这是一个创建于 4628 天前的主题,其中的信息可能已经有所发展或是发生改变。
俗话说不怕贼偷就怕贼惦记。
看了道哥这篇文章,觉得不全是小说,因为我曾做过类似的事情,盯了一个网站近一年,拿到了所有权限。
总有种感觉,我们的一切密码都是不可靠的,只是没人盯上你而已
原文: http://taosay.net/?p=189
看了道哥这篇文章,觉得不全是小说,因为我曾做过类似的事情,盯了一个网站近一年,拿到了所有权限。
总有种感觉,我们的一切密码都是不可靠的,只是没人盯上你而已
原文: http://taosay.net/?p=189
 | 1 sinxccc 2013-03-26 10:05:39 +08:00 那个题图是 http://wikiproject.oii.ox.ac.uk/mapping_wikipedia/ 生成的,是 wikipedia 中各语言条目对世界地点的覆盖,跟他说的内容完全没关系。 里面反复提他那本书《白帽子讲Web安全》,感觉就是个软文。 |
 | 2 subpo PRO 对,就是软文,可能里面说的人的确是有原型的,但是进过ls这么一提,就感觉文章内容有点不靠谱了 |
 | 3 c1441112 2013-03-26 10:16:14 +08:00 网页游戏行业90%的公司,一些大型电商、大型论坛,80%的连锁酒店行业,80%以上的在线预订行业,手机App排行比较高的公司,几家最大的航空公司 这人真是有精力有时间啊。。。哦,有这么多时间精力的已经不算是人了。。。 |
 | 4 yanhopeless 2013-03-26 10:18:44 +08:00 via Android @c1441112 感觉像是一个少数人组成团队。 |
 | 5 olnyshe 2013-03-26 10:22:15 +08:00 可信度还是挺高的.个人认为. 整天出来跳的一些.大部分都是混娱乐圈的 地下的黑客世界你无法想象... 确实有不少低调的黑客 亲身经历.忘记某坛子密码.后来找某黑客查出来了.. |
 | 6 zzNucker 2013-03-26 10:25:54 +08:00 10年前的那些黑客大都做了安全或者为国家服务去了- - 至少我认识的几个差不多都这样 |
 | 8 nsa 2013-03-26 10:50:04 +08:00 文中yy的也就是菜鸟一般角色,不过是很多很多菜鸟积累的工作概括,真的没啥,作者给人的感觉就是傻b。。。实际上在很多国家有很多靠大型公司或机构的安全缺陷吃饭的家伙,巴西的家伙近年挣的不少。 |
 | 10 summic OP 上次大规模密码泄密事件,竟然那么多站都明文,让我一度怀疑是从电信路由做的监听 “网页游戏行业90%的公司,一些大型电商、大型论坛,80%的连锁酒店行业,80%以上的在线预订行业,手机App排行比较高的公司,几家最大的航空公司” 这些,从骨干网路由监听应该靠谱 |
 | 12 haohaolee 2013-03-26 11:40:54 +08:00 突然想到虎胆龙威4里面那种情况完全有可能的啊 |
 | 14 miizoo 2013-03-26 11:49:12 +08:00 公众对这个领域太不了解了。。 |
| 17 sinxccc 2013-03-26 13:03:07 +08:00  3 @summic 如果我没找错微博账号的话,你说的解释应该是指这个 “但如果更细心一些,也许会把图放大到原始尺寸,进行局部对比,然后会意识到它们可能是用类似工具生成的,但数据源并不同。” 和“这是V用开源的open layers + google maps api绘制的,通过另外一个api把ip换算成经纬度” 也就是说他的意思是图看起来是类似的,但是细节,也就是具体的点是不一样的,因为数据来源不一样。 于是我就手滑细心了一下   首先我不是处理图像的熟手,两张图的比例尺不是很一致=_= 注意我指出来的白点,上面(来自作者 blog)下面(Mapping Wikipedia)基本在同一位置。 从 Mapping Wikipedia 的说明,后者在这里标注是因为 wiki 条目中提到苏联的核潜艇 K-219 1986年发生事故的地点在这里。那么前者在这个地方也有一个点是什么原因呢?有人从一艘沉没了快30年的苏联核潜艇里登陆 Facebook 被传说中的 V 记录下了么 |
