黑客不仅会使用特洛伊木马、利用操作系统或应用程序漏洞,以及进行网络嗅探和中间人(Man-in-the-Middle)但是可以使用的攻击手段远远不止这些。而且,计算机信息系统的安全防范工作应当全面详细地考虑,这种一头重一头轻的安全防范方式无论做得多么牢固,黑客还是有其它攻击机会可寻。
1、盗取密码
密码被盗取问题每年都被不断地提起,但是,就是没有多少人能吸取这些教训,以及采取实际的行动来解决这个问题。从这里可以看出,同样的安全问题之所以年年都在发生,有时并不是用户不了解,而是用户不愿意按解决它的要求去做。
现在的计算机应用当中有许多方面都在使用密码提供身份认证,但如果我们所处的网络环境中仅仅使用密码来进行身份认证,由于密码可以被盗取、猜解和暴力破解等方式被黑客获取,那么,这种方式可能带来的入侵和黑客攻击风险要比多身份验证方式要大得多。
实际上,密码只是人们通过键盘输入的一串字符串,我们必需牢记自己设置好的这个密码字串,以便在需要的时候能正确输入。通常,为了安全,要求设置的密码有足够的长度,例如最小8位;足够的复杂程度,例如其中应当包括大小写字母,数字,可使用的特殊符号等。
可是,要产生一个具有足够安全性的密码并不困难,难就难在仅凭头脑来记住这个复杂的密码,尤其长度超过16个字符的密码时,就显得相当困难。更不要说在应用计算机的过程中有许多方面都需要设置密码,如果每个密码都不相同,并且都满足密码复杂性要求,那么,要一个人同时记住这么多的密码就更加困难了。因而就有很多用户为了减轻记忆各种不同复杂程度密码的负担,就在许多方面使用一个相同的密码。但用户忘记了密码可以被黑客通过字典猜测或暴力破解的方式盗取,这样一来,一旦这个密码被黑客盗取,那么所有使用此密码的服务将没有任何安全可言。
不幸的是,人们对在使用密码过程中存在的这些问题似乎视而不见,目前,一些用户还存在下列所示的这些错误使用密码的行为,这些行为就是导致密码被黑客轻易盗取的主要原因。
这些导致密码被黑客盗取的主要原因有:
(1)将同一个密码应用到操作系统登录、应用程序访问,以及网络访问和数据库访问等各个方面,这使得只需要盗取一个密码就可以获取此用户所有的使用此密码的服务权限。
(2)用户知道需要设置一个相当复杂的密码,但是为了防止自己在过一段时间后也不记得,就随手将这些设置的密码记录在纸上,然后将这张记录有所有密码的纸片贴在办公桌对面的墙上或显示器的边框上,或者压在办公桌的玻璃下,以方便自己随时可以看到和使用。这样是防止了自己忘记密码和方便了密码的使用,但同时也方便了黑客,黑客只需要想法进入用户的办公场所,然后不需要任何方法就可以轻易攻取这些用户的所有密码。
有些用户对密码的安全性要重视一些,但也仅限于将密码记录到一个笔记本、U盘或其它可移动媒介中,并将这些记录有密码的介质随身携带或锁住保管。但如果这些记录密码的介质丢失或忘了上锁,那么密码同样可以被黑客盗取。
(3)使用一些不安全的网络通信方式,例如通过FTP、没有加密的E-Mail或即时聊天工具来发送含有密码的数据包时,由于这些网络通信会以明文的方式发送数据,如果黑客使用网络嗅探器就可以截取这些网络通信数据包,然后就可以轻松地从中得到密码。
(4)导致密码丢失的另一个问题就是用户计算机中感染了盗取密码为主的键盘记录器木马程序,以及以获取软键盘输入数据的屏幕监控或录像软件。
(5)另外,当在一些安装有视频监控的场所使用计算机时,一旦黑客可以控制这些摄像头,或者恰巧监视这些视频监控设备的工作人员中存在图谋不轨者,那么他们就可以通过摄像头来观看用户在输入密码时按了那些键,然后就可以通过用户击键识别出密码字符,这种盗取密码的方式我们应当在电影镜头中经常见到。
