网络安全动态与趋势

网络安全动态与趋势许榕生中科院高能物理所计算中心研究员国家计算机网络入侵防范中心首席科学家xurs@ihep.ac.cn凯文·米特尼克在2000年1月21日出狱后便金盆洗手，这位世界头号黑客摇身一变成为一名网络安全顾问，不断到世界各地进行网络安全方面的演讲。“头号电脑黑客”凯文米特尼克KevinMitnick1995年2月被送上法庭，“到底还是输了”。2000年1月出狱，3年内被禁止使用电脑、手机及互联网。（材料引自《骇世黑客》余开亮张兵编）凯文·米特尼克在2000年1月21日出狱后便金盆洗手，这位世界头号黑客摇身一变成为一名网络安全顾问，不断到世界各地进行网络安全方面的演讲。罗伯特泰潘莫里斯1965年生，父为贝尔实验室计算机安全专家。从小对电脑兴趣，有自己账号。初中时（16岁）发现UNIX漏洞，获取实验室超级口令并提醒其父。1983年入哈佛大学，一年级改VAX机为单用户系统。可以一连几个小时潜心阅读2000多页的UNIX手册，是学校里最精通UNIX的人。学校为他设专线。1988年成为康奈尔大学研究生，获“孤独的才华横溢的程序专家”称号。1957年，雷蒙德出生于美国马萨诸塞州的波士顿，1976年起开始接触黑客文化，1990年，他编辑了《新黑客字典》。1997年以后，雷蒙成为了开放源代码运动的主要理论家，以及开放源代码促进会(OpenSourceInitiative)的主要创办人之一。他还担任了开放源代码运动对媒体、商界以及主流文化的形象大使。他是一名优秀的演说家，并曾经到过六大洲的15个国家进行演说。他对科幻小说十分感兴趣，是一名出色的业余音乐家，还是。。。信息时代的战争格局信息对抗时代的美军情况●列入《联合信息战条令》，成为常规作战战术●成立专门管理机构●全面开展技术研究●大力培养人才，注重队伍建设美国网络进攻战演习1997年6月间，美国国家安全局举行了一次代号为“合格接收者”的秘密演习，参与者是信息战“红色小组”，另外还雇佣了35名黑客，任务是设法闯入美国本土及统率10万大军的美军驻太平洋司令部使用的计算机网络。演习结果使美国国防部的高级官员深感震惊，几个“黑客”小组4天之内就成功闯入了美军驻太平洋司令部以及华盛顿、芝加哥、圣路易斯和科罗拉多州部分地区的军用计算机网络，并控制了全国的电力网系统。而且，这些攻击者实际上挫败了几乎所有追踪他们的努力。美国联邦调查局和国防部都试图找到“黑客”，但只发现了其中一个小组。摘自：信息技术在军事领域的应用正在引起一场深刻的军事革命，计算机在给现代军事机器注入强大生命力的同时，也使其自身成为重要的作战武器、目标和战场。而对计算机网络的防护将是２１世纪军事对抗的焦点。美军已经充分认识到这一点，并一再突出强调，信息战不仅要强调主动进攻，还要十分注重对己方信息系统的防护，即进攻性信息战需要防御性对抗措施。为适应信息战的需要，按照“有独自的基本武器和军事技术装备及战斗使用方法”的兵种划分原则，对计算机网络进行防护的力量——网络卫士必将成为新的兵种。网络“黑客”就可攻击敌方指挥、控制、通信等信息系统，瞬间可使其陷于瘫痪，取得兵不血刃、出奇制胜之效，已引起各国军界的重视。如何预防“黑客”，加强信息安全，已成为世界各国普遍关注的问题。各国都相继对互联网络采取了严加防范的措施。不言而喻，网络防护专业队伍将会随之悄然兴起。网络“病毒”从广义上讲，它还包括逻辑炸弹、特洛伊木马和系统陷阱入口等。而网络病毒就是在计算机网络上传播、扩散，专门攻击网络薄弱环节、破坏网络资源的计算机病毒。网络病毒不仅攻击程序，而且能破坏网络的主机硬盘分区，造成主机无法启动，使整个网络无法工作。它不但充分利用网络系统软件方面的漏洞大肆攻击，更可以突破网络的安全防御，侵入到网络主机上，导致计算机工作效率下降，资源遭到严重破坏，甚至造成网络系统的瘫痪。