相关知识(一)
一、黑客与网络战
在北约空袭南联盟的过程中,北约成员国遭受到来自全球范围的计算机黑客的攻击。由于受到数日不详的塞尔维亚计算机黑客的攻击,北约互联网站点于3月28日对公众关闭。据说黑客的攻击手段主要有三种:一是通过“PING‘命令,向一些站点发送成千上万个空数据包,使服务器过载、4n点瘫痪;二是侮天向北约网站发送上千封电子邮件,使其电子邮件服务器阻塞,计算机系统运算速度减慢;三是利用宏病毒作为破坏手段。与此同时,为了对付这些计算机黑客的攻击,北约采取了一些对抗措施,主要包括::为了对抗“PING”炸弹,北约提高了服务器的处理能力和通信线路的带宽,避免过载和阻塞::②加紧开发能阻止恶毒电子邮件信息的过滤器;③关闭除超文本传输协议和电子邮件以外的网络服务。在这场北约对南联盟的空袭中,南联盟人民己将网络作为抵抗北约空袭的一个新的战场。与此同时,一个自称“俄罗斯黑客联盟”的组织,也在互联网上对北约宣战,并号召全世界的同行都加入到这场“网上战争”中来,以此来声援正遭受北约空袭的南斯拉夫人民。因此,外刊称科索沃冲突是互联网上的第一场战争。
网络系统将是黑客进行网络战的主线场。随着计算机网络的普及,“电脑黑客”的名字也日益为人们所熟悉。黑客(HACKER),在英文里有“闲逛者”的意思,它起源于50年代麻省理工学院的实验室里,他们是一帮喜欢钻研机械和计算机系统技术奥秘、并从中增长个人才干的人。现在,他们凭借娴熟的计算机技术,侵入他人计算机、窃取情报、篡改数据、删改程序或制造故障、散布错误情报,注入计算机病毒。“黑客”己对计算机网络系统安全构成了严重威胁。1979年,一个名叫米尼克的15岁少年运用他破译密码的特殊才能,成功地进入美**方的“北关防空指挥中心”的计算机网络系统中,包括美国指向苏联的全部核心弹头的数据与资料等核心机密一览无遗。由于网络系统在现代战争中起着巨大的作用,交战双方都把破坏对方的网络系统作为一个重要目标,以此削弱甚至瘫痪敌作战系统。对于未来战争中进行网络战的需要,世界上一些国家已开始培训具有“黑客”本领的计算机人才。美军认为,未来的战争将是计算机战争,而计算机战争是“电脑专家”的战争。1995年6月,经过美国国防大学培训的16名“第一代计算机网络战士”诞生了,这些计算机网络战士可以说是职业化的“黑客”。
网络战中少G4IRS系统将是“黑客”攻击的主要目标。G4IRS系统是自动化指挥控制系统,它是现代军队形成战斗力的粘合剂和倍增器,能把各类武器系统连成一个有机整体形成配合密切、运转灵活的整体打击能力,使单一武器系统充分发挥优势,所以未来战争中,交战双方都把制网络权放在首要的位置。在现代战争中,人们常认为争夺制空权是战争的开始,但在硝烟弥漫的战场背后,往往先进行的是一场没有硝烟的网络战争。在海湾战争前,美军成功地进入伊拉克的G3I系统进行破坏,甚至连伊拉克战机上的计算机也染上了病毒,致使伊军的情报、指挥机关瘫痪,以致于战争开始前,美军已经实际上赢得了海湾战争。美国五角大楼曾经作过一次实验,一位美军上尉用在商店里买到的电脑设备,通过网络非常容易就攻破并进入美国海军系统,再通过核心系统无线联络,在短短的一个小时内控制了整个美国大西洋舰队。
网络战中民用系统也将是“黑客”进行攻击的重要目标。人们通常认为,战争期间政府部门和军事系统将会成为首要的目标,而在信息战中,敌人的攻击目标可能从民用系统开始。民用系统经营的大量信息系统硬件和软件支撑着军事信息系统,并且由于军队后勤保障社会化,军队对社会的依赖性大大增强。美国斯坦福研究所的国家计算机安全顾问唐·帕克认为:“将来的战争将是计算机战争”。据他估计如果用电子汇款方式骗走1600亿美元的话,就足以摧毁整个美国经济,并进而导致西方经济全面崩溃。在北约空袭南联盟的过程中,由于达不到目的,北约打击目标逐渐扩大到南联盟的一些民用目标,又由于南联盟黑客在网上揭露北约暴行、公布事实真相,并攻击北约网站,北约一度威胁要切断南联盟与国际互联网的联系。可见民用和军用联系密切,甚至民用可直接转为军用,形成强大的战争支撑能力。在美国,据说95%以上的军事通信是通过商业系统进行的。所以,敌对国家在现实战场上有可能不对民用目标进行直接打击,但在网络战场这个“虚拟战场”上,对其发动毁灭性打击。“黑客”们以设计的最新电脑病毒在网上制造混乱,他们破译敌方的网址、网站密码,就可以用键盘、鼠标来瘫痪敌人的通信、邮电、银行等系统,并操纵敌人的各种媒体,传播虚假信息,造成敌方社会秩序紊乱、经济崩溃、人心不稳,丧失战斗动员能力。