 | 19 likuku 2013-03-26 13:15:53 +08:00 哈哈,好傻好天真的文...听过一点比较真实的故事,国内信息安全的确不乐观,很多危险真离普通人很近,但也不像此文这么幼稚。 |
 | 20 ggsmd 2013-03-26 13:23:03 +08:00 好傻+1.. //V哥别黑我.. 我随便说说的 |
 | 21 treo 2013-03-26 16:13:54 +08:00 |
 | 22 args 2013-03-26 22:44:36 +08:00 地摊传说 |
 | 23 Fenng 2013-03-26 23:03:45 +08:00 基本真实. 为什么说「基本」呢? 因为要隐藏去相关背景. 超出你们认知范围内的事情不代表就是小说。 就是这样. 另外,那张图也没问题. 聪明的人很多,但质疑的人基本都是小聪明。 |
| 24 sinxccc 2013-03-26 23:03:51 +08:00 |
 | 26 dragonszy 2013-03-26 23:20:05 +08:00 努力学习,赶超V哥。。 |
 | 27 Just1n 2013-03-27 09:02:23 +08:00 如果一切属实,那么V该要掌握多少计算机的相关知识啊。 |
 | 29 chengchao0311 2013-03-27 09:39:38 +08:00 看每一段的标题 就觉得是软文,发在天涯更合适点。 先说 “之所以是之一,是因为我还认识另外一个叫A的黑客,A宣称自己成功入侵了包括Google、Facebook、Twitter等你几乎能叫得上名字的所有大型互联网公司。 而V要低调的多。” 然后V说 “我曾经持续观察了一个女孩3年” 不从技术角度 从人格分析,感觉V就是在向作者倾诉伟大的爱情故事,和告诉作者自己有多牛b。 |
 | 30 sharkli 2013-03-27 09:51:30 +08:00 @chengchao0311 12306没有3年吧?从12306入手获取女孩及其家人身份证信息那段。 |
 | 31 ljbha007 2013-03-27 09:57:25 +08:00 有可能性 但是不大可能 然后听作者这种说评书一样的夸张语气(什么“王者”“地下黑客世界”),可信度就更低了 |
| 32 sinxccc 2013-03-27 10:24:32 +08:00 唔,看到作者更新了一篇( http://taosay.net/?p=200 ),对大洋中的那些白点继续闪烁其词:“大洋上那些星星点点是船还是岛?说实话,这个问题我认为V也答不上来。API转化出来的经纬度,鬼知道那是啥。” 然后还拿出另一个 Hacker 画出的 IP 地图来做旁证  另外附上作者题图  上面这幅图做了模糊处理,大洋中的白点可以用被模糊掉了来解释。 但可以观察新闻/旅游热点地区,比如古巴,西非,苏丹,马达加斯加岛,阿富汗,还有朝鲜。这些地方的 wikipedia 条目很多,但是在线的机器和 IP 是相对较少的。这些两张图里对比很明显。我觉得前者是合乎网络现状的,而后者是合乎 wikipedia 的:) |
