CIAC与CERT,并在他们可用时安装修正设施。仔细的配置与安装可以帮助减少潜在的脆弱点。如果存在一个允许用户以根方式行动的漏洞,则入侵者可能被utmp/wtmp中的陷阱所捉获(所有当前的登录用户排列在utmp文件中。一个登录与注销的历史记录可以从utmp文档传至wtmp文件。last命令将形式化wtmp文件,并提供所有登录的列表,包括关于登录源与登录期间的信息)。然而,不是所有的程序在utmp/wtmp中均存在条目:remsh/rsh在远程系统执行命令因而在utmp/wtmp中没有标识条目。syslog文件对监控系统的活动也很有用。系统监控程序的存在提供一种附加的跟踪能力。
像sudo、do!一样sys或osh这样的允许获取超级用户权限的程序,应在限制时间基础上提供给用户,比如自动24小时限制,才能使根暴露的机会最小化。这些程序中的一部分,像osh,提供了对许可根行为的控制,这样减少了可能发生的故障范围。无论如何,根口令应该经常改变,对根登录位置的控制也应给予考虑。
(3)第三阶段:扩展访问权一旦入侵者拥有根访问权,这个系统即可被用来攻击网络上的其他网络。通常的攻击方法包括对登录守护程序作修改以便获取口令(ftpd、telnet、rlogind、login)、增加包窥探仪以获取网络通信口令,并将它们返回给入侵者,以及伪装成试图利用受托关系来获取访问权的攻击。
正如前面提及的,ASTAN特别注意攻击的第一阶段,并提供对第二阶段的帮助。SATAN在第三阶段中没有任何作为。通过模仿窃贼,SATAN可以帮助定位一辆在停车场上未关门的汽车,并指出哪扇门未关(第二阶段)。最后,即第三阶段,在停车场中驾驶这辆车以便查找其他未锁门的汽车。因为SATAN可能已收集了关于其他重要主机的信息(NFS服务或MS服务),第三阶段可能用这些信息将攻击集中在获取其他系统的访问权上。
通常,一旦入侵者控制了你的系统,你几乎无计可施。一个入侵高手可以轻易地通过修改记账与认证记录抹去其痕迹。一些专业黑客甚至设计了自动程序,完全隐藏他们的行踪,一个流行的版本是rootkit.这个软件包与ps、ls、sum、who等文件一起发布;系统管理员不能肯定二进制的完整性(Integrity),因为sum命令给出的是感染过的信息。类似地,ps命令不能显示入侵者运行的程序。
摆脱黑客的阴影随着黑客的日益猖獗,信息安全问题越来越多地被提到各级政府和网络管理部门,尤其是电子商务应用的重要议事日程上来。并且,在对付黑客的斗争中,也取得一定的战果。
对付黑客,首先是分析他们的心理和掌握他们的手法、特征,从而有效地阻止其进行破坏活动。
一个典型的青少年黑客据说有如下特征:
通常是12岁~30岁的男性聪明,但在学校里的表现并不出色适应环境的能力较差,不被他人所理解出身于不和的家庭当然,他们无法得到女性的青睐黑客往往与社会格格不入,他们具有以下可能危害社会的个性:
自以为是,妄自尊大耽于巨大成功的幻想中需要不断得到他人的注意和崇拜如果自尊心受到伤害,会采取强烈的报复手段个人权利至高无上无情地利用他人对人和事不是抬得很高,就是贬得一钱不值缺乏同情心并非所有的黑客都是疯子,或患了心理疾病。他们的构成很复杂,但他们倾向于做一个边缘人,用被社会所排斥的人的思维方式来思考。纽约佩斯大学心理学教授玻西·布莱克博士说:不论他们的年龄有多大,黑客都是孩子。他认为,恶意的黑客活动也许源于内生兴奋缺乏症,简单地说就是,黑客的家庭生活、饮食或社会生活有一定的问题,使他们的头脑不能分泌足够的感觉兴奋和良好的化学物质,从而无法产生内在的满足感。
我们应该怎样看待这样的青少年呢蔑视漠视仇视仰视他们自称为盗火的普罗米修斯,但实际上,他们盗来的可能只是个一次性打火机而已。
黑客是奇怪的人,他没有归属感,他没有权威,他身上有些东西不对头,他没有停留在应该停留的位置上,他不是正常人中的一员。
