遥远的入侵 　　随着全球信息化的飞速发展，网络在带给我们方便和快捷的同时，也产生了很多副产品，“木马”、“病毒”、“蠕虫”、“黑客”，这些名词带给人们的心理阴影甚至比它们本身更为可怕。我们迫切需要一个更加安全的网络环境。但是网络安全却比我们想象的要复杂得多。它是一个系统，不是单一的防火墙、入侵检测，不是虚拟专用网，也不是认证授权以及审计。安全更不是某个系统集成公司或信息安全公司卖给你的任何产品。下面我们就来跟踪一个国外银行业发生的真实案例，看看一个简单的黑客攻击是怎么完成的。看完之后请你想一下，你的电脑会不会成为黑客下一个攻击的目标？ 　　尽管以前所有的金融机构都没能确保他们的安全保障系统能够将黑客拒之门外，但是我们还是愿意相信我们存入这些机构的资金是安全的，没有人能够非法获取我们的财务信息，更没有人能够盗取我们的银行账户，然后发出指令将我们的钱据为己有。然而坏消息不断传来：许多银行和金融机构的安全系统并没有像系统设计者理想中的那般安全。下面的故事很清楚地说明了这一点。 　　Tom住在加拿大的一个小城镇里，尽管他说自己是一个对系统进行安全审查的“白帽黑客”，他还是坦言：“在无聊到接近绝望边缘的时候”，或者发现某些“安全系统是如此的粗劣，以至于我想要教训教训那些软件制造者”的站点的时候，“我当过一两次黑客”。 　　那么，一个住在加拿大农村的家伙是如何攻击远在美国南部某州的一个银行的呢？首先，他发现了一个Web站点上显示有“哪些IP地址范围（网络地址块）分配给了哪些特定的组织”。然后，他开始搜索含有“政府、银行或其他任何这样的词汇”的列表。就在这时，突然出现了一个他可以搜寻资料的IP范围（例如69.75.68.1至69.75.68.254）。 　　在Tom无意中发现的表项中，有一个是属于某个特定银行的IP地址，这个银行位于美国南部某个州的中心。 　　他最喜欢的一个程序叫Spy Lantern Keylogger。这种程序可以在人们工作的时候，监控他们的计算机，黑客可以用来秘密拦截在目标计算机系统上进行的每一次击键，而且这些行为在目标计算机上是完全不可见的。 　　另外，他也利用了一种应用程序Citrix MetaFrame（一种企业所使用的按需访问软件）的“隐藏”特点。这种程序让系统管理员可以监控并帮助公司雇员。利用这种“隐藏”特点，系统管理员可以悄悄地监控使用者，观察他（或她）计算机屏幕上的一切，比如使用者正在做什么，打什么字。若精通此道的黑客能够在一台计算机上运行Citrix，就有可能做到相同的事情：获得计算机的控制权。当然，这需要更加谨慎，否则一不小心，黑客的行为就会被发现，因为坐在计算机前的每一个人都能看到攻击者采取行动所产生的结果（光标在移动，应用程序被打开等）。但是黑客仍然会抓住每个机会来找乐子。 　　我看人们给自己的妻子或者其他人写Email，甚至还可以移动他们的显示屏上的光标。这真的很有趣。 　　有一次我入侵了一个家伙的计算机，开始移动他的光标。当他打开了一个记事本文件时，我就在上面输入：“Hey”。 　　如果黑客想要获得他人计算机的控制权，自然会挑一个不太可能会有人在计算机附近的时间段。“我通常在午夜之后进行”， Tom解释道，“要确保没有人在计算机跟前。要不然，我就会先检查他们的屏幕。如果屏幕保护程序正在运行，那就意味着：一般情况下，计算机前没有人。” 　　Tom在Internet上四处游荡，搜集有关D银行IP地址的详细资料，他循着蛛丝马迹，发现这个被他无意发现的并不是那种镇上的小银行，而是一个拥有大量国内和国际贸易来往的大银行。更有趣的是，他还发现该银行的服务器上正在运行应用程序Citrix MetaFrame。这种服务器软件允许用户远程访问自己的工作站。