 | 33 feiandxs 2013-03-27 10:48:40 +08:00 1 赞 @sinxccc 的质疑精神和严谨。说起来在很多帖子里我都注意到你的名字了,因为你实在是理性思维的可怕,客观,严谨,逻辑严密,深得我心。 那篇文章可能唬到了一些人,引起了不少质疑,但我相信,类似的团队和个人,肯定有不少人干得出这种事而且数量绝对不是稀少。 在我的认知范围内即我未必亲见过也无法证实,但我接触和了解过的范围内在机房若干距离或者内部直接无线电波窃听,光纤窃听,机房使用的硬件在出厂时就内置窃听,这些听起来好像好莱坞电影里才有的东西,似乎真的存在。 我无法证实或者证伪,但至少这些故事讲起来不比原文中的逊色。 |
 | 35 sinxccc 2013-03-27 12:37:00 +08:00 2 @Fenng 各种误差可以解释为什么白点会出现在大洋中间,但没法解释为什么跟 mapping wikipedia 的地图重合度这么高。   上图来自 mapping wikipedia,下图来自 blog 的题图。观察圈进去的六个点(嗯,第一个图手抖多圈了一个)。 上图左边四个从上到下依次是:Mons Vinogradov-月球上的地名(这个属于数据提取的错误,把月球的经纬度直接拿来显示在地球上了);火星拓荒者探测器(原因同第一个);纳粹德国潜艇 U-1224;纳粹德国潜艇 U-66。 右边两个从上到下依次是:英国海军弹射飞机商船 SS Primrose Hill;纳粹德国辅助巡洋舰 Kormoran。 可以看到下图六个白点的分布和相对位置基本一致,我也可以保证目前不会有人类从这六个地方登陆网络。不知道多巧合的经纬度误差能误差出这个结果。 我实在是不想再干一次这个活儿了。从 Mapping wikipedia 的大西洋和太平洋里找军舰或者商船,然后去 blog 题图里找对应的点,基本弹无虚发。 读者愿意相信也好不愿相信也好,作者的故事本身并不差,不知道为什么在这么个细节上这么马虎。 |
| 36 sinxccc 2013-03-27 12:43:44 +08:00 |
 | 37 flashfx9 2013-03-27 13:23:33 +08:00 |
| 38 flashfx9 2013-03-27 13:33:27 +08:00 @sinxccc  貌似真的很容易把海上的东西给处理掉,但是作者没有去做,是懒呢,还是他觉得不需要掩饰这些小毛病? 我到是愿意相信这个故事的,在于最后V描述得苦衷: V接受我采访的初衷,是希望告诉大家,真正强大的黑客们 “在尝试去做对这个社会有正面价值导向的事情,而不是去让这个社会变得更糟糕!” |
 | 39 momo5269 2013-03-27 13:42:17 +08:00 很想进入一个 我已经被ban掉的qq空间怎么破 |
 | 40 for4 2013-03-27 13:46:21 +08:00 扯谈文 不论细节, 就逻辑上来说都有快一半的漏洞. "他最大的成就,是积累了一个去重后有13亿条数据的数据库。每条记录,都包含了用户名、密码、身份证号(社保ID)、手机号、邮箱、登录IP等信息。" 这句最搞笑, 先了解下全球共有多少网民吧. |
| 42 sinxccc 2013-03-27 13:58:30 +08:00 |
| 43 flashfx9 2013-03-27 14:08:24 +08:00 |
 | 46 est 2013-03-27 14:29:39 +08:00 |
| 47 flashfx9 2013-03-27 14:35:40 +08:00 @for4 你这个人太喜欢钻牛角尖了。 for4:123456:[email protected]:430922198501010101 for4:password:[email protected]:430922198501010101 for4:for4!@#:[email protected]:430922198501010101 这个也就是去重后的数据啊,大数据时代,V不会傻到放弃你的任何一个邮箱所关联的数据吧? |
