摘要 任何连到互联网的电脑都极易受到黑客攻击,但是被攻击的可能性取决于电脑在互联网中暴露的程度和使用者的实际操作。
按风险从高到低排,首先,任何拥有电脑和服务器的组织机构,特别是从事网络盈利性活动、互联网安全公司和程序是黑客攻击的主要目标,而家用电脑一般只是间歇性地与网络连接而仅是次要攻击目标。
一个大型网络的监测工作难度非常大,需要一个严密的防御战略,充分考虑目标应该如何搭建最高安全性的网络,还需一个敏锐的分析系统来处理由扫描器、代理或探测器进行网络映射而收集的大量数据。而且,在收集到所有的数据后,还要立即制定一个细致的入侵计划来详细说明受到攻击的具体是哪些服务器或应用程序以及攻击的方式。
本文提供了关于黑客攻击和基本的黑客攻击技术的背景信息。其中包括黑客和黑客组织的幕后动机,简要描述了过去40年来黑客攻击的发展历程,引述了一些被黑客攻击的实例和用来制造破坏或非法获利的黑客工具。最后文中将列举黑客攻击的种类,并重点介绍后门(backdoors)、特洛伊木马(Trojans)、分布式拒绝服务攻击(DDoS)、自动程序网络(BotNets,又称“僵尸网络”)及缓冲溢出(bufferoverflows)这几种方式。
关于黑客攻击
“黑客”这个词是用来形容不同类型的电脑专家。在网络世界中,它有褒贬二重的含义。从褒义方面讲,黑客特指一些特别优秀的程序员或技术专家,这对于大多数人来说是这个词的正确用途。然而近几十年来,“黑客”一词却越来越多地与电脑入侵者和电脑犯罪联系起来。
对于这一词的上述截然不同的定义,一种可能的解释是,“黑客技术”是指可有正反两面用途的黑客技术的集合,亦正亦邪。类似英语中的“locksmithing(门锁技术)”这个词,同样表示开锁,却有正反两方面含义。即一种技能,即可用于正道,亦可用于邪道。
黑客攻击和基本的黑客攻击技术
黑客动机
现在的黑客组织主要分成两大阵营,通常称作白帽和黑帽。
白帽黑客,代表那些热衷于学习和使用电脑系统,且对某些课题有着极为深入研究的人,他们对商业、网络防护等领域较有兴趣,热爱挑战,通常只是单纯因为好玩,这类人一般都会以合法的方式运用其黑客攻击技术。典型的例子有,参与渗透测试,开发并运用防护和攻击消减工具,或受聘为安全管理人员和安全顾问。实际上,在计算机世界里,“黑客”这个词的最早就是用来描述此类人。
另一方面,黑帽黑客,是对“黑客”这个词更惯常的理解。正如电影或媒体所描述的,黑客作为蓄意破坏者和强迫型的社会边缘人,寻求制造混乱,摧毁一切美好的事物,他们对网络进行恶意扫描、攻击和渗透,应用专门技术找到并利用系统的不安全因素来进行破坏。
现实中,这两个黑白阵营当中有一块灰色中间地带,即并不是所有的白帽黑客的行为都是合法的,同样黑帽黑客的行为也并不全是非法的。这就可以解释很多原先的黑帽后来变为白帽。这完全取决于其动机驱动因素,这些因素的根蒂在于好奇心、窃取信息、挑战智力、无政治主义及赢利等思想观念。
黑帽黑客组织
黑帽黑客组织又细分为几类:
黑客(Hacker,也称刽客或系统入侵者)指试图远程渗透电脑安全系统的人。
飞客(Phreak,也称电话飞客或蓝盒子)指使用特殊技术探测和/或控制电话系统的人。
恶性产物作者(Malwarewriters):指某些黑客,他们编写代码,使其可以不经授权在其他系统中进行自我复制,且常常具有恶性的副作用。
盗版者(Pirates),是黑帽黑客,他们破解软件版权保护而免费共享商业软件。
电脑编码朋客(Cypherpunks秘密无政府主义者)他们免费分发用于进行超强编码的工具和方法,除非使用大型的超级处理器,否则很难被破解这种编码。
黑客的历史
