內(nèi)部攻擊
內(nèi)部攻擊者是解密攻擊最常見的來源�����,因?yàn)楣粽呔哂袑?duì)組織系統(tǒng)的直接訪問權(quán)����。第一種方案研究的是攻擊者是心懷不滿的雇員的情況���。攻擊者,一名經(jīng)驗(yàn)豐富的系統(tǒng)管理員�����,在工作中遇到了問題�����,而拿她自己管理�����、保護(hù)的系統(tǒng)發(fā)泄�����。
示例:心懷不滿的雇員
Jane Smith是一名經(jīng)驗(yàn)豐富的且在技術(shù)上有完善的記錄證明的系統(tǒng)管理員���,她被公司雇傭在深夜運(yùn)行備份磁帶��。您的公司����,作為一家 ISP,擁有非常龐大的數(shù)據(jù)中心��,大約4000多個(gè)系統(tǒng)都由一個(gè)網(wǎng)絡(luò)運(yùn)營中心(Network Operations Center)監(jiān)控���。Jane和另外兩名技術(shù)人員一起工作以監(jiān)控通宵備份�,并且在早班之前倒完磁帶�����。他們彼此獨(dú)立工作:一名技術(shù)員負(fù)責(zé)UNIX 服務(wù)器���,一名技術(shù)員負(fù)責(zé)全部Novell服務(wù)器���,而Jane負(fù)責(zé)Windows 2000服務(wù)器。
Jane已經(jīng)工作了六個(gè)月并且是一名后起之秀�����。她來得很早����,走得很晚,并且曾請(qǐng)求轉(zhuǎn)到公司的另一個(gè)部門�。問題是那時(shí)沒有空位子。在上個(gè)月��,您(安全分析師)發(fā)現(xiàn) Cisco路由器和UNIX服務(wù)器上的登錄嘗試的數(shù)量有大幅增加��。您實(shí)現(xiàn)了CiscoSecure ACS���,所以可以對(duì)嘗試進(jìn)行 審計(jì)�����,您發(fā)現(xiàn)它們大部分出現(xiàn)在早上3點(diǎn)鐘���。
您產(chǎn)生了懷疑,但作為一名安全分析師�����,您不能在沒有證據(jù)的情況下到處指證���。
一名優(yōu)秀的安全分析師從深入研究問題著手����。您發(fā)現(xiàn)攻擊出自高手,并且出現(xiàn)在Jane 當(dāng)班期間�,正好在她完成倒帶任務(wù)之后,在日班小組到來之前���,她有一個(gè)小時(shí)的時(shí)間學(xué)習(xí)和閱讀���。所以您決定請(qǐng)夜班經(jīng)理夜晚監(jiān)督 Jane。三個(gè)星期的嚴(yán)密監(jiān)督之后���,您發(fā)現(xiàn)攻擊已經(jīng)停止了����。您的懷疑是正確的����。正是Jane試圖登錄到Cisco路由器和UNIX服務(wù)器中。
一名優(yōu)秀的安全分析師還需要使用一種好的審計(jì)工具(如Tacacs+)來記錄攻擊���。Tacacs+是由諸如CiscoSecure ACS之類的應(yīng)用程序所使用的協(xié)議����,該協(xié)議強(qiáng)制授權(quán)(Authorization)����、可計(jì)帳性(Accountability)和認(rèn)證(Authentication)(簡(jiǎn)稱 AAA)。如果您具有授權(quán)�,則需要對(duì)請(qǐng)求訪問的人進(jìn)行授權(quán)以訪問系統(tǒng)。如果您具有認(rèn)證���,則需要對(duì)訪問資源的用戶進(jìn)行認(rèn)證以驗(yàn)證他們是否有訪問的權(quán)利和權(quán)限����。如果同時(shí)被授權(quán)和認(rèn)證會(huì)發(fā)生什么呢?您必須具有可計(jì)帳的����。單獨(dú)計(jì)算登錄數(shù)通過強(qiáng)制攻擊者保持可計(jì)帳的、被認(rèn)證及被授權(quán)����,從而解決了許多密碼破解問題。