 | 50 forghed 2013-03-27 15:06:40 +08:00 我不知道这里面有多少人是搞安全的,估计很多人连编程经验都没有到10年吧。微博上的一些老黑客都是力挺的,也许有人会说他们是互相抬着混,我觉得更像是捏泥人的看搞机器人的科幻一样,有些事,还是长点心吧。 |
 | 51 test591 2013-03-27 16:57:46 +08:00 相信这里大部分是圈外人士吧。本人看这篇文章时一点都不质疑,也许大家可以先去看看Kevin David Mitnick的故事。:) @sinxccc 科普一下!刺是幻影组织www.ph4nt0m.org的老大,幻影组织是啥?个人认为是国内最多安全牛人最具影响力的安全组织,这组织大把像腾讯、百度这种互联网公司的安全工程师和顶级牛人,而且对行业做出很多贡献。 刺=axis=大风=aullik5 在圈子里极具人气(好吧,我也是他粉丝),人品技术都一流的,参加过blackhat等世界大会,可以看看他博客 hi.baidu.com/aullik5 《白帽子讲Web安全》这本书的意义和技术含量也不必多说。如果你也是懂点技术的。 另外写黑客文章有很多细节是不能写的,比如说“v曾经利用xx技术搞过fbX”,那v以后就不好混了,x别人也利用xx技术浑水摸鱼,v存在“社工”的危险…… 我相信黑客是网络中的上帝,没有啥做不了的。 大家应该更关注这篇文章所表达的意义。:) |
| 52 olnyshe 2013-03-27 17:29:06 +08:00 @test591 这就是 外行看热闹~~~何况这个圈子本就复杂..里面还有不少是娱乐的.so....... 不相信的人...就继续不相信吧..反正也不会改变什么. 这个圈还是这个圈....低调的黑客还是有很多的.. |
| 53 Fenng 2013-03-27 17:38:26 +08:00 @est 3月14日消息 腾讯控股有限公司今天公布截至2011年12月31日未经审核的第四季度综合业绩及经审核的全年综合业绩。财报同时披露了腾讯最新的平台用户数,数据显示腾讯即时通信服务活跃帐户数达到7.210亿,“QQ空间”活跃帐户数达到5.521亿。 截至2012年6月底,中国网民数量达到5.38亿 恩。这些数据都是忽悠人的。 |
| 54 olnyshe 2013-03-27 17:59:41 +08:00 |
 | 55 Air_Mu 2013-03-27 18:56:47 +08:00 Plz Hack The Wall! |
| 58 feiandxs 2013-03-27 22:09:08 +08:00 好吧。。。其实我觉得,文中所描述的东西并不科幻甚至应该说远远不够科幻,“到今天了v才只做到这个地步”? 很多人质疑,主要是被作者那一副“我给你们讲一个故事,long long ago,there was a V...”的部落先知的感觉给弄的不舒服了。 |
 | 59 sdysj 2013-03-27 22:14:33 +08:00 技术上可能=现实中可能。 但是楼上各位都不要为了证明自自己立场而死掐,应该继续讨论技术上问题。 |
 | 60 rainchen 2013-03-27 22:55:28 +08:00 应该是有真实的也有加工的,当小说看吧,只是作者有点夸大了主角的“功力”和孤傲,比如这句: 我问V,“还有什么网站是你黑不掉的吗?” V答道:“目前成功率是100%,只要有耐心,还没有黑不掉的。 当然,不炒作不会火嘛 |
| 61 sinxccc 2013-03-27 23:20:21 +08:00 @test591 多谢科普!我稍微懂点技术,只是不了解 Web。然后从绿色兵团吵架散伙之后就没继续关心过网络安全这个圈子,确实是完全不了解现在的人和事… 如果没有这个蹩脚的题图,我对这篇文章的信任度也许会更高一点,毕竟从技术上是可能的,只是需要当事人有相当的精力、时间还有金钱。 当一个文章所基于的证据让人发现漏洞而被打上“存疑”标签的时候,它所想要表达的初衷、立场和想要透出的意义都是无力的,因为完全没有说服力。之前有位社会 hacker 说过一段“靠谎言去打击敌人”的话,不知道听说过没有。 你会信任一个存在着已知漏洞不去 patch 的网站提供的其他服务么? |