二十世纪60年代,美国麻省理工学院(MIT)成为现今的电脑黑客概念的发源地,当时,黑客被定义为打破某种限制的开发者。与此同时,第一个在多个平台上运行的操作系统UnixOS首次公诸于世。
70年代初,使用一支简单的口哨便发现可复制2600赫兹音频,这一方法能让飞客们轻易地破解电话交换机,从而可以进行免费通话。这种欺诈手段广为流传,而且不更换所有交换机根本没法杜绝。20世纪70年代也正是微软建立基业和第一份计算机OS编写协议诞生的时期;第一个基于电脑的电子公告牌系统的出现使得黑客们可以远程共享他们的经验和信息,后来又确立国际网络工作组(INWG)对发展中的网络标准进行管理。
二十世纪八十年代,随着上百万美元的银行盗窃案及电脑间谍的出现(特别是通过一些电影如1983年出品的战争游戏WarGames),黑客问题受到公众更广泛的关注。这期间,首次认真地尝试采用拘留和监禁等法律手段来对抗黑客攻击,在美国,财政部特工处被授权处理信用卡等电脑诈骗案件。由于发生越来越多入侵政府或公司电脑的事件,因此,美国国会于1983年通过了《计算机诈骗和滥用法案》(ComputerFraudandAbuse Act),其中将侵入他人计算机系统的行为列为犯罪行为。凯文.米特尼克(Kevin Mitnick) 成为第一个被定罪的黑客,首次因以秘密监测大公司安全部门电子邮件的罪名被判处一年监禁。
1988年,能够自我复制的“莫里斯的蠕虫(Morrisworm)”病毒在美国政府的ARPA网(互联网的先驱)中发作,专攻Unix系统。病毒大肆传播,感染了近6000台连网的电脑,造成政府和学校的网络系统阻塞瘫痪。这是有史以来第一个网络病毒,它首次例证了计算机能量的恶意应用所能造成的巨大破坏性。此次事件的作恶者被判处缓期3年的监禁和10,000美元的罚款,也因此而变成公众皆知的名人。
二十世纪90年代出现了两个与黑客技术进一步发展有关的重要程序。一是微软的视窗操作系统,现在对我们所有人来说,其重要性显而易见,而对于黑客来说,则是世界上每个电脑用户都成了一个易受攻击和容易滥用的目标。另一个是Linux代码的公开,它在安全领域占有非常重要的地位,防火墙的发布代表着引入专门设计用于对抗黑客和保障通信渠道安全的第一大软件。由于越来越多的人意识到安全的重要性,白帽公共信息共享组织迅速扩张,并引入基本的入侵检测系统(IDS),虽然它们的实际应用范围很小而且也不太重要。
同样在20世纪90年代,黑客已可以轻易潜入万维网进行破坏活动。具有代表性的例子如“美国在线地狱(AOHell)”,一些资历较浅的黑客,通常是被人们称作“脚本小子”的十几岁孩子,利用这个免费软件对美国在线进行报复性的大肆破坏,发送大量垃圾邮件阻塞AOL的用户邮箱;攻破微软的Windows-NT操作系统;攻击五角大楼的机密电脑并窃取软件程序;还有,传播有史以来造成损失最大的恶性产物-梅利莎蠕虫病毒。
结果,这十年间出现了一大批复杂的黑客攻击技术。一些年轻的黑客利用群发邮件和蠕虫病毒就能致使网络一一瘫痪,同时,分布式拒绝服务攻击(DDoS)、僵尸网络(BotNets)、分布式破解等一系列威力巨大的黑客工具也让家用电脑和商用电脑转变成黑客手中的致命工具。网站被大范围地集中攻陷及信用卡被盗事件说明了网络上的个人信息不再安全。
漏洞
任何接入互联网的电脑均极易受到黑客攻击,最典型的例子是受到特洛伊木马嗅探或感染病毒。大部分的互联网接入提供商、企业或个人用户为使攻击危险最小化以及使个人电脑、网站、服务器最大程度地免受潜在的黑客攻击,通常都会使用防病毒软件、防火墙及综合安全措施进行防护。
