网络安全事件回放、黑客攻击的手段和方法

网络安全事件回放、常见攻击的手段和方法张天庆2001年5月的中美黑客大战。2001年8月，“红色代码”蠕虫利用微软web服务器IIS4.0或5.0中index服务的安全缺陷，攻破目的机器，并通过自动扫描感染方式传播蠕虫，已在互联网上大规模泛滥。2003年，“冲击波”蠕虫的破坏力就更大，安全专家BruceSchneier撰文分析认为，美国2003年8月份大停电与“冲击波蠕虫”相关。早期的安全事件及分析互联网泄密解放军保密委员会通报了3起涉密计算机联接国际互联网被台方攻击窃密的严重泄密案件：某军区司令部办公室秘书张某，2006年9月以来擅自将涉密U盘带回家中，插入联接国际互联网的计算机，处理涉密信息，台方在U盘植入木马程序，窃走8份涉密文件资料。张被处分。2006年4月初的一天，李福坤正在网上用QQ聊天，一个自称陈某某的人突然主动上来和他打招呼,随着聊天的深入，他不断引诱李福坤通过关系帮他提供内部刊物和文件，而且要求的层次越来越高，并许诺按提供情报资料的价值给予报酬,泄密换来6年刑。浙江电力系统一位前官员担任一家跨国公司的驻华代表，他利用早前积累的人脉，获取中国电力系统的重大设备采购底牌，并悉数泄露给外方，导致中方蒙受巨大损失，涉案金额高达上百亿元人民币。2002年3月，某市某区教委为传达文件需要，竟将上级下发的涉密文件贴在与国际互联网相联的区教育信息网上。经鉴定，其中共3份属机密级国家秘密，2份属于秘密级国家秘密。早期的泄密事件笔记本丢失泄密信息产业部某研究院研究员蔡某擅自携带一台存有军事秘密的涉密笔记本电脑，到某地参加军工科研会议。由于未采取有效的安全保密措施，致使涉密笔记本电脑在其所住宾馆内被盗，电脑内存储的重要的国防秘密失控。2003年3月上旬，航天科工集团某研究所技术人员王某违反保密管理规定，私自将存有涉密信息的笔记本电脑和移动硬盘带回家。几天后，王某家中失窃，笔记本电脑和移动硬盘被盗，硬盘中存储的1份机密级报告、2份秘密级资料草稿和4份秘密资料草稿失控。王某因泄露国家秘密被给予行政记过处分。2002年7月17日，涉密人员李某在北京某饭店参加全国某系统内部会议，中途出去接电话时，将正在使用的存有机密级工程项目资料的笔记本电脑随意放在会议室内的座位上。几分钟后，李某打完电话回来，发现笔记本电脑丢失，造成泄密。早期的安全事件2002年9月，某部委研究室工作人员张某违反计算机保密管理规定擅自在载有机密级文件的计算机上安装上网设施，从互联网上下载资料。致使计算机中有关统战工作的机密级文件被窃取，最后竟出现在某国的网站上，不仅给国家造成严重损失，而且在国际上也造成了很坏的影响。河北省石家庄市中国电子科技集团第54研究所爆出惊天间谍案,全军工行业震动，间谍是两个人，一个是派出所的警察，负责54所去海南试验的保卫工作，半路上被人家盯上，遂被策反，然后逐渐拉上了54所为所领导打扫办公室的20余岁小mm，两人沆瀣一气，从印刷厂、复印室、内部网上搞到了大量信息。破案后，安全部长说，这些资料给10000亿也不卖，几十年来对台电子斗争成果全部打了水漂,整个底朝天。此二人均已伏法。事后54所被停业整顿，相当长时间被取消了军品研发资格。早期的泄密事件商务中国网站DNS服务器遭受非法攻击，1月15日，商务中国网站DNS服务器遭受非法攻击，部分域名解析服务受到影响，网站无法访问。央视官网被黑两小时，主页篡改，2010年2月15日，中央电视台官方网站间断无法登录，主页变成了一欧洲美女子照片。入侵网站改成绩被诉系首例“黑客”，北京教育考试院原工作人员孟某，涉嫌利用木马病毒程序进入北京教育考试院网上证书查询系统，篡改全国计算机等级考试成绩，于近日被检方提起公诉。百度被黑11小时无法正常访问，2010年1月12日上午8点左右，搜索引擎网站百度被发现无法打开，网站处于无法访问状态。