Tripwire：一款據稱可以發現任何網站漏洞的安全工具

加利福尼亞大學聖地亞哥分校（UCSD）的計算機研究小組已經成功地創建了一個工具，他們將該工具命名為Tripwire，Tripwire的基本原理就是通過基於提前設置的郵件陷阱來檢測網站是否發生數據泄露。

其實Tripwire早就被研製了出來，不過基於科學的嚴謹性，從2015年1月到2017年2月，研究人員對Tripwire進行了為期2年的實際測試。在實測期間，他們共對2300多個網站進行了監測，結果發現有19個網站都發生過數據泄露。

Tripwire的測試過程

如果你對Tripwire的工作原理還不了解，那你可以把它理解為一個訪問陷阱，Tripwire會為每個網站註冊一個對應的電子郵件帳戶，這些帳戶只允許在該網站上使用，每個郵件帳戶和網站的配置文件都使用相同的密碼。Tripwire將定期檢查是否有人使用這個密碼來訪問對應的電子郵件帳戶，如果帳戶有人訪問了，即表明網站遭到攻擊。因為攻擊者在竊取網站的數據時，必須使用該郵件帳戶進行登錄，這就等於在網站設置了一個陷阱。

在測試期間，總共有19個網站中的電子郵件帳戶被人訪問過了，其中，就有一個用戶數超過4500萬的知名網站，出於各種原因，研究人員並未點名是哪個網站，目前只知道是一個旅遊網站。不過要強調的是，這19個網站都沒有向用戶披露信息泄露的發生。

此外，為了保證測試的準確性，研究人員還對所註冊的這些電子郵件地址的供應商進行了安全檢查，以確保測試不受第三方的干擾。為此，他們創建了10萬個電子郵件賬戶作為測試賬戶。如果單單是投入網站的那部分賬號被攻擊了，而其它未投入網站的賬號未被攻擊過，則證明供應商是安全的，那麼這意味著攻擊就發生在網站上。

雖然Tripwire無法捕捉到每一次數據泄露事件，但一旦捕捉到它就會反饋給管理者， 一旦Tripwire被觸發則意味著攻擊者已經在訪問用戶未公開的數據了。

加利福尼亞聖地亞哥大學Jacobs工程學院計算機科學教授也是Tripwire的創建者之一的Alex C. Snoeren表示：

我很高興許多大型網站都會以嚴肅的態度對待Tripwire的測試結果，不過到目前為止，這些網站都不願意主動利用Tripwire來進行檢測，我估計這些網站有著一個共同的且不願為人所道的秘密，即以明文形式存放用戶的密碼

Tripwire能夠發現以明文形式存放密碼的網站

Tripwire在測試時也暴露出許多網站以明文存儲密碼的秘密，由於Tripwire是基於電子郵件來進行監測的，所以它很容易發現哪些網站使用了明文，另外有些網站還發生了密碼哈希（如MD5）的泄露。

根據研究者的跟蹤，在賬戶被攻擊之後，攻擊者很少用它們再去發送垃圾郵件。DeBlasio（Tripwire的創建者之一）推測攻擊通過電子郵件來控制賬戶的目的只是為了收集有價值的用戶信息，如銀行賬戶和信用卡信息。

研究人員還強調，儘管測試中，2300多個網站中有1％的泄漏，這個比例並不高，但全世界現在有數十億個網站，這意味著就有幾千個網站每天都在被攻擊。

目前，Tripwire工具的源代碼已經發布在了GitHub上，他們希望各個網站可以將其作為一個漏洞檢測系統進行配置。

為了宣傳Tripwire工具，該研究小組還在11月份的倫敦ACM互聯網測量會議上，進行了「 Tripwire: Inferring Internet Site Compromise」 的演講。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！