从上面列出的造成密码被盗取的问题可以得知,要减少这个问题带来的安全风险,最佳的解决方式就是使用复合身份认证,在各种需要密码的场合使用不同的密码,并且培训员工安全使用密码的习惯,以及使用安全的网络通信方式,如SSL、VPN或OPENSSH等来进行网络连接,并规范用户的网络操作行为,减少计算机系统中感染木马的机率等。
2、踩点
黑客为了能了解攻击目标使用的安全屏障而进行的侦察和收集信息的具体过程。简而言之,它是指黑客集中力量重点调查我们所在网络的公共或非公共资源,收集尽可能多的信息并分析,以便能找到可以实施哪种具体攻击方式的突破口的一个持续的过程。由于黑客的这个收集攻击目标信息的过程与我们平常的学习研究很相像,因此形像地称它为做功课。
我们都知道战争中要知己知彼才能百战不殆,黑客们同样也知道这个道理。通常,黑客要对某个具体的目标进行攻击,他们往往会花费90%的时间来研究目标网络,黑客们获取攻击目标的信息越详细,攻击的就越容易,攻击的成功率也就越高。因此,黑客在攻击某个目标网络之前,会花费大量的时间来研究和收集与目标网络相关的各种重要信息,以便能获得一个完整的可攻击的方案。
现在,黑客往往能够轻而易举地获得目标网络中他们想要得到的任何信息,这又是为什么呢?
最大的问题就在于现在大部分的企业对各种数据是否可以公开和不公开仍然不是很清楚,他们轻易地将一些与企业相关的重要信息有意或无意地公布到外界当中,通过这些企业免费提供的信息,黑客们通常只需要做很少的功课,就可以在几分钟之内对企业的组织结构和运作方式有一个全面的了解。这就给黑客进行社会工程攻击或物理攻击方式提供了重要的信息基础。
但是,许多企业仍然没有重视对企业内部可对外公布数据的控制,下面就是一些企业轻易泄漏企业内部重要信息的几种主要行为:
(1)一些企业会将高层领导和重要员工的电话号码等联系方式记录到某个通信录中,然后发放到每人部门,其目的是为了方便员工与上级联系。但通常这些通信录没有被严密保管,而是随意放在了可以被每个员工随手拿到的地方,有的甚至允许被员工带回家中。这样,黑客只需要随便假冒一个身份,例如送外卖,就有可能随手拿走一本员工通信录,黑客也就轻易获取企业内部组织结构和联系方式。
(2)企业在注册WEB域名时,将企业的公司名称、所处位置、技术管理员的联系电话,企业的传真号码等真实信息放到了域名注册服务机构,这样,当黑客使用企业域名查询时,就可以轻易地得到企业留下的这些重要信息。
(3)一些企业有时会每月或每周印制一份企业内部刊物,来传达企业的经营理论,为企业内部营造一个良好的企业文化环境。在这些内部刊物中有时会刊载一些与企业经营相关的重要信息,但这些企业内部刊物的发行却没有被严格控制,不仅内部员工随意将这些承载有企业重要信息的刊物随意丢放,而且有时会无意流通到企业外部,这也就给黑客多了一个了解企业内部信息的重要途径。
(4)一个企业的运作总会与其它的企业或机构进行接触,有时还会在其它机构中留下一些与企业相关的信息。一些企业有时太过随意,在各种第三方机构中留下太多与企业相关的重要信息。但这些第三方机构不可能100%地保证企业留下的这些数据的安全,这也就使得黑客可以通过这些机构间接获得与企业相关的数据。
(5)每个企业都有一个记录有雇员家庭地址、家庭联系电话,工作经历,家庭背景等信息的员工花名册,而一些企业有时却无意地将这些信息放到了互联网中,以至于黑客只需要使用搜索引擎就可以轻松地得到这些信息。
(6)一些企业内部的物理防范工作做的不到位,有的企业甚至没有物理防范措施,这就给黑客有机会通过物理接触的方式获取需要的信息。
