论文部分内容阅读
许多人对于自己的数据和网络目前有一种虚假的安全感:在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁程序……似乎可以松口气了,但果真如此吗?
以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全。
误解一:加密确保了数据得到保护
对数据进行加密是保护数据的一个重要环节,但不是绝无差错的。Jon Orbeton是开发ZoneAlarm防火墙软件的Zone Labs的高级安全研究员,他支持加密技术,不过警告说:如今黑客采用的嗅探器可是越来越完善,能够截获SSL和SSL交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻这些漏洞的空子。Orbeton说:“黑客在想方设法避开安全机制。”
误解二:防火墙会让系统固若金汤
SteveThornburg是开发半导体联网解决方案的Mindspeed科技公司的工程师,他说:“许多人说:‘我们装有防火墙。’但防火墙功能再好,经过它们的IP数据痕迹照样能够被读取。”黑客只要跟踪内含系统网络地址的IP痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息钻网络漏洞的空子。
如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。
Thornburg说,问题在于,愿意投入财力和人力来保持安全的公司寥寥无几。他说:“它们知道这么做不会受欢迎,因为这会降低工作效率。成本是主要的问题,因为这些公司都关注成本底线。”
误解三:黑客不理睬老的软件
一些人认为,如果运行老的系统,就不会成为黑客的攻击目标,因为黑客只盯住使用较为广泛的软件,而这些软件的版本要比我们自己正在用的来得新。
事实并非如此,Johannes Ullrich说。他是安全分析和预警服务机构——SANS因特网风暴中心的首席技术官,这家机构负责发布有关安全漏洞和错误的警告。他提醒,对黑客来说,最近没有更新或者没有打上补丁的Web服务器是一个常见的攻击点。“许多旧版本的Apache和IIS(因特网信息服务器)会遭到缓冲器溢出攻击。”
如果存储空间处理不了太多信息,就会出现溢出,从而会发生缓冲器溢出问题。额外信息总会溢出到某个地方,这样黑客就可以利用系统的漏洞,让额外信息进入本不该进入的地方。虽然微软和Apache.org在几年前都发布了解决缓冲器溢出问题的补丁,但还有许多旧系统没打上补丁。
误解四:Mac机很安全
许多人还认为,自己的Mac系统跟老系统一样,也不容易遭到黑客的攻击。但是,许多Mac机运行微软Office等Windows程序,或者与Windows机器联网。这样一来,Mac机同样难免遇到Windows用户面临的漏洞。正如安全专家Cigital公司的CTO Gary McGraw所说:出现针对Win32和OS X的跨平台病毒“只是迟早的事”。
Mac OS X环境也容易受到攻击,即便不是在运行Windows软件。赛门铁克公司最近发布的一份报告发现,2004年查明Mac OS X存在37种漏洞。该公司警告,这类漏洞可能会日渐成为黑客的目标,特别是因为Mac系统开始日渐流行。譬如在2004年10月,黑客编写了名为Opener的一款脚本病毒。该脚本可以让Mac OS X防火墙失效、获取个人信息和口令、开后门以便可以远程控制Mac机,此外还可能会删除数据。
误解五:安全工具和软件补丁让每个人更安全
有些工具可以让黑客对微软通过其Windows Update服务发布的补丁进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化,黑客就能摸清补丁是如何解决某个漏洞的,然后查明怎样利用补丁。
Marty Lindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人,他说:“如今开发的新工具都围绕同一个基本主题:扫描寻找漏洞。对因特网进行扫描,详细列出易受攻击的机器。所开发的工具假定每台机器都容易遭到某个漏洞的攻击,然后只需运行工具就是了。每个系统都有漏洞;没有什么是百分之百安全的。”