结合黑帽黑客的攻击动机,可以说被攻击的可能性取决于在互联网中暴露的程度。例如,家用电脑由于是间断性地接入网络,所以不会成为攻击的主要目标。实际上,黑客们将会按风险性从高到低的排列,搜索出以下目标:
互联网安全公司,因为这些公司的服务器或网站有着最好的安全性,从而成为最具挑战性的目标。
拥有电脑或服务器的机构,特别是那些通过互联网进行盈利性活动的公司。
具有良好公众形象和媒体关系的目标,例如一些大公司或政治团体的网站及一些名人网站,成功入侵这类目标将会受到媒体关注,在黑客组织中也会更有名望。
网站,特别是进行电子商务的站点,由于是一年365天24小时在线,黑客可以在任何时候发起攻击。
始终在线的宽带连接,指一些使用固定IP地址上网一直在线的用户。
拨号上网连接。
黑客怎样收集信息
黑客攻击的成果和他们对目标的了解程度有着直接的相关性。因此,信息收集在攻击过程中占据着头等重要位置,包括财务数据,硬件配置,人员结构,网络架构和整体利益等诸多方面。而且互联网上的共享资源可以为几乎任何攻击阶段提供有价值的信息。
信息收集的工具
信息可以通过一些主动或被动的方法来收集。被动信息收集是进行无风险的扫描来取得关于IP地址、网络基础架构、应用软件及所使用的安全代理等信息。黑客有一系列信息收集工具,其中主要有:
网络监测:一类快速检测网络中电脑漏洞的工具。包括嗅探应用软件,能在电脑内部或通过网络来捕捉传输过程中的密码等数据信息。还有一种名为“大发现(exploits)”,它是利用已知漏洞的现成软件。
社会工程:运用操纵技巧来获取信息,例如,在喝啤酒交谈过程中询问对方密码或帐号等信息,或是伪装成另一个人骗取信息。
公共资源和垃圾:从公开的广告资料甚至是垃圾中收集信息。
后门工具:这是一些工具包,用来掩盖计算机安全已受到威胁的事实。
网络监测
网络监测对黑客部署攻击计划是至关重要的一步,包括扫描、探测、识别各应用软件及版本,并确定诸如局域网、ISP、电信或企业各类网络拓扑结构的差异。在监测过程中,要收集的重要数据包括IP地址,网络地址及分离、存取列表、存取点、防火墙规则、应用软件版本和用户名等。
黑客的这种远程信息收集任务要用到一些基本工具。Traceroute、ping指令和网络扫描器均可以映射出网络的物理/逻辑结构,而象sniffer这样的包捕捉工具可以提供关于运中应用程序的信息、用户名及密码。WHOIS(SamSpade)提供IP地址对应名字等资料,而NetBIOS和RPC的回收器可以分析局域网流量信息(通常最危险的黑客就是内部人员)。只通过在客户端上动动手指,关于用户的所有有价值的信息便尽收眼底了,同时用webcrawlers程序制作索引页便可以一察看任何页面上尚未移除的资料。。最后,使用IRC(Inte.netRelayChat)客户软件则可实现共享和获取网络中的任何内容。
黑客们使用一套完整的扫描器进行网络监测。包括端口扫描器,网络IP地址扫描器,路由扫描器(伪造BGP和OSPF信息包),SNMP对象识别符(OID)扫描器,端口探测和应用程序扫描器,如何探测访问控制规则(firewalking)、无线扫描器和操作系统、嵌入式设备和入侵防护系统特征探测等。
社会工程
对社会工程学的解释可以是,黑客通过设置各种各样的骗局而从目标企业的雇员口中得到所需信息。黑客利用虚假的信息操纵对其丝毫未产生怀疑的人员,哄骗他们泄露重要信息。诸如利用假扮企业领导,美人计,信用卡诈骗等方法,这些仅是社会工程学中的几个例子。在其初级阶段,社会工程学利用了人类的一个天性,即人们在遇到求助时会自然的变得降低戒心并倾向于提供帮助。因而主动的和被动的社会工程学间就存在一定差别。接到一个电话可能会使人增加额外的怀疑,然而,若这正好是自己所期待的电话,情形又如何呢?
