入侵Twitter很容易：最大型黑客入侵背后的方法意外的簡單

作者：讀芯術(shù) 2020-08-29 18:52:26

目前為止最常見的黑客攻擊是“網(wǎng)絡(luò)釣魚”。他們想要獲取某人的Twitter密碼，于是制作了一個(gè)Twitter登錄頁面，看上去和真實(shí)的完全一樣，并將其放在自己的網(wǎng)站上。

本文轉(zhuǎn)載自公眾號“讀芯術(shù)”(ID：AI_Discovery)。

不久前，我讀了諾貝爾物理學(xué)獎(jiǎng)獲得者理查德·費(fèi)曼的自傳，他曾與愛因斯坦一起研究原子彈。這本書講述了一系列的奇聞軼事：費(fèi)曼曾經(jīng)為螞蟻造過電梯，還曾用邦高鼓為芭蕾舞劇伴奏。

其中一章中寫到，他花了一年半時(shí)間在洛斯阿拉莫斯破解保險(xiǎn)箱。當(dāng)他發(fā)現(xiàn)一個(gè)他無法破解的保險(xiǎn)箱時(shí)會猜測密碼組合，并能在第二次嘗試時(shí)正確無誤。最后，他遇到了一個(gè)保險(xiǎn)箱，小詭計(jì)不頂用了。于是他請來了專業(yè)的鎖匠，鎖匠在鉆鎖之前鎖匠就破解了密碼。

費(fèi)曼被迷住了，問他是怎么做到的，結(jié)果發(fā)現(xiàn)鎖匠很驚訝：“你是費(fèi)曼!偉大的保險(xiǎn)箱破解者!我還想從你那兒學(xué)著怎么撬開保險(xiǎn)箱呢。”

費(fèi)曼很困惑，“但你打開了!你一定知道怎么破解保險(xiǎn)箱。”鎖匠承認(rèn)他沒有什么特別的能力，“我知道鎖具的出廠設(shè)定組合是25–0–25或50–25–50，所以我想——誰知道呢，也許那家伙懶得換密碼，所以第二次就成功了。”

當(dāng)我上周讀到一篇關(guān)于Twitter黑客的文章時(shí)，我又想到了這個(gè)故事。那個(gè)黑客黑了很多知名人士的賬戶，并發(fā)推承諾將所有收到的比特幣翻倍。

每當(dāng)我們讀到有關(guān)黑客攻擊的文章時(shí)就會想到計(jì)算機(jī)程序員，他們通過編寫巧妙的代碼來訪問系統(tǒng)。影視劇中的黑客就像是是巫師，他們穿著衛(wèi)衣坐在電腦前，輕敲幾下按鍵，然后得意洋洋地宣布“我成功了!”

不過，雖然事實(shí)上大多數(shù)非法入侵都很巧妙，但相對直接。比起巫師，黑客更像舞臺魔術(shù)師，他們的方法是使用一系列鏡子和磁鐵，如果知道了他們的做法之后你可能會失望。就像《綠野仙蹤》，窗簾后面沒有任何奇幻的魔法。

當(dāng)然，這里面包含了很多好想法。最難的不是執(zhí)行力，而是一開始就想到這個(gè)點(diǎn)子。黑客世界總有一些奇怪的合成詞，比如phishing(網(wǎng)絡(luò)釣魚)、smishing(短信詐騙)、Ddosing(洪水攻擊)，還有一些晦澀難懂的術(shù)語，比如SQL注入、XSS腳本和遠(yuǎn)程代碼執(zhí)行。但復(fù)雜的技術(shù)開發(fā)實(shí)際上相當(dāng)罕見。如果有人留下了默認(rèn)的管理員密碼，為什么還要費(fèi)心去做這些工作呢?