网络病毒成为当前最艰难、最广泛、最隐蔽的作战对象。网络“渗透”英国１６岁少年布里斯运用自己发明的“嗅探器”系统，通过国际计算机网络“渗透”进美国最敏感的网络系统，破译了包括弹道研究报告在内的大量机密，时间长达７个月。１９９４年朝鲜核检查问题最紧张的时刻，他又将破译的美国内部情报资料输入拥有３５００万用户的国际计算机网络公布于众。使美国国防部数以百万计的密码都要重新编制。而“捉获”布里斯只是因为他打入网络一夜未关机退出。由此可见，网络渗透是一种隐蔽性极强、防不胜防的窃密手段。它还可以给敌方信息系统“注入”假情报和病毒等实施破坏。网络“杀伤”网络杀伤是指用作战武器直接打击网络系统的软、硬件，使其不能正常发挥效能。它包括两个方面：一是武器的“软杀伤”。利用电子战武器的强烈干扰使敏感电子元件和电子线路产生致命的电流和电压，导致信息丢失、出现错码、控制失灵等；二是武器的“硬杀伤”。利用制导武器直接摧毁电子设备，或用强激光、微波束等武器，通过天线、电源线、传输线和各种接口等导入高功率感应电流和辐射能，击穿和烧毁电子设备而使网络系统被毁。黒客发明了上千种攻击技术入侵系统类攻击1.信息窃听Sniffer2.口令攻击John3.漏洞攻击WIN/IIS、RPC缓冲区溢出攻击获取ROOT口令欺骗类攻击拒绝服务攻击DDOS1.拒绝服务攻击2.分布式拒绝服务攻击对防火墙等安全设备的攻击利用病毒攻击木马程序攻击后门攻击……(2005-01-1010:31:42)韩国网络犯罪侦查技术最近成为了“香饽饽”，各国警方纷纷派员到韩国学习网络犯罪侦查技能。韩国警察厅发布通告称，负责法国网络安全的法国警察厅信息通讯监控总部、地方警察厅和巴黎检察厅的工作人员已经抵达韩国，他们将以韩国警察厅网络恐怖监控中心为重点，全面了解韩国的网络犯罪现状和主要侦查案例，学习侦查技能和机构运作方案等。随着信息技术的发展，特别是网络普及化程度越来越高，网络犯罪呈现出日趋活跃的趋势，并且网络犯罪开始威胁到许多国家的信息安全和国家安全。早在1995年，韩国警方就组建了“黑客”侦查队，并积极开展工作，此后分别于1997年和1999年建立了计算机犯罪侦查队和网络犯罪侦查队，并于2000年成立了网络恐怖监控中心，由此韩国真正成为了“网络侦查强国”。台湾信息部队●编制巨额预算，开展信息技术研究；●招募黑客，成立信息作战部队，“科技挺台”；●开展网络战演练，对付大陆导弹。台湾媒体报道，中国人民解放军有鉴于1991年以美国为首的联军部队利用计算机病毒瘫痪伊拉克整体防卫系统，解放军曾经在东北实施一次计算机病毒对抗演练，由于这是经过长达3年的软件研究后的成果。因此其技术已经引起台湾军方的关注，不但已对西方国家造成影响，同时也对逐年依赖计算机信息程度增强的台湾，产生了极大的隐忧。而最重要的是，以计算机病毒进行作战，仅仅是争夺“制电磁权”的一小部分，因此到底解放军的计算机病毒研发，将会对台湾号称的新世代兵力产生什么影响，此刻已引起台湾多方揣测。台湾认为通过网络攻击可以摧毁大陆沿海地区的网络基础设施。可能的网络恐怖攻击“明天的恐怖分子可能会更多地利用键盘而不是炸弹。”网络攻击和攻击目标有以下一些：破坏网站域名服务攻击拒绝服务攻击网络蠕虫攻击…当前网络安全三大威胁问题去年的统计表明：80%的攻击集中在家庭用户，那里存在较大的薄弱环节；局域网防护管理不力；内部网泄密与监护措施不够。