網絡防禦與安全對策:原理與實踐(原書第3版)
Network Defense and Countermeasures: Principles and Practices, Third Edition
[美] 查克·伊斯特姆 (Chuck Easttom) 著
劉海燕 等譯
第1章
網絡安全概述
本章目标
在閱讀完本章并完成練習之後,你将能夠完成如下任務:
- 識别出最常見的網絡風險。
- 了解基本的組網技術。
- 使用基本的安全術語。
- 找到适合自己所在機構網絡安全的最佳方法。
- 評估影響網絡管理者工作的法律問題。
- 使用可用于網絡安全的資源。
1.1 引言
在新聞中,很難發現哪一周沒有發生重大安全破壞。大學網站被攻擊、政府計算機被攻擊、銀行資料受損、健康資訊被洩露—這個清單還在不斷增長。而且似乎每年對這個問題的關注都在增加。在任何工業化國家中,很難找到沒聽說過諸如網站被黑客入侵和身份被盜之類事情的人。
目前教育訓練場所也有很多。許多大學都提供從學士層次到博士層次的資訊保障(Information Assurance)學位。有大量的行業認證教育訓練項目,包括CISSP(Certified Information Systems Security Professional,注冊資訊系統安全專家)、國際電子商務顧問委員會(EC Council)的CEH(Certificated Ethical Hacker,道德黑客認證)、Mile2Security、SANS(System Administration, Networking, and Security Institute,美國系統網絡安全協會)認證以及美國計算機行業協會(Computing Technology Industry Association,CompTIA)的Security+。現在還有一些大學提供網絡安全學位,包括遠端學習的學位。
盡管受到媒體的關注和有獲得安全教育訓練的機會,但仍有太多的計算機專業人員,包括數量驚人的網絡管理者,對網絡系統暴露的威脅類型以及哪些是最有可能發生的威脅沒有清晰的認識。主流媒體關注的是最引人注目的計算機安全破壞,而不是給出最有可能的威脅場景的準确畫面。
本章着眼于網絡面臨的威脅,定義基本的安全術語,為後續章節涉及的概念奠定基礎。確定你的網絡完整性和安全性所需的步驟條理清晰,并在很大程度上進行了概括。當你學完本書時,你将能夠識别最常見的攻擊,解釋攻擊的機理以便阻止它們,了解如何確定資料傳輸的安全。
1.2 網絡基礎
在深入研究如何保護網絡安全之前,探索一下什麼是網絡可能是個不錯的想法。對許多讀者來說,本節内容僅僅是一次複習,但對于部分讀者來說可能是新的知識。無論對你來說是複習還是新的知識,在深入研究網絡安全之前,對基本的組網原理有透徹的了解都是至關重要的。此外請注意,這裡隻是對基本網絡概念的簡要介紹,沒有探究更多細節。
網絡是計算機進行通信的一種方式。在實體層,網絡由所有要連接配接的機器和用來連接配接它們的裝置組成。獨立的機器可通過實體連接配接(一根5類電纜插入網絡接口卡,即NIC)或通過無線方式連接配接起來。為了将多台機器連接配接在一起,每台機器必須連接配接到集線器或交換機,然後這些集線器/交換機再連接配接在一起。在更大的網絡中,每個子網絡通過路由器連接配接到其他子網絡。本書中的許多攻擊(包括第2章介紹的幾種攻擊),都是針對網絡中将機器連接配接起來的裝置(即路由器、集線器和交換機)發起的。如果你發現本章的知識不夠用,那麼下述資源可能會有所幫助:
http://compnetworking.about.com/od/basicnetworkingconcepts/Networking_Basics_Key_Concepts_in_Computer_Networking.htm。
1.2.1 基本網絡結構
在你的網絡和外部世界之間一定存在一個或幾個連接配接點。在網絡和Internet之間建立一個屏障,這通常以防火牆的形式出現。本書讨論的許多攻擊都要穿越防火牆并進入網絡。
網絡的真正核心就是通信—允許一台機器與另一台機器進行通信。然而,通信的每條通道也是一條攻擊的通道。是以,了解如何保護網絡的第一步,就是詳細了解計算機如何通過網絡進行通信。
前面提到的網卡、交換機、路由器、集線器以及防火牆都是網絡基本的實體部件,它們連接配接的方式以及通信的格式就是網絡體系結構。
1.2.2 資料包
當你與網絡建立連接配接之後(無論是實體連接配接還是無線連接配接),就可以發送資料了。第一件事就是确定你想發送到哪裡。我們先讨論IPv4的位址,在本章稍後部分再看一下IPv6。所有的計算機(以及路由器)都有一個IP位址,該位址由四個0到255之間的數字組成,中間以圓點分隔,例如192.0.0.5(注意這是一個IPv4位址)。第二件事是格式化要傳輸的資料。所有資料最終都采用二進制形式(多個1和0組成)。這些二進制資料被放入資料包(packet)中,總長度要小于大約65 000位元組。前幾個位元組是首部(header)。首部内容說明資料包去往哪裡、來自何方、本次傳輸還有多少個包。實際上,資料包有多個首部,但現在我們僅把首部作為單個實體來讨論。我們将研究的一些攻擊(例如,IP欺騙)會試圖改變首部以提供虛假資訊。其他的攻擊方法則隻試圖截獲資料包并讀取其内容(進而危害資料的安全)。
一個資料包可以有多個首部。事實上,大多數資料包至少有三個首部。IP首部包含源IP位址、目标IP位址以及資料包的協定等資訊。TCP首部包含端口号等資訊。以太網首部則包含源MAC位址和目的MAC位址等資訊。如果一個資料包用傳輸層安全(Transport Layer Security,TLS)進行加密,那麼它還将有一個TLS首部。
1.2.3 IP位址
第一個要了解的主要問題是如何将資料包送到正确的目的地。即使是一個小型網絡,也存在許多計算機,它們都有可能是發送資料包的最終目的地,而Internet上有數百萬台遍布全球的計算機。如何保證資料包到達正确的目的地呢?這個問題就像寫封信并確定信件能到達正确的目的地一樣。我們從IPv4尋址開始讨論,因為它是目前使用最普遍的,但本節也會簡要讨論一下IPv6。
一個IPv4位址是用圓點分隔的由4個數字組合的數字序列(例如107.22.98.198)。每個數字必須在0到255之間。可以看到,107.22.98.466就不是一個有效的位址。之是以有這個規則,是因為這些位址實際上是4個二進制數,計算機用十進制格式把它們簡單地顯示出來。回想一下,1位元組是8位(1和0的組合),而8位二進制數轉換成十進制格式後将在0到255之間。總共32位則意味着大約存在42億個可能的IPv4位址。
計算機的IP位址可以告訴你該台計算機的很多資訊。位址中的第一個位元組(或第一個十進制數)告訴你該機器屬于哪一類網絡。表1-1概括了5種網絡類别。
這5種網絡類别在本書後面将變得更加重要(或者,現在你應該決定在更深的層次上學習網絡)。仔細觀察表1-1,你可能會發現127的IP範圍沒有被列出來,之是以存在這種省略,是因為該範圍是被保留用于測試的。不管你的機器被指定為什麼IP位址,位址127.0.0.1都是指你自己正在使用的這台機器。這個位址常被稱為環回位址(loopback address),常用于測試你的計算機和網卡。我們将在本章稍後的網絡實用程式部分讨論它的用法。
這些特定的位址分類很重要,因為它告訴你,位址的哪些部分代表網絡、哪些部分代表節點。例如,在A類位址中,第一個8位的位元組代表網絡,其餘三個表示節點。在B類位址中,前兩個8位的位元組代表網絡,後兩個表示節點。而在C類位址中,前三個8位的位元組代表網絡,最後一個代表節點。
你還需要注意一些特殊的IP位址和IP位址範圍。第一個是如前所述的127.0.0.1,即環回位址。它是引用你正在使用的機器網卡的另一種方法。
另一個需要注意的問題是私有(private)IP位址。IP位址中某些特定範圍被指定僅用于網絡内部。這些位址不能用作公開的IP位址,但可以用作内部工作站或伺服器的位址。這些IP位址包括:
- 10.0.0.10到10.255.255.255
- 172.16.0.0到172.31.255.255
- 192.168.0.0到192.168.255.255
網絡新人有時對公有IP位址和私有IP位址的了解有些困難。我們以辦公樓做個類比:在一棟辦公樓内,每個辦公室的編号必須是唯一的。例如,在一棟大樓裡隻能有一個305辦公室。如果讨論305辦公室,你馬上就明白說的是哪個房間。但還有其他的辦公樓,許多樓都有自己的305辦公室。是以,你可以将私有IP位址視為辦公室編号,在它們所在的網絡中它們的編号必須是唯一的,但在其他網絡中可能有相同的私有IP。