以往总结的黑客经验让Tom和他的朋友想到了一个很好的点子：“我和我的朋友发现运行Citrix服务的系统大多数都没有很好的口令，而终端用户无需输入任何口令。” 　　Tom开始行动了。他使用的是端口扫描器。这是一种黑客工具（或称为审计工具，这取决于使用者的使用意图），通过扫描其他网络计算机来确定开放的端口。他专门搜索打开了端口1494的系统，因为这个端口用来远程访问Citrix的终端服务，所以任何端口1494是打开的系统，他都可能成功“拥有”。 　　每当他找到一个，他就会在这台计算机上的所有文件内搜索“password”这个单词。这就好比是在淘金，大多时候都是一无所获，但是有时候可能会突然发现金砖。在这里，金砖可能是设置在文件中的某种提示，比如说这样一句话：“administrator password for mail2 is ‘happyday'”。 　　最后，他终于找到了银行防火墙的口令。他试着连上一个路由器，因为他知道有些普通的路由器会提供一个默认的口令：“admin”或“administrator”。但是很多人，不光是不了解计算机的普通家庭用户，即便是那些IT业的专业人员常常在部署一个新应用的时候也从未想过要修改默认的口令。Tom就真找到了一个有默认口令的路由器。 　　他获得访问权限后，就添加了一条防火墙规则，规则允许进来的到1723端口的连接（这个端口是用来进行Microsoft的Virtual Private Network(VPN)服务的，它的设计允许授权用户安全地连接到公司网络）。当他成功地认证VPN服务之后，他的计算机被分配了一个银行内部网络的IP地址。对他来说，最幸运的是这个网络是“扁平状”的，也就是说所有系统都是通过单个网段访问的，所以他只要入侵一台计算机，就可以访问同一网络中其他所有的计算机系统。 　　Tom说，如此轻易地入侵银行的计算机系统真让人有些“难以置信”。银行曾经聘请过安全顾问小组，小组离开之前，提交过一份报告，Tom发现了这份存储在服务器内的秘密报告，报告的内容包括了所有安全顾问小组所发现的系统漏洞。这可是一份求之不得的蓝图啊，有了它，就知道如何利用网络其他部分了。 　　银行那时使用IBM AS/400作为服务器。这个机型Tom并不熟悉，但是他发现Windows的域服务器中存有银行系统所使用的一份完整的应用程序操作手则，他把它下载了下来，随后他输入了“administrator”这个IBM默认的口令，并成功地进入了系统。 　　我觉得在那里工作的99%的人都用“password123”作为他们的口令。他们也没有使用在后台运行的杀毒程序。他们可能一周左右运行一次杀毒程序。 　　Tom安装完Spy Lantern Keylogger，松了一口气，开始静候系统管理员来登录，然后“截获”他的口令。Tom使用了正确的口令，意外地中了头彩——一份关于如何在AS/400上使用关键应用程序的完整联机培训手册。他现在能够做到一名银行出纳员所能做到的一切活动：电子资金划拨、查看和更改用户的账户信息、监督全国范围内的ATM的工作记录、检查银行贷款和转账、访问信用调查中心进行信贷检查，甚至查看后台检验的法律文件。他还发现，他能够通过这个银行的站点访问USA Department of Motor Vehicles（美国机动车局）的计算机数据库。 　　使用这个系统后，像“password”这样简单的口令只需要不到一秒的时间就能解密。Windows口令似乎特别简单，但是如果是由特殊符号组成的复杂口令可能会花多点时间，但是这个银行管理员的口令仅仅由4个小写字母组成，所以很快口令就被解开了，快得让你来不及读这个口令，Tom发现，剩余的有些事情似乎就是些无足轻重的细枝末节了。 