网络漏洞扫描HP-UXScoSolarisNT服务器Web服务器NT安全管理员漏洞扫描、安全评估、行为检查、提交安全报告等等防火墙/IDSInternet防火墙Windows服务器主机1路由器内网DMZ区IDSIDSIDSLinux服务器控制台主机21世纪的网络安全管理与取证技术13届FIRST年会报告Forensic（取证）的定义计算机犯罪斗争中的体系结构、IDS和取证技术一种新的取证范例案例研究-IIS漏洞（2001年中美黑客大战）Guardence公司网络取证的设计（黑匣子）从网络取证的定义来看，需要进行的四个步骤是：识别保存分析提交事件分析案例USERftp331Guestloginok,sendyourcompletee-mailaddressaspassword.PASSmozilla@unsetHISTFILE;id;uname-a;uid=0(root)gid=0(root)groups=50(ftp)whereislynxlynx:/usr/bin/lynx/etc/lynx.cfg/usr/share/man/man1/lynx.1.gzTERM=linux“lynx事件分析案例（续）入侵来源：62.16.35.10（欧洲）简单描述：利用被取证机提供的FTP匿名服务，造成缓冲区溢出，入侵者已获得root权限。开始时间：03/16/2002-10:44:22结束时间：03/16/2002-11:08:33详细过程：10:44用户FTP匿名登录，并用mozilla@作为密码，向被取证机发送缓冲区溢出程序，并成功攻入获得了root权限。10:53开始用lynx从网站下载程序。11:08下载完毕。在被取证机上安装了后门。计算机取证典型的Unix和linux文件系统：ffs*,ext2fs**等当文件被删除时何种信息被破坏，何种信息被保留获取被删除文件信息的技巧和工具UNIX/Linux文件系统directory/home/youfoo123bar456andsoon…inode123owner/groupIDmactimesreferencecountfile/directory/etcdatablock#saccesspermsfilesizedatablocksdatablockdatablockdatablock文件被删除后保留的信息directory/home/youFoo123bar456andsoon…inode123owner/groupIDmactimes**referencecount*file/directory/etcdatablock#saccesspermsfilesizedatablocksdatablockdatablockdatablock=UNIX+LINUX=LINUXonly*zeroreferences**statuschangetime=timeofdeletion更多电子证据的获取计算机及其存储设备内存硬盘光盘数码产品USB存储设备MP3/4掌上电脑数码相机手机等智能卡VisitorLocationRegister;checkstheSIMandstoresdataHomeLocationRegister;RegisteroverallnetworksubscribersEquipmentIdentityRegister;checksIMEIMobileSwitchingCenterRegister;checkstheSIMandstoresdataDifferentdataisstoredonSIMandwithinthephonememory,thismaybeduplicatedonoccassionsSIM&PHONEMEMORYRemovableMediaSDandMini-SDCardswillholdinformation普通用户普通用户HUB/SWITCH普通用户普通用户HUB/SWITCHHUB路由器/网关监控系统Internet网络安全监控—必要的措施Monitoring网络内容监测系统数据获取路由器1路由器2分流系统POSGE协议分析服务器网页邮件聊天BBS……一、BIOS系统简介计算机网络设备工控主机医疗设备银行金融交通控制通讯设备武器系统在各种电子设备中广泛存在二、BIOS中的具体安全风