公有IP位址更像傳統的郵件位址,它們在世界範圍内必須是獨一無二的。當從辦公室到辦公室通信時,你可以使用辦公室号碼,但是要給另一個建築物發信,你必須使用完整的郵件位址。這與網絡是一樣的,你可以使用私有IP位址在網絡内部進行通信,但要與網絡外部的任何計算機進行通信時,都必須使用公有IP位址。
網關路由器的作用之一是執行所謂的網絡位址轉換(Network Address Translation,NAT)。通過NAT,路由器将發出的資料包中的私有IP位址替換為網關路由器的公有IP位址,進而可以在Internet中路由該資料包。
我們已經讨論了IPv4網絡位址,現在把注意力轉移到劃分子網上。如果你已經熟悉這個主題,那麼請跳過本節。由于某種原因,這個話題往往會給學生帶來很大麻煩。是以下面我們從了解概念開始。所謂劃分子網(subnetting)就是簡單地将網絡切成更小的部分。例如,如果你擁有一個使用IP位址192.168.1.X的網絡(X代表任何具體計算機的位址),那麼你已經被配置設定了255個可能的IP位址。如果想把它分成兩個單獨的子網絡怎麼辦呢?你需要做的就是劃分子網。
說得更專業一點,子網路遮罩(subnet mask)是配置設定給每個主機的一個32位數字,用于将32位二進制的IP位址劃分為網絡部分和節點部分。子網路遮罩不能随意指定,有特定的要求。子網路遮罩的第一個值必須是255,剩下的三個值可以是255、254、252、248、240、224或128。你的計算機把自己的IP位址和子網路遮罩通過二進制“AND”操作(二進制的“按位與”)結合起來。
你可能會很奇怪,因為即使你沒有劃分過子網,也已經擁有了一個子網路遮罩。這是預設子網路遮罩。如果你有一個C類IP位址,那麼子網路遮罩是255.255.255.0。如果有一個B類IP位址,那麼子網路遮罩是255.255.0.0。而如果是A類位址,則子網路遮罩是255.0.0.0。
現在考慮一下這些數字與二進制數的關系。十進制255轉化為二進制是11111111。是以,預設情況下,你實際上僅掩住(masking)了位址中用于定義網絡的那部分,而其餘部分都用于定義單個節點。現在如果你想使子網中的節點數少于255,那麼你需要一個類似于255.255.255.240這樣的子網路遮罩。将240轉換為二進制是11110000,這表示前三個位元組以及最後一個位元組的前4位定義了網絡,而最後位元組的後4位定義了節點。這就意味着在這個子網絡上最多可以有1111(二進制)個或15(十進制)個節點。這就是劃分子網的本質。
劃分子網這種方式,僅允許你使用某些受限的子網。另一種方式是CIDR,即無分類域間路由(Classless Inter Domain Routing,CIDR)。CIDR不是定義子網路遮罩,而是使用IP位址後面跟随一個斜線(/)和一個數字的方式。該數字可以是0到32之間的任何數字,這時的IP位址格式如下:
192.168.1.10/24(一個基本的C類IP位址)
192.168.1.10/31(一個C類 IP位址,附帶子網路遮罩)
當你使用這種方式而不是使用子網時,你有可變長子網路遮罩(Variable-Length Subnet Masking,VLSM),它能提供無類别區分的IP位址。這是當今定義IP位址最常用的方式。
你不用擔心新的IP位址是否很快就會用盡。IPv6标準已經投入使用,并且已經有了擴充使用IPv4位址的方法。IP位址分為兩類:公共和私有。公有IP位址用于連接配接到Internet的計算機。公有IP位址必須互不相同。而私有IP位址,例如公司私有網絡上的IP位址,隻需在該網絡中是唯一的即可。不用理會世界上是否有其他的計算機也有相同的IP位址,因為這台計算機從來不會連接配接到那些其他的計算機。網絡管理者通常使用以10開始的私有IP位址,如10.102.230.17。其他的私有IP位址有172.16.0.0至172.31.255.255和192.168.0.0至192.168.255.255。
此外還要注意,Internet服務提供商(Internet Service Provider,ISP)經常會購買一個公有IP位址池(pool),并在你登入時将它們配置設定給你。是以,ISP可能有1000個公有IP位址,但擁有10 000個客戶。因為10 000個客戶不會同時線上,ISP在客戶登入時将IP位址配置設定給他,而在客戶登出時回收IP位址。
IPv6使用128位位址(而不是32位),并使用十六進制編号的方法,以避免像
132.64.34.26.64.156.143.57.1.3.7.44.122.111.201.5這種長位址。十六進制位址格式類似于3FFE:B00:800:2::C的形式。這給了你2128個可用的位址(數萬億個位址),是以在可以預見的未來,不可能會耗盡IP位址。
IPv6中不再劃分子網。相反,它隻使用CIDR。位址中的網絡部分由斜線後面跟随的數字指定,這個數字表示位址中配置設定給網絡部分的位(bit,也稱為比特)數,如“/48”“/64”等。
IPv6中有一個環回位址,可以寫成::/128。IPv4和IPv6之間的其他差別描述如下:
本地鍊路/機器位址。
- 這是IPv4自動專用IP尋址(Automatic Private IP Addressing,APIPA)的IPv6版本。如果機器配置為使用動态配置設定位址,但不能與DHCP伺服器通信,那麼它為自己配置設定一個通用的IP位址。其中,動态主機配置協定(Dynamic Host Configuration Protocol,DHCP)用于動态地為網絡内的主機配置設定IP位址。
- IPv6的本地鍊路/機器的IP位址都以FE80::開始。是以,如果你的計算機使用這樣的位址,那麼意味着它不能到達DHCP伺服器,故而構造了自己的通用IP位址。
本地站點/網絡位址。
- 這是IPv4私有位址的IPv6版本。換句話說,它們是真實的IP位址,但隻能在本地網絡上工作,在Internet上是不能路由的。
- 所有的本地站點/網絡的IP位址都以FE開頭,并且第三個十六進制數字是C到F之間的數字,即FEC、FED、FEE或FEF。
DHCPv6使用托管位址配置标志(managed address configuration flag),即M标志。
- 當該标志為1時,表示裝置應該使用DHCPv6獲得一個有狀态(stateful)的IPv6位址。
其他狀态配置标志(O标志)。
- 當該标志設定為1時,表示裝置應該使用DHCPv6來獲得其他的TCP/IP配置。換句話說,它應該使用DHCP伺服器來設定諸如網關及DNS伺服器的IP位址之類的資訊。
1.2.4 統一資源定位符
對于大多數人來說,上網的主要目的是浏覽網頁(但也有其他目的,比如收發電子郵件和下載下傳檔案)。如果你必須記住IP位址并輸入這些位址,那麼網上沖浪将是件非常麻煩的事。幸運的是,你不必這麼做,你隻需鍵入對人類而言有意義的域名,而域名被翻譯成IP位址。例如,你可以輸入www.chuckeasttom.com 來通路我的網站。你的計算機或ISP将你輸入的名稱,即統一資源定位符(Uniform Resource Locator,URL),轉換為IP位址。DNS(Domain Name Service,域名服務)協定處理該轉換過程,DNS協定稍後将在表1-2中與其他的協定一起介紹。是以,你輸入一個對人類而言有意義的名稱,但你的計算機使用相應的IP位址進行連接配接。如果找到該位址,浏覽器将發送一個資料包(使用HTTP協定)到它的TCP 80端口。如果目标計算機有軟體監聽并響應這個請求,如Apache或微軟的IIS(Internet Information Services,Internet資訊服務)之類的Web伺服器軟體,那麼目标計算機将響應浏覽器的請求并與之建立通信。這就是檢視網頁的方法。如果你收到錯誤提示“Error 404: File Not Found”,那是因為浏覽器收到了一個從Web伺服器傳回的包含錯誤代碼404的資料包,表示它找不到你所請求的網頁。Web伺服器可以向Web浏覽器發送一系列錯誤消息,訓示不同的出錯情況。
