误解五 安全工具和软件补丁让每个人更安全
有些工具可以让黑客对微软通过其Windows Update服务发布的补丁进行“逆向工程”(reverse-engineer)。通过比较补丁出现的变化,黑客就能摸清补丁是如何解决某个漏洞的,然后查明怎样利用补丁。
Marty Lindner是卡内基梅隆大学软件工程研究所计算机紧急响应小组协调中心的事件处理小组负责人,他说:“如今开发的新工具都围绕同一个基本主题:扫描寻找漏洞。对因特网进行扫描,详细列出易受攻击的机器。所开发的工具假定每台机器都容易遭到某个漏洞的攻击,然后只需运行工具就是了。每个系统都有漏洞;没有什么是百分之百安全的。”
黑客普遍使用的工具当中就有Google,它能够搜索并找到诸多网站的漏洞,譬如默认状态下的服务器登录页面。有人利用Google寻找不安全的网络摄像头、网络漏洞评估报告、口令、信用卡账户及其他敏感信息。Santy蠕虫和MyDoom的新变种最近就利用了Google的黑客功能(Google hacking)。甚至已经开始涌现出了Johnny.IHackStuff.com这样的网站,它们提供链接到介绍越来越多的Google黑客手法的地方。
今年早些时候,McAfee公司发布了SiteDigger 2.0工具的更新版,它有一些新特性,譬如可以查明某个站点是不是容易受到Google黑客攻击。虽然这款工具的目的是供管理员测试各自的网络,但黑客也有可能利用该软件寻找任何站点存在的漏洞。
误解六 只要企业网络的安全没有被突破,黑客就奈何不了你
有些IT部门拼命防护企业网络,却不料因为用户把公司的便携式电脑接到家里或者Wi-Fi热点地区等未受保护的网络连接,结果企业网安全遭到危及。黑客甚至可以在热点地区附近未授权的Wi-Fi接入点,诱骗用户登录到网络。一旦恶意用户控制了某台计算机,就可以植入击键记录程序,窃取企业VPN软件的口令,然后利用窃取的口令随意访问网络。
有时候,单单恐吓要搞破坏也会迫使公司就范,黑客甚至扬言要破坏网站、删除重要文件,或者把幼儿******片放到公司计算机上,从而对受害者进行敲诈。这已有过先例,据说,因黑客扬言要发动拒绝服务攻击敲诈钱财,英国有许多网上赌博站点一直在出钱消灾。
误解七 如果你为安全公司工作,数据就安然无恙
连据认为最安全的组织也有可能发现自己容易受到黑客的攻击。位于弗吉尼亚州费尔法克斯的乔治梅森大学是安全信息系统中心的所在地,向来不乏安全专家。但这个工作场所最近发现,黑客攻击了这所大学的主ID服务器、往服务器中安装了搜寻其他大学的系统的工具后,32000多名学生和教职员工的姓名、社会保障号码以及照片在黑客面前暴露无遗。黑客可能通过没有防火墙保护的计算机潜入进来,然后植入了扫描工具,寻找闯入其他系统的口令。
这家大学立即采取了对策,关闭了服务器中的部分系统,用不同的ID号取代了学生们的社会保障号码,防范身份失窃。校方还在允许计算机连接到其网络之前,先使用软件进行扫描;建立较小的子网,隔离存放有敏感数据的计算机;更加密切地监控整个网络的活动。
连一些国家的国防部门也不能幸免。它们只好不断部署新软件以防范新出现的漏洞,并且坚持采用经过实践证明可靠的安全方法。譬如说,加拿大国防部就使用Vanguard Integrity Professionals公司的Vanguard Security Solutions 5.3,保护所用的IBM eServer zSeries大型机。这款软件包括采用双令牌的用户验证机制,可以同IBM用于z/OS的资源访问控制工具(RACF)配合使用。
加拿大国防部的RACF中心管理员George Mitchell说,他总是保持高度警惕,以防未授权用户获得访问系统的机会。除了使用监控工具外,他还要运用常识。“我会让某人打电话告诉大致情况。如果某人想更改口令,我会问几个问题,通过加密的电子邮件对该人进行答复。”
归根结蒂是需要始终保持谨慎。前不久,社会名流帕丽斯希尔顿(Paris Hilton)储存在T-Mobile Sidekick手机的资料被黑客公布到网上;ChoicePoint和LexisNexis两家公司为顾客保存的机密的信用信号被人窃取,这些事件表明,黑客采用的伎俩越来越五花八门。黑客在利用不断增多的漏洞时,手法越来越新奇,所以我们的任务就是随时关注最新工具和技巧,采取相应的措施自我保护。