黑客组织Anonymous组织采用了一系列简单的技术方法和社会工程学来攻击安全技术公司HBGary Federal公司的网络,这其中涵盖的很多网络技术问题都值得其他网络安全专家借鉴。
最重要的教训就是:认真遵循企业防御基本的最佳做法。另外还可以从HBGary Federal被攻击事故中学到其他很多教训。
在传出HBGary Federal公司的首席执行官Aaron Barr掌握这个秘密国际组织的成员资料,并已经开始致力于揭露他们的身份进入与联邦调查局的调查合作的阶段,这随即激怒了Anonymous组织,他们开始锁定HBGary Federal公司进行攻击。Anonymous组织曾针对撤销提供维基解密服务的业者展开攻击。
HBGary Federal公司遭受了成千上万封公司电子邮件被公诸于众以及网站和首席执行官的Twitter页面被丑化的打击,并且其公司名誉受到严重影响。
以下是避免Anonymous攻击的七个方法:
1.不要假设你将受到的攻击类型。Barr认为Anonymous只是对该公司的网站发动了DdoS攻击,正如该组织对攻击其他公司的攻击方法一样,然而事实却并非如此。
2. 使用测试过的并且具有更新、补丁修复和支持的内容管理体系。HBGary Federal公司为其网站使用的是自定义CMS,而这种体系很容易受到SQL注入攻击,这也是让Anonymous成功访问HBGary Federal数据库使用的伎俩。
3.对存储在数据库中的密码进行完全的hash或者rehash(重新创建hash机制使用的内部表格)。HBGary公司确实对其密码进行了hash操作,但是他们没有增加额外的字符(被用来移除以显示真正的密码),也没有rehash已经散列的密码来增加复杂性来破解散列中的密码。这些密码仍将容易受到暴力攻击,不过攻击者将需要花费更长的时间。
4.使用高强度密码。使用了计算机键盘上各种类型字符的长密码将更难被攻破,因为这样的话彩虹表(彩虹表就是一个庞大的、针对各种可能的字母组合预先计算好的哈希值的集合,不一定是针对MD5算法的,各种算法的都有,有了它可以快速的破解各类密码)密码攻破工具将很难成功攻破密码。如果密码是由长串字符和计算机键盘上所有类型的符号(不只是字母和数字)组成的话,密码哈希将会变得非常复杂,很难对这种密码创建彩虹表。然而HBGary公司的管理人员使用的是简单的八位字符密码,两个数字和六个字母,彩虹表很快就能破解这种密码。
5. 不要重复使用的密码,有些HBGary公司管理人员使用相同的密码来访问公司的CRM系统和他们的网络电子邮件,甚至还有Twitter,SSH验证和企业存储服务器。攻击者破解的密码之一就是该公司电子邮件管理员的谷歌账户,由于他为多个账户使用相同密码,这最终导致该公司的所有电子邮件被攻破。
6.保持系统更新,HBGary公司关键服务器存在一个已知的关于特权升降级的漏洞,而修复补丁也已经发布,Anonymous利用了这个漏洞。
7.提高用户对于社会工程学的意识。Anonymous从HBGary公司创始人Greg Hoglund被攻破的账户向网络管理员发送电子邮件,要求他提供机密信息,就像Hoglund本人在询问一样。在回复邮件中,管理员打开防火墙端口,提供了Hoglund的服务器(该公司的rootkit.com网站的服务器)用户名和密码。
【编辑推荐】