|
计算机泄密的主要途径
做好计算机信息处系统的保密工作是我们面临的新课题,突出表现是计算机系统容易泄密和被窃密。
1、计算机电磁波辐射泄漏
一类传导发射,通过电源线和信号线辐射
另一类是由于设备中的计算机处理机、显示器有较强的电磁辐射。
计算是靠高频脉冲电路工作的,由于电磁场的变化,必然要向外辐射电磁波。这些电磁波会把计算机中的信息带出去,犯罪分子只要具有相应的接收设备,就可以将电磁波接收,从中窃得秘密信息。据国外试验,在1000米以外能接收和还原计算机显示终端的信息,而且看得很清晰。微机工作时,在开阔地带距其100米外,用监听设备就能收到辐射信号。
这类电磁辐射大致又分为两类:
第一类是从计算机的运算控制和外部设备等部分辐射,频率一般在10兆赫到1000兆赫范围内,这种电磁波可以用相应频段的接收机接收,但其所截信息解读起来比较复杂。
第二类是由计算机终端显示器的阴极射线管辐射出的视频电磁波,其频率一般在6.5兆赫以下。对这种电磁波,在有效距离内,可用普通电视机或相同型号的计算机直接接收。接收或解读计算机辐射的电磁波,现在已成为国外情报部门的一项常用窃密技术,并已达到很高水平。
2.计算机网络化造成的泄密
由于计算机网络结构中的数据是共享的,主机与用户之间、用户与用户之间通过线路联络,就存在许多泄密漏洞。
(1)计算机联网后,传输线路大多由载波线路和微波线路组成,这就使计算机泄密的渠道和范围大大增加。网络越大,线路通道分支就越多,输送信息的区域也越广,截取所送信号的条件就越便利,窃密者只要在网络中任意一条分支信道上或某一个节点、终端进行截取。就可以获得整个网络输送的信息。
(2)黑客通过利用网络安全中存在的问题进行网络攻击,进入联网的信息系统进行窃密。
(3)INTERNET造成的泄密
在INTERNET上发布信息把关不严;INTERNET用户在BBS、网络新闻组上网谈论国家秘密事项等;
使用INTERNET传送国家秘密信息造成国家秘密被窃取;内部网络连接INTERNET遭受窃密者从INTERNET攻击进行窃密;处理涉密信息的计算机系统没有与INTERNET进行物理隔离,使系统受到国内外黑客的攻击;间谍组织通过INTERNET搜集、分析、统计国家秘密信息。
(4)在INTERNET上,利用特洛尹木马技术,对网络进行控制,如BO、BO2000。
(5)网络管理者安全保密意识不强,造成网络管理的漏洞。
3、计算机媒体泄密
越来越多的秘密数据和档案资料被存贮在计算机里,大量的秘密文件和资料变为磁性介质和光学介质,存贮在无保护的介质里,媒体的泄密隐患相当大。
(1)用过程的疏忽和不懂技术。存贮在媒体中的秘密信息在联网交换被泄露或被窃取,存贮在媒体中的秘密信息在进行人工交换时泄密。
(2)大量使同磁盘、磁带、光盘等外存贮器很容易被复制。
(3)处理废旧磁盘时,由于磁盘经消磁十余次后,仍有办法恢复原来记录的信息,存有秘密信息的磁盘很可能被利用磁盘剩磁提取原记录的信息。这很容易发生在对磁盘的报废时,或存贮过秘密信息的磁盘,用户认为已经清除了信息,而给其它人使用。
(4)计算机出故障时,存有秘密信息的硬盘不经处理或无人监督就带出修理,或修理时没有懂技术的人员在场监督,而造成泄密。
(5)媒体管理不规范。秘密信息和非秘密信息放在同一媒体上,明密不分,磁盘不标密级,不按有关规定管理秘密信息的媒体,容易造成泄密。
(6)媒体失窃。存有秘密信息的磁盘等媒体被盗,就会造成大量的国家秘密外泄其危害程度将是难以估量的。各种存贮设备存贮量大,丢失后造成后果非常严重。
(7)设备在更新换代时没有进行技术处理。
4.内部工作人员泄密
(1)无知泄密。如由于不知道计算机的电磁波辐射会泄露秘密信息,计算机工作时未采取任何措施,因而给他人提供窃密的机会。又如由于不知道计算机软盘上剩磁可以提取还原,将曾经存贮过秘密信息的软盘交流出去或废旧不作技术处理而丢掉,因而造成泄密。不知道上INTERNET网时,会造成存在本地机上的数据和文件会被黑客窃走。网络管理者没有高安全知识。
(2)违反规章制度泄密。如将一台发生故障的计算机送修前既不做消磁处理,又不安排专人监修,造成秘密数据被窃。又如由于计算机媒体存贮的内容因而思想麻痹,疏于管理,造成媒体的丢失。违反规定把用于处理秘密信息的计算机,同时作为上INTERNET的机器。使用INTERNET传递国家秘密信息等。
(3)故意泄密。外国情报机关常常采用金钱收买、色情引和策反别国的计算机工作人员。窃取信息系统的秘密。如程序员和系统管理员被策反,就可以得知计算机系统软件保密措施,获得使用计算机的口令或密钥,从而打入计算机网络,窃取信息系统、数据库内的重要秘密;操作员被收买,就可以把计算机保密系统的文件、资料向外提供。维修人员被威胁引诱,就可对用进入计算机或接近计算机终端的机会,更改程序,装置窃听器等。