電子郵件的工作方式與通路網站的方式相同。你的郵件用戶端查找郵件伺服器的位址,然後使用POP3(Post Office Protocol version 3,郵局協定版本3)協定檢索入站的電子郵件,或使用SMTP(Simple Mail Transport Protocol,簡單郵件傳輸協定)協定向外發送電子郵件。郵件伺服器(可能位于你的ISP或你的公司裡)将嘗試解析發送位址。例如,如果發送一封郵件到[email protected],你的郵件伺服器首先把郵件位址轉換為yahoo.com的郵件伺服器的IP位址,然後再将郵件發送給那裡。請注意,盡管已經有了更新的郵件協定,但POP3仍然是最常用的協定。
網際網路消息通路協定IMAP(Internet Message Access Protocol,IMAP)現在用得也很廣泛,它使用143端口。與POP3相比,IMAP的主要優點是它允許用戶端僅把郵件首部下載下傳到本地機器上,然後可以選擇要完整下載下傳哪些消息,這個功能對智能手機來說特别有用。
1.2.5 MAC位址
MAC位址(Media Access Control address,媒體通路控制位址)是一個很有趣的話題。注意,MAC也是指OSI模型的資料鍊路層的子層。MAC位址是網卡的唯一位址。世界上的每塊網卡都有一個唯一的位址,用6位元組的十六進制數表示。位址解析協定(Address Resolution Protocol,ARP)用于将IP位址轉換為MAC位址。是以,當你輸入網站位址時,DNS協定将其轉換為IP位址,然後ARP協定将IP位址轉換為單個網卡特定的MAC位址。
1.2.6 協定
不同的目的需要不同類型的通信。不同類型的網絡通信稱為協定(protocol)。協定本質上是一種約定的交流方法。事實上,該定義恰是protocol這個詞在标準的、非計算機使用中的用法。每個協定都有特定的目的,并且通常在某個端口上運作(有的需要多個端口)。
表1-2列出了一些重要的協定。
你可能已經注意到,這個清單并不完整,還有數百個其他的協定,但對本書來說讨論這些就足夠了。所有這些協定都是TCP/IP協定族的一部分。你要明白的最重要的一點是,網絡上的通信是通過資料包(packet)實作的,而這些資料包要根據目前的通信類型按照某些協定進行傳送。你可能想知道什麼是端口(port)。不要将這種類型的端口與計算機背後的連接配接接口,如序列槽或并口相混淆。網絡術語中的端口是一個句柄、一個連接配接點,是一個指派給特定通信路徑的數字。所有網絡通信,不管使用什麼端口,都通過網卡連接配接進入你的計算機。可以把端口看作電視的一個頻道,可能隻有一個電纜進入電視,但卻可以觀看許多頻道。是以,類比一下隻有一個電纜進入計算機,但可以在許多不同的端口上進行通信。
至此,我們形成了關于網絡的概貌:網絡是由機器通過電纜互連而成的,有的機器可能接入集線器、交換機或路由器,網絡使用某些協定和端口在資料包中傳輸二進制資訊。這是對網絡通信的一個很精确的刻畫,盡管非常簡單。
1.3 基本的網絡實用程式
在IP位址和URL之後,還需要熟悉一些基本的網絡實用程式。你可以在指令提示符下(Windows系統)或shell中(UNIX/Linux系統)執行一些網絡實用程式。許多讀者已經熟悉了Windows,是以本書将集中讨論如何在Windows指令提示符下執行指令。但必須強調的是,這些實用工具在所有作業系統中都可用。本節介紹幾個基本的或常用的實用程式。
1.3.1 ipconfig
你想要做的第一件事是擷取關于自己系統的資訊。要完成這個任務,必須首先獲得指令提示符。在Windows中,可以通過[開始/所有程式/附件]操作獲得指令提示符;也可以通過[啟動/運作]并輸入“cmd”來獲得指令提示符。在Windows 10中,可以在“搜尋”框中輸入“cmd”來獲得指令提示符。在指令提示符下,輸入ipconfig。在UNIX或Linux的shell中,也可以輸入ifconfig來使用該指令。輸入ipconfig(Linux中輸入ifconfig)後,應該會看到類似于圖1-1所示的内容。
該指令提供有關網絡連接配接的一些資訊,其中最重要的是找出自己的IP位址。該指令還顯示預設網關的IP位址,它是你與外部世界的連接配接點。運作ipconfig指令是确定系統網絡配置的第一步。本書提到的大多數指令(包括ipconfig)都有許多參數或标志,它們傳遞給指令進而使計算機以某種方式工作。要想弄清這些指令,你可以輸入指令後跟一個空格,然後再輸入連字元及問号“-?”即可。
如你所見,你可以使用多個選項來找出關于計算機配置的不同細節。最常用的方法可能是使用ipconfig /all,如圖1-2所示。
可以看到,使用這個選項顯示了更多資訊。例如,ipconfig /all可以顯示計算機的名稱、計算機什麼時間獲得IP位址等。
1.3.2 ping
另一個常用的指令是ping。ping指令向一台機器發送測試資料包,或者叫作回聲(echo)資料包,以檢視該機器是否可到達,以及資料包到達該機器需要多長時間。圖1-3展示了該指令。
圖中資訊顯示,一個32位元組的回聲資料包被發送到目的地并傳回。其中的“TTL”表示“生存時間”(Time To Live,TTL),它的時間機關是資料包在放棄傳送之前到達目的地最多經過多少中間步驟,或者是多少跳(hop)。由于Internet是一個龐大的互相連接配接的網絡,你的資料包可能不會直接送達目的地,而是要經過數跳才能到達。與ipconfig一樣,你可以輸入“ping -?”來找到各種細化ping指令的方法。
1.3.3 tracert
下一個要研究的指令是tracert。這個指令有點像豪華版的ping。tracert不僅告訴你資料包是否到達目的地以及它花了多長時間,而且還告訴你所有的中間跳。同樣的指令在Linux或UNIX中也存在,但它叫traceroute而不是tracert。圖1-4展示了這個實用程式。
使用tracert指令可以列出每個中間步驟的IP位址,以及到達該步驟所花費的時間(以毫秒為機關)。知道到達目的地所需的步驟是很重要的。如果你使用Linux,那麼請使用traceroute指令而不是tracert。
1.3.4 netstat
netstat是另一個很有趣的指令。它是Network Status(網絡狀态)的縮寫。基本上,這個指令會告訴你目前計算機有什麼連接配接。如果你看到有好幾個連接配接,不要驚慌,因為這并不意味着你的電腦被黑客攻擊。你會看到有許多私有IP位址,這表示你的網絡有正在進行的内部通信。在圖1-5中可以看到這一點。
當然,在使用網絡通信時還有其他的實用程式也可能對你有所幫助,但上面介紹的這四個是核心的實用程式。它們(ipconfig、ping、tracert和netstat)對每個網絡管理者來說絕對是必不可少的,你應該牢牢記住它們。
1.4 OSI模型
開放系統互連(Open Systems Interconnect,OSI)模型描述了網絡如何通信,參見表1-3。它描述了各種協定和活動,并說明協定和活動是如何互相關聯的。OSI模型分為七層,它最初是由國際标準化組織(International Organization for Standardization,ISO)在20世紀80年代開發的。
許多學習網絡的學生都會記住這個模型。至少,記住七層的名字并基本了解每一層的作用。從安全的角度看,你對網絡通信了解得越多,你的安全防禦等級就越高。對于OSI模型,你要了解的最重要的事情是,此模型描述了一個通信的分層結構,其中每一層僅與直接在其上方或下方的層進行交流。
1.5 對安全意味着什麼
本書從多個角度介紹安全,但本質上隻存在三種攻擊聚集點,因而也隻有三種安全聚集點(注意,這裡不是指攻擊途徑,因為存在很多攻擊途徑):
- 資料本身:資料離開你的網絡之後,資料包很容易被偵聽甚至被篡改。在本書後面讨論加密和虛拟專用網時,你将學習如何保護這些資料。當資料在計算機上存儲時,它也可能在靜止情況下被攻擊。
- 網絡連接配接點:無論是路由器還是防火牆,一台計算機連接配接到另一台計算機之間的任何位置都是可能被攻擊的位置,是以也是必須防禦的位置。在考察系統的安全性時,應該首先考察連接配接點。
- 人員:人員經常會帶來安全隐患。由于無知或惡意目的,或者由于簡單的錯誤,系統上的人員都可能危及系統的安全。
當你對本書進一步學習時,不要忽視了我們的基本目标,那就是保護網絡以及存儲和傳輸資料的安全。
1.6 評估針對網絡的可能威脅
在探索計算機安全話題之前,你必須首先對系統面臨的威脅形成現實的評估。其中的關鍵詞是“現實的”(realistic)。顯然,人們可以想象出某個非常精細、技術高超的潛在危險。然而,作為一名網絡安全專業人員,你必須将精力以及資源集中到最可能的危險上。在深入研究具體的危險之前,我們首先了解你的系統上可能面臨什麼類型的攻擊。