社会工程学也可以通过直接观察或身体接触来进行信息收集。较典型的就是常常通过伪装来观察员工日常工作流程和实际进入目标企业,了解公司运行相关信息。在这种情况下,进入目标企业可以通过多种技巧来实现,如应聘某个岗位、结识其中员工和从事为目标企业提供服务的工作等等。
公共资源和垃圾
有时目标的一些有用信息还可能通过公共资源甚至垃圾来获取。典型的公共资源包括WHOIS数据库、白页、讨论组中的讨论列表文档;目标公司的真实网页,通常这当中会有公司领导者信息;即时消息,通过与目标公司员工搭讪,通过使用域邮件地址和白页搜索可以找到这些目标员工;诸如Google之类的搜索引擎,几年前的电子邮件;以及通过Google和crawlers泄露到到互联网的信息。
专注的黑客还发现垃圾也是一个重要的信息来源。目标公司的垃圾堆甚至办公室的废纸篓里往往包含大量的信息,例如公司电脑、网络或电话簿;旧电脑中的硬盘或光盘;备忘录、报告或其它办公文档;电脑和IT程序代码或协议;发票及联系方式等客户信息;以及文档碎片等。因此
黑客的攻击方式
一旦黑客掌握了所有必要的背景信息,就到了攻击阶段,攻击可能会采取以下任一种形式:
特洛伊木马
后门程序
分布式拒绝服务攻击(DDoS)和自动程序网络(BotNets“僵尸网络”)
缓冲溢出攻击
特洛伊木马
特洛伊木马程序看起来是合法程序,但是在其运行时便会进行一些非法活动。特洛伊木马程序可用来查找密码信息,留下入口使得黑客日后可以再次进入系统,有时仅仅是破坏硬盘上的程序或数据。特洛伊木马程序与病毒类似,但是它不进行自我复制,而是驻留在电脑内部进行破坏或允许其他人对此电脑进行远程控制。
实际上,通常黑客使用特洛伊木马进行秘密的间谍活动(例如包嗅探)或通过后门功能来实现对被渗透电脑的远程控制,而电脑用户却对此毫不知情。特洛伊木马可能造成的破坏结果包括删除/覆盖电脑数据;毁坏文档;传播病毒等其它恶性产物;建立受感染电脑网络,来发动分布式拒绝服务(DDoS)攻击或发送垃圾邮件;监控电脑使用者并暗地里将其上网习惯等数据报告给其他人;记忆键盘操作盗取使用者如密码、信用卡号等私人信息;使用网络钓鱼的伎俩诈骗用户的银行或其他帐户资料用于犯罪活动;在电脑中安装后门程序便于日后再次访问控制。
后门程序
后门是一种绕过正常认证或者远程访问电脑而能够一直规避临时检查的方法,。它的形式可能是已安装的程序或一些合法程序的修改文件。在一个注册系统里,后门的形式可能是硬编码的用户和密码的组合,通过这些信息便可入侵系统。典型的后门程序包括NetBus、SubSeven和BackOrifice。后门通过版权软件传播的现象是一个有争议的话题(因为这样的软件不提供可被检查的源代码),但在实际应用中已偶尔暴露出这一问题。黑客不需修改一个程序的源代码就能在其上加载后门,甚至可以在编译后进行修改。这是因为他们重写了编译器,所以编译器在编译时可识别出相应代码而引起在编译输出中加入后门。当被改写的编译器发现这样的代码,仍然会正常编码,只是在编码的同时插入一个后门程序(也许是一个密码识别程序)。因此,只要黑客进行输入,便可以访问程序操作中的某些(可能没有文档说明的)环节。。
许多蠕虫病毒,象Sobig和MyDoom都会在被感染的电脑中安装后门程序(通常是接入宽带的电脑用在使用不安全的MS-Windows和MS-Outlook时被感染)。这样,借助于安装的后门程序,垃圾邮件发件者就能利用被感染电脑来发送大量的垃圾邮件。
后门和特洛伊木马都需要通过一定途径来传播,如电子邮件携带的蠕虫病毒,恶意网站,社会工程或点对点传播。它们的远程控制范围极广,从文件控制(读写或删除)、桌面控制和软件安装,到利用电脑参与拒绝服务攻击、分布式破解、发起攻击隐藏黑客原始痕迹和邮件转发。
分布式拒绝服务攻击(DDoS)和自动程序网络(BotNets“僵尸网络”)
拒绝服务(DoS)和分布式拒绝服务攻击(DDoS)是向一个网路发送大量的额外请求致使正常流量被减慢甚至完全阻塞的恶意袭击。与能使数据库严重受损的病毒和蠕虫不同,DoS攻击能让网络服务中断一段时间,而DDoS使用先前已受感染的遍布网络的多个电脑进行攻击。这些象“僵尸”一样被控制的电脑会联合起来发出伪造消息,增加虚假流量。在DdoS攻击中,发起攻击的电脑主机常常是宽带接入互联网而已受到病毒或特洛伊木马感染的个人电脑,这些电脑因受到感染而允许攻击者远程控制机器并指挥攻击(这常常是通过BotNet网络来实施)。只要有足够多这样的“僵尸”电脑,即使是最大最稳定的网站也不能逃脱被阻断服务的厄运。