黑客普遍使用的工具当中就有Google,它能够搜索并找到诸多网站的漏洞,比如默认状态下的服务器登录页面。有人利用Google寻找不安全的网络摄像头、网络漏洞评估报告、口令、信用卡账户及其他敏感信息。Santy蠕虫和MyDoom的新变种最近就利用了Google的黑客功能(Google hacking)。甚至已经开始涌现出了Johnny.IHackStuff.com这样的网站,它们提供链接到介绍越来越多的Google黑客手法的地方。
今年早些时候,McAfee公司发布了SiteDigger 2.0工具的更新版,它有一些新特性,比如可以查明某个站点是不是容易受到Google黑客攻击。虽然这款工具的目的是供管理员测试各自的网络,但黑客也有可能利用该软件寻找任何站点存在的漏洞。
误解六:只要企业网络的安全没有被突破,黑客就奈何不了你
有些IT部门拼命防护企业网络,却不料因为用户把公司的便携式电脑接到家里或者Wi-Fi热点地区等未受保护的网络连接,结果企业网安全遭到危及。黑客甚至可以在热点地区附近未授权的Wi-Fi接入点,诱骗用户登录到网络。一旦恶意用户控制了某台计算机,就可以植入击键记录程序,窃取企业VPN软件的口令,然后利用窃取的口令随意访问网络。
有时候,单单恐吓要搞破坏也会迫使公司就范,黑客甚至扬言要破坏网站、删除重要文件,或者把幼儿色情图片放到公司计算机上,从而对受害者进行敲诈。这已有过先例,据说,因黑客扬言要发动拒绝服务攻击敲诈钱财,英国有许多网上赌博站点一直在出钱消灾。
误解七:如果你为安全公司工作,数据就安然无恙
连据认为最安全的组织也有可能发现自己容易受到黑客的攻击。位于弗吉尼亚州费尔法克斯的乔治梅森大学是安全信息系统中心的所在地,向来不乏安全专家。但这个工作场所最近发现,黑客攻击了这所大学的主ID服务器、往服务器中安装了搜寻其他大学的系统的工具后,32000多名学生和教职员工的姓名、社会保障号码以及照片在黑客面前暴露无遗。黑客可能通过没有防火墙保护的计算机潜入进来,然后植入了扫描工具,寻找闯入其他系统的口令。
这家大学立即采取了对策,关闭了服务器中的部分系统,用不同的ID号取代了学生们的社会保障号码,防范身份失窃。校方还在允许计算机连接到其网络之前,先使用软件进行扫描;建立较小的子网,隔离存放有敏感数据的计算机;更加密切地监控整个网络的活动。
连一些国家的国防部门也不能幸免。它们只好不断部署新软件以防范新出现的漏洞,并且坚持采用经过实践证明可靠的安全方法。比如说,加拿大国防部就使用Vanguard Integrity Professionals公司的Vanguard Security Solutions 5.3,保护所用的IBM eServer zSeries大型机。这款软件包括采用双令牌的用户验证机制,可以同IBM用于z/OS的资源访问控制工具(RACF)配合使用。
加拿大国防部的RACF中心管理员George Mitchell说,他总是保持高度警惕,以防未授权用户获得访问系统的机会。除了使用监控工具外,他还要运用常识:“我会让某人打电话告诉大致情况。如果某人想更改口令,我会问几个问题,通过加密的电子邮件对该人进行答复。”
归根结底是需要始终保持谨慎。前不久,社会名流帕丽斯希尔顿(Paris Hilton)储存在T-Mobile Sidekick手机的资料被黑客公布到网上;ChoicePoint和LexisNexis两家公司为顾客保存的机密的信用信号被人窃取。这些事件表明,黑客采用的伎俩越来越五花八门。黑客在利用不断增多的漏洞时,手法越来越新奇,所以我们的任务就是随时关注最新工具和技巧,采取相应的措施自我保护。
一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an,这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”来删掉这个用户吧!