在這方面,針對計算機安全似乎有兩種極端的态度。第一個觀點認為,計算機系統幾乎沒有真正的危險或威脅,許多負面新聞僅僅是一種無根據的恐慌的反映。持這種态度的人通常認為,隻要采取很少的安全措施就應該能確定其系統的安全。不幸的是,一些處于決策位置的人持有這種觀點。這些人的普遍觀點是:“如果我們的計算機/機構迄今為止沒有受到攻擊,那麼我們一定是安全的。”
這種觀點常常導緻被動地對待計算機安全,也就是說,人們等到事件發生後才決定解決安全問題。等到攻擊發生時才解決安全問題可能為時已晚。在最好的情況下,這種安全事件可能僅對機構造成輕微的影響,比如一個緊急喚醒電話。在不太幸運的情況下,一個機構可能面臨嚴重的或許災難性的後果。例如,一些機構在WannaCry病毒攻擊它們的系統時,沒有有效的網絡安全系統抵禦攻擊。事實上,如果系統已經打更新檔,那麼WannaCry攻擊可以完全避免。必須避免這種對安全放任自流的方法。
任何擁有這種極端并且錯誤觀點的機構都可能在計算機安全方面幾乎不投入時間和資源。他們或許有一個基本的防火牆和防病毒軟體,但很可能幾乎沒有花費精力來確定這些東西被正确地配置或進行定期的更新。
第二種觀點認為,技術精湛的黑客可以随意穿越你的系統,并讓你的網絡癱瘓。把黑客技能想象成軍事經驗。找一個曾經在軍隊中的人并不難,但不容易碰到一個在三角洲部隊或海豹6隊的人。雖然軍事經驗相當普遍,但高水準的特種作戰技能卻并不常見。黑客技能也是如此。找到了解一些黑客技巧的人很容易,但找到真正熟練的黑客遠沒有那麼輕松。
實踐中:現實世界中的安全
每當我受邀完成一些咨詢或教育訓練任務時,都會看到許多不同的網絡環境。從這些經曆中,我逐漸得出這樣的觀點,即絕大部分機構對計算機安全都采取了非常不嚴謹的方法。下面是我認為的對安全采取不嚴謹行為的例子:
- 公司沒有任何類型的入侵檢測系統(第5章介紹)
- 公司沒有足夠的防病毒/防間諜軟體(第10章介紹)
- 公司的備份媒體不安全(第11章介紹)
- 公司沒有打更新檔的規劃(第8章介紹)
這些僅僅是機構沒有以适當方式處理網絡安全的幾個例子。
在網絡安全觀點的另一端,一些管理人員高估了安全威脅。他們認為,存在大量非常有天賦的黑客,這些黑客都是系統迫在眉睫的威脅。事實上,許多自稱黑客的人比他們自認為的懂得要少。即使是中等強度安全防範的系統,被這種技能級别的黑客所破壞的可能性也很低。
這并不意味着不存在高水準的黑客。這樣的人當然存在。但是,有能力攻入相對安全系統的人,必須使用相當耗時和煩瑣的技術來突破系統的安全防線。這些黑客還必須權衡攻擊任務的代價和收益。熟練的黑客傾向于無論在經濟上還是在意識形态上都有高收益的目标系統。如果一個系統看起來沒有足夠的收益,熟練的黑客不太可能會花費資源來攻擊它。以竊賊作一個很好的類比:高技能的竊賊确實存在,但他們通常尋求高價值目标,以小型企業和家庭為目标的竊賊通常技能都有限。對黑客而言也是如此。
供參考:技能型黑客與非技能型黑客
技能型黑客通常隻瞄準非常具有吸引力的站點。這些站點提供有價值的資訊或宣傳效果。軍用計算機—即使是沒有機密資訊的非常簡單的Web伺服器—也能提供很強的宣傳效果。另一方面,銀行通常擁有非常有價值的資訊。新手黑客通常從一個低價值的、本身不太安全的系統開始。低價值系統可能沒有任何有重大價值的資料或不能提供好的宣傳效果,大學的Web伺服器就是一個很好的例子。雖然新手黑客的技能不如老手,但數量更多。此外,金錢方面的收益并不是系統對黑客高手具有吸引力的唯一因素。如果黑客反對一個機構的意識形态立場(例如,如果一個機構出售大型運動型多用途車,而黑客認為這是糟糕的環境政策),那麼他可能會把該機構的系統作為攻擊目标。
對計算機系統危害的這兩種極端态度都是不準确的。确實存在有的人既了解計算機系統,又擁有攻擊很多系統(即使不是大多數系統)安全性的技能。然而,也确實許多自稱黑客的人并不像他們聲稱地具有那麼娴熟的技能。他們從Internet上得知一些流行詞,并确信自己擁有超強數字能力,但卻不能對即使中等安全程度的系統進行任何攻擊。
你可能會認為,慎之又慎或者極度勤勉應該是合适的方法。實際上,你不需要采取極端的觀點。你應該采取現實的安全觀點,制定切實可行的防禦政策。每個機構和IT部門都僅有有限的資源:你隻有這麼多的時間和金錢。如果浪費部分資源來防止不現實的威脅,那麼你可能沒有足夠的資源用于更實際的項目。是以,對網絡安全采取現實的方式是唯一切實可行的方法。
你或許奇怪,為什麼有些人會高估他們網絡的危險。至少在部分程度上,答案可以歸結于黑客社群的本質和媒體的宣傳。此外,Internet上充斥着聲稱擁有高超黑客技能的人。實際上,像人類工作的任何領域一樣,絕大多數人僅是平均水準。真正有天賦的黑客并不比真正有天賦的音樂會鋼琴家更常見。想想有多少人在他們一生中的某個階段都學過鋼琴課程,可又有多少人真正成為藝術家。
對計算機黑客而言也是如此。請記住,即使是那些擁有必備技能的人,也需要具有動機去花費必要的時間和精力來破壞系統。當遇到任何聲稱擁有網絡神力的人,不要忘記上述事實。
許多自稱黑客的人缺乏真實技能的說法并非基于任何研究或調查。關于這個話題進行可靠的研究是不可能的,因為黑客不太可能現身并參加技能測試。我基于以下兩點考慮得出了上述結論:
- 第一點是依據這些年我在黑客讨論組、聊天室和公告闆浏覽的經驗。在該領域20多年的工作中,我遇到過有天賦的、技術精湛的黑客,但我遇到更多的是自稱黑客但明顯缺乏足夠技能的人。我也常在黑客大會上演講,包括DEFCON大會,并在黑客雜志如《2600》上發表文章。我有機會與黑客社群進行廣泛的互動。
- 第二點是依據關于人性的一個事實,即在任何領域絕大多數人都是中等水準。想一想有那麼多在健身房接受正規訓練的人,成為有競争力的健美運動員的人卻鳳毛麟角。在任何領域,大多數參與者都是中等水準。這并不是貶損的話,隻不過是生活的一個事實。
這一說法并不意味着輕視黑客攻擊的危險,那根本不是我的本意。在沒有适當安全防範措施的情況下,即使一個不熟練的新手黑客也能侵入系統。即使準黑客沒有成功地攻破安全措施,他仍然相當令人讨厭。此外,某些形式的攻擊根本不需要太多技能。本書後面将讨論這些内容。
一種更全面的觀點(是以,是評估任何系統威脅等級的較好方法)是,在系統對潛在入侵者的吸引程度和系統已采取的安全措施之間進行權衡。正如你将看到的,任何系統的最大威脅并不是黑客,病毒及其他攻擊要盛行得多。威脅評估是一項複雜的、需要考慮多方面因素的任務。
1.7 威脅分類
你的網絡肯定面臨着真實的安全威脅,這些威脅可以以多種形式表現出來。有多種方式可用來對系統的威脅進行分類。可以按照造成的損害、執行攻擊所需的技能水準或者攻擊背後的動機等進行分類。根據本書的目标,我們按照威脅實際做的事情對其進行分類。基于這個思路,絕大多數攻擊都可以歸結為如下三大類型之一:
- 入侵
- 阻塞
- 惡意軟體
圖1-6展示了這三種類型。入侵類型包括那些破壞安全措施并獲得系統非授權通路的攻擊。該類攻擊包括任何旨在獲得對系統非授權通路的嘗試。這種威脅通常是黑客做的事情。第二類攻擊是阻塞,包括那些旨在阻止對系統進行合法通路的攻擊。阻塞攻擊通常稱為拒絕服務攻擊(Denial of Service,DoS)。在這種類型的攻擊中,攻擊的目的不是實際進入你的系統,而是簡單地阻止合法使用者的通路。
供參考:還有什麼其他攻擊?
第2章介紹的諸如緩沖區溢出(buffer overflow)等攻擊可歸結為多個威脅類型。例如,緩沖區溢出可用來關閉機器,進而成為阻塞型攻擊,也可以用來突破系統的安全措施,因而成為入侵型攻擊。但是,攻擊一旦實作後,它将确定歸屬于二者中的某一個類型。
第三類威脅是在系統上安裝惡意軟體(malware)。惡意軟體是對具有惡意目的的軟體的一個通用術語,它包括病毒攻擊、特洛伊木馬和間諜軟體。由于這類攻擊可能是對系統最普遍的威脅,是以我們首先來介紹它。
1.7.1 惡意軟體
惡意軟體可能是任何系統中最常見的威脅,包括家庭使用者系統、小型網絡以及大型企業的廣域網。之是以如此常見,原因之一是惡意軟體通常被設計成自行傳播,而不需要惡意軟體的創造者直接參與。這使得該種類型的攻擊更容易在Internet上傳播,是以攻擊範圍更廣。
惡意軟體中最顯而易見的例子就是計算機病毒。你可能對病毒有大概的了解。如果查閱不同的教科書,你可能會發現病毒的定義略有不同。其中的一個定義為:“通過修改其他程式,在其中加入自己可能進化了的副本,來感染其他程式的程式。”這是一個很好的定義,也是本書通篇所使用的定義。計算機病毒類似于生物病毒,既可以複制又可以傳播。最常見的傳播病毒的方法是使用受害者的電子郵件賬号,将病毒傳播到他的通訊錄中的每個人。有些病毒并不實際危害系統本身,但由于病毒複制引起網絡負載加大,是以它們都會造成網絡減速或關閉。
