用于检测网站安全漏洞的工具

一种工具被设计出来，通过监控与网站相关的电子邮件账户的活动来检测网站何时被黑客入侵。加州大学圣地亚哥分校的计算机科学家称，在为期18个月的研究期间，研究人员测试的网站中有近1%的网站遭遇过数据泄露，无论这些公司的影响力和受众有多大。

“没有人能凌驾于此之上——公司或民族国家——这将会发生;这只是一个时间问题，”该论文的资深作者、加州大学圣地亚哥分校雅各布斯工程学院计算机科学教授亚历克斯·c·斯诺伦(Alex C. Snoeren)说。

1%可能看起来不多。然而，互联网上有超过10亿个网站，这意味着每年有数千万个网站被入侵，斯诺伦的博士生之一、该论文的第一作者乔·德布拉西奥说。

研究人员发现，受欢迎的网站和不受欢迎的网站一样容易被黑客攻击。这意味着在互联网上访问量最大的1000个网站中，每年有10个可能被黑客攻击。

白思豪说:“只有1%的真正的大商店被拥有，这很可怕。”

这款名为Tripwire的工具背后的概念相对简单。DeBlasio创建了一个机器人，可以在大量网站上注册和创建账户——大约2300个网站在他们的研究中。每个帐户都有一个唯一的电子邮件地址。该工具被设计为使用相同的密码的电子邮件帐户和与该电子邮件相关联的网站帐户。然后研究人员等待，看看是否有外部人员使用密码访问了电子邮件帐户。这将表明该网站的账户信息已被泄露。

为了确保此次攻击与被黑客入侵的网站有关，而不是电子邮件提供商或他们自己的基础设施，研究人员设立了一个对照组。其中包括他们在研究中使用的同一电子邮件提供商创建的超过10万个电子邮件帐户。但是计算机科学家没有使用这些地址在网站上注册。这些电子邮件账户都没有被黑客入侵。

网站违反了

研究人员确定有19家网站遭到黑客攻击，其中包括一家拥有4500多万活跃客户的知名美国初创公司。

一旦这些账户被入侵，研究人员就会联系网站的安全团队，警告他们这一入侵。他们互通了电子邮件和电话。Snoeren说:“与我们互动的大型网站认真对待我们，这让我感到鼓舞。”

没有一个网站选择向他们的客户披露研究人员发现的漏洞。“我有点惊讶，没有人对我们的结果采取行动，”斯诺伦说。

研究人员决定在研究中不透露这些公司的名字。

“事实是，这些公司并没有自愿参与这项研究，”斯诺伦说。“通过这样做，我们让他们面临巨大的财务和法律风险。所以，我们决定让他们承担披露的责任。”

一旦易受攻击，很少有被攻破的账户被用来发送垃圾邮件。相反，黑客通常只是监控电子邮件流量。白思豪表示，黑客可能一直在监控电子邮件，以获取银行和信用卡账户等有价值的信息。

研究人员进一步测试了密码的强度。他们为每个网站创建了至少两个账号。其中一个账户的密码“简单”——由七个字母组成的字符串，第一个字母大写，后面跟着一个数字。这些类型的密码通常是黑客最先猜到的密码。另一个账户的密码是“硬”密码——由数字和字母组成的10个随机字符串，有小写字母也有大写字母，没有特殊字符。通过查看这两个账户中哪一个被攻破，研究人员可以很好地猜测网站是如何存储密码的。

如果简单密码和硬密码都被黑了，该网站可能只是以纯文本的形式存储密码，这与通常遵循的最佳做法相反。如果使用简单密码的帐户被攻破，网站可能使用了更复杂的密码存储方法:一种算法将密码转换为随机数据字符串——在这些字符串中添加随机信息。

计算机科学家对互联网用户提出了几条建议:不要重复使用密码;使用密码管理器;问问自己到底需要在网上透露多少信息。“网站需要大量的信息，”斯诺伦说。“他们为什么要知道你母亲的娘家姓和你狗的名字?”

白思豪对这些预防措施能否奏效不太乐观。

“事情的真相是，你的信息会被泄露出去;你不会知道它已经传出去了，”他说。

斯诺伦及其同事不打算在Tripwire上进行进一步研究。

他说:“我们希望通过企业自己使用它来产生影响。”“任何主要的电子邮件提供商都可以提供这项服务。”

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

在线额外

请看下面ISSSource的相关报道。

请按此处登记下载报告。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。