结局 　　尽管Tom能够如此轻易地访问银行系统，并且可以支配如此之大的非法权力，但令人赞赏的是，他并没有将自己的手伸到这座金库里去。他也没有兴趣去窃取这些钱财，或是暗中破坏银行的信息，尽管他的确曾想过要给自己的几位好友提高他们的客户信用评级。“在他们服务器上，我发现了许多关于物理安全的文档，但是没有任何内容涉及到关于该如何防御黑客攻击的措施。虽然我找到的一些资料显示，他们每年都聘请安全顾问来检查服务器，但是对于一个银行来说，这是不够的。尽管他们在物理安全方面做得很棒，但是在计算机安全方面就做得远远不够了。”TOM说。 启示 　　D银行黑客为我们提供了一个需要深度防御的实例。在这个事件中，银行的网络是扁平状的。也就是说，除Citrix服务器之外，网络没有强有力的保护措施。一旦网络中的某个系统被攻破，攻击者就都能够连接到网络中所有其他的系统。其实，只要有个深度防御模型就能够有效阻止Tom获得AS/400的访问权。 　　银行的信息安全人员麻痹大意，错误地认为，只要运行外部审计就可以高枕无忧了。这种感觉可能已经让他们在进行整体的安全措施时过度自信。要提高计算机对黑客攻击的防御能力，进行安全评估或审计是一个非常重要的环节，而更加重要的是要合理管理网络以及网络内部所有的系统。 对策 　　在线银行站点应该要求所有的Web应用程序开发商一定要遵循基本的安全程序的惯例，或者要求对所有置入这个程序产品的代码进行审计。最好是限制用户输入传送到服务器端脚本的数量。 　　这个案例暴露出Citrix服务器网络监控程序松弛，口令安全保障拙劣。这是银行所犯的最大错误。只要银行安装了击键记录程序，隐藏其他授权用户，并植入特洛伊木马程序，就很可能阻止Tom进入他们的网络。这个黑客编写了一些脚本，并把脚本放入管理员的启动文件夹内。这样，当管理员登录的时候，程序就开始悄无声息地运行，并自动从主域控制器提取口令的散列。隐藏的脚本通常被称为“Trojan”或者“trapdoor”。 　　以下列出了部分对策： 　　◆ 检查所有账户口令，最后一次使用系统服务账户的时间，不将此账户分配给个人。检查所有未经授权的管理员权限，未经授权的群组权限，以及最后一次登录的时间。这些定期检查能够确认安全事件。寻找那些在异常时间段内设置的口令，因为黑客很可能并不知道在他（或她）更改账户口令的时候，已经留下了一个审计跟踪记录。 　　◆ 只允许在营业时间内进行交互式登录。 　　◆ 对所有通过无线、拨号、Internet或者企业外部网络从外部访问银行系统的登录和注销进行记录并加以审计。 　　◆ 在安装安全程序软件升级包时要保持警惕。在有些环境中，自动下载最新的软件升级包可能是恰当的，但是更多的时候，手工下载升级包是更为稳妥的方式。     ◆ 检查那些通过远程控制软件——例如WinVNC,TightVNC,Damware等等来进行外部访问的系统。 　　◆ 仔细审计使用Windows Terminal Services或者Citrix MetaFrame的每一次登录事件。因为大部分攻击者会优先选择使用这些服务程序，而不选择远程控制软件，以减少被发现的几率。 小结 　　本文所记录的攻击案例是微不足道的，都是以利用公司拙劣的口令以及脆弱的CGI脚本为基础的。然而很多人，甚至那些在计算机安全方面知识渊博的人都趋向于认为黑客的攻击就像是电影《黑客帝国》中的那种战略性攻击，但是实际上大部分的黑客攻击并非原创，也并不巧妙。相反，他们能够获得成功，是因为大部分企业的网络并没有得到充分的保护。而且，那些负责开发应用并且将应用安装到系统中的人员，也会出现设备配置错误或疏忽。这些都为那些时刻都想要攻破系统大门的成千上万的黑客创造了良好的机会。