第九章电脑黑客及其防治对策1本章主要内容:什么是黑客黑客的攻击手段电脑黑客的防治对策。本章重点:电脑黑客的防治对策本章难点:黑客攻击利用的技术漏洞第九章电脑黑客及其防治对策2一、黑客是谁“黑客”,英文名称为Hacker,是动词Hack(砍、劈)的拟人化,意为“劈,砍”,被进一步引申为“干了一件非常漂亮的工作”。黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的人。黑客是基于特定目的在未经允许的情况下擅自进入他人计算机系统的人。第一节黑客是谁第九章电脑黑客及其防治对策3在电脑尚未普及的年代里,闯入系统并不被认为是一件违法或不道德的事情,相反是光荣的,至多被认为是一种学习过程中的无意过失,不会受到任何处罚或指责。随着时间的推移,后来有的黑客开始由好奇向恶意破坏转变。一度在公众中具有褒义、甚至光荣含义的“黑客”开始使人们谈之色变。1988年,德国汉诺威大学计算机系学生佩尔,通过自己的个人计算机同美国军方和军工承包商的计算机联网,收集到美国大量的国防秘密,其中包括“星球大战”计划、北美防空司令部、核武器和通信卫星等方面的情报。第九章电脑黑客及其防治对策4二、黑客的特征随着计算机网络渗入各个领域,尤其是因特网的迅速发展,使计算机信息系统受黑客侵扰的可能性越来越大,黑客的行为方式也越来越多样化。1.黑客行为的本身特征一是远离现场,既可能跨地区,又可能跨国。二是时间短,在几分、几秒、甚至不到1秒的时间内即能进行一次侵入,完成一次攻击,实施一次破坏。三是隐蔽性强,不论采取什么手段,反映在网络和系统中都是稍纵即逝的电子脉冲,看不见、摸不着、抓不到。四是技术性强,侵入的手段技术特征明显,用传统的方法难以防范和查证。尽管许多计算机网络都安装了防火墙,信息的存储和传输都采取了加密技术,但网络遭受黑客攻击的事件却不见减少,信息泄露事件仍屡见不鲜。第九章电脑黑客及其防治对策52.黑客行为的后果特征一是时空跨度大。今天实施的侵入可能间隔一段时间才产生危害后果,如在系统中植入特洛伊木马或逻辑炸弹等,规定在一定的条件下触发;在甲地实施的侵入,可能在乙地产生危害后果。二是波及面广。一个黑客行为往往能使一台服务器、一个计算机中心、一个局域网、一个远程网、甚至是整个因特网瘫痪。目前,黑客攻击已涉及政治、军事、经济、文化及社会生活的各个方面。一个企业、一个行业、一个部门不能正常运转,经常会产生连锁反应,直至造成整个社会运转不灵。三是危害程度大。黑客的恶意破坏,不但能使客户辛苦多年积累起来的数据毁于一旦,而且也可使整个企业、整个行业、甚至整个国家不能正常运转,在战时不战而败,重演没有硝烟的“珍珠港事件”。第九章电脑黑客及其防治对策6三、黑客的主体趋势1.非专业化趋势在计算机技术应用初期,由于计算机的复杂性和应用的高难度性,比如,操作语言是非常难的机器代码,操作程序非常复杂,如果不是这方面的专家,电脑摆在你面前也无法操作,因而,一般人很难成为“黑客”。第九章电脑黑客及其防治对策720世纪80年代以后,随着计算机的广泛应用及操作的日益简便,政府、金融、经济等部门都开始使用计算机,操作计算机的人虽然并非具有专业化知识,但也有可能成为黑客。20世纪90年代以来,随着计算机网络、特别是因特网的飞速发展,计算机开始进入社会的各个领域和普通家庭,与此同时,计算机操作越来越方便,人们的受教育程度越来越高,因而对计算机的操作越来越不需要特别的知识和技能,一般人都有可能成为黑客。普通的计算机爱好者,只要拥有一台电脑、一部调制解调器和一条通信线路,就可以上网。网上不但有大量有用的信息,也有数不胜数的有害信息,甚至还有黑客学校、黑客教材。第九章电脑黑客及其防治对策82.低龄化趋势。随着因特网的发展,“黑客”活动日益猖獗,据我国公安机关掌握的情况,“黑客”多为青少年,多为好奇或满足表现欲,一般无特殊犯罪动机。3.