實踐中:真實的病毒
第2章和第9章将詳細讨論最初的MyDoom蠕蟲。MyDoom.BB病毒是2005年初開始傳播的MyDoom的一個變種。這種蠕蟲以java.exe或services.exe的形式出現在硬碟上。這一點對了解病毒很重要。許多病毒試圖以合法的系統檔案的面目出現,以防止你删除它們。自那時起,已經出現了很多種病毒,包括著名的Stuxnet(震網)、Flame(火焰)、WannaCry(永恒之藍)等。
這種特殊的蠕蟲把自己發送到你的位址簿中的每個人,是以傳播非常快。該蠕蟲試圖下載下傳一個後門程式,進而讓攻擊者通路你的系統。
從技術的角度來看,該蠕蟲最有趣的是它如何提取電子郵件位址。該蠕蟲使用了一種改進的電子郵件位址識别算法,它可以捕捉到如下電子郵件位址:
- [email protected]
- chuck-at-domain-dot-com
這些位址被蠕蟲轉換為可用的格式。許多其他的電子郵件提取引擎都被這類電子郵件位址替換所困擾。
另一種與病毒密切相關的惡意軟體類型是特洛伊木馬。這個術語是從古代傳說中借用的。在傳說中,特洛伊(Troy)城被圍困了很長時間,攻擊者久攻不下。他們建造了一個巨大的木馬(wooden horse),有天晚上将它放在特洛伊城的城門前。第二天早晨,特洛伊城的居民看到了木馬,認為這是一件禮物,于是就把木馬拉進了城内。他們不知道的是,有幾名士兵藏在木馬裡面。那天晚上,這些士兵們從木馬裡出來,打開了城門,讓他們的同伴攻進城内。一個電子形式的木馬以同樣的方式工作,它們看起來是良性軟體,但卻在内部将病毒或其他類型的惡意軟體秘密地下載下傳到你的計算機上。簡單地說,有一個誘人的禮物,你将它安裝在你的電腦上,後來發現它釋放了一些非你預期的東西。事實上,在非法軟體中更容易發現特洛伊木馬。Internet上有很多地方可以獲得盜版軟體。發現這樣的軟體實際上是特洛伊木馬的一部分并不罕見。
特洛伊木馬和病毒是兩種最常見的惡意軟體形式。第三種類惡意軟體是間諜軟體,它正以驚人的速度增長。間諜軟體是一種窺探你在電腦上所作所為的軟體。它可以像cookie一樣簡單,cookie是一個由浏覽器建立的并且存儲在你硬碟上的文本檔案。cookie從你通路的網站下載下傳到你的機器上,當你在之後傳回到同一網站時,網站可用它識别出你。這個檔案能夠讓你通路頁面更快速,避免頻繁通路頁面時必須多次輸入你的資訊。而為了做到這一點,就必須允許網站讀取該檔案,這就意味着其他網站也可以讀取它。該檔案儲存的任何資料都可以被任何網站檢索,是以,你浏覽Internet的整個曆史都可以被跟蹤。
另一種形式的間諜軟體稱為鍵盤記錄器(key logger),它能記錄你所有的擊鍵。有的還能周期性地拷貝你的電腦螢幕。然後,這些資料要麼被存儲起來供記錄器的安裝者随後進行檢索;要麼通過電子郵件立即發回給安裝者。在任何一種情況下,你在電腦上做的每件事都被記錄下來給了感興趣的人。
供參考:鍵盤記錄器
盡管我們将鍵盤記錄器定義為一個軟體,但需要注意的是,确實存在基于硬體的鍵盤記錄器。基于硬體的鍵盤記錄器比基于軟體的鍵盤記錄器要罕見得多。因為軟體鍵盤記錄器更容易安裝在目标機器上。硬體鍵盤記錄器要求實體接觸機器并安裝硬體。如果要在計算機使用者沒有察覺的情況下安裝鍵盤記錄器,那麼安裝實體裝置可能相當困難。軟體鍵盤記錄器可以通過特洛伊木馬進行安裝,攻擊者與目标計算機甚至不需要在相同的城市。
1.7.2 威脅系統安全—入侵
有人可能會辯解稱,任何類型的攻擊都旨在破壞安全性。然而,這裡的入侵是指那些實際上試圖侵入系統的攻擊。它們不同于簡單地拒絕使用者通路系統的攻擊(阻塞),或者那些不聚焦于特定目标的攻擊,如病毒和蠕蟲(惡意軟體)。入侵攻擊的目的是獲得特定目标系統的通路權,通常被稱為黑客攻擊,盡管這不是黑客自己使用的術語。黑客把這種攻擊稱為駭客攻擊(cracking),表示未經許可侵入系統,并且通常懷有惡意目的。通過某種作業系統缺陷或任何其他手段破壞安全性的攻擊都可以歸結為駭客攻擊。本書的後續内容會介紹一些侵入系統的具體方法。在許多情況下,這類攻擊都是利用一些軟體缺陷來獲得對目标系統的通路。
利用安全缺陷并不是侵入系統的唯一方法。事實上,有些方法在技術上更容易實作。例如,社會工程(social engineering)就是一種完全不以技術為基礎的破壞系統安全性的方法。顧名思義,社會工程更多依賴于人類本性而不是技術。這是著名的黑客Kevin Mitnick最常用的攻擊類型。社會工程使用标準的騙子技巧,使使用者提供通路目标系統所需的資訊。這種方法的工作原理相當簡單。攻擊者首先獲得關于目标機構的初步資訊,比如系統管理者的姓名,然後利用它從系統使用者那裡獲得更多資訊。例如,他可能給會計部門的某個人打電話,聲稱自己是公司的技術支援人員。入侵者可以使用系統管理者的姓名來證明自己說的是實話。之後他可以詢問各種問題來了解系統的更多細節。精明的入侵者甚至可以獲知使用者名和密碼。正如你所見,這種方法基于入侵者如何操縱人,而實際上與計算機技能沒有什麼關系。
社會工程和利用軟體缺陷并不是進行入侵攻擊的唯一手段。無線網絡的日益普及引發了新的攻擊類型。最明顯和最危險的活動是戰争駕駛(war-driving)。這種類型的攻擊是戰争撥号(war-dialing)的衍生物。在戰争撥号中,黑客用一台計算機按順序撥打電話号碼,直到另一台計算機響應,然後他嘗試進入對方系統。戰争駕駛使用了相同的概念,用于定位脆弱的無線網絡。在該類攻擊中,黑客簡單地駕車漫遊,試圖定位無線網絡。許多人忘記了,他們的無線網絡信号通常可達100英尺(約30.48米)遠,是以可以穿越牆壁。在年度黑客大會DEFCON 2003上,參賽者參加了一場戰争駕駛比賽,他們在城市裡四處駕駛,試圖找到盡可能多的脆弱的無線網絡。
1.7.3 拒絕服務
第三類攻擊是阻塞(blocking)攻擊,其中的一個例子是拒絕服務(Denial of Service,DoS)攻擊。在這種攻擊中,攻擊者并不實際通路系統,而是簡單地阻止合法使用者通路系統。用計算機應急響應小組協調中心(Computer Emergency Response Team/ Coordination Center,CERT/CC)的話說,“拒絕服務攻擊的特點是,攻擊者明确地試圖阻止服務的合法使用者使用該服務。”這裡所說的CERT是世界上第一個計算機安全事件響應小組。一種常用的阻塞攻擊方法是向目标系統注入大量虛假的連接配接請求,使得目标系統無暇響應合法請求。DoS是一種非常常見的攻擊,僅次于惡意軟體。
1.8 可能的攻擊
上面我們研究了各種可能的網絡威脅。顯然,有些威脅比其他威脅更容易發生。那麼,個人和機構面臨的現實危險是什麼?什麼是最有可能的攻擊?常見的漏洞有哪些?了解現有威脅的基本原理以及它們将給使用者和機構帶來問題的可能性非常重要。
供參考:攻擊的可能性
特定攻擊發生的可能性取決于網絡所服務機構的類型。這裡給出的資料适用于大多數網絡系統。顯然,許多因素會影響針對特定系統攻擊的可能性,包括系統的宣傳效果以及系統上資料的感覺價值。是以,在評估對網絡的威脅時,一定要謹慎行事。
對任何計算機或網絡來說,最可能的威脅是計算機病毒。例如,就在2017年10月的一個月内,McAfee列出了31種活躍病毒(
https://home.mcafee.com/virusinfo/virus-calendar)。每個月都會有幾種新病毒爆發。新的病毒不斷被建立,而舊的病毒仍然存在。
需要注意的一點是,許多人并沒有像他們應該做的那樣經常更新防病毒軟體。這個事實的證據是,在Internet上傳播的許多病毒都已經釋出了應對措施,但人們根本沒有應用它們。是以,即使病毒已為人所知,并且防禦措施已具備,但它依然能廣泛傳播,原因在于許多人沒有定期更新保護措施或清理自己的系統。如果所有的計算機系統和網絡都定期更新安全更新檔并部署病毒掃描軟體,那麼就會避免大量病毒的爆發,或者至少能将它們的影響降到最低。
阻塞攻擊已經成為除病毒外最常見的攻擊形式。你在本書後面将學到,阻塞攻擊比入侵攻擊更容易實作,是以發生得更頻繁。一名聰明的黑客可以在Internet上找到工具來幫助他發起阻塞攻擊。第2章将介紹更多關于阻塞攻擊和惡意軟體的内容。
無論計算機犯罪的本質是什麼,事實就是網絡犯罪很普遍。2016年開展的一項計算機犯罪調查發現,32%的機構曾遭受過網絡犯罪的影響,一些機構遭受的損失超過500萬美元。而隻有37%的受訪者有充分可行的應急事件響應計劃。
實踐中:什麼是“系統濫用”?