网络安全中黑客主要手段和攻击方法
(一)黑客常用手段
1、网络扫描--在Internet上进行广泛搜索,以找出特定计算机或软件中的弱点。
2、网络嗅探程序--偷偷查看通过Internet的数据包,以捕获口令或全部内容。通过安装侦听器程序来监视网络数据流,从而获取连接网络系统时用户键入的用户名和口令。
3、拒绝服务 -通过反复向某个Web站点的设备发送过多的信息请求,黑客可以有效地堵塞该站点上的系统,导致无法完成应有的网络服务项目(例如电子邮件系统或联机功能),称为“拒绝服务”问题。
4、欺骗用户--伪造电子邮件地址或Web页地址,从用户处骗得口令、信用卡号码等。欺骗是用来骗取目标系统,使之认为信息是来自或发向其所相信的人的过程。欺骗可在IP层及之上发生(地址解析欺骗、IP源地址欺骗、电子邮件欺骗等)。当一台主机的IP地址假定为有效,并为Tcp和Udp服务所相信。利用IP地址的源路由,一个攻击者的主机可以被伪装成一个被信任的主机或客户。
5、特洛伊木马--一种用户察觉不到的程序,其中含有可利用一些软件中已知弱点的指令。
6、后门--为防原来的进入点被探测到,留几个隐藏的路径以方便再次进入。
7、恶意小程序--微型程序,修改硬盘上的文件,发送虚假电子邮件或窃取口令。
8、竞争拨号程序--能自动拨成千上万个电话号码以寻找进入调制解调器连接的路径。逻辑炸弹计算机程序中的一条指令,能触发恶意操作。
9、缓冲器溢出-- 向计算机内存缓冲器发送过多的数据,以摧毁计算机控制系统或获得计算机控制权。
10、口令破译--用软件猜出口令。通常的做法是通过监视通信信道上的口令数据包,破解口令的加密形式。
11、社交工程--与公司雇员谈话,套出有价值的信息。
12、垃圾桶潜水--仔细检查公司的垃圾,以发现能帮助进入公司计算机的信息。
(二)黑客攻击的方法:
1、隐藏黑客的位置
典型的黑客会使用如下技术隐藏他们真实的IP地址:
利用被侵入的主机作为跳板;
在安装Windows 的计算机内利用Wingate 软件作为跳板;利用配置不当的Proxy作为跳板。
更老练的黑客会使用电话转接技术隐蔽自己。他们常用的手法有:利用800 号电话的私人转接服务联接ISP, 然后再盗用他人的账号上网;通过电话联接一台主机,再经由主机进入Internet。
使用这种在电话网络上的"三级跳"方式进入Internet 特别难于跟踪。理论上,黑客可能来自世界任何一个角落。如果黑客使用800号拨号上网,他更不用担心上网费用。
2、网络探测和资料收集
黑客利用以下的手段得知位于内部网和外部网的主机名。
使用nslookup 程序的ls 命令;
通过访问公司主页找到其他主机;
阅读FTP服务器上的文挡;
联接至mailserver 并发送 expn 请求;
Finger 外部主机上的用户名。
在寻找漏洞之前,黑客会试图搜集足够的信息以勾勒出整个网络的布局。利用上述操作得到的信息,黑客很容易列出所有的主机,并猜测它们之间的关系。
3、找出被信任的主机
黑客总是寻找那些被信任的主机。这些主机可能是管理员使用的机器,或是一台被认为是很安全的服务器。
一步,他会检查所有运行nfsd或mountd的主机的NFS输出。往往这些主机的一些关键目录(如/usr/bin、/etc和/home)可以被那台被信任的主机mount。
Finger daemon 也可以被用来寻找被信任的主机和用户,因为用户经常从某台特定的主机上登录。
黑客还会检查其他方式的信任关系。比如,他可以利用CGI 的漏洞,读取/etc/hosts.allow 文件等等。
分析完上述的各种检查结果,就可以大致了解主机间的信任关系。下一步, 就是探测这些被信任的主机哪些存在漏洞,可以被远程侵入。
4、找出有漏洞的网络成员
当黑客得到公司内外部主机的清单后,他就可以用一些Linux 扫描器程序寻找这些主机的漏洞。黑客一般寻找网络速度很快的Linux 主机运行这些扫描程序。
所有这些扫描程序都会进行下列检查:
TCP 端口扫描;
RPC 服务列表;
NFS 输出列表;
共享(如samba、netbiox)列表;
缺省账号检查;
Sendmail、IMAP、POP3、RPC status 和RPC mountd 有缺陷版本检测。
进行完这些扫描,黑客对哪些主机有机可乘已胸有成竹了。
如果路由器兼容SNMP协议,有经验的黑客还会采用攻击性的SNMP 扫描程序进行尝试, 或者使用"蛮力式"程序去猜测这些设备的公共和私有community strings。