以下是有关安全的七大误解,不妨看看你的数据是否有你想象中的那么安全。
误解一:加密确保了数据得到保护
对数据进行加密是保护数据的一个重要环节,但不是绝无差错的。Jon Orbeton是开发ZoneAlarm防火墙软件的Zone Labs的高级安全研究员,他支持加密技术,不过警告说:如今黑客采用的嗅探器可是越来越完善,能够截获SSL和SSL交易信号,窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取,但加密标准却存在着几个漏洞。黑客只要拥有适当工具,就能够钻这些漏洞的空子。Orbeton说:“黑客在想方设法避开安全机制。”
误解二:防火墙会让系统固若金汤
SteveThornburg是开发半导体联网解决方案的Mindspeed科技公司的工程师,他说:“许多人说:‘我们装有防火墙。’但防火墙功能再好,经过它们的IP数据痕迹照样能够被读取。”黑客只要跟踪内含系统网络地址的IP痕迹,就能了解服务器及与它们相连的计算机的详细信息,然后利用这些信息钻网络漏洞的空子。
如此看来,仅有防火墙和加密显然不够。网络管理员不仅要确保自己运行的软件版本最新、最安全,还要时时关注操作系统的漏洞报告,时时密切关注网络,寻找可疑活动的迹象。此外,他们还要对使用网络的最终用户给出明确的指导,劝他们不要安装没有经过测试的新软件,打开电子邮件的可执行附件,访问文件共享站点、运行对等软件,配置自己的远程访问程序和不安全的无线接入点,等等。
Thornburg说,问题在于,愿意投入财力和人力来保持安全的公司寥寥无几。他说:“它们知道这么做不会受欢迎,因为这会降低工作效率。成本是主要的问题,因为这些公司都关注成本底线。”
误解三:黑客不理睬老的软件
一些人认为,如果运行老的系统,就不会成为黑客的攻击目标,因为黑客只盯住使用较为广泛的软件,而这些软件的版本要比我们自己正在用的来得新。
事实并非如此,Johannes Ullrich说。他是安全分析和预警服务机构——SANS因特网风暴中心的首席技术官,这家机构负责发布有关安全漏洞和错误的警告。他提醒,对黑客来说,最近没有更新或者没有打上补丁的Web服务器是一个常见的攻击点。“许多旧版本的Apache和IIS(因特网信息服务器)会遭到缓冲器溢出攻击。”
如果存储空间处理不了太多信息,就会出现溢出,从而会发生缓冲器溢出问题。额外信息总会溢出到某个地方,这样黑客就可以利用系统的漏洞,让额外信息进入本不该进入的地方。虽然微软和Apache.org在几年前都发布了解决缓冲器溢出问题的补丁,但还有许多旧系统没打上补丁。
误解四:Mac机很安全
许多人还认为,自己的Mac系统跟老系统一样,也不容易遭到黑客的攻击。但是,许多Mac机运行微软Office等Windows程序,或者与Windows机器联网。这样一来,Mac机同样难免遇到Windows用户面临的漏洞。正如安全专家Cigital公司的CTO Gary McGraw所说:出现针对Win32和OS X的跨平台病毒“只是迟早的事”。
Mac OS X环境也容易受到攻击,即便不是在运行Windows软件。赛门铁克公司最近发布的一份报告发现,2004年查明Mac OS X存在37种漏洞。该公司警告,这类漏洞可能会日渐成为黑客的目标,特别是因为Mac系统开始日渐流行。譬如在2004年10月,黑客编写了名为Opener的一款脚本病毒。该脚本可以让Mac OS X防火墙失效、获取个人信息和口令、开后门以便可以远程控制Mac机,此外还可能会删除数据。
误解五:安全工具和软件补丁让每个人更安全
有些工具可以让黑客对微软通过其Windows Update服务发布的补丁进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化,黑客就能摸清补丁是如何解决某个漏洞的,然后查明怎样利用补丁。
Marty Lindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人,他说:“如今开发的新工具都围绕同一个基本主题:扫描寻找漏洞。对因特网进行扫描,详细列出易受攻击的机器。所开发的工具假定每台机器都容易遭到某个漏洞的攻击,然后只需运行工具就是了。每个系统都有漏洞;没有什么是百分之百安全的。”
