关于安全的一些反思 -- QQ被黑后的一点想法



引言

我从来不会想到我的密码组合会被别人知道，因为一直以来我在信息安全方面做了不少工作。而这个复杂的密码组合一直都很好地发挥了它们的作用。当我看到我的账号在我加的群里都发了一些不堪入目的文字的时候，这意味着，在背后有一个以上的人已经知道我的密码，可能几天前，可能几个月前，而我却不知道。信息是无价的，哪怕是我们的个人信息。而且如果在安全要求极高的场合泄露了密码，将是一次很严重的事故。当即，避免再次造成损失，开始清理隐患。

措施

1. 给每个群里发送了消息，向群里被打扰的人道歉。同时，发了一条说说，以解释我的账号被冒用，并且确认有无朋友被骚扰过。

2. 账号有一个电子密保卡，不过好像找不到了，申诉以撤销密保绑定，并且把手机绑定上去。申诉效率还挺高，一个半小时就解决了。

3. 更换了几个主要的社交账号的密码。

调查

这是出现的广告之一，这群靠损害别人名誉来赚钱的人太可恶了！

查看近期的登陆情况。那些骚扰信息就是在今天凌晨被发送出去的。从时间上看，这可能是一个掌握了大量QQ账号密码组合的作案团伙。他们有专门的作案设备或软件，自动把一批广告发送至受害人的群中。

他们怎么得到我的密码的？穷举是完全可以排除的，因为我的密码组合非常复杂。现在就只有两种可能：

1. 黑客软件

   这是一个很普遍的盗取密码手段。病毒可以监听受害人的键盘、网络来筛选出作案人想要的信息，比如用户名/密码组合。而病毒的感染又有几种情况。

   1. U盘病毒。曾经XP时代U盘病毒特别猖獗，近期随着新系统上市，以及360等杀毒软件的防护，这个不是问题了。

   2. 恶意脚本。随着浏览器安全系数的增加，以及Vista以上系统的UAC权限控制，这也不是个问题。追加一句，本人从不浏览不良的网站，这个概率更低了。

   3. 嵌入病毒的软件。这一点盗版软件是很有可能的。但是，本人是个正版软件支持者，包括操作系统和Office在内，所有软件都是正版的。并且本人很少安装自己不信任的软件。因此，本人的电脑不太可能感染病毒。

2. 中间人攻击（Man-in-the-middle Attack, MITM Attack）

   其中，DNS欺骗是中间人攻击的最常见的手段。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器，这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上，这时攻击者就可以监听甚至修改数据，从而收集到大量的信息。^[1]

简单地说，这个攻击实现过程如下。以Alice想要访问www.baidu.com为例，作案者是Evil。

1. 受污染的路由器分配IP地址，Evil的地址被作为DNS地址赋予Alice。

2. Alice向Evil请求www.baidu.com的IP

3. Evil把自己设计好的中间人服务器地址发给Alice。这时候Alice认为这就是www.baidu.com的IP地址。Alice向中间人请求，或者发送数据。

4. 中间人服务器知道Alice真正想访问的是www.baidu.com。中间人请求真正的www.baidu.com，获得到网页之后，可能插入一段广告，或者其他他想达到的目的。转送给Alice。

从这学期开学之后，我们搬到老校区。因为宿舍没有校园网，只有每个寝室用铁通网络，再加装一个无线路由器共享上网。我们宿舍的无线路由器曾遭受过DNS被篡改。具体表现是，上网的时候间或弹出不堪入目的页面，我一开始以为电脑有病毒。但是在平板上访问正常网站的时候间或会被提示钓鱼网站。直到一个月前，我无意间发现DNS地址被设为了固定值，想到了可能存在的问题，把它去掉之后就再也没有广告弹出了。我感觉我的密码可能不安全了，不过由于侥幸心理，“既然插入了广告赚了钱，作案者应该知足而不会窃取账号了吧”。

首先，路由器在开学不久就被发现被人篡改DNS，不断弹出广告。其次，在过去从来都没有发生过账号被冒用的事情，在搬到老校区之后的第一个学期就出现了。可以看到，路由器被篡改是我今天账号被冒用最可能的原因。

到底是谁篡改了路由器的设置这不得而知。我们寝室路由器存在的很大的问题，首先密码太过简单，容易被字典破解。其次，管理员密码没有设置（就是通常的admin）。于是，攻击者越过了两道防线，轻易地改掉了设置。

所以，在设置路由器密码的时候，万不可轻视或侥幸。并且，管理员密码也要设置成一个复杂的密码。

结论

DNS Spoofing是我这次密码被泄露的最可能原因。有这件事可以看出来，就算是平时做的准备工作再好，一时或一点点的疏忽，还是会导致功亏一篑。其次，还可以知道，没有永恒的密码。应该定期去修改密码，以防留下安全隐患在关键时刻爆发。

这次不幸中的万幸就是，我对聊天记录加了另一个密码，冒用者没有看到聊天记录，也就没有骚扰我同学或好友。而且，这次仅仅是用我的账号发了点不良广告，在对我造成更大的影响之前，就已经发现了问题。

参考

[1]百度百科。中间人攻击[OL]。[2013-11-30].http://baike.baidu.com/view/1531871.htm#6