5、利用漏洞
现在,黑客找到了所有被信任的外部主机,也已经找到了外部主机所有可能存在的漏洞。下一步就该开始动手入侵主机了。
黑客会选择一台被信任的外部主机进行尝试。一旦成功侵入,黑客将从这里出发,设法进入公司内部的网络。但这种方法是否成功要看公司内部主机和外部主机间的过滤策略了。攻击外部主机时,黑客一般是运行某个程序,利用外部主机上运行的有漏洞的daemon窃取控制权。有漏洞的daemon包括Sendmail、IMAP、POP3各个漏洞的版本,以及RPC服务中诸如statd、mountd、pcnfsd等。有时,那些攻击程序必须在与被攻击主机相同的平台上进行编译。
6、获得控制权
黑客利用daemon的漏洞进入系统后会做两件事:清除记录和留下后门。
他会安装一些后门程序,以便以后可以不被察觉地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用,甚至于新文件的大小都和原有文件一样。黑客一般会使用rcp 传递这些文件,以便不留下FTP记录。
一旦确认自己是安全的,黑客就开始侵袭公司的整个内部网
7.窃取网络资源和特权
黑客找到攻击目标后,会继续下一步的攻击,步骤如下:
(1)下载敏感信息
如果黑客的目的是从某机构内部的FTP或WWW服务器上下载敏感信息,他可以利用已经被侵入的某台外部主机轻而易举地得到这些资料。
(2)攻击其他被信任的主机和网络
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。 那些希望从关键服务器上下载数据的黑客,常常不会满足于以一种方式进入关键服务器。他们会费尽心机找出被关键服务器信任的主机,安排好几条备用通道。
(3)安装sniffers
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
黑客会使用上面各节提到的方法,获得系统的控制权并留下再次侵入的后门,以保证sniffer能够执行。
(4)瘫痪网络
如果黑客已经侵入了运行数据库、网络操作系统等关键应用程序的服务器,使网络瘫痪一段时间是轻而易举的事。
如果黑客已经进入了公司的内部网,他可以利用许多路由器的弱点重新启动、甚至关闭路由器。如果他们能够找到最关键的几个路由器的漏洞,则可以使公司的网络彻底瘫痪一段时间。
窃听与防窃听技术
窃听的原意是偷听别人之间的谈话.随着科学技术的不断发展,窃听的涵义早已超出隔墙偷听、截听电话的概念,它借助于技术设备、技术手段,不仅窃取语言信息,还窃取数据、文字、图象等信息。
窃听技术是窃听行动所使用的窃听设备和窃听方法的总称,它包括窃听器材,窃听信号的传输、保密、处理,窃听器安装、使用以及与窃听相配合的信号截收等。
反窃听技术是指发现、查出窃听器并消除窃听行动的技术。防窃听是指可能被窃听的情况下,使窃听者得不到秘密信息的防范措施。
“窃听技术”的内涵非常广泛,特别是高档次的窃听设备或较大的窃听系统,应该包括诸如信号的隐蔽、加密技术、工作方式的遥控、自动控制技术,信号调制、解调技术以及网络技术、信号处理、语言识别、微电子、光电子技术等现代科学技术的很多领域。这里我们将的“窃听技术”,主要是指获取信息的技术方法,也包括获取的信息的传递方法。
电话窃听
电话窃听的手段很多,常用的有:
● 通过电话交换机控制用户电话,建立电话窃听系统,对侦察目标电话进行截听。据报道,目前对电话通信进行24小时不间断窃听的专职人员:法国2800人,美国6500人,英国3000人,一原苏联5500人,西德2900人。全世界窃听电话通信的专职人员约35000人。这种窃听电话系统很大,自动化程度很高,只要目标电话一使用,监听设备立即起动实施窃听,始叫话机的号码、通信的日期和时间也同时被自动记录下来。
● 利用电话线路的串音窃听。是指一路电话线上可能感应了另一路电话线上的电话信号。这是由于电话线、变压器或其它线路元件并置后互相电磁感应造成的。对于技术质量比较差的通信线路,如采用架空明线或质量差的通信电缆,有时两条线路只要有几十公分长的一一R相互平行,就能产生足够强的串音。这种串音有时直接听不出来,但用放大器放大便可听清楚。早期有的国家的情报机关利用这种特性设计制造串音窃听器,提供给他们秘密派往外国的间谍使用。他们在居住地把电话串音窃听器跨接在电话线上,窃听与此线平行的其它线路里的通话声。
● 随卷走信线路及通信设备的质量不断提高,特别是优质的通信电缆及光纤电缆替代了架空明线,给串音窃听增加了困难。
● 在电话系统里安装窃听器件,窃听通话内容。利用电话系统的某一部分窃听房内谈话声。
|