雇主和雇員對系統濫用(misuse)的看法經常不同。工作場所的所有系統都是雇主的财産。電腦、硬碟,甚至電子郵件都是雇主的财産。美國法律一直認為,雇主有權監控雇員的網絡使用,甚至是電子郵件。
大多數機構都有嚴格禁止任何除工作目的外使用計算機裝置的政策。Internet連接配接僅限于與工作相關的使用,而不能用于閱讀網站上的頭條。有些公司不介意員工在午餐期間将Internet用于個人目的。從安全的角度來看,管理者必須關注員工通路的網站。他們正在下載下傳Flash動畫嗎?他們正在下載下傳自己的螢幕保護程式嗎?下載下傳的任何東西對系統來說都是潛在的威脅。即使沒有下載下傳,也存在網站跟蹤使用者和他們的計算機資訊的可能性。從安全角度看,機構外的人對你的網絡資訊掌握得越少越好。任何一條資訊對黑客來說都可能有潛在的用途。
正如你将在第4章學到的,許多防火牆解決方案允許管理者阻塞某些網站,這是個經常使用的功能。公司最起碼應該有個非常明确的政策,确切地描述哪些活動是允許的,哪些是不允許的。政策中的任何模棱兩可都可能會在以後引起問題。在第11章中,你将學習更多關于定義和實作安全政策的内容。
1.9 威脅評估
當試圖評估機構的威脅等級時,管理者必須考慮許多因素。第一個因素前面已經提到過,即系統對黑客的吸引力。一些系統吸引黑客是因為其金錢價值。金融機構的系統為黑客提供了誘人的目标。其他系統吸引黑客是因為它們所支援機構的公衆形象。黑客被吸引到政府系統和計算機安全網站,僅僅是因為這些系統有很好的宣傳效果。如果黑客成功進入其中的一個系統,他将在黑客社群中獲得名聲和威望。學術機構受到黑客攻擊的頻率也很高。高中和大學有大量年輕的、精通電腦的學生,這種群體中黑客和潛在黑客的數量可能比一般大衆高。此外,學術機構在資訊安全方面的聲譽不太好。
第二個風險因素是系統中資訊的性質。如果一個系統擁有敏感或關鍵的資訊,那麼它的安全性要求較高。諸如社會保障号、信用卡号和醫療記錄等個人資料也有很高的安全要求。擁有敏感的研究資料或機密資訊的系統安全要求更高。
最後要考慮的因素是系統的流量。對系統進行某種遠端通路的人越多,存在的安全隐患就越大。例如,有大量使用者從網絡外面通路電子商務系統,其中的每個連接配接都代表着一個危險。相反,如果系統是自包含的,沒有外部連接配接,那麼它的安全風險就會減少。
綜合考慮系統對黑客的吸引力、系統存儲資訊的性質以及與系統遠端連接配接的數量這幾個因素後,管理者可以對系統的安全需求進行完整的評估。
下面的數值尺度可以為系統的安全需求提供一個基礎概括。
考慮了三個因素(吸引力、資訊内容和安全裝置)。每個因素指派一個1~10的數字。前兩個加在一起,然後減去第三個數。最終得分介于-8(極低風險,高安全性)到19(極高風險,低安全性)之間;數值越小系統越安全,數值越大風險越大。對一個系統來說,最好的評級如下:
- 對黑客的吸引力得分為1(即,系統幾乎不為人所知,在政治或意識形态方面沒有任何重要性等)。
- 在資訊内容方面得分為1(即,系統不包含機密或敏感資料)。
- 系統的安全性得分為10(即,系統擁有多層的、主動的安全防禦系統,包括防火牆、端口阻塞、防病毒軟體、IDS、防間諜軟體、合适的政策、所有的工作站和伺服器都得到安全加強,等等)。
其中,對吸引力的評估是非常主觀的。而評估資訊内容的價值或安全等級可以用很粗略但簡單的度量來完成。這個系統在第12章将再次提及并進一步擴充。
顯然,這個評估系統不是一門精确的科學,在某種程度上取決于個人對系統的評價。然而,這種方法确實為評估系統的安全提供了一個起點,當然它不是對安全的最終結論。
1.10 了解安全術語
在計算機安全領域學習時,你必須認識到,這門學科是安全專業人員和業餘黑客互相重合的領域。是以,該領域結合了來自這兩個領域的術語。本書的詞彙表是整個課程中非常有用的參考工具。
1.10.1 黑客術語
我們首先從黑客術語開始。請注意,這些術語不是精确的,許多定義都有争議。不存在官方的黑客詞彙表,這些術語都是通過在黑客社群的使用演變而來的。很顯然,研究這類術語應該從黑客(Hacker)的定義開始,這是一個在電影和新聞廣播中使用的術語。大多數人用它來描述任何闖入計算機系統的人。然而,安全專業人士和黑客自己對這個術語的使用不同。在黑客社群中,黑客是一個或多個特定系統的專家,他們想更深入地了解系統。黑客認為,檢查系統的缺陷是了解它的最好方法。
例如,一個精通Linux作業系統、通過檢查其弱點和缺陷來了解這個系統的人就是一個黑客。然而,這通常也意味着檢查是否可以利用一個缺陷來擷取系統的通路權。這個過程中的“利用”部分将黑客區分為三類人:
- 白帽黑客(White hat hackers)發現系統中的漏洞之後,會向系統的廠商報告該漏洞。例如,如果他們發現Red Hat Linux中的某個缺陷,他們就會給Red Hat公司發電子郵件(可能是匿名的),解釋缺陷是什麼以及如何利用它。
- 黑帽黑客(Black hat hackers)是通常媒體(如電影和新聞)中描述的黑客。它們在進入系統之後,目标是造成某種類型的損害。他們可能竊取資料、删除檔案或破壞網站。黑帽黑客有時被稱為駭客。
- 灰帽黑客(Gray hat hackers)通常是守法的公民,但在某些情況下會冒險從事非法活動。他們這樣做可能是因為各種各樣的原因。通常,灰帽黑客會出于他們認為的道德上的原因進行非法活動,比如入侵一個他們認為從事不道德活動的公司的系統。請注意,在許多教科書中都找不到這一術語,但它在黑客社群内部卻是一個常用術語。
不管黑客如何看待自己,未經許可侵入任何系統都是非法的。這意味着,從技術上來說,所有的黑客,不管他們隐喻上戴着什麼顔色的“帽子”,都在違反法律。然而,許多人認為,白帽黑客實際上是通過在有道德缺陷的人利用漏洞之前,發現缺陷并告知廠商來為社會提供服務的。
了解各種黑客類型隻是學習黑客術語的開始。回想一下,黑客是一個特定系統的專家。如果是這樣,那麼對于那些自稱是黑客卻缺乏專業知識的人,又使用什麼術語呢?對一個沒有經驗的黑客最常用的術語是腳本小子(script kiddy)。該名字來源于這樣一個事實:Internet上充斥着大量可以下載下傳的實用程式和腳本,人們可以下載下傳并執行一些攻擊任務。那些下載下傳這些工具而沒有真正了解目标系統的人被認為是腳本小子。實際上,相當多的自稱為黑客的人隻不過是腳本小子。
現在介紹一種特殊類型的黑客。駭客是指那些以危害系統安全為目标,而不是以了解系統為目标的人。黑帽黑客與駭客之間沒有差別。這兩個術語都是指破壞系統安全、在沒有得到相關機構許可的情況下侵入系統、帶有惡意目的的人。
什麼時候以及什麼原因會有人允許另一團體來攻擊/破解一個系統呢?最常見的原因是評估系統的脆弱性。這是黑客的另一種特殊類型—道德黑客(ethical hacker)或思匿客(sneaker)(一個很老的術語,現在不經常使用),他們是合法地攻擊/破解系統以評估安全缺陷的人。1992年Robert Redford、Dan Aykroyd以及Sydney Poitier主演了一部關于這個主題的電影,名為《Sneakers》。現在,有從事這種類型工作的顧問,你甚至可以找到專門從事這種活動的公司,因為有越來越多的公司使用這種服務來評估他們的脆弱性。今天,這類人通常稱為滲透測試者(penetration tester),或簡單地稱為pen tester。自本書釋出第一版以來,這個職業已經成熟。
對那些正在考慮成為滲透測試者或聘請滲透測試者的讀者,本書給你一個忠告:雇傭來評估系統脆弱性的任何人都必須技術精湛并且道德高尚。這意味着在安排他的服務之前應該對其進行犯罪背景審查。你肯定不想雇傭一個被定過罪的強盜來當你的守夜人。你也不應該考慮雇傭任何有犯罪前科的人,尤其是有計算機犯罪前科的人,來作為滲透測試者或道德黑客。有些人可能會争辯說,有前科的黑客(駭客)擁有最佳的資格來評估你的系統漏洞。但事實并非如此,理由如下:
- 你可以找到一些既知道和了解黑客技能又從未犯過任何罪的合法安全專業人員。你可以得到評估系統所需的技能,而不必使用一個已知存在缺陷的顧問。
- 如果你争辯說雇用有犯罪前科的黑客意味着雇傭了有天賦的人,那麼你可以推測,這個人并沒有想象中那麼好,因為他曾被抓住過。
最重要的是,讓一個有犯罪前科的人通路你的系統,就像雇傭一個多次犯酒駕罪的人作為你的司機。在這兩種情況下,你都是在惹禍,而且可能會招緻重大的民事和刑事責任。
此外,建議對滲透測試者的資格進行全面審查。正如一些人會謊稱自己是黑客高手一樣,有人會謊稱自己是訓練有素的滲透測試員。一個不合格的測試員可能會稱贊你的系統,而實際上是因為他沒有能力,不能成功地攻破你的系統。第12章将讨論評估目标系統的基本知識,以及為此目的所聘請顧問的必要資格。
黑客攻擊的另一個專業分支是攻入電話系統。這個子領域稱為飛客攻擊(phreaking)。新黑客詞典(New Hackers Dictionary)實際上把飛客攻擊定義為“為了不支付某種電信賬單、訂單、轉賬或其他服務,而采取惡作劇的大部分是非法的行為”(Raymond,2003)。飛客攻擊需要相當豐富的電信知識,許多飛客(phreaker)都有為電話公司或其他電信企業工作的專業經驗。這種類型的行為通常依賴于攻擊電話系統的專門技術,而不是僅僅了解某些技術。例如,需要用某些裝置攻擊電話系統。電話系統往往依賴于頻率。如果你有一個按鍵電話,你會注意到,當你按下按鍵時,每個按鍵都有不同的頻率。記錄和複制特定頻率的機器對于飛客攻擊來說常常是必不可少的。
1.10.2 安全術語
安全專業人員也有特定的術語。任何受過網絡管理教育訓練或有過網絡管理經驗的讀者可能都已經熟悉了其中的大部分。雖然大多數黑客術語是描述活動或執行它的人(飛客攻擊、思匿客等),但本書中的許多安全術語是關于裝置和政策的。這相當合理,因為攻擊是以攻擊者和攻擊方法為中心的攻擊性活動,而安全是與防禦屏障和防禦過程相關的防禦性活動。
第一個也是最基本的安全裝置是防火牆(firewall)。防火牆是處于網絡和外部世界之間的一個屏障。有時防火牆是一個獨立的伺服器,有時是一台路由器,有時是在機器上運作的軟體。不管它們的實體形式是什麼,其目的都是一樣的:過濾傳入和傳出網絡的流量。防火牆與代理伺服器(proxy server)相關,并且經常與代理伺服器一起使用。代理伺服器能向外界隐藏内部網絡的IP位址,使網絡對外表現為單一的IP位址(代理伺服器自己的IP位址)。
防火牆和代理伺服器被添加到網絡中後,可以為網絡提供基本的邊界安全防禦。他們過濾入站和出站的網絡流量,但不影響網絡中的流量。有時要在防火牆上增加入侵檢測系統(Intrusion Detection System,IDS)來增強防護能力。入侵檢測系統監視流量,以查找可能辨別具有入侵企圖的可疑活動。
通路控制(Access control)是另一個重要的計算機安全術語,在後面幾章中你會對它特别感興趣。通路控制是為限制資源通路所采取的所有方法的總和,包括登入過程、加密以及旨在防止未授權人員通路資源的任何方法。認證(Authentication)是通路控制的一個子集,可能是最基本的安全活動。認證是确定使用者或其他系統所提供的憑證(如使用者名和密碼)是否被授權通路所涉及網絡資源的過程。當使用者以使用者名和密碼登入時,系統嘗試驗證使用者名和密碼。如果認證通過,則使用者将被授權通路。
不可否認性(Non-repudiation)是另一個計算機安全中常遇到的術語。它是指任何用來確定在計算機上執行某一動作的人不能虛假地否認他曾執行過該動作的技術。不可否認性提供使用者在特定時間采取特定行動的可靠記錄。簡而言之,它是跟蹤什麼使用者采取什麼行動的方法。各種系統日志都提供了一種不可否認性的方法。審計(auditing)是最重要的安全活動之一,它是審閱日志、記錄和程式以确定它們是否符合标準的過程。本書很多章節都涉及這一活動,在第12章會重點介紹。審計十分關鍵,因為檢查系統是否采取了适當的安全措施是確定系統安全的唯一途徑。