(7)企业对员工的网络操作系统没有严格控制,使用一些员工意外地将企业的重要信息放到了网络上,例如博客或论坛中。
(8)企业员工对企业或企业中某个领导不满,或离职的员工有意泄漏公司内部信息到网络中。
以上这个列表中描述的内容只说明了企业存在的一小部分问题,一些企业有时会泄漏出更多的信息,以至于黑客不需要进行进一步的攻击就可以得到他想要的信息。对于被攻击的对象而言,如果将与企业相关的重要信息过多地公布在各种公共场合,那么,当发现攻击事件时就为时以晚,面临的将是损失的大小问题。
要解决这个问题,企业应当严格控制可以向外公布的信息,规范员工的网络操作和其它工作行为,制定处罚制度。并可以要求一些会保留企业重要信息的第三方机构,例如工商行政管理部门、域名注册机构及网络设备供应商等修改一些与企业相关的机密信息。企业应当严密控制各种会向外公布的信息,例如新闻稿、通知,产品发布会及电子邮件等方式。尽量减少一些重要信息出现在互联网上。只有这样做,才不会给黑客留下太多的有用信息,这也就会提高企业的安全级别。
但是,这种能保护企业网络安全的方法却不被人们所重视。人们往往将安全防范的目光只专注于黑客进行的剩下的10%的攻击方面,而能防止黑客产生这剩下的百分之十攻击的安全方法却无人关注。这也是为什么企业花费了大量的资金放到购买安全防范设备上,却依然不断被攻击的主要原因所在。
3、利用缺省设置
当一个黑客攻击某个目标网络时,发现目标网络使用的安全设备或网络设备都是以供应商或厂商设定的缺省值在使用时,没有什么攻击会比遇到这种情况更简单的了。现在,有许多攻击工具和利用脚本最先的攻击方式都是假设被攻击目标是以缺省配置方式工作来进行的。因此,一个最有效的但常常被人们遗忘的安全防范措施仅仅只需要修改设备的默认设置。
如果我们在互联网搜索引擎中以“缺省密码”或“default password”作为关键字来进行搜索,不一会儿,我们就会看到许多网站提供许多安全设备、网络设备、数据库及其它应用程序的缺省值列表。黑客只要了解攻击目标使用的网络设备是什么类型,如果恰巧攻击目标的用户没能修改这些网络设备的缺省值,那么,通过搜索到的缺省值就可以轻松侵入目标网络或系统。而要解决这个问题,只需要用户多一点责任心,在开始使用某个软件或硬件时,先将其默认的缺省值进行相应的修改就可以达到防范此种黑客攻击的目的。
但是,需要修改的默认值并不仅仅只是缺省的用户名和密码,还应当包括软件默认安全路径、安装文件夹的名称、组件、服务、配置和设置等。每一个可以被用户自己定制的设置项都应该被检测和定制,尽量避免将软件按软件厂商设置的默认安装路径方式安装到指定的位置。一些特别重要的软件在安装时要自己定制其安装文件夹的名称,最好修改一个与原来名称完全不同的文件夹名称。这样就能防止黑客按软件或硬件默认安装或配置来攻击目标网络或系统。
4、社会工程学攻击
现在,绝大多数的企业或个人网络用户都会使用一些安全防范措施,例如防火墙、IDS/IPS,以及恶意软件监控软件来保护网络和计算机系统的安全,这些安全防范措施让黑客的攻击变得越来越困难。
但是,黑客们也正在改变他们的攻击方式,他们已经越来越趋向于使用社会工程学攻击方式来攻击相应的目标。但是,我国现在大部分的网络用户对于社会学工程攻击更本没有多少了解,更谈不上如何防范,也一直没有被一些企业或机构所重视。
社会工程学攻击的方式就是利用企业中最最薄弱的环节,就是企业内部的员工来进行攻击。无论什么时候,人的因素总是安全防范过程中最弱的环节。这是因为人是唯一可以主动违反安全规则的安全因素,由于人存在各种各样的弱点,例如可以被威胁、欺骗,利诱或强迫,以及人本身的好奇心、性格和行为习惯等因素都有可能被黑客利用,然后让他违反企业内部的安全规则,从而使黑客可以达到其攻击目的。