他心中有一个阴影,这个阴影不会消失,因为它也许本来就是虚幻的。不管花费多大的力气,这个阴影无法被逮捕,被起诉,被监禁,或者被解雇。对待这一阴影的唯一建设性的方式是,更多地了解阴影所附着的那个人。了解的过程可能是痛苦的、丑陋的、令人困惑的,但却是必要的。了解黑客不仅仅需要放下社会地位的架子,不仅仅需要法律的客观公正,还需要人与人之间的理解和同情。
但是,这样的认识也不应该把我们导向一个误区,即把黑客看成病态的一群。这对黑客是不够公平的,因形象,而忘记了黑客活动中具有创造力的激动人心的一面。也许我们的社会需要这样的人;也许只有具备多种多样的性格的社会才是健康的。我们既需要外向开拓的人,也需要内向思辩的人,需要思想家也需要行动家。从许多大科学家的经历也可看出:羞于与人交往的孤独者常常会创造惊人的构想和发明。今日的青少年黑客是未来的栋梁之材吗多给一些时间,也许他们会的。
但是,对付黑客,仅仅做到以上这点是远远不够的,还要使用多种安全策略,防止IP欺骗及黑客通过WWW主机攻入系统,严格保护口令设置,使黑客的攻击企图难以得逞。
从工具角度来看,使用优秀的防火墙是防止黑客入侵的一种有效手段,可使用包过滤、协议过滤、地址过滤、隔离式过滤及巡回网关等措施来有效防范许多来自外部的间谍盗窃数据资源及对系统的破坏活动。
然而,防止外部黑客入侵仅仅是黑客防范的一个环节,也是我们平常所理解的黑客防范的概念。但从权威机构统计数据来看,目前发生的黑客攻击事件有70%以上来自内部攻击和越权使用,因此防内已成为当前黑客防范的重要环节,且这一环节是防火墙所无能为力的。所以,黑客防范仅靠防火墙已不能让人放心。在使用防火墙构架第一道防范大堤的同时,还应重视使用黑客入侵防范软件等工具加强电子交易系统本身的安全性能,即防外又防内,使黑客攻击难于得逞。
但是网络是动态的,黑客也是多谋善变的。买安全产品或服务,仅配置一次是不够的。防火墙如此,其他安全产品也是如此。随着网络中的应用、工作站以及操作系统的数量和类型的改变,网络安全性的挑战会越来越激烈。黑客会利用不断发现的网络或系统安全漏洞,采用各种新的方式、方法攻击你的系统,因此你的安全策略应该能够适应它。
网威……黑客入侵防范软件正是通过不断跟踪分析黑客行为和手法,来研究网络和系统安全漏洞,网威软件为您提供了不断更新的网络测试方法和漏洞修补措施。它通过不断地检测和监控你的网络和系统,发现新的威胁和弱点,通过给你一个循环反馈来及时作出有效的安全策略和执行决定,以便在黑客攻击你之前,先一步使用,进行安全防护。
具体地说,从技术上对付黑客攻击,主要采用下列手段:
①使用防火墙技术,建立网络安全屏障。使用防火墙系统来防止外部网络对内部网络的未授权访问,作为网威软件的补充,共同建立网络信息系统的对外安全屏障。目前全球联入Internet的计算机中约有1/3是处于防火墙保护之下,主要目的就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。
②使用安全扫描工具发现黑客。经常使用网威等安全检测、扫描工具作为加强内部网络与系统的安全防护性能和抗破坏能力的主要扫描工具,用于发现安全漏洞及薄弱环节。当网络或系统被黑客攻击时,可用该软件及时发现黑客入侵的迹象,进行处理。
③使用有效的监控手段抓住入侵者。经常使用网威等监控工具对网络和系统的运行情况进行实时监控,用于发现黑客或入侵者的不良企图及越权使用,及时进行相关处理(如跟踪分析、反攻击等),防范于未然。
④时常备份系统,若被攻击可及时修复。这一个安全环节与系统管理员的实际工作关系密切,所以系统管理员要定期地备份文件系统,以便在非常情况下(如系统瘫痪或受到黑客的攻击破坏时)能及时修复系统,将损失减少到最低。
⑤加强防范意识,防止攻击。加强管理员和系统用户的安全防范意识,可大大提高网络、系统的安全性能,更有效地防止黑客的攻击破坏。