证明供应商是安全的,那么这意味着攻击就发生在网站上。

虽然Tripwire无法捕捉到每一次数据泄露事件,但一旦捕捉到它就会反馈给管理者, 一旦Tripwire被触发则意味着攻击者已经在访问用户未公开的数据了。

加利福尼亚圣地亚哥大学Jacobs工程学院计算机科学教授也是Tripwire的创建者之一的Alex C. Snoeren表示:

我很高兴许多大型网站都会以严肃的态度对待Tripwire的测试结果,不过到目前为止,这些网站都不愿意主动利用Tripwire来进行检测,我估计这些网站有着一个共同的且不愿为人所道的秘密,即以明文形式存放用户的密码 

Tripwire能够发现以明文形式存放密码的网站 

Tripwire在测试时也暴露出许多网站以明文存储密码的秘密,由于Tripwire是基于电子邮件来进行监测的,所以它很容易发现哪些网站使用了明文,另外有些网站还发生了密码哈希(如MD5)的泄露。

根据研究者的跟踪,在账户被攻击之后,攻击者很少用它们再去发送垃圾邮件。DeBlasio(Tripwire的创建者之一)推测攻击通过电子邮件来控制账户的目的只是为了收集有价值的用户信息,如银行账户和信用卡信息。

研究人员还强调,尽管测试中,2300多个网站中有1%的泄漏,这个比例并不高,但全世界现在有数十亿个网站,这意味着就有几千个网站每天都在被攻击。

目前,Tripwire工具的源代码已经发布在了GitHub上,他们希望各个网站可以将其作为一个漏洞检测系统进行配置。

360截图163509119511990.jpg

为了宣传Tripwire工具,该研究小组还在11月份的伦敦ACM互联网测量会议上,进行了“ Tripwire: Inferring Internet Site Compromise” 的演讲。

源链接

Hacking more

...