社会工程学攻击这种利用人类的某些本性来成功绕过各种现代安全防范技术拦截的攻击方式,由于这种方式的攻击对象是人,这是任何现代安全防范技术都不能完全防止的。
因此,要想解决社会工程学攻击带来的安全风险,除了培训用户了解社会工程学攻击的各种方式,以及掌握遇到这种情况时如何进行处理之外,别无它法。而且,要让企业中的每个员工都认为自己是企业当中重要的一员,都有可能成为社会工程学攻击的目标,这样能减少由于个别员工对自身的重要程度认识不够而带来的安全风险。但是,很不幸的是,现在有许多企业的员工认为自己在企业中的地位不高,不可能成为黑客实施社会工程学攻击的目标,可事实却是这些员工将首先成为黑客实施社会工程学攻击的目标。这是因为这类员自我保护和防范能力较低,更加易于欺骗和利诱。因此,企业在培训每个员工的反社会工程学攻击的同时,还应当增强每个员工的企业荣誉感。
最好的培训方式就是通过向员工展示每一种社会工程学攻击方式,然后通过模拟演练的方式来让员工加深印像,并形成一种反社会工程学攻击的行为习惯,这样才能有效减少社会工程学攻击给企业带来的风险。
5、来自企业内部的黑客攻击
现在,许多企业仍然将所有的安全防范重点放到了如何防止外部黑客的攻击之上,但实际证明,真正最严重的黑客攻击事件都是来自企业内部。这是由于外部黑客一般没有任何访问企业内部网络的权限,也不可能轻易就能接触到企业网络中的各类设备,而且企业通常都使用了相应的安全防范措施来防止这种方式的黑客攻击。
但是,一个企业内部员工要想实施某种黑客攻击行为就要比外部黑客攻击来得轻松得多。这是由于企业内部员工都有某种使用企业网络资源的权限,他可以直接利用这种权限做他任何想做的事情。
对于企业内部黑客攻击来说,也存在两种不同的方式:一种方式就是企业内部员工在利益的驱使之下,或者为了报复自己在企业中的不公平待遇(通常是员工与某个部门或企业领导意见不和,或都认为自己的薪资待遇不公平等原因所致)而发起的黑客攻击行为。也有可能是与外部黑客共同合作,来个里应外合的攻击;另一种方式就是黑客为了能得到某个企业中的重要信息,在由外向内攻击的方式不成功的前提下,他也可能利用此企业招工的机会成为该企业的员工,然后再利用获得的企业内部员工权限来实施下一步的攻击活动。这一幕与电影无间道中的安插在警察队伍中的黑社会卧底一样,只有要机会就会发动攻击。
当企业内部员工想从企业网络内部发动攻击行为时,一些传统的安全防范措施,例如防火墙是不可能阻止这些来自企业内部的网络攻击行为的。因此,要想防范这种黑客攻击行为,就必需在企业内部部署内网安全防御措施,这些内部安全防御措施包括在企业网关处安装网络行为监控设备,实施企业权限管理,严格控制企业内部每个员工的操作和访问权限,严格限制企业内部员在使用的计算机中安装软件,发送私人电子邮件,将与企业相关的信息发布到互联网上的论坛、个人博客当中。严格控制可移动存取设备的使用,以及无线访问终端的接入权限,对这些设备进行严格的审计和日志记录,了解每个设备的使用情况和数据的流向。在网关及内部重要位置安装基于主机和网络的混合型入侵检测防御系统,以及安装其它网络监控软件和内容过程装置来防范来自内部的非法操作,并且要加强员工的招聘和离职管理,在企业的主要出入口及重要设备位置安装物理防范设备,例如指纹锁和摄像头,防止内部员工通过物理方式接触无授权使用的设备等等。
在本文中例出的这些黑客攻击手段,都是一最基本的攻击手段,但都是一些被人们经常忽视的黑客攻击手段。通过对这些黑客攻击手段的了解,我们应当知道安全防范无大小,任何一个小小的疏忽都有可能带来严重的黑客攻击事件。