阅读:1138回复:0
骇客入门课程:网路安全防战手册
骇客入门课程:网路安全防战手册
-------------------------------------------------------------------------------- 作者:Will Rodger 来源:谢诗祥 译 类别:黑客天空 添加日期:2002.04.21 今日/总浏览: 43/7940 网路安全公司 Foundstone一年之中总会有几次将公司内部几位最优秀的专家外派出去,现场 教导他人如何入侵电脑系统。 别误会,他们并不是想鼓励这种恶行。事实上,这家公司正是靠防堵骇客攻击来谋生的。其 实,他们授课的目的是为了向网路警察(cybercops)揭示他们日常面临到的问题,以及如何 遏止骇客入侵他人的电脑系统。 我们和这些电脑安全人员一起度过了四天的时间,这些家伙感觉都非常好,也难怪,谁叫他 们都是一等一的好手呢? 第一天 我见到了我的同班同学。他们可不是甚麽泛泛之辈,大部份都是系统管理员或工程师,专门 从事跟网路防护、防范骇客入侵的相关工作。他们大多任职於联邦航空管理局、美国空军以 及如 Genuity 或 Fidelity 等线上经纪服务公司等。只有极小部分的人和我一样,是 Unix 方面的专家,对网路系统(Networking)却不是很在行。 Kevin Mandia 是今天的讲师,他曾经是位美国空军调查员。 骇客高手当然会隐藏自己入侵电脑的蛛丝马迹。但是他们要躲避的对象是谁呢?是系统管理 员吗?或许是吧!接着 Mandia 提到了一件让人感到不安的事情。 他一再的说:「一个 CEO(执行长)会知道自己的网站曾遭受到攻击吗?不可能吧!只有技 术人员才能确保公司其它同仁免遭骇客的袭击。」 这说法令我很吃惊,原来系统管理员并非只要看管好系统而已,严格说起来,他们本身其实 就是公司的防堵系统! 但是,他们一直以来都做得不是很好。Mandia 提起 1999 年 CD Universe (音乐天地)所 发生的事件。骇客进入该音乐网站的伺服器,设法收集了成千上万个信用卡帐号。每一个人 都知道这个事件,但是当该网站的技术人员去击退骇客的攻击时,他们竟然没有将受到攻击 的硬碟做备份。他们将这些入侵者击退之後,硬碟上却没有留下足够的证据来提交给法庭。 他说,这次的事件给我们的教训就是,先切断伺服器与外界的连结,好把所有被(骇客)更 动的资料拷贝下来,这样就可以复制所有已被修改过的数据。 在整整四天的时间里,授课的老师不断重申「应对计画」(response plans)的重要性,以 及被攻击的网站在成为被攻击对象之前为何非得拥有它不可。当然,我们上课的主要内容是 环绕在检测骇客的行踪上,有时甚至还要乔装骇客攻击电脑系统。 我们大家仔细的研读 Unix 日志档,这些文字都清楚的纪录了在电脑上所执行的一切动作。 担心系统安全的系统操作人员应该确保 Unix 日志档经已启动。但是实际情况常常并非如此 。 我观察了一下。虽然我的经验并不丰富,但我也看出这个家伙是利用冒充系统主要管理员的 方式来掌控这台机器的。问题是,电脑中并没有详细的讯息可以让我了解这些情况,因为这 些日志档的主要目的是向技术人员说明他们的系统是如何工作的。我有点困惑了,很明显的 ,我们这位访客是用一个陌生的使用者名称登录系统的,而且现在正从别处下载软体呢。那 他是在下载跟骇客有关的工具吗?我看着我的同学,我想他们肯定会知道的。 但是他们当中有许多人并不知道答案。经过半小时的解码工作和种种猜测,我们得到一个结 论:这位骇客是用窃取的、或猜测的密码进入网站,然後源源不断地给伺服器灌上很多资料 ,数量之大远远地超出了它的处理能力,然後引发了一个回应,允许他在机器上执行任何的 程式。在短短的几分钟後,他就成为经授权的、可以为所欲为的「超级使用者」。 他建立起自己的日志档,打算记载其他人使用系统的纪录。他也很聪明,从硬碟上清除了做 这个工作所使用的软体。 第二天 昨天,我们使用普通的 Unix 命令来观察到底是谁在入侵我们的系统。今天,我们自己使用 同样的命令来尝试入侵系统的行为。 我们连接到网路上的一台电脑,它就和许多电脑一样的「门户大开」,无论外来访客知不知 道密码,都可以轻易的上去访问。 我们使用了每一个 Unix 和 Linux 系统都有的标准命令。