最小權限(Least privileges)是你在向任何使用者或裝置配置設定權限時應該記住的一個概念。這個概念的含義是,你隻賦予一個人完成他的工作所需的最低限度的權限。要記住這個簡單卻很關鍵的概念。
你還應該記住CIA三角形(CIA triangle),即機密性(Confidentiality)、完整性(Integrity)和可用性(Availability)三個特性。所有的安全措施都應該影響這三者之中的一個或多個。例如,硬碟驅動器加密以及良好的密碼有助于保護機密性。數字簽名有助于確定完整性,好的備份系統或網絡伺服器備援可以支援可用性。
可以編寫一本完整的書來介紹計算機安全術語。上面介紹的這幾個術語應用很普遍,熟悉它們非常重要。本章末尾有一些練習将幫助你擴充關于計算機安全術語的知識。下面這些連結也很有幫助:
- 美國網絡安全職業和研究術語表: https://niccs.us-cert.gov/glossary
- SANS安全術語表: https://www.sans.org/security-resources/glossary-of-terms/
- NIST關鍵資訊安全術語表: http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf
供參考:審計與滲透測試
滲透測試者使用的測試過程實際上是一種特殊類型的審計。你可能想知道滲透測試和審計有什麼差別。普通的審計與滲透測試的差別在于其方法不同。普通的審計通常包括檢查法律、法規和标準的遵守情況,而滲透測試則試圖攻破系統以評估其安全性。傳統的審計包括檢視日志、檢查系統設定、確定安全符合某個特定的标準。而滲透測試者則簡單地試圖攻入系統。如果能成功的話,他們會記錄他們是如何做的,并說明如何阻止别人做同樣的事情。
1.11 選擇網絡安全模式
機構可以從幾種網絡安全模式(approach)中進行選擇。特定的模式或範型(paradigm)将影響所有後續的安全決策,并為整個機構的網絡安全基礎設施設定基調。網絡安全範型既可以按照安全措施的範圍(邊界、分層)來分類,也可以按照系統的主動性程度來分類。
1.11.1 邊界安全模式
在邊界安全(Perimeter Security)模式中,大部分的安全工作都集中在網絡的邊界上。這種聚焦在網絡邊界的工作可能包括防火牆、代理伺服器、密碼政策以及任何使網絡非授權通路變得不太可能的技術或程式,而針對網絡内部系統安全的工作極少或根本沒有。在這種方法中,邊界是被保護的,但邊界内部的各種系統往往是很脆弱的。
邊界安全模式顯然存在缺陷。但為什麼有些公司使用它呢?預算有限的小公司或缺乏經驗的網絡管理者可能會使用邊界安全模式。對于那些不存儲敏感資料的小型機構來說,這種模式或許已經足夠了,但對較大的公司卻不太有效。
1.11.2 分層安全模式
分層安全(Layered Security)模式是一種不僅要保護邊界的安全,而且要保護網絡内部各個系統安全的模式。網絡中的所有伺服器、工作站、路由器和集線器都是安全的。實作該模式的一種方法是将網絡劃分成段,并将每個段作為單獨的網絡進行保護。這樣,如果邊界安全被突破,那麼并不是所有的内部系統都會受到影響。隻要條件允許,分層安全模式是首選模式。
還可以用主動和/或被動的程度來評估安全模式。這可以通過度量系統的安全基礎設施和政策中有多少專門用于預防措施,有多少專門用于攻擊發生後對攻擊的響應來實作。
被動安全模式很少或沒有采取措施來防止攻擊。相反,動态安全模式,或稱主動防禦,則在攻擊發生之前采取一些措施防止攻擊的發生。主動防禦的一個例子是使用IDS,它用于檢測規避安全措施的企圖。一個破壞安全的企圖即使沒有成功,IDS也會告訴系統管理者該企圖的發生。IDS還可以用于檢測入侵者使用的攻擊目标系統的各種技術,甚至能在攻擊發起之前警告網絡管理者潛在攻擊企圖的存在。
1.11.3 混合安全模式
在現實世界中,網絡安全很少完全采用一種模式或另一種模式。網絡通常采用多種安全模式中的多種因素。上述兩種分類可以結合起來,形成混合模式。一個網絡可以主要是被動的,但同時也是分層的安全模式,或者主要是邊界安全模式,但同時也是主動的。考慮使用笛卡兒坐标系描述計算機安全的方法,其中,x軸表示方法的被動/主動水準,y軸描繪從邊界防護到分層防護的範圍,這種表示有助于了解該方法。最理想的混合模式是動态的分層模式。
1.12 網絡安全與法律
越來越多的法律問題影響着管理者如何管理網絡安全。如果你所在機構是一家上市公司、一家政府機構,或者與它們有生意往來的機構,那麼如何選擇你的安全模式可能存在法律上的限制。法律限制包括影響資訊如何存儲或通路的任何法律。Sarbanes-Oxley(本章後面将詳細讨論)就是一個例子。即使你的網絡在法律上不受這些安全指南的限制,但了解影響計算機安全的各種法律,并得出可能适用你自己安全标準的想法也是有用的。
在美國,影響計算機安全的、最古老的立法之一是頒布于1987年的計算機安全法案(Computer Security Act of 1987)(1987,第100屆國會)。該法案要求政府機構确定敏感系統、進行計算機安全教育訓練,并制定計算機安全計劃。由于該法律要求美國聯邦機構在沒有規定任何标準的情況下建立安全措施,是以是一個模糊的指令。
這項立法建立了制定具體标準的法律授權,為未來的指南和規則鋪平了道路。也有助于定義某些術語,如根據立法中的下述論述,可以确定什麼資訊是“敏感的”:
Sensitive information is any information, the loss, misuse, or unauthorized access to or modification of which could adversely affect the national interest or the conduct of Federal programs, or the privacy to which individuals are entitled under section 552a of title 5, United States Code (the Privacy Act), but which has not been specifically authorized under criteria established by an Executive order or an Act of Congress to be kept secret in the interest of national defense or foreign policy.
記住這個定義,因為不僅僅是社會保障資訊(Social Security information)或病例(medical history)需要安全保護。當考慮哪些資訊需要安全保護時,隻需簡單地問一個問題:這些資訊的非授權通路或者修改會對我的機構産生不利影響嗎?如果答案是“是”,那麼就必須認為該資訊是“敏感”的,需要安全防範措施。
另一個更具體的、适用于政府系統強制安全的聯邦法律是OMB Circular A-130(具體來說,是附錄3)。該檔案要求聯邦機建構立包含特定要素的安全程式。該檔案描述了制定計算機系統标準的要求以及政府機構持有記錄的要求。
美國大多數州都有關于計算機安全的具體法律,比如佛羅裡達州的計算機犯罪法案(Computer Crimes Act of Florida)、阿拉巴馬州的計算機犯罪法案(Computer Crime Act of Alabama)和奧克拉荷馬州的計算機犯罪法案(Computer Crimes Act of Oklahoma)。任何負責網絡安全的人都有可能參與犯罪調查。可能是對黑客攻擊事件的調查,也可能是對員工濫用計算機資源的調查。無論是什麼性質的犯罪引起的調查,清楚你所在州的計算機犯罪法律是非常重要的。在
http://www.irongeek.com/i.php?page=computerlaws/state-hacking-laws上列出了各州适用于計算機犯罪的法律。該清單來自進階實驗室工作站(Advanced Laboratory Workstation,ALW)、美國健康研究院(National Institutes for Health,NIH)和資訊技術中心(Center for Information Technology)。
請記住,任何規範隐私的法律,如健康保險流通與責任法案(Health Insurance Portability and Accountability Act, HIPAA)涉及醫療記錄,都對計算機安全有直接影響。如果一個系統被攻破,并且隐私法規所涵蓋的資料受到損害,可能你就需要證明自己履行了保護這些資料應盡的職責。如果發現你沒有采取适當的預防措施,就會導緻承擔民事責任。
與商業網絡安全相關度更高的法律是Sarbanes-Oxley,常被稱為SOX(
http://www.soxlaw.com/)。該法律規定了公開上市交易的公司如何存儲和報告财務資料,其中保護這些資料的安全是很重要的一部分。顯然,全面介紹這個法律已經超出了本章範圍,甚至超出了本書範圍。值得指出的是,網絡安全除了是一門技術學科外,還必須考慮商業和法律後果。
1.13 使用安全資源
在閱讀本書或進入專業世界時,你經常需要一些額外的安全資源。本節介紹一些最重要的資源,以及那些對你來說可能很有用的資源。
- CERT(www.cert.org/ )。CERT代表卡内基梅隆大學發起的計算機應急響應小組(Computer Emergency Response Team, CERT)。CERT是第一個計算機應急事件的響應隊伍,目前仍然是業界最受尊敬的組織之一。任何對網絡安全感興趣的人都應該定期通路它的網站。網站上有豐富的文檔,包括安全政策指南、前沿安全研究、安全警報以及其他更多内容。
- 微軟安全技術中心( https://technet.microsoft.com/en-us/security )。這個站點特别有用,因為有太多的計算機運作微軟的作業系統。這個網站是所有微軟的安全資訊、工具和更新的門戶。微軟軟體的使用者應該定期通路這個網站。
- F-安全公司(F-Secure Corporation, www.f-secure.com/ )。除了其他内容之外,這個網站是一個關于病毒爆發詳細資訊的存儲庫。在這裡你能找到關于特定病毒的通知和詳細資訊。這些資訊包括病毒如何傳播、識别病毒的方法以及清除特定病毒感染的具體工具。
- F-安全實驗室(www.f-secure.com/en/web/labs_global/home )。
- 美國系統網絡安全協會(www. sans.org/ )。該網站提供計算機安全幾乎所有方面的詳細文檔。SANS研究所還贊助了許多安全研究項目,并在其網站上釋出有關這些項目的資訊。
1.14 本章小結
對網絡的威脅在日益增長。我們看到越來越多的黑客攻擊、病毒以及其他形式的攻擊。危險在增大,同時法律壓力(如HIPAA和SOX)也在增大,是以網絡管理者的網絡安全需求在日益增長。為了滿足這一需求,你必須全面了解你的網絡存在的威脅,以及你可以采取的對策。這要從對網絡威脅的現實評估開始。
本章介紹了網絡安全的基本概念、威脅的一般分類以及基本的安全術語。後續章節将詳細闡述這些資訊。
1.15 自測題
1.15.1 多項選擇題
1.下列哪項不是威脅的三種主要類型之一?