 | 62 anonop 2013-03-28 11:49:41 +08:00 1 @sinxccc 请见下面文章作者最新回应: axis 三 28, 2013 上午 10:55 当内心已经认定是假的时候,就会不断的去找证据来支持内心的观点,这就是认知的障碍,并非客观。原来那条线是本初子午线,感谢提醒,不过这正说明了本图的真实性,作假的话不会这么明显。 V提供的图背景是copy来的,被找到了出处而已。哪天V公布渲染的源代码和付费API,一切就清楚了。80w的库而已。不过有那必要吗?在这些事情上浪费时间真是无聊,和方舟子质疑韩寒没有区别。 |
 | 63 wuma 2013-03-28 12:07:25 +08:00 积累数据很容易,我曾经积累了几年(06年之前)的许多个北京技术行业峰会参与者的信息。 Feng的手机号我就有。 本人不是任何意义上的黑客,得到数据的途径也很简单,某猎头公司不知道从哪儿买来的数据,然后内网外网并用一个系统,不小心露出来了。 一些数据有心收集的话很容易。 |
| 64 test591 2013-03-28 12:08:54 +08:00 |
 | 65 binux 2013-03-28 12:43:20 +08:00 @anonop 哇,copy背景把别人的点也copy进去。那还画个屁啊! 此文毫无疑问是可行的,但不一定是可信的,就像v2ex充满想象力的MD5一样。 至于有多少可信度,就算是99.999%安全的系统,被无数人盯10年也保证不了安全。 风险总是无处不在的,只要让破解的成本高于收益就好了。 |
 | 66 reverland 2013-03-28 12:45:38 +08:00 感觉是炒作啊= = 在这个不断变化的世界中怎么能维护数据库的实时性和有效性啊…… 积累数据比较容易,一时玩得开心……过一段就忘了……再过一段发现用不了了…… |
 | 67 Sunya 2013-03-28 13:19:00 +08:00 相信奇迹, 至少我会信文中的一些内容. |
| 68 test591 2013-03-28 16:10:55 +08:00 摘自知乎 http://www.zhihu.com/question/20888507# 云舒,阿里巴巴集团高级安全专家 26 票,来自 尹益恩、韦东锏、钢盅郭子 更多 末日入侵不知道是什么,没看过那个电影。我来回答一下第一个问题。其实回答这个问题很简单,“我奶奶一直不相信人能登上月球,甚至不相信飞机能飞。”搞定。但是我还是想借题发挥写多点。 首先,对于看起来很拽但是自己又不了解的东西,有的人会相信然后盲目崇 拜,有的人则是完全拒绝嗤之以鼻。没有对错之分,我想说的是对自己不懂的东西不要随便做出判断。如同我们不了解娱乐圈的内幕,在外界随意揣测只是徒惹懂行 的人耻笑而已。在懂的人看来,这些看起来科幻甚至像玄幻的外皮下,背后里只不过是一行一行的代码,一个一个寂寞的夜晚。由0和1构成的世界,没有魔法,没有侥幸,有的只是天才和汗水。 其次,收集到上亿条数据难不难?搞定京东能有多少数据?当当呢?淘宝呢?腾讯呢?铁道部呢?政府社保网呢?世纪佳缘呢?这些大企业真的那么难入侵吗?一个企业上千上万的员工,不说社工,你直接去泡一个客服MM都行啊。举个简单的例子,我随便挑一个下午去滨江阿里巴巴园区的星巴克坐着,就能黑掉网易信不信?我想不懂安全的人会不信,觉得我吹NB。懂的人会知道,“擦,这么没技术含量的事情你也做。不就因为网易办公楼在阿里巴巴旁边,然后你去搭建一个伪造的AP引网易的人登录,然后偷密码植入密码么?”对,就这么简单。阿里巴巴能否被入侵?肯定能,只是时间问题,3个月?半年?1年?不怕贼偷,就怕贼惦记。 最后,对于个人来说,不用惊慌。好好用正版软件,不乱逛不健康的内容,装一个杀毒软件,有升级就升级,没事的。至于那些大网站被拖库,不是普通人能控制。但是,我们每一个安全从业人员,都在努力。 |