首先,同学们先快速浏览了我们锁 定的这台目标机器,很快的便找到了它能够提供的网路服务-网路拨接、电子邮件等。事实 上,也有一台网路伺服器正在运作中,我们便向这台伺服器灌了几个事先包装好的、常见的 程式脚本。 许多像是这样的程式指令都在网路上流传着,而它们几乎都可以攻破任何有安全漏洞的网路 主机。 根据我们先前对目标电脑路径的观察,我们得到了一个经常使用该系统的使用者名称。我们 的讲师告诉我们密码是星球大战里头一个角色的名字,有人在 30 秒钟内,连自动猜测密码 程式也没用就猜到了。 同学们对 Linux 的基本知识都了如指掌,更知道如何处理和使用它。还好这目标伺服器和我 们在同一个房间,将它恢复到先前的状态也就很容易:但是在短短的几分钟入侵时间内它就 惨遭破坏。 到目前为止,这些日志档或多或少告诉了我们一些事件的来龙去脉。而其他的 Linux 指令则 告诉我们,目前有哪些程式正在伺服器上执行着,包括一些骇客的工具。但是执行了 Knark 之後,电脑就无法告诉我们所发生的任何事项了。要获得一个电脑系统管理员的密码-其实 并非经常都那麽困难-你可以安装这些恶意的骇客相关程式。它可以非常彻底地隐藏所发生 的任何事件。事实上,真的非常彻底,你不得不使伺服器离线,并深入到电脑内部去一探究 竟。但我们却没有这麽做。 第三及第四天 我们今天继续讨论应对策略-「当你的电脑遭到攻击时应该保护什麽,如何保护它」之类- 这是电脑管理员与骇客在法庭上较量时所必备的基本证据。 我们也学习到了很多有关骇客们隐藏行踪的方法,他们甚至可以将目录名称隐藏,连系统管 理员下达显示档案的指令时,都无法显示。 但是这一次我们并非只是纸上谈兵,遭殃的是我们自己的笔记型电脑。我们的讲师 Will Ch an 老师将课堂上一半的电脑硬碟换成被骇客入侵的硬碟,然後叫我们去看到底发生了什麽事 。 我的搭档对 Linux 似乎已经有点生疏了,所以当他操作电脑的时候,我便负责记笔记。看起 来好像有个 Hansolo 在电脑要求它输入使用者名称和密码的时候,透过向这台 PC 灌入大量 资讯的方式来突破我们的防线。实际上,他先源源不断地向系统传送一些无意义的东西,然 後再向它发灌入大量资讯,使它无法执行。 这个安全漏洞被称为缓冲区溢出(buffer overflow),攻击这个漏洞十分奏效。程式设计师 们刚刚修补了这个特别的漏洞,但是我们正在使用的作业系统却有很多地方没有更新过这样 的安全漏洞。 Hansolo 潜入了电脑,取得了一些进入系统的密码,然後使用另一个使用者的帐号。之後, 他下载了一些叫做「deathstar」的程式。看起来他是使用这个工具来攻击我们的电脑,他传 输了一些档案,这一切仅在几分钟内完成。 他获得了些什麽呢?这个程式将对我们的电脑又有何影响?谁也不知道。他就像其他骇客高 手一样,牢牢地控制住这部电脑:在入侵的过程中,任何电脑所可能促成的错误讯息均被立 即删除。我们找不到太多的证据,而且他也将电脑日志档删除的乾乾净净。我们无法得知他 在入侵电脑後都做了些什麽。就我们所了解,这情况在这个领域而言,也并不是甚麽了不起 的事。 下午和翌日早上的学习内容大致相同,但是这次我们追踪了针对在 Windows NT 系统上的攻 击事件,而不是 Linux 系统。 我们看到网站代管公司如何让骇客轻易入侵,因为它们让使用者在主页上使用 Microsoft 的 脚本语言。同样的,我们也见识到了骇客们可以利用来攻击伺服器的许多非 Windows 脚本程 式。 Windows 的工具名称与众不同,我们看到日志档有其他的名称,Windows 整体的安全系统不 如其它作业系统,但是它们有一个共同之处:我们的基础架构到处都是安全漏洞,略懂技术 的人都可以侵入我们的电脑。至於它们能造成多大的损失,主要还是看你花上多少时间和资 源将骇客们拒於千里之外。 後记 讽刺的是, 我们的老师花了这麽多力气在原本应该是自动作业的流程上。 在这四天当中,我们从严苛但乐於助人的 Keith Jones 讲师身上学到了很多有用且宝贵的知 识。他很愿意和我谈话,但是却又常常欲言又止。他说,他对这个行业有些毛骨悚然的感觉 。要教人做好事,你必须先教他们如何做邪恶的坏事。 怪不得这些家伙那麽的喜欢星球大战。 |
|
|