接下來�,我將給出一個(gè)老的(但仍廣泛使用的)攻擊示例,它就在網(wǎng)下嗅探密碼��。您可以研究一下網(wǎng)絡(luò)主管的Cisco路由器和交換機(jī)是如何被公司中的Help Desk技術(shù)人員破解的�����。
示例:Help Desk技術(shù)人員
Tommy被雇傭擔(dān)任Help Desk技術(shù)員,他和下班后的Help Desk人員一起工作����。下班后的Help Desk人員由大約10 名技術(shù)員組成,他們負(fù)責(zé)公司需要在下班期間支持的8個(gè)遠(yuǎn)程站點(diǎn)����。Tommy總是帶著他的筆記本電腦上班。當(dāng)經(jīng)理問及此事時(shí)�����,Tommy 解釋說他用其休息時(shí)間準(zhǔn)備一個(gè)認(rèn)證考試�����。這似乎是無害的并得到了批準(zhǔn)��,盡管公司對(duì)在未經(jīng)公司安全檢查就從外部將機(jī)器帶入公司網(wǎng)絡(luò)的行為有一條公司內(nèi)的安全制度��。
最終�,一個(gè)監(jiān)視器捕獲了Tommy在離開一間小配線房時(shí)在手臂下藏著某些東西。但由于無人報(bào)告丟失任何東西�,無法證明Tommy犯了什么錯(cuò)���。當(dāng)Help Desk經(jīng)理詢問Tommy為什么出現(xiàn)在配線房時(shí),他說誤把配線房當(dāng)成了休息室����。
公司安全經(jīng)理Erika看到了由負(fù)責(zé)大樓安全的門衛(wèi)提交的報(bào)告�。她想知道Tommy在配線房干什么,并且對(duì)Tommy向Help Desk 經(jīng)理的回答感到懷疑�����。檢查配線房時(shí)���,她發(fā)現(xiàn)從其中一個(gè)配線板上垂下一根被拔下的接線電纜以及一個(gè)空的集線器端口�。當(dāng)她將電纜插回去時(shí)��,鏈路燈還是不亮����,這意味著這是一個(gè)死端口。電纜管理員Velcro將所有其它電纜都整齊地捆綁在一起����。憑著Erika 多年經(jīng)驗(yàn)以及對(duì)安全利用的敏銳意識(shí)���,她確切地知道發(fā)生了什么。
Erika假設(shè)Tommy 在未被發(fā)現(xiàn)的情況下將其筆記本電腦帶入了配線房����。他很有可能尋找集線器上的一個(gè)死端口,然后插上安裝了包嗅探器的筆記本電腦��,該嗅探器可以不加選擇地拾取網(wǎng)段上的通信量�����。稍后他返回取走了電腦(被監(jiān)視器捕捉到)��,在保存捕捉文件后拿回家進(jìn)行分析��。
使用公司的安全制度�,她找到Tommy并說明了所有非法進(jìn)入公司的個(gè)人財(cái)產(chǎn)(如筆記本電腦和掌上電腦)都需要進(jìn)行檢查。由于Tommy本不該帶入他的筆記本電腦����,所以將它交給了Erika。經(jīng)過仔細(xì)檢查�,Erika發(fā)現(xiàn)了下列跟蹤譯碼,如圖1中所示����。
經(jīng)過對(duì)Sniffer Pro分析器十六進(jìn)制窗格的嚴(yán)格檢查��,在圖2中的窗格的右邊清晰地顯示了ASCII數(shù)據(jù)���。當(dāng)連接到配線房的交換機(jī)時(shí),Tommy通過telnet會(huì)話連接在運(yùn)行配置���。由于 telnet協(xié)議是不安全的且通過明文發(fā)送,所以很容易看到密碼“cisco”��。
這是最基本的安全性原則之一:不要使用產(chǎn)品名稱作為密碼�。但無論原則如何基本,奇怪的是還是經(jīng)常有人這樣做��。
接下來����,請(qǐng)注意某些外部威脅。
外部攻擊
外部攻擊者是那些必須透過您的“深度防御”試圖闖入您系統(tǒng)的人�。他們做起來并不象內(nèi)部攻擊者那樣容易。第一種方案涉及一種很常見的外部攻擊形式��,稱為網(wǎng)站涂改���。這一攻擊使用密碼破解來滲透攻擊者想破壞的系統(tǒng)�����。另一個(gè)可能的密碼破解攻擊是攻擊者嘗試通過社交工程(Social Engineering)獲取密碼�。社交工程是哄騙一個(gè)毫無疑慮的管理員向攻擊者說出帳戶標(biāo)識(shí)和密碼的欺騙方法。讓我們對(duì)這兩種方案都研究一下���。