目前為止最常見的黑客攻擊是“網(wǎng)絡(luò)釣魚”。他們想要獲取某人的Twitter密碼，于是制作了一個(gè)Twitter登錄頁面，看上去和真實(shí)的完全一樣，并將其放在自己的網(wǎng)站上。然后引誘用戶去訪問那個(gè)網(wǎng)站，可能是通過向他們發(fā)送一封假裝來自Twitter的電子郵件，并附上他們偽造登錄頁面的鏈接。

[[339799]]

圖源：unsplash

當(dāng)用戶輸入用戶名和密碼時(shí)，假頁面會保存它們，這樣黑客就可以知道密碼是什么了。就是這樣。黑客不需要任何高級編碼就可以進(jìn)入Twitter，他們只需輸入密碼就行。

我喜歡閱讀有關(guān)黑客的文章，就像我喜歡了解魔術(shù)是如何實(shí)現(xiàn)的一樣。任何系統(tǒng)中最大安全隱患就是人類。幾年前，在亞馬遜更新流程之前的一次網(wǎng)絡(luò)入侵中，黑客通過打電話給亞馬遜服務(wù)臺就進(jìn)入了某人的賬戶，他們甚至連電腦都沒碰。

“首先你打電話給亞馬遜，告訴他們你是賬戶持有人，并想在賬戶上增加一個(gè)信用卡號。你只需要帳戶上的名稱、關(guān)聯(lián)的電子郵件地址和帳單地址。然后亞馬遜就允許你輸入一張新的信用卡。”

“接下來打電話給亞馬遜，告訴他你無法訪問賬戶。在提供姓名、帳單地址和前一次電話中的新信用卡號碼后，Amazon將允許在帳戶中添加新的電子郵件地址。之后你就可以進(jìn)入亞馬遜網(wǎng)站，將電子郵件密碼重置。”

更糟糕的是，既然你能訪問某人的亞馬遜賬戶，你就可以看到他們實(shí)際信用卡號的最后四位數(shù)字，根據(jù)《連線》雜志的說法，“訪問某人蘋果ID所需的全部信息”，除了他們的姓名和地址之外，就是“信用卡的最后四位數(shù)字”。通過訪問一個(gè)服務(wù)器，拿到了另一個(gè)服務(wù)器的密匙，且兩個(gè)服務(wù)器并不相關(guān)。

Twitter攻擊的全部細(xì)節(jié)仍有待披露，但據(jù)我們目前所知，幕后黑手柯克獲得了Twitter內(nèi)部管理面板的權(quán)限，并任意更改了電子郵件和密碼。

但是他是怎么拿到Twitter管理面板的權(quán)限的呢?據(jù)《紐約時(shí)報(bào)》報(bào)道，他“找到了一條進(jìn)入Twitter內(nèi)部Slack信息通道的途徑，能看到發(fā)布在那里的信息，以及可以訪問公司的服務(wù)器。”

這是一種高科技版本的入侵，看到安全密碼寫在白板上。就像上面亞馬遜和蘋果的黑客攻擊一樣，訪問一個(gè)服務(wù)器就可以訪問另一個(gè)安全性更高的服務(wù)器，我們稱之為“升級入侵”。

[[339800]]

圖源：unsplash

為了訪問奧巴馬的Twitter帳戶，攻擊者從Twitter的Slack帳戶開始。奇怪的是，一家無關(guān)的公司意外地、不知不覺地掌握了這些密匙。

我們還不知道柯克是如何進(jìn)入Twitter的Slack賬戶的。但我們知道過去人們是如何進(jìn)入Slack賬戶的：搜索GitHub。在編寫軟件時(shí)，開發(fā)人員有時(shí)會與其他產(chǎn)品集成。為此，他們要使用一個(gè)API密鑰，它本質(zhì)上是一個(gè)特殊的計(jì)算機(jī)密碼，允許開發(fā)人員編寫的代碼與其他服務(wù)(比如Slack)一起工作。

有時(shí)，開發(fā)人員會意外地將這些密鑰保存到他們的公共源代碼存儲庫中。如果有人知道他們在找什么，那么他們就可以在GitHub中搜索并在那里找到密鑰。即使現(xiàn)在，GitHub中也有成千上萬可見的密匙。

這或許不是柯克訪問Twitter Slack的方式，還有很多其他的方法，也許他釣魚了一個(gè)Twitter員工。Twitter在一份聲明中說，他們發(fā)現(xiàn)了“一場有組織的社會工程攻擊，目標(biāo)是我們的一些員工”。他們在博客上補(bǔ)充道，“攻擊者成功地操縱了一小部分員工，并利用了他們的資信。”

還有其他一些巧妙的黑客攻擊，比如這個(gè)利用服務(wù)臺發(fā)送了電子郵件。但事情可能沒有這么復(fù)雜，有人認(rèn)為他“只是賄賂了一名推特員工”，讓他們可以訪問Slack。