作者简介:Derek Manky先生现为Fortinet公司驻加拿大安全研究工程师。
Manky先生是FortiGuard全球安全研究团队的重要成员,他通过安全研发提供主动的威胁缓解方案。Manky先生运用他的研发经验和在恶意软件方面的知识,设计并实施了多种安全工具和自动化系统,通过对恶意软件的趋势及方式进行有力的检测,发布全球预警以及提供重要信息来确保客户安全。他是公司月度病毒报告的主要内容提供者,也是Fortinet公司研究评论委员会的成员。
Manky先生曾在加拿大最著名的理工院校—英属哥伦比亚理工学院学习计算机系统技术,专攻数据通信。
Derek Manky先生(A handsome man)
*************************************************
【赛迪网-IT技术独家】一个月前,美司法部起诉了11名涉嫌非法闯入美国9大零售商电脑系统、并偷盗贩卖4100万个信用卡和提款卡号的网络黑客,其中一人为美国密情局特工。 这是美国司法部处理过的最大一起黑客入侵、身份盗窃案件。
近期,笔者联系了著名安全研究专家Derek Manky先生,就此次黑客入侵事件进行了交流探讨。这里让我们通过几个小问题深入洞悉此次事件背后的一切秘密。
1.攻击者是如何具体入侵无线网络的?
要入侵无线网络,黑客需要打破无线网络的WEP加密。这种加密协议存在缺陷,很容易被攻破,进而进入受保护的网络。
美国波士顿的联邦检察官迈克尔沙利文表示,一旦进入网络内部,那三个安装好的“嗅探器”程序就会在零售商的卡处理网络中到处嗅探,捕获信用卡号码、密码和帐户信息。还有一些其他私人号码可以帮助他们访问已经签发并且激活了的信用卡和借记卡。
2.整个事件中入侵者都利用了哪些漏洞,采用了哪些入侵手段?
黑客使用的是一种广为流行并且普遍适用的技术,即通过前端资料隐码入侵获取访问数据库。这直接通过一个公众所面临的界面(HTTP)执行,并且依赖于利用贯穿网络层到后端系统的数据查询。在这种情况下,这是管理方面的问题——这是一个广泛、普遍存在的问题,应该一直严肃对待。
服务器系统可能遇到各式各样的攻击,一旦被入侵,客户的数据资料确实可能处于危险之中。典型的案例包括通过 “被迫式”下载来自动安装恶意软件。
“被迫式”下载往往发生在用户访问一个有漏洞的网页的时候,它将从网页浏览器中找到没有打补丁的漏洞进而安装恶意代码。当然这并不一定发生在服务器上,它可能发生在作为与关键系统处于同网络的客户系统上。恶意软件(木马)往往从那里散播到整个网络。
然而,在这种情况下,确保无线网络的安全看起来是一个简单的问题。没有采用“零日”攻击,而是利用一种众所周知的具有无线加密协议的安全问题。通过使用加密技术如WEP或者更强有力的机制如WPA、WPA2可以保护大部分无线网络的安全。据说WEP拥有各种安全性缺陷,其加密协议很容易被破解从而进入该无线网络。无线网络不应该允许访问敏感数据的。基于这些原因,一个相对容易的安全漏洞出现。我们所提及的嗅探器程序是一种后门木马,它们是一种可以搜集并传递信息的恶意代码,也是当今网络犯罪很受欢迎的黑客工具。
3.为什么这么长时间才破获这个案件?
据CNN报道,调查开始于2006年年底,除了司法部门,密情局通过美国在圣地亚哥联邦调查局进行了三年多的秘密调查。
司法部在一个声明中表示,黑客当时隐藏了他们控制的位于美国和东欧的在加密计算机服务器上的数据。一些信用卡和借记卡的号码通过互联网出售给其他人,然后将信用卡号加密存储于空白卡来取现金。通过在空白卡的磁条上加密“兑现”。当局声称,被告然后用这些卡每次在ATM取款机上提取数万美元。花了这么长时间是因为调查这些事件十分复杂,在各个地区牵扯到许多因素。不同国家针对加密储存数据的法律不同,导致了调查加密数据存储只会拖延调查的进程。
4.是攻击者技术手段很高,没有让任何一方察觉,还是其他原因?