当日中午11：10左右，百度首次公开证实由于域名在美国域名在美国域名注册商处被自称为“伊朗网军”的黑客非法篡改，导致不能正常访问。公安部物证鉴定中心网站被黑客篡改，2010年1月2日，公安部物证鉴定中心的中英文网站遭黑客入侵，网站页面不断被篡改。女孩设山寨“彩票网”获有期徒刑，因创办“中国彩票官方网”，以提供中奖号码为诱饵骗取彩民入会费4万余元，25岁的女孩王某，因诈骗罪被北京宣武法院判处有期徒刑2年。国内信息安全事件（早期）河南：利用网络传播淫秽物品被判刑，2月5日，河南新乡市延津县人民法院对新乡市首例利用网络传播淫秽物品案作出一审判决，被告人肖某等11人分别被判处有期徒刑1年至拘役5个月缓刑1年不等。河南：大量遭拒绝服务攻击，近期针对公共互联网的主要网络攻击是拒绝服务攻击，2010年1月有3353个IP地址所对应的主机被境外通过木马程序秘密控制，有3046个IP地址对应的主机被僵尸网络控制，被篡改网站数量70个，感染恶意代码的主机数量为3498个。上海：窃用他人账户套现上海一网店店主被判7年，淘宝某店铺声称代人缴费后可打折收取账单金额，然而店铺卖家用来缴费的却是从不正当途径取得的他人银行账户内钱款。1月25日，上海一中院做出二审判决，认定网店店主犯信用卡诈骗罪。江苏：无锡“4G淫图”手机网站传播淫秽物品牟利案依法宣判。2010年2月11日，无锡市惠山区人民法院依法对“4G淫图”手机网站传播淫秽物品牟利案作出一审判决。该淫秽网站开办者陈柳生被判处有期徒刑11年。重庆：青年农民办钓鱼网站行骗盗取网购者5.2万，重庆市潼南县农村青年张某在网上租来域名和空间，做山寨淘宝、山寨易趣、山寨腾讯拍拍。通过这些“钓鱼网站”，盗走网购消费者5.2万余元。1月10日，张某因构成盗窃罪和传授犯罪方法罪，一审被判刑6年。国内信息安全事件（早期）安全威胁1、针对网络浏览器插件程序的攻击分布范围广插件程序的漏洞不随浏览器的更新而自动消失2、内部攻击者的威胁企业内部系统的联系越来越紧密，而且数据的价值也越来越高2004年至2006年，内部攻击的比例在8％左右，去年这个比例是5％，而到了今年已经上升到23％。3、网络间谍技术主要针对的是高价值的目标袭击经常是通过向个人发送信息的方式来实现的4、以重大事件或流行事件为诱饵的混合型攻击主要途径：利用注有煽动性标题的信息来诱使用户打开恶意邮件利用新闻、电影等制造虚假链接安全威胁5、无线网络、移动手机成为新的安全重灾区，消费者电子设备遭到攻击的可能性增大在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞手机病毒利用普通短信、彩信、上网浏览、下载软件等方式传播，还将攻击范围扩大到移动网关、WAP服务器或其他的网络设备越来越多采用USB标准进行连接，并使用了更多存储设备和电脑外围产品安全威胁1、集团化、产业化的趋势产业链：病毒木马编写者－专业盗号人员－销售渠道－专业玩家病毒不再安于破坏系统，销毁数据，而是更关注财产和隐私。电子商务成为热点，针对网络银行的攻击也更加明显2008年病毒会更加紧盯在线交易环节，从早期的虚拟价值盗窃转向直接金融犯罪。2、“黑客”逐渐变成犯罪职业财富的诱惑，使得黑客袭击不再是一种个人兴趣，而是越来越多的变成一种有组织的、利益驱使的职业犯罪事例：拒绝服务相关的敲诈勒索和“网络钓鱼”。安全趋势黑色产业链安全趋势3、恶意软件的转型我国仍然是恶意软件最多的国家恶意软件在行为上将有所改观，病毒化特征削弱，但手段更“高明”，包含更多的钓鱼欺骗元素4.