定罪量刑处罚的少第九章电脑黑客及其防治对策9黑客之所以频频得手,主要有两个原因,一是系统漏洞多,二是黑客攻击手段多并越来越精明。一、黑客攻击利用的技术漏洞1.操作系统的漏洞(1)操作系统的体系结构造成操作系统本身的不安全性,这是计算机系统不安全的根本原因。操作系统的程序是可以动态连接的,包括I/O的驱动程序与服务系统,都可以用打补丁的方式进行动态连接。如许多UNIX操作系统的版本升级开发都是采用打补丁的方式进行的。厂商可以利用这种方法修补自己的漏洞,“黑客”也可以利用这种手段侵入系统实施破坏。一个靠渗透与打补丁开发的操作系统是不可能从根本上解决安全问题的。此外,操作系统的动态连接环境也有利于计算机病毒的传播。第二节电脑黑客的攻击手段第九章电脑黑客及其防治对策10(2)操作系统支持在网络上传输文件,包括可以执行的文件映象,即在网络上加载程序,为黑客远程安装逻辑炸弹或特洛伊木马提供了可能。(3)操作系统不安全的另一个因素在于它可以创建进程,甚至支持在网络的节点上进行远程进程的创建与激活,被创建的进程可以继续继承创建进程的权力,为在远端服务器上安装“间谍”软件创造了条件。(4)操作系统通常都提供守护程序,这种软件实质上是一些系统进程,在UNIX以及WINDOWSNT操作系统上具有与操作系统核心层软件同等的权利,它们总在等待一些条件的出现。这样的软件都是“黑客”可以利用的。第九章电脑黑客及其防治对策11(5)操作系统提供远程调用服务,为黑客远程作案提供方便。(6)操作系统安排的无口令入口是为系统开发人员提供的便捷入口,但它也是黑客的通道。2.计算机网络的漏洞因特网运行需要众多的协议,而众多协议的本身就包含许多不安全因素,存在许多漏洞。很多人都知道,1988年一个叫罗伯特.莫里斯的人用C语言编写了一个根据搜索来的用户名字猜测机器密码口令的程序,结果自1988年11月开始在网络上传播以来,几乎每年都给因特网系统用户造成上亿美元的损失。黑客通常采用序列预测(如SourcePorting)或者使用远程访问(RPC)进行直接扫描等方法对防火墙进行攻击。第九章电脑黑客及其防治对策123.数据库的漏洞数据库的安全必须与操作系统的安全配套,例如,数据库的安全级别是B2级,那么操作系统的安全级别也应当是B2级。由于数据库的安全管理同样建立在分级管理的概念之上,因此数据库的安全也是脆弱的。4.应用系统的漏洞路由器—错误的路由配置、隐蔽的调制解调器、缺省的路由配置等,这些都可以成为黑客成功攻击的途径。防火墙—它的出发点是防止外部黑客的攻击,防外不防内。此外,防火墙也不是坚不可破的,据美国有关部门调查,所有的防火墙都不同程度地被黑客攻击过。第九章电脑黑客及其防治对策13二、黑客攻击的目标不论是善意的黑客还是恶意的黑客,实施攻击都有一定的目标,归纳起来有以下几类:1.获取系统处理数据或口令文件系统中存储或传输的数据往往是黑客攻击的主要目标。这类数据包括两方面内容,一是系统处理的可调用的数据,二是系统自身的指令和口令等。黑客登录目标主机后,使用网络监听一类的程序即能轻而易举地监听到所需的信息,也能获取用户口令文件。口令是一个非常重要的数据,当黑客获知口令后,便可顺利地登录别的主机,或访问有一定限制的信息资源。第九章电脑黑客及其防治对策142.获取超级用户权限黑客们普遍都青睐超级用户权限,因为有了它,可以完全隐藏自己的行踪,在系统中设置一个后门,随时修改资源配置,做任何自己想做的事。如在UNIX系统中运行网络监听程序,就必须取得这种权限。因此,在一个局域网或一个计算机系统中,只要掌握了主机的超级用户权限,就可以控制整个网络。3.对系统的非法访问有许多系统是不允许其他用户访问的,因此要访问该系统,首先必须以一定的非常行为来得到访问权限。黑客的这种攻击并不一定是要做什么,有时仅仅是为了浏览、寻找自己感兴趣的东西。当然,有的黑客在获得访问权后,可能进行恶意破坏,如删除、篡改文件等。第九章电脑黑客及其防治对策154.对系统的非法操作有的系统是允许用户访问的,但不允许对系统进行非授权操作。