DDoS工具非常容易开发,并通过一系列的途径,包括IRC、点对点、电子邮件蠕虫、恶意网站和社会工程等,进行传播和播种。相同的工具/攻击也会有多种变种,DdoS攻击的受害者是大型站点、根服务器、大企业和和网络服务提供商,这些目标需要极大的带宽才能被击倒。
BotNet是指利用大量用来发起DoS或发送垃圾邮件攻击的受感染的电脑。电脑一般是被特洛伊木马感染,常常开放一个IRC通道而等待僵尸网络的控制者发起命令进行攻击操作。
BotNets是一种更为特别的DDoS结构,它基于IRC控制而不是直接连接主机。应用署名或入侵防护系统便可以很轻松的化解。然而,由于现有的工具就有近百种且新的工具极易生成,在僵尸网络被剖析并编写出适当的防护程序前,攻击总是层出不穷。
缓冲区溢出
缓冲区是程序或进程用来储存运行期间信息的一块计算机内存扇区。由于电脑不能区别代码和数据,因此黑客可以通过缓冲区溢出而引发服务崩溃或插入恶意代码。
缓冲区溢出是软件运行失败的常见诱因,如果写入缓冲区的数据位数超过了缓冲区本身的容量,溢出的数据将被写入临近的区域,这一临近区域可能是缓冲区,也可能存放了常量、标记或变量。当控制数据,如二进制标记,被错误地改动(它只占1比特!)时,便可能产生任何异常行为。在一次缓冲区溢出过程中,不同的指令传输数据,直到空或返回或其它字符标识数据串结束。这些指令都具有潜在的危险性,但可以通过精确的设定指令的读取或传输字节数等方式来规避这种风险。
因此,恶意黑客可以利用缓冲区溢出的特性,而在数据末尾加入可执行指令并让这些代码在进入内存后开始运行。这样就使得缓冲区溢出成为计算机的安全隐患,而且,由于程序控制数据常常存储于数据缓冲区附近,因此,一旦数据缓冲区溢出,则电脑就会执行任意(潜在的恶意)代码,这些代码通常是作为数据输入给有漏洞的程序。
一个程序利用另一个程序的漏洞而对其安全系统进行干扰的过程称作“漏洞利用”,通常被黑客用来获取超级用户的访问权限或更高特权。数据缓冲区溢出的漏洞利用的作用途径是,通过给程序输入精心设计的的内容,从而让特定的数据从已分配的缓冲区中溢出并改变内存中的相邻缓冲区。通过这种方法,黑客可以插入机器码指令从而执行通常只有root权限才能完成的操作,如添加删除用户、更改密码和修改或删除任意文件等。
当数据缓冲区在程序堆栈中时,缓冲区溢出极易被利用,因为此时溢出可以直接改变程序的执行路径。缓冲区溢出取决于内存、堆栈、堆和字符串格式的漏洞。找到这些易受攻击的缓冲区和它们的最大缓冲区容量、偏移量和返回地址,黑客就可以利用缓冲区溢出造成服务崩溃及发动DoS攻击,包括加入一段壳代码(shellcode)去渗透远程电脑。
DefensePro:Radware解决方案
DefensePro是Radware公司抵御群发邮件病毒威胁的解决方案。作为IPS入侵防护系统和防范DoS攻击解决方案,DefensePro提供了内置安全切换和高速、深入的信息包状态检测(应用Radware公司业内领先的StringMatchHardwareEngine™硬件引擎),对所有网络流量进行双向扫描,从而防范应用级别的攻击。
DefensePro能以每秒3-Gigabits的超高速度一次拦截1400多种恶意攻击信号、潜在的蠕虫和病毒并阻挡应用程序级攻击。即时识别和消减协议和流量异常,DefensePro还可以防范DoS/DdoS攻击和SYN洪水,并将所有非法流量形式及黑客攻击拒之门外。
DefensePro对病毒攻击实行隔离,其通过动态的带宽管理防止攻击扩散到网络用户和网络资源中,同时确保所有安全流量的完整连贯及功能正常,预前控制攻击造成的影响并限制其危害程度。DefensePro将极高的处理能力和先进的应用程序安全服务相结合,确保高速/高容量环境里的关键业务应用。
总结
黑客对所有接入互联网的用户都是一大威胁,他们可能引发如渗透、私人数据丢失、诈骗、网站瘫痪或崩溃等一系列问题。而且,企业组织的规模越大、地位越高,就对黑客构成越大的挑战,而受到黑客攻击的风险也就越大。
当黑客们应用他们在电脑网络方面的天分制造各种功能诡异的工具来达到自身的目的时,所有组织都应采取各项预防措施来防止攻击得逞。现在,并不是有了防病毒软件和防火墙就绝对安全了,每个机构或组织都应不断地对其网络活动进行追踪和监测,防止黑客实行网络监测、加载后门或特洛伊木马程序,进行DdoS、BotNets及局域网(LAN)攻击或通过缓冲区溢出而绕过重重防线。
Map,Monitor,Alert和Rectify:是防止黑客攻击的关键命令,这不是一次性的工作,而必定是一个持续的过程。