| 69 sinxccc 2013-03-29 08:17:07 +08:00 @anonop 首先他承认了这些点是跟背景一起 copy 来的(所以存在一样的细节),然后他又在这个基础上画上了自己的点。至于画了多少点呢,他自己说是 80 万(maps API 的 limits 是 80 万)。且不说这种行为是否合适,原图上的点也就 80 万,两个图对比怎么都不像多了一倍的样子。 除了作者玄之又玄的文字之外,这幅图就是 V 的唯一证据了。不过这也是无聊且没必要的,因为我也就是个小聪明又无知还有认知障碍的圈外人而已。 Fin. |
 | 70 taogogo 2013-03-29 10:16:18 +08:00 想搞不难,我也是做安全的,这个说的有些夸张,照这么说,一个小偷也能神出鬼没,不也是很神奇么?以前发过一个收集黑客技术的一个小站的帖子,有兴趣的可以看看 |
| 71 taogogo 2013-03-29 10:42:25 +08:00 丢个骇客的分析链接: http://www.hackdig.com/?03/hack-2497.htm |
 | 72 anonop 2013-03-29 15:38:32 +08:00 V的解释有点避重就轻吧,V的解释起码证实了他的图背景是来自维基maping,从两张图相似来看,V使用的源代码和API可能是维基maping使用的(tracemedia.co.uk),而V的80W数据是叠加在上面的,所以大海里有点,我的疑问是: 1,维基maping可以自己生成图(大家可以去试试),它的限制是最多80万个数据,V这个说对了,大家也可以去题图的左上角看到这个限制;问题是,最多只能有80W数据,V的IP就有80W了,那维基数据点在图上有多少了?从两张图相似来看,维基数据点占的比例不小,那我就不明白V用这张图想说明什么问题?大家分不出来哪些是他的,哪些是维基的? 2,有人说了,他可能是直接在已有的维基图上叠加的,我在想V为什么要用这张和IP根本不相关的维基图作为背景来叠加?V这么强大,厉害,为什么不在一张空白的地图上显示他的数据?我想手头有80万数据,画在一张空白地图上,现在应该不是件难事吧? 再看看博主提到的internetcensus2012.bitbucket.org 项目有类似的图,这项目的图和V的图有两个明显差异: a,这项目的图大海里非常干净,点很少 b,大家可以观察新闻/旅游热点地区,比如古巴,西非,苏丹,马达加斯加岛,阿富汗,朝鲜。这些地方的维基条目很多,但是在线的机器和IP是相对较少的。这些两张图里对比很明显。我觉得这项目的图是合乎网络现状的,而V的图是合乎维基的 很明显这项目图是用自己真实的数据在一张空白地图上画出来的,是符合网络现状的。 |
 | 74 glume 2013-03-29 23:16:26 +08:00 办公室环境有一句俗语:明白的人不说,不明白的人到处乱说。但出于希望了解高端黑的心理,还是愿意听到一些示例来明白到底能黑到哪个地步。用社会工程学+技术能做到哪一步。传说中进出NORAD如自家后院,操作隐藏卫星如自家服务器? |
 | 75 iambeginner 2013-04-06 22:36:41 +08:00 |
 | 76 Neoth 2021-02-04 08:53:01 +08:00 2013 年比较轰动的一片「伪纪实文学」《中国黑客传说:游走在黑暗中的精灵》 本文看似黑客无所不能,其实,真正影射的是这个「网络 /数字时代」,Big Tech 网络 /数字极权 /霸权的「制度化」崛起的充分&必然。 现在拿来回顾一下,对人类文明走向深度反思~没有障碍。 |
Select Language