外部密碼破解的一種很常見和簡(jiǎn)單的示例:涂改網(wǎng)站的主頁�����。它不費(fèi)多少力氣�����,通常只要通過利用未正確設(shè)置其權(quán)限的Internet Information Server (IIS)就可以完成�����。攻擊者只要轉(zhuǎn)至工作站并嘗試使用HTML編輯工具攻擊IIS 服務(wù)器��。當(dāng)試圖通過因特網(wǎng)連接到該站點(diǎn)時(shí)�,攻擊者使用一個(gè)密碼發(fā)生器工具(如L0phtCrack),它啟動(dòng)對(duì)服務(wù)器的蠻力攻擊�。
您公司的聲譽(yù)處于危險(xiǎn)中。如果業(yè)務(wù)供應(yīng)商和關(guān)聯(lián)企業(yè)感到您的數(shù)據(jù)保存在不安全的服務(wù)器上��,他們將不再信任您���。請(qǐng)務(wù)必同等看待內(nèi)部和外部威脅�����。
示例:社交工程騙局
不需要工具而破解密碼的騙局稱為社交工程攻擊�����。請(qǐng)閱讀這種方案以了解更多信息。
Jon是一家大公司的新任安全分析師���。他的首要工作是測(cè)試公司的安全狀態(tài)�����。他當(dāng)然要讓管理層知道他將要做什么(這樣�,他自己就不會(huì)被當(dāng)成攻擊者)�����。他想知道要闖入網(wǎng)絡(luò)而不使用任何工具的難度如何。他嘗試兩個(gè)單獨(dú)但破壞性相同的攻擊��。
作為大公司的新雇員����,很多人還不認(rèn)識(shí)Jon,這使他能容易地完成第一個(gè)社交工程攻擊�����。他的第一個(gè)目標(biāo)是Help Desk��。Jon給 Help Desk打了一個(gè)常規(guī)電話�����,作為假想的遠(yuǎn)程用戶要求密碼重設(shè)�����。由于Jon 知道公司的命名約定是用戶的名字加上其姓的第一個(gè)字母����,他已經(jīng)有了他需要的一半信息。CIO的名字是Jeff,他的姓是 Ronald�,因此他的登錄標(biāo)識(shí)是JeffR。這條信息可以從公司的電話目錄中輕易地得到���。Jon假裝成CIO 打電話給Help Desk并要求密碼重設(shè)���,因?yàn)橥浟嗣艽a。Help Desk 技術(shù)人員每天都要重設(shè)上百次被遺忘的密碼����,然后回電讓請(qǐng)求者知道其新密碼,這對(duì)于他們來說是常規(guī)工作���。5分鐘后����,Help Desk技術(shù)人員給 Jon回電話���,告訴他新的密碼是“friday”,因?yàn)榍『檬切瞧谖濉?分鐘之內(nèi)��,Jon就進(jìn)入了服務(wù)器上CIO的共享文件及其電子郵件了��。
Jon的下一個(gè)社交工程攻擊涉及他的一個(gè)好朋友,此人為當(dāng)?shù)仉娫捁竟ぷ?。Jon在他休假時(shí)借了他的衣服、皮帶和徽章��。Jon 穿著他的新衣服進(jìn)入公司存放所有災(zāi)難恢復(fù)路由器和服務(wù)器的另一部分場(chǎng)地�。這個(gè)硬件包含公司的所有當(dāng)前數(shù)據(jù)的有效副本并且認(rèn)為是機(jī)密。Jon 穿著他的電信制服走入場(chǎng)地安全辦公室��,然后說明他是由本地交換運(yùn)營商(Local Exchange Carrier (LEC))派來的����,因?yàn)榭磥黼娐窂碾娫捁拘纬闪嘶芈贰K枰辉试S進(jìn)入數(shù)據(jù)中心���,這樣他可以檢查在Smart Jack上是否有任何警報(bào)�����。