黑客们为了达到实施非法操作的目的,总是通过寻找系统设置的漏洞,或者用一些黑客工具等办法,突破系统安全防线,对系统实施非法操作。5.破坏系统功能或数据有的黑客侵入系统的目的是对系统功能进行修改、增加或干扰,使系统不能正常工作,直到瘫痪;对系统中存储或处理的数据进行删除、修改、增加,使数据失去真实性、可靠性,给用户造成很大损失。6.泄露秘密信息黑客入侵有时是为了获取秘密信息。如果是黑客自己需要的信息,他们因害怕直接取走会暴露自己的身份和地址,往往将秘密信息和数据送到一个公开的FFP站点,或利用电子邮件寄往一个可以拿到的地方,以后再从这些地方取走,以隐藏自己。第九章电脑黑客及其防治对策16三、黑客攻击的步骤1.寻找目标,收集信息寻找目标是黑客实施攻击的第一步,但除非攻击者已有明确的目的和动机,在大多数情况下,选定目标实际上是一个比较盲目的过程。有的通过窥视系统管理员的口令记录,以发现容易侵入的目标,有的通过黑客工具在网上漫无目的地搜寻以捕捉目标,如攻击者可能在主服务器上找到域名系统表,通过域名系统表确定要攻击的机器名、因特网地址、机器类型等。当然,也有用户将自己的口令等信息张贴在电脑旁,让身旁的黑客毫不费力地获取目标。第九章电脑黑客及其防治对策172.获得初始的访问权,进而设法获得目标特权。黑客攻击信息网络系统最初大多都是从攻击网络上某台主机开始的。攻击者要先进入某台主机,设法获得该主机的操作特权,这样就在网络上打开了一个缺口。3.留下后门,攻击其他系统,甚至整个网络。攻击者为了达到目的,往往不是只攻击网络的一台主机,而是要攻击整个网络,直到控制这个网络。第九章电脑黑客及其防治对策18四、黑客攻击的常用技术手段1.窃听,通过搭线、接受电磁波等非法手段窃取信息的行为;2.偷阅,侵入系统内部非法阅读信息的行为;3.冒名顶替,冒充合法使用者从事欺骗或其他犯罪活动;4.借道,借用合法用户的信道侵入系统内部的行为;5.数据欺骗,非法篡改输入、输出数据或输入错误数据;6.特洛伊木马术,在计算机程序中隐藏作案所需要的计算机指令以实施犯罪的办法;第九章电脑黑客及其防治对策197.病毒,将病毒隐藏在可执行程序或数据文件中,在一定条件下自动触发的干扰或破坏计算机系统的程序;8.意大利香肠术,采取不易察觉的手段逐步实施犯罪的方法,通常指金融系统中的犯罪嫌疑人采取截留四舍五入的利息尾数零头,转移到一个虚设的账号上,集少成多,实施盗窃的方法;9.活动天窗,利用事先设置的查错、修改时使用的指令实施犯罪;10.逻辑炸弹,在操作系统中有意设置并插入某些程序的编码,在特定时间、特定条件下自动激活执行而产生破坏性的程序;11.数据泄露,转移或窃取数据的手段;第九章电脑黑客及其防治对策2012.数据欺骗,非法存取数据,如篡改输入、输出数据及输入假数据,或伪造、冒充输入文件,用事先准备好的假内容替换原有的正常输入内容等;13.超级冲杀,利用在特殊情况下使用的高级干预程序,实施破坏系统的犯罪活动;14.拾垃圾,从废弃的资料、磁带、磁盘中搜寻具有潜在价值的数据和信息、密码等;15.寄生术,用某种方式紧跟享有特权的用户侵入系统,或者在系统中装入“寄生虫”程序;16.浏览,采用合法手段搜寻不允许访问的文件;17.伪造,用事先准备好的数据或文件替换正常输入、输出18.异步攻击,同时进行两个以上的攻击,希望至少有一个会在其它攻击受到处理时获得成功;19.提取和重用,提取是指搜取残余信息,试图非法获取数据的行为;重用是指重复使用某种数据的做法。第九章电脑黑客及其防治对策21五、黑客攻击的类型电脑黑客攻击手段形形色色,可根据有关分类法分为不同的攻击类型。如从犯罪学的角度分,就有危害国家安全型、破坏社会经济秩序型、侵财型、侵害民主权利型、侵害知识财产型等等;本篇主要从技术角度,将黑客攻击划分为六大类型。第九章电脑黑客及其防治对策221.拒绝服务型拒绝服务型主要是指一个用户占据了大量的共享资源,而使其他用户没