这存在两个主要问题。
第一个是关于最初的安全漏洞:在防护无线网络和数据的时候,用简单的手段保护无线网络的防护协议非常脆弱。很容易通过无线网络获得敏感信息,这是设计和拓扑布局的问题。
第二个问题是关于恶意后门木马程序在网络上的蓬勃发展,并且搜集了大量的信息用于恶意目的。这些木马程序常常被疏忽。通过部署适当的安全系统,最初的漏洞不会再发生。当一个漏洞出现,一个恶意的内部人员进入网络,综合安全系统各个功能应该会阻止这些木马:反病毒就是一个很好的例子。
网络安全的一系列发展正导致一个综合解决方案的出现,从而使网络能够伸缩自如以抵御绝大部分攻击。这个解决方案的关键组件正在由产品厂商推出,被称之谓UTM,或统一威胁管理系统。
促使内部网络安全成为危机点的两个主要因素是:
(1)网络犯罪:随着犯罪分子在身份盗窃与勒索方面越来越成熟,他们所涉及的网络范围也越来越大。现在,他们把目标锁定在提供丰富机会的特定公司和网站,因为它们可以带来有价值的交易或者储备了大量个人信息如信用卡和银行账户的数据库。
(2)怀有恶意的内部人员:对于一般终端用户可使用的入侵、扫描和开发网络资源的工具和技术的数量不断剧增。随着时间的推移,那些导致信息或者业务资源真正丢失的内部人员事件将会增加。为了保护组织免受来自这些方面的攻击,局域网接入点必须看作是一个安全周界。
5. 国内企业应该采取哪些防范措施?
·无线网络不能访问关键数据,并且采用更为强大的加密算法(非WEP协议)。
·通过封包分析(入侵防御系统)防御资料隐码入侵。
·通过入侵防御系统防御漏洞利用(恶意下载,服务攻击)。
·通过反垃圾邮件、反病毒和网页过滤(有恶意漏洞利用的网址或其它恶意软件)防御网络钓鱼类攻击。
·通过防火墙政策保护来自不可信任来源未被授权的端口访问。
·通过为软件提供最新更新和补丁防范成功的漏洞攻击。
·通过反病毒软件防御在网络上泛滥并危及敏感信息的恶意代码。
6. 特殊时期(如奥运期间)哪些安全措施尤为重要?
公司IT管理人员应该为员工推荐以下培训:
• 决不要打开第三方建议的、未经请求的链接——取而代之的是,打开你的浏览器输入你想要访问的网址URL。
·升级安全解决方案——适当拥有一个有效的反垃圾邮件、网页过滤和防病毒的解决方案,并且确保持续更新。
·“点击之前,请选择”——用几秒钟的时间看一下你打算点击的链接,始终要有意识,注意那些企图通过使用错误拼写或者古怪的子域名使之看似合法的链接。
·保护隐私——永远不要应第三方的请求泄露个人信息,如银行帐号、信用卡或者密码。
·了解你的供应商——当使用个人信息来进行在线交易的时候,确保供应商是一个可信任的来源而且交易是通过一个安全的连接进行的。
·关键问题培训——员工应该清楚了解安全风险,尤其在加强警戒阶段,推荐通过简单的培训来防御社会工程攻击。
·补丁、补丁、补丁——所有的软件,尤其是浏览器和操作系统,应该获取最新的更新(补丁)。这将确保网页漏洞被关闭,使远程攻击者不能利用已知的漏洞。
(责任编辑:李磊)
【相关文章】
美国最大黑客盗窃案 美国密情局特工是头目
