超脑黑客作者:疯狂小强
【小强向大家征集有效转移好友列表的方法~各路高手请支招~】
自从将比特信使发布之后,林鸿一直都在密切关注整件事情的进展。
当然,他并不会自大到再次入侵那些已经被入侵并且发布了帖子的bbs,而是在蓝鹰内部bbs上观看相关反馈。
实际上,新闻一类的消息在各大bbs上实际上是共享的,因为有些人很可能有多重身份,或者他的朋友当中会是另外一个组织的成员,消息就是这么接力般地传播开来。
而当比特信使发布之后,大家传播消息的速度立刻提升了好几个等级,为了让自己的账号数据更加稳定,大家纷纷向自己的朋友推荐这个软件,然后互相加为好友。
而有关比特信的消息也是最近最为热门的话题,各大bbs上纷纷开始出现各种各样的测试和研究报告。
另外也不断传出各种成功破解比特信使的消息,诸如“比特信使没有那么神,第一个账号破解案例已经出现”之类的帖子层出不穷。
然而这些帖子出现之后,接着又有人出面对这个破解进行质疑,最终大家经过论证之后,又证明对方的破解只是在特殊的条件下才成立,根本不具备普遍姓。
并且,有关比特信使账号被盗的案例也出来了,这是因为有人的个人计算机被别人入侵了,本地的私钥文件被人盗取,然后被暴力破解。
但是,这种情况是无论如何避免不了的。
从来就没有绝对安全的软件。
软件做出来,始终是给人用的,如果自己的密码或者密钥没有保护好,被人盗走,肯定会被盗取。
注册比特信使之后,会根据计算机硬件信息和特定算法生成一个唯一的公钥和唯一的密钥。
公钥就是比特信使的id,可以对外公布,让别人添加自己为好友。而密钥,则需要自己另外保存。
其中最为关键的就是这个私钥,这个东西就是证明自己是账号主人的唯一凭证。在比特信使软件的安装目录下,有一个名为bitkey的文件,这个文件里面就保存着自己的私钥,一旦这个文件丢失或者被盗,就只能通过向朋友申诉的方式来取回私钥。
在私钥的基础之上,也会进行一层加密,这层加密就是登录的过程,验证用户名和密码,如果吻合,则可以使用这个密钥对其他人发送过来的消息进行解密,从而实现通信。
但是,如果保存在本地的密钥文件被人盗取,并且使用暴力破解或者社会工程学方法获得了用户名和密码,那这个账号就彻底被盗了。
并不是说,只要使用比特信使,就完全可以杜绝被盗号的可能。
比特信使账号是完全扁平的,不存在某些账号金贵,某些账号廉价的问题。所以,除非某些别有用心的机构,通常花大力气去盗取和破解一个账号是不符合经济规律的。
比特信使的魅力在于匿名通信,让第三方无法通过截留数据包的方式来监听网络。
蓝鹰内部论坛上关于比特信使的消息也越来越多,最终,一个帖子引起了林鸿的注意。
“《转载:一个已经被证明了的盗取私钥的方法,希望比特信使作者关注》”
刚开始的时候,林鸿看到标题,以为也是像之前的那些帖子一样,只是破解者自己设定了一个极端的环境才会出现的情况。
可是当他点击进入查看具体内容之后,脸色逐渐变得认真起来。
按照林鸿原本的设计,假设本地私钥丢失或者被盗,而不愿意重新申请新号的话,就可以向自己的朋友申请所要私钥。
而这个申请的过程,是需要通过另外的方式和自己的朋友联系,让他们收到信息之后,给自己的申请发送一个电子签名,证明申请人的这个申请是有效的。
而当有六位以上的朋友都发送了电子签名之后,这个申请就被认为是有效的,于是,私钥就会被下载到申请人的客户端中,替换原来的bitkey文件。
但是,这个帖子中指出,由于大家缺乏一定的安全意识,朋友之间的信任很容易被滥用,对方伪装成当事人和自己的朋友进行联系,让他们给自己的申请发送签名,这样就会将当事人的私钥成功给骗到手。
由于大家并不清楚实际的使用人已经换人,所以很有可能会被继续欺骗,从而被盗号者套取一些机密情报。
在这个帖子中,作者说他已经亲自实践过,成功盗取过两位用户的私钥。
实际上,林鸿在设计账号申诉的时候,的确是考虑过这种情况,不过他没有更好的解决方案,所以暂时就将这个问题放下了,毕竟出现这种情况的概率相对来说不会很大。
不过,这篇帖子的作者提供了一个方案,放林鸿很感兴趣。
林鸿回过头来看了一下帖子的作者。