|网|

网络泄密背后脆弱的网站和法律防火墙(3)

发布时间:2012-01-10 10:09 作者:中国信息安全博士网来源:财新网点击:加载中...次

致命的漏洞

2011年的最后一周，风声鹤唳、人人自危，改密码改到手软，从社交网站、门户网站乃至电子商务网站，其庞大的客户信息数据库都在黑客面前不堪一击。

这只是黑客产业链的冰山一角。现在所公布出来的数据库，也只是被几乎榨干了所有价值的过期数据库，无从得知哪些更重要的信息已经被黑客掌握。

网络虚拟世界与现实世界的界限正在模糊，当虚拟空间能够体现越来越多现实世界利益时，虚拟世界中的漏洞，就成为黑客攫取价值的源泉。

拖库攻击

专门针对网站数据库中的账户进行窃取，可以追溯到2001年。从事数据库安全服务的安恒信息技术有限公司（下称安恒信息）一位技术负责人介绍，随着网络游戏的兴起，虚拟物品和虚拟货币的价值逐步被人们认可，网络上出现了多种途径可以将虚拟财产转化成现实货币，针对游戏账号攻击的逐步兴起，并发展成庞大的虚拟资产交易市场。

这种针对数据库记录的窃取，被一些攻击者称为“拖库”。在成为黑客专有名词之前，拖库（Drag）一词多用于数据库程序员从数据库导出数据。如今，“要致富，先拖库”已经成为黑客圈内的流行语。

2004年-2007年，相对于通过木马传播方式获得的用户数据，攻击者采用入侵目标信息系统获得数据库信息，其针对性与攻击效率都有显著提高。在巨额利益驱动下，网络游戏服务端成为黑客“拖库”的主要目标。

2008年-2009年，国内信息安全立法和追踪手段升级，攻击者针对中国境内网络游戏的攻击日趋收敛，残余攻击者的操作手法愈加精细和隐蔽，攻击目标也随着电子交易系统的发展扩散至电子商务、彩票、境外赌博等主题网站，并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业价值，成为攻击者的“拖库”的目标。

2010年，攻防双方经历了多年的博弈，通过收集分析管理员、用户信息等一系列被称作“社会工程学”手段的攻击效果被广大黑客认可。

由于获得更多的用户信息数据有利于提高攻击的实际效率，攻击者将目标指向了拥有大量注册用户真实详细信息的社区及社交网站，并在地下建立起“人肉搜索库”，只要获知某用户常用ID或电子邮件，可以直接搜索出其密码或常用密码密文。

一家国际安全公司中国区总裁对财新《新世纪》记者说，天涯、人人网这类站点的账号信息主要通过后台庞大的数据库进行存储，通过前台页面交互和数据库接口进行数据访问。由于信息需要通过网络传输，到达操作系统中的数据库文件，因此在传输、调用和存储等环节都会被黑客利用。

防不胜防

各大网站为自己设置的保护方式包括防火墙、杀毒软件以及入侵预防系统，但黑客依然如入无人之境。传统的网络安全设备对于应用层的攻击防范，作用十分有限。

防火墙的工作方式，是根据数据包的IP地址或服务端口（Ports）过滤数据包，而不会深入数据包检查内容。因此，它对于利用合法网址和端口却从事破坏的活动无能为力。

每种攻击代码都具有只属于它自己的特征，病毒之间通过各自不同的特征互相区别，同时也与正常的应用程序代码相区别。杀毒软件就是通过储存所有已知的病毒特征来辨认病毒，但这意味着它无法应对新“研发”出来的病毒。

作为防火墙和杀毒软件的补充，入侵侦查系统（Intrusion Detection System，IDS）或入侵预防系统（Intrusion Prevention System，IPS），可以同时结合考虑应用程序或网路传输中的异常情况，来辅助识别入侵和攻击。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据。

以前在网络安全公司做技术负责人、现在一家证券公司做IT维护主管的邬晓磊告诉财新《新世纪》记者，一般来说，网站都要加防火墙和检测设备，但是光设备也不一定完全有用，还要看服务器中的设置是否有问题，应用程序上是否有漏洞。服务器漏洞多数是操作系统本身的问题，应用程序的漏洞则是编程严谨性的问题。他认为，程序员写程序以完成功能为主，一般不会太注意安全性。由于Web应用的登录入口表明了与用户数据表之间的关联性，通过入侵Web网站获得数据库信息，是针对网站数据库攻击的主要入手点。

常见的攻击手法包括，寻找目标网站程序中存在的SQL注入、非法上传、后台管理权限等漏洞。这些漏洞均是应用层或者说是代理层面的安全问题。如果程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患，黑客可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据。

SQL注入是从正常的Web端口访问，而且看起来跟一般的Web访问没什么区别，所以防火墙不会对SQL注入发出警报。如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。

在找到漏洞后，攻击者通过漏洞添加一个以网页脚本方式控制网站服务器的后门，而后通过这一后门提升权限，获得对服务器主机操作系统的控制权，并通过查看网站数据库链接文件，获得数据库的链接密码；通过在服务器上镜像数据库连接，将目标数据库中的信息导入至攻击者本地数据库，完成拖库。

一台计算机有65535个端口，如果把计算机看做一间屋子，65535个端口就可以看做与外界连接所开的65535扇门。有的门是主人特地打开迎接客人的（提供服务），有的门是主人为了出去访问客人而开设的（访问远程服务）。理论上，剩下的其他门都该是关闭着的，但偏偏由于各种原因，很多门都是开启的。于是就有好事者进入，这扇悄然被开启的门——就是“后门”。

(责任编辑：)