乔治·华盛顿大学助理教授,《保护您的数字资产免受黑客、破解者、间谍和小偷侵害》的合著者朱莉·J.C.H.·瑞安解释道。
这似乎是一个简单的问题,但实际上它的含义相当复杂,答案也绝非简单。“黑客通过利用漏洞进入目标计算机系统”这种简单的回答无法提供更多细节,因此让我们从头开始。
“黑客”一词在其含义和解释方面存在相当大的争议。有些人声称黑客是好人,他们只是在不造成任何伤害(至少不是故意的)的情况下推动知识的边界,而“破解者”才是真正的坏人。这种争论没有意义;为了本次讨论的目的,术语“未授权用户”(UU)就足够了。这个称呼涵盖了所有人群,从参与有组织犯罪活动的人到正在突破他们在系统上被授权做的事情的界限的内部人员。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。通过购买订阅,您正在帮助确保有关当今世界发现和塑造我们世界的想法的具有影响力的故事的未来。
接下来,让我们探讨“进入”计算机意味着什么。这可以指获得对计算机系统存储内容的访问权限,获得对系统处理能力的访问权限,或拦截在系统之间通信的信息。这些攻击中的每一种都需要不同的技能,并针对不同的漏洞。
那么,UU 利用的是什么呢?每个系统都存在漏洞,漏洞分为两种:已知的和未知的。已知漏洞通常是所需功能的结果。例如,如果您需要不同的人使用系统来完成某些业务流程,那么您就有一个已知的漏洞:用户。已知漏洞的另一个例子是通过互联网进行通信的能力;启用此功能,您就打开了一条通往未知和不受信任实体的访问路径。未知漏洞是系统所有者或操作员没有意识到的漏洞,可能是由于糟糕的工程造成的,或者可能是某些所需功能的意外后果。
根据定义,漏洞可能会被利用。这些漏洞的范围从密码保护薄弱到将计算机开机并可供办公室访客物理访问不等。不止一种技术漏洞是通过坐在接待员的办公桌旁并使用他的电脑访问所需信息来管理的。弱密码(例如,用户名为“Joe Smith”,密码为“joesmith”)也是访问权限的丰富来源:密码破解程序可以轻松识别字典单词、姓名,甚至在几分钟内的常用短语。试图通过用数字替换字母(例如,用数字零替换字母 O)来使这些密码更复杂并不会使任务变得更困难。当 UU 可以使用有效的用户名-密码组合时,访问系统就像登录一样容易。
如果目标系统受到非常严格的保护(通过包括防火墙或安全软件等技术控制,以及完善的政策和程序等管理控制的架构),并且难以远程访问,则 UU 可能会采用低技术攻击。这些策略可能包括贿赂授权用户、在清洁服务公司找一份临时工作或翻垃圾箱(在垃圾中搜寻信息)。如果目标系统没有受到如此严格的保护,那么 UU 可以使用技术漏洞来获得访问权限。
为了利用技术漏洞,UU 必须首先确定目标系统的规格。如果目标系统是 Macintosh,UU 使用针对 Microsoft 漏洞的技术漏洞将毫无用处。UU 必须知道目标系统是什么,如何配置,以及它具有什么样的网络功能。一旦这些参数(可以通过各种方法远程确定)已知,UU 就可以利用配置的已知漏洞。常见配置的预编程攻击的可用性可以使这项任务非常简单;使用这些脚本功能的 UU 被有些嘲弄地称为“脚本小子”。
技术熟练的 UU 远程确定目标系统配置的一种方法是通过超文本传输协议 (http) 中固有的功能。访问某些网站的用户实际上会将配置信息(例如正在使用的浏览器类型)发送到请求网站。一旦系统配置已知,就可以选择漏洞利用。美国计算机应急响应小组 (US CERT) 在以下声明中描述了一个利用系统特定漏洞的漏洞利用示例:“已公开发布了利用 Microsoft 专用通信技术 (PCT) 协议中的缓冲区溢出漏洞的漏洞利用代码。该漏洞允许远程攻击者以 SYSTEM 权限执行任意代码。” [有关更多信息,请参阅 http://www.us-cert.gov/current/current_activity.html]
另一种类型的攻击是预先针对特定漏洞编程的攻击,并且在没有任何特定目标的情况下启动——它以霰弹枪的方式向外扫射,目标是尽可能多地到达潜在目标。这种类型的攻击消除了第一步的需要,但对于任何给定的目标,其结果和有效性都较难预测。
重要的是要认识到,未授权访问的最终目标因 UU 的动机而异。例如,如果 UU 试图收集大量僵尸计算机以用于分布式拒绝服务攻击,那么目标是将客户端程序偷偷安装到尽可能多的计算机上。做到这一点的一种相当有效的方法是使用所谓的特洛伊木马程序,该程序在用户不知情或不同意的情况下安装恶意程序。最近的一些大规模互联网攻击已将此模式作为攻击模式的一个要素。
保护自己免受攻击是一个多步骤的过程,旨在限制和管理系统的漏洞。(不可能消除所有漏洞。)首先,确保您拥有操作系统和应用程序的所有最新补丁——这些补丁通常修复可利用的漏洞。确保您的密码复杂:它应该以无意义的方式包含字母、数字和符号字符。此外,考虑购买硬件防火墙,并将进出互联网的数据流限制为您实际需要的少数几个选定端口,例如电子邮件和 Web 流量。确保您的防病毒软件是最新的,并经常检查是否有新的病毒定义可用。(如果您使用的是 Windows 系统,理想情况下您应该每天更新病毒定义。)最后,备份您的数据。这样,如果真的发生了不好的事情,您至少可以恢复重要的东西。