無名相簿破解真有那容易?怪客如何針對無名小站破解

本文為阿宅星正在編寫的個人電腦資安專題之一,系列約十來篇,並無按照順序編寫,如有興趣可以密切注意哦!

阿宅星身為一位超級宅男,而且一天除了吃飯、睡覺及抱小孩以外,幾乎有2/3時間都窩在電腦前工作,難免也會到處逛逛放鬆一下,像是看看網路新聞、到PTT看看文章,幾乎每個星期都會看到又有無名小站的女生相簿被破解,然後照片被隨意轉載到洪爺CK101等知名網站,瞬間被全台灣數十萬名半夜不睡覺的宅宅(例如我)看光光,讓年紀比這些小女生大上一個年代的我不禁想問:「這些小女生們到底在想些什麼?」

wretch-albums
(圖:被轉載到情色網站的無名破解相簿)

對於照片被流出的受害者而言,這必定對人生產生相當大影響的衝擊,沒有人想讓自己的私密照被不相關的其它人欣賞吧?絕大多數人都不知道但卻必須知道的事實是:只要是放到網路上就是不安全的。更嚴格來說,只要電腦中存放著自己的自拍豔照,網路線一插到DSL數據機成功連上網路,就非常不安全。港星陳冠希的照片外流還只是因電腦送修而不是被破解,所以並沒有百分之一百安全的方法,但擁有正確的資安知識,會降低許多風險。

通常駭客(Hacker)不做這種低級的行為,會做這種行為的人被稱為怪客(Cracker),只是使用駭客所設計的程式,自己並無高深程式設計及系統知識的人,但他們如何取得被密碼鎖住的相簿權限呢?以下是最可能的方法:

  1. 使用專用的破解工具
  2. 帳戶密碼被盜用
  3. 內神通外鬼,被權限管理人流出

另外還有一些奇奇怪怪非怪客所為,而是當事人自己本身的疏忽,例如:被看過的人(例如男朋友)存檔外流、相簿忘了上鎖、和網友玩相簿密碼猜謎不幸被猜到、電腦送修被有心人複製備份等等。本篇重點在於怪客取得相簿權限的方法,讓大家知所警惕,再衡量看看自己以後還要不要上傳自拍豔照到網路上。

1. 使用專用的破解工具

的的確確有這樣的破解工具,它是利用字典檔的原理及自動排程進行暴力測試,直到傳回特定訊息為成功破解才停止。因此,破解的難度在於密碼的複雜度,比較兩組密碼,A小姐使用生日”760218″作為密碼,和B小姐使用亂數密碼”f3Tij892ggh”,前者只需要一天左右,後者可能十年都破不了,破解的速度在於使用的機器有幾台、機器的CPU運算速度及網路的頻寬及穩定性。如果密碼是四位數的數字的話,那不用幾分鐘就被破解了,然後不用多久就出現在各大網站,成為宅男界當紅炸子雞,紅到一個程度會上電視新聞。

dan-snow

(圖:被用來當破解工具的駭客程式)

駭客程式有很多,大部份都被知名防毒軟體列為病毒。這類程式是雙面刃,有可能一開始是無毒的,但有心人植入木馬後散佈,使用的人可能先中了木馬,所以建議您別太好奇,以免後悔莫及。阿宅星是寫這篇文章冒著風險安裝的,只為了抓軟體截圖給大家看,我到現在還覺得毛毛的。

2. 帳戶密碼被盜用

有種情況是,怪客為了要取得鎖住密碼的相簿權限,但因為密碼複雜短時間破不了,乾脆找帳戶主人下手。怪客可能會先找相簿主人的名片或網路上有沒有相簿主人的Email信箱,然後寄含有木馬程式的假信件當誘餌給相簿主人,相簿主人收到信後還打開信件含有木馬程式的檔案,於是就中了木馬程式。這類木馬程式會自動夾帶鍵盤記錄器截錄的文字檔外送到怪客指定的伺服器或信箱,再從文字檔去分析所鍵入過的文字找出密碼。

如果要降低木馬程式所帶來的風險,建議您可以安裝個人電腦專用,Comodo Firewall Pro專業防火牆。它會把所有可疑的程式外送連線抓住,並須經過確認許可才會對外連線。

3. 內神通外鬼,被權限管理人流出

身為一位程式設計人員,阿宅星非常瞭解一個大型網站必定有設計權限分級系統,它的權限等級可能如下圖所示:

most-auth

權限分級未必有這麼簡單,或許更複雜許多,但確定的是,無論是什麼網站系統必定有人有最終權限可以檢視在網站上的所有功能,一台伺服器也有最高權限的帳號root,可以登入伺服器進行系統維護,要看到或拿到使用者所存放的照片和資料,輕而易舉。連銀行、購物台都曾傳出客戶資料外洩,不肖員工盜賣客戶資料,有誰能保證,大型網站就不會有這種情況存在?

在網路業最常推卸責任、最好用的擋箭牌就是駭客,購物網站出包了推說是駭客入侵改了資料、資料被盜又是駭客、自拍照被盜也是駭客,駭客可說是最無辜的一個名詞了。換個角度,連駭客都擋不了,開什麼網路公司?這不是最基本的義務嗎?總而言之,要上傳什麼圖片會有什麼後果,自己要承擔這個風險,要多為自己想想。

相關文章

  • 目前沒有相關文章。

文章標籤:, , , , , , , , , ,
文章作者:阿宅星
文章類別:網路安全
發表時間:2009-11-29
最後更新:2009-11-29

本文為原創文章,阿宅星版權所有,禁止全文轉載。引用請標示網址。

“無名相簿破解真有那容易?怪客如何針對無名小站破解”有3個迴響

  • 8591部落格, 發表於2009-12-18 7:53 pm
  • 在網路業最常推卸責任、最好用的擋箭牌就是駭客,購物網站出包了推說是駭客入侵改了資料、資料被盜又是駭客、自拍照被盜也是駭客,駭客可說是最無辜的一個名詞了
    ——————————-
    這話說得很好~
    明明就內部人員可以看到密碼 我是無名員工要是我可以看到密碼
    我一定也會偷偷去開啟加密的相簿來看的

  • 佳佳, 發表於2010-04-16 4:32 pm
  • 要有職業道德啦
    資訊部門都會簽保密條款
    開啟加密的相簿來看會有log

  • Gues, 發表於2010-05-12 4:33 pm
  • 管理者也密碼看不到的,那是原本資料庫設計上就是這樣。
    重點不是管理者看不看的到密碼, 而是管理者根本不需要密碼就可以直接看~

留下一個迴響