网页挂马危害继续延续服务器端系统资源和流量带宽资源大量损失成为网络木马传播的“帮凶”客户端的用户个人隐私受到威胁安全趋势5、利用应用软件漏洞的攻击将更为迅猛新的漏洞出现要比设备制造商修补的速度更快一些嵌入式系统中的漏洞难以修补零日攻击现象日趋普遍6、新产品将受到挑战以博客、论坛、微信等产品将成为病毒和网络钓鱼的首要攻击目标社区网站上带有社会工程学性质的欺骗往往超过安全软件所保护的范畴自动邮件发送工具日趋成熟，垃圾邮件制造者正在将目标转向音频和视频垃圾邮件安全趋势7、无线网络、移动手机成为新的安全重灾区，消费者电子设备遭到攻击的可能性增大在无线网络中被传输的信息没有加密或者加密很弱，很容易被窃取、修改和插入，存在较严重的安全漏洞手机病毒利用普通短信、彩信、上网浏览、下载软件与铃声等方式传播，还将攻击范围扩大到移动网关、WAP服务器或其他的网络设备越来越多采用USB标准进行连接，并使用了更多存储设备和电脑外围产品安全趋势问题一：缺乏统一安全体系。例如,在一个系统安全认证种类繁多，使得后续安全管理工作繁重。问题二：信息化安全建设缺乏规范操作，常常采取“亡羊补牢”，追求表面功夫。问题三：信息化安全建设的人员众多，安全和易用性特别难平衡。问题四：用户信息安全防范意识。例如,选取弱口令，使得从远程直接控制主机。企业面临的安全问题进不来拿不走改不了跑不掉看不懂可审查信息安全的内涵网络安全目前存在的威胁网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失篡改、销毁后门、隐蔽通道蠕虫黑客攻击的一般步骤黑客攻击的步骤：没有100%的安全1、踩点：主动或被动的获取信息的情报工作2、扫描：主要用于识别所运行的ping扫描和端口扫描3、获取访问权限：攻击识别的漏洞，以获取未授权的访问权限，利用换用缓冲区溢出或暴力攻击破解口令，4、保持访问权限：上传恶意软件，以确保能够重新进入系统在系统上安装后门。5、消除痕迹：抹除恶意活动的痕迹，删除或修改系统和应用程序日志中的数据。常见的安全攻击方法直接获取口令进入系统：网络监听，暴力破解利用系统自身安全漏洞特洛伊木马程序：伪装成工具程序或者游戏等诱使用户打开或下载，然后使用户在无意中激活，导致系统后门被安装欺骗：诱使用户访问纂改过的网页电子邮件攻击：邮件炸弹、邮件欺骗网络监听：获取明文传输的敏感信息通过一个节点来攻击其他节点：攻击者控制一台主机后，经常通过IP欺骗或者主机信任关系来攻击其他节点以隐蔽其入侵路径和擦除攻击证据拒绝服务攻击和分布式拒绝服务攻击(DoS和DDoS)黑客攻击的手段和方法踩点主要有被动和主动两种方式：被动方式：嗅探网络数据流、窃听；主动方式：从whois数据库获得数据，查看网站源代码社交工程黑客通常都是通过对某个目标进行有计划、有步骤的踩点，收集和整理出一份目标站点信息安全现状的完整剖析图，结合工具的配合使用，来完成对整个目标的详细分析，找出可下手的地方。百度被DDoS攻击案例2010年1月12日晨7时起，网络上开始陆续出现百度出现无法访问的情况反馈，12时左右基本恢复正常；18时许百度发布官方版本公告；对事故原因说明为：“因的域名在美国域名注册商处被非法篡改，导致全球多处用户不能正常访问百度。”相关现象在整个事件期间百度顶级域名baidu.com即旗下全部二级域名访问都出现异常，在较长的时间全部被解析到位于荷兰的IP地址188.95.49.6。但通过IP入口（如），其他顶级域下的域名入口如baidu.hk等可以正常访问。在访问百度过程中先后出现过不同现象：跳转至伊朗网军（IRANIANCYBERARMY）页面；跳转至雅虎错误页面；不能正常访问等。DoS/DDoS利用TCP/IP缺陷DoS：拒绝服务攻击DDS：分布式拒绝服务攻击DDoS攻击示意图分布式拒绝服务攻击步骤1ScanningProgram不安全的计算机Hacker攻击者使用扫描工具探测扫描大量主机以寻找潜在入侵目标。1Internet分布式拒绝服务攻击步骤2Hacker被控制的计算机(代理端)黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。2Internet分布式拒绝服务攻击步骤3Hacker黑客