現(xiàn)場(chǎng)管理員陪同Jon到數(shù)據(jù)中心�����,甚至沒有檢查他的標(biāo)識(shí)�。一旦進(jìn)入���,管理員明智地站在一邊��,這樣Jon開始了他的測(cè)試�����。幾分鐘后����,Jon 通知管理員他必須打電話給辦公室并請(qǐng)他們?cè)龠\(yùn)行一些測(cè)試,以便能斷開到Smart Jack的回路并嘗試故障診斷����。Jon讓管理員知道這將花費(fèi) 45分鐘,因此管理員向Jon提供了他的呼機(jī)號(hào)���,并請(qǐng)?jiān)贘on完成時(shí)呼他以讓他出來�。Jon 現(xiàn)在成功地排除了他和數(shù)據(jù)中心沿墻的機(jī)架上排列的30臺(tái)服務(wù)器之間的唯一障礙����。
Jon現(xiàn)在有幾個(gè)不同的機(jī)會(huì)��。他可以轉(zhuǎn)至每個(gè)服務(wù)器�,然后查找未加鎖的控制臺(tái)或者他可以將其筆記本電腦插入開放端口并開始嗅探����。由于他確實(shí)想知道自己能走多遠(yuǎn)�����,所以決定查找開放的控制臺(tái)����。花5分鐘查看所有KVM槽后�,他發(fā)現(xiàn)Windows NT服務(wù)器是作為域的備份域控制器(Backup Domain Controller)運(yùn)行的。Jon從包中拿出一張CD��,然后將它放入服務(wù)器的CD托盤��。他將L0phtCrack 安裝到公司域的BDC上��,然后運(yùn)行字典攻擊�����。5分鐘之內(nèi)�����,產(chǎn)生了如下密碼:Yankees。它表明首席管理員是一個(gè)紐約Yankee 迷�。他現(xiàn)在已經(jīng)有了對(duì)公司最重要的信息的訪問權(quán)。
現(xiàn)在�,研究一下這是如何做的。
保護(hù)核對(duì)表
這里有一張事件檢查表�����,您可以照做以使密碼破解更加困難:
對(duì)您的組織進(jìn)行審查�。走一圈并確保沒有將密碼貼在監(jiān)視器或鍵盤底下。
設(shè)置啞帳戶����。除去administrator(或admin)帳戶,或?qū)⑵湓O(shè)置為陷阱并對(duì)其嘗試進(jìn)行審查�。
使用強(qiáng)壯的難以猜測(cè)的密碼,永遠(yuǎn)不要讓控制臺(tái)處于解鎖狀態(tài)��。
備份是必需的以防不測(cè)���。您需要一組有效的數(shù)據(jù)�����,務(wù)必確保您擁有它們�。也要保護(hù)磁帶����,否則那里的數(shù)據(jù)也可能遭到損壞。
防止垃圾搜尋�����。不要亂扔敏感信息;撕碎它或把它鎖起來���。
檢查標(biāo)識(shí)并訊問您不認(rèn)識(shí)的人�。有來訪者時(shí)�����,對(duì)他們進(jìn)行檢查并確認(rèn)他們的身份�����。
教育您的最終用戶�����。確保他們不受社交工程的侵害�����,教育并提醒內(nèi)部用戶公司的安全制度。
結(jié)束語
在本文中����,我描述了攻擊者動(dòng)機(jī)之后的某些心理以及用來破解密碼的一些低技術(shù)和高技術(shù)方法。您已經(jīng)看到了幾種攻擊方案����,包括由經(jīng)驗(yàn)豐富的管理員、Help Desk 技術(shù)人員和外部故意破壞者對(duì)大公司發(fā)起的攻擊�����。您還了解了密碼破解者如何在內(nèi)部和外部使用技術(shù)攻擊您的基礎(chǔ)結(jié)構(gòu)���。最后����,提供了有關(guān)如何適當(dāng)保護(hù)您自己和您的系統(tǒng)避免可能受到密碼破解攻擊的一些想法��。最終挫敗這些攻擊需要投入自覺的努力�、經(jīng)過培訓(xùn)的人員、有用的工具以及良好的安全制度。希望您作為主動(dòng)出擊的安全分析師�,在幫助減少組織內(nèi)部和外部的這種惡意活動(dòng)中發(fā)揮重要作用。否則����,您可能在服務(wù)器房間中發(fā)現(xiàn)Jon得意地笑著�,手里還拿著您的數(shù)據(jù)。