A.拒絕服務攻擊
B.計算機病毒或蠕蟲
C.實際入侵系統
D.網絡拍賣欺詐
2.下列哪一個是病毒最準确的定義?
A.通過電子郵件傳播的任何程式
B.攜帶惡意負載的任何程式
C.任何自我複制的程式
D.任何可能破壞你系統的程式
3.如果一個觀點過于謹慎,是否有什麼理由不采取這個極端的安全觀點?
A.不,沒有理由不采取如此極端的觀點
B.是的,這可能導緻資源浪費在不太可能的威脅上
C.是的,如果你準備犯錯誤,那麼假設幾乎沒有什麼現實威脅
D.是的,這需要你提高安全技能,以便實施更嚴格的防禦
4.什麼是計算機病毒?
A.任何未經你的許可下載下傳到你系統中的程式
B.任何自我複制的程式
C.任何對你的系統造成傷害的程式
D.任何可以更改Windows系統資料庫的程式
5.下面哪個是間諜軟體的最好定義?
A.任何記錄擊鍵的軟體
B.任何用于收集情報的軟體
C.任何監視你的系統的軟體或硬體
D.任何監視你通路哪些網站的軟體
6.下列哪一項是道德黑客術語的最佳定義?
A. 一個攻擊系統卻沒被抓住的業餘愛好者
B. 一個通過僞造合法密碼來攻擊系統的人
C. 一個為測試系統漏洞而攻擊系統的人
D. 一個業餘黑客
7.描述攻擊電話系統的術語是什麼?
A. Telco-hacking
B. Hacking
C. Cracking
D. Phreaking
8.下列哪一個是惡意軟體的最佳定義?
A. 具有惡意目的的軟體
B. 自我複制的軟體
C. 損害你系統的軟體
D. 系統中任何未正确配置的軟體
9.下列哪一項是戰争駕駛的最佳定義?
A. 在攻擊和搜尋計算機作業時駕駛
B. 在使用無線連接配接進行攻擊時駕駛
C. 駕車尋找可攻擊的無線網絡
D. 驅車并尋找黑客對手
10.下列哪一項是最基本的安全活動?
A. 安裝防火牆
B. 認證使用者
C. 控制對資源的通路
D. 使用病毒掃描器
11.阻塞攻擊的目的是什麼?
A. 在目标機器上安裝病毒
B. 關閉安全措施
C. 阻止合法使用者通路系統
D. 攻入目标系統
12.安全的三種模式是什麼?
A. 邊界、分層及混合
B. 高安全、中等安全和低安全
C. 内部、外部和混合
D. 邊界、完全、無
13.入侵檢測系統是如下哪項内容的例子?
A. 主動安全
B. 邊界安全
C. 混合安全
D. 良好的安全實踐
14.下列哪一項最有可能被歸類為系統濫用?
A. 利用Web查找競争對手的資訊
B. 偶爾接收個人電子郵件
C. 用你的工作計算機做自己的(非公司的)業務
D. 午餐期間在網上購物
15.最理想的安全模式是:
A. 邊界和動态
B. 分層和動态
C. 邊界和靜态
D. 分層和靜态
16.當評估一個系統的威脅時,你應該考慮哪三個因素?
A. 系統的吸引力、系統中包含的資訊以及系統的流量
B. 安全團隊的技術水準、系統的吸引力和系統的流量
C. 系統的流量、安全預算和安全團隊的技術水準
D. 系統的吸引力、系統中包含的資訊和安全預算
17.下列哪一項是不可否認性的最佳定義?
A. 不允許潛在入侵者否認他的攻擊的安全屬性
B. 驗證哪個使用者執行什麼動作的過程
C. 是使用者認證的另一個術語
D. 通路控制
18.以下哪些類型的隐私法律影響計算機安全?
A. 美國任何州的隐私法律
B. 美國任何适用于你所在機構的隐私法律
C. 美國任何隐私法律
D. 美國任何聯邦隐私法律
19.第一個計算機應急響應小組隸屬于哪所大學?
A. 普林斯頓大學
B. 卡内基梅隆大學
C. 哈佛大學
D. 耶魯大學
20.下列哪一項是“敏感資訊”的最佳定義?
A.軍事或國防相關的資訊
B.任何價值超過1000美元的資訊
C.任何如果被未授權的人員通路就可能損害你所在機構的資訊
D.任何具有貨币價值并受隐私法律保護的資訊
21.下列哪一項很好地定義了道德黑客與審計者之間的主要差別?
A.沒有差別
B.道德黑客往往缺乏技能
C.審計者往往缺乏技能
D.道德黑客傾向于使用更多非正常的方法
1.15.2 練習題
練習1.1 本月發生了多少次病毒攻擊?
1.使用各種網站,确定本月報告的病毒攻擊數量。你可能會發現,諸如www.f-secure.com這樣的網站對找到這類資訊很有幫助。
2.将這一數字與過去三個月、九個月和十二個月的病毒爆發數量進行比較。
3.病毒攻擊頻率是增加了還是減少了?舉例來支援你的答案,并說明過去一年病毒攻擊估計的變化數量。
練習1.2 特洛伊木馬攻擊
1.使用Internet、期刊、書籍或其他資源,找到在過去九個月内發生的一次特洛伊木馬攻擊事件。
2.這個特洛伊木馬是怎麼傳播的?它造成了什麼損害?
3.描述這個木馬攻擊,包括:
- 任何具體的目标
- 攻擊肇事者是否已被逮捕和/或被起訴
- 關于該攻擊,釋出了什麼類型的安全警告,給出了什麼防禦措施
練習1.3 計算機犯罪的近期趨勢
1.使用你喜歡的搜尋引擎,找到關于計算機犯罪的最新調查。
2.注意哪些領域的計算機犯罪有所增加和減少。
3.描述本次調查與2002年公布的調查之間的變化。
4.這兩項調查告訴你計算機犯罪的趨勢是什麼?
5.哪個領域的計算機犯罪增長最快?
練習1.4 黑客攻擊術語
使用New Hacker抯 Dictionary(新黑客字典),網址為:
http://www.outpost9.com/reference/jargon/jargon_toc.html,定義以下術語。然後檢查Internet(網頁、聊天室或電子公告牌),為每個術語找到一個用例。
- daemon(守護程式)
- dead code(死碼)
- dumpster diving(垃圾搜尋)
- leapfrog attack(跳步攻擊)
- kluge(雜湊攻擊)
- nuke(核彈)
練習1.5 安全專業術語
使用本章中讨論的三個詞彙表之一,定義下列術語:
- access control list(通路控制清單)
- adware(廣告軟體)
- authentication(認證)
- backdoor(後門)
- buffer(緩沖區)
- HotFix(熱更新檔)
1.15.3 項目題
項目1.1 了解病毒
1.使用你最喜歡的搜尋引擎進行搜尋,找到一種在過去六個月裡釋出的病毒。你可以在www.f-secure.com 這類網站上找到這些資訊。
2.描述你選擇的病毒是如何工作的,包括它使用的傳播方法。
3.描述該病毒造成的損害。
4.該病毒有特定的目标嗎?
5.病毒攻擊的肇事者被抓獲和/或被起訴了嗎?
6.關于該病毒攻擊釋出了什麼類型的安全警告?
7.給出了哪些措施來防禦它?
8.對該病毒最恰當的描述是病毒還是蠕蟲?
項目1.2 安全專業
利用包括Web在内的各種資源,找出計算機安全管理者工作所需的資質。你需要找出所需的具體技術、工作經驗、教育水準以及任何認證。本項目可以幫你了解,業界認為的安全專業人員要了解的最重要的主題是什麼。可以提供幫助的網站包括:
www.computerjobs.com
www.dice.com
www.monster.com
項目1.3 查找網絡資源
本章提供了幾個很好的安全資訊Web資源。現在,你應該使用Internet來确定三個你認為對安全專業人員有益、能提供可靠和有效資訊的網站。解釋為什麼你認為它們是有效的資訊來源。
注意:你可能會在後續章節的練習和項目中使用這些資源,是以一定要確定你可以依賴它們所提供的資料。