黑客普遍使用的工具当中就有Google,它能够搜索并找到诸多网站的漏洞,比如默认状态下的服务器登录页面。有人利用Google寻找不安全的网络摄像头、网络漏洞评估报告、口令、信用卡账户及其他敏感信息。Santy蠕虫和MyDoom的新变种最近就利用了Google的黑客功能(Google hacking)。甚至已经开始涌现出了Johnny.IHackStuff.com这样的网站,它们提供链接到介绍越来越多的Google黑客手法的地方。
今年早些时候,McAfee公司发布了SiteDigger 2.0工具的更新版,它有一些新特性,比如可以查明某个站点是不是容易受到Google黑客攻击。虽然这款工具的目的是供管理员测试各自的网络,但黑客也有可能利用该软件寻找任何站点存在的漏洞。
误解六:只要企业网络的安全没有被突破,黑客就奈何不了你
有些IT部门拼命防护企业网络,却不料因为用户把公司的便携式电脑接到家里或者Wi-Fi热点地区等未受保护的网络连接,结果企业网安全遭到危及。黑客甚至可以在热点地区附近未授权的Wi-Fi接入点,诱骗用户登录到网络。一旦恶意用户控制了某台计算机,就可以植入击键记录程序,窃取企业VPN软件的口令,然后利用窃取的口令随意访问网络。
有时候,单单恐吓要搞破坏也会迫使公司就范,黑客甚至扬言要破坏网站、删除重要文件,或者把幼儿色情图片放到公司计算机上,从而对受害者进行敲诈。这已有过先例,据说,因黑客扬言要发动拒绝服务攻击敲诈钱财,英国有许多网上赌博站点一直在出钱消灾。
误解七:如果你为安全公司工作,数据就安然无恙
连据认为最安全的组织也有可能发现自己容易受到黑客的攻击。位于弗吉尼亚州费尔法克斯的乔治梅森大学是安全信息系统中心的所在地,向来不乏安全专家。但这个工作场所最近发现,黑客攻击了这所大学的主ID服务器、往服务器中安装了搜寻其他大学的系统的工具后,32000多名学生和教职员工的姓名、社会保障号码以及照片在黑客面前暴露无遗。黑客可能通过没有防火墙保护的计算机潜入进来,然后植入了扫描工具,寻找闯入其他系统的口令。
这家大学立即采取了对策,关闭了服务器中的部分系统,用不同的ID号取代了学生们的社会保障号码,防范身份失窃。校方还在允许计算机连接到其网络之前,先使用软件进行扫描;建立较小的子网,隔离存放有敏感数据的计算机;更加密切地监控整个网络的活动。
连一些国家的国防部门也不能幸免。它们只好不断部署新软件以防范新出现的漏洞,并且坚持采用经过实践证明可靠的安全方法。比如说,加拿大国防部就使用Vanguard Integrity Professionals公司的Vanguard Security Solutions 5.3,保护所用的IBM eServer zSeries大型机。这款软件包括采用双令牌的用户验证机制,可以同IBM用于z/OS的资源访问控制工具(RACF)配合使用。
加拿大国防部的RACF中心管理员George Mitchell说,他总是保持高度警惕,以防未授权用户获得访问系统的机会。除了使用监控工具外,他还要运用常识:“我会让某人打电话告诉大致情况。如果某人想更改口令,我会问几个问题,通过加密的电子邮件对该人进行答复。”
归根结底是需要始终保持谨慎。前不久,社会名流帕丽斯希尔顿(Paris Hilton)储存在T-Mobile Sidekick手机的资料被黑客公布到网上;ChoicePoint和LexisNexis两家公司为顾客保存的机密的信用信号被人窃取。这些事件表明,黑客采用的伎俩越来越五花八门。黑客在利用不断增多的漏洞时,手法越来越新奇,所以我们的任务就是随时关注最新工具和技巧,采取相应的措施自我保护。
一些基本的命令往往可以在保护网络安全上起到很大的作用,下面几条命令的作用就非常突出。
检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。具体的命令格式是:netstat -an,这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。但是别急,可以通过“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。方法就是直接输入“net start”来查看服务,再用“net stop server”来禁止服务。
轻松检查账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net user+用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。快使用“net user 用户名/del”来删掉这个用户吧!