二、黑客入侵系统的方法
入侵网络的方式基本分为两类:被动式和主动式。被动式进攻,就是入侵者仅仅是窃听信息,希望收集一些将来有用的信息,并不修改通过网络的信息。主动式进攻,就是入侵者与目标系统交互,试图影响目标系统的行为,一般会修改通过网络的数据。所有的进攻策略中,最终会达到一个最基本的目的,那就是入侵者要获得进入目标系统的一个入口,要么作为一个普通用户,要么作为一个超级用户登录入系统。相应地,有三种基本的进攻形式::猜测或获取口令,利用协议本身存在的安全漏洞,利用系统实现上存在的有意无意的漏洞。
口令攻击。被动字典攻击是口令攻击最常用的一种。黑客获取目标系统的口令文件,试图以离线的方式破解口令。黑客先猜一个口令,然后用与原系统中一样的加密算法(加密算法是公开的,如DES.、RSA等)来加密此口令,将加密的结果与文件中的加密口令相比较,若相同则猜对了。因为很少有人使用随机组合的数字和字母来做口令,许多用户使用的口令都可在一个特殊的黑客字典中找到。在字典攻击中,入侵者并不穷举所有字母数字的排列组合来猜测口令,而仅仅用黑客字典中单词来尝试,包括英语或其他语言中的常见单词、黑客词语、拼写有误的单词和一些人名。已有的黑客字典包括了大约200000多个单词,用来猜测口令非常成功,而对现代的计算机来说。尝试所有的200000个单词是很轻松的事。主动修改系统软件,黑客修改合法的系统程序,使得该程序不仅能完成原来的功能,而且还可以为黑客收集用户口令,也就是说,黑客在系统中放置了“特洛伊木马”(TrojanHorses)。这些程序是针对ISP服务器的类似“特洛伊术马”的病毒程序的变体。它看起来像是一种合法的程序,但是它静静地记录着用户输入的每个口令,然后把它们发送给黑客的internet信箱。
协议存在的安全漏洞。TCP/IP协议存在安全漏洞。目前使用最广泛的网络协议是TCP/IP协议,而TCP/IP协议恰恰存在安全漏洞。如IP层协议就有许多安全缺陷。IP地址可以软件设置,这就造成了地址假冒和地址欺骗两类安全隐患:IP协议支持源路由方式,即源点可以指定信息包传送到目的节点的中间路由,这就提供了源路由攻击的条件。再如应用层协议Telnet、FTP、**TP等协议缺乏认证和保密措施,这就为否认、拒绝等欺瞒行为开了方便之门。
ARP(AdressResolutionProtocol,地址解析协议)提供了两种不同形式地址:网络层使用的32比特IP地址和数据链路层使用48位的物理地址。因为存入ARP缓冲区中的IP地址与物理地址影射关系表有几分钟存留期,这就使得利用伪造和篡改IP地址与物理地址影射关系表的攻击成为可能。攻击者可以利用一台被分配了相同IP地址的机器,将被假冒的机器关掉或从网上断开,或分配其合法的1P地址。几分钟之后,缓冲区中原始输入的存留期一到,攻击者就可以发动直接针对信任服务器的攻击。
ICMP(InteraetControlMessageProtocol)是IP层上的差错和控制报文。Ping命令是利用ICMP的回应请求报文探测一个目的机器是否可以连通和有响应。任何一台机器接收到一个回应请求,都返回一个应答报文给原请求者。因为Ping命令的数据报文几乎会出现在第一网络和子网中,许多防火墙和网络都认为这种数据无危险而让其通过。这是不安全的,明显地忽略了来自“拒绝服务攻击”的威胁,用Ping的数据流也可开一暗藏的通道。因ICMP数据包有一项可以包含一个数据段,尽管其中的有效信息通常是时间信息。实际上任何设备都不检查其数据内容,这样它可以包含任何数据。因此可开一个暗藏的通道。利用此通道,通过提供一秘密的方法来获取命令并在目标机器上执行,可在系统中开一个后门。既可用来从这台机器上收集信息,又可作为一秘密的用户与用户、用户与机器间通信的方法。
系统软硬件实现上存在的漏洞。在工程领域有这样一个不成文的格言,即系统越大越复杂,其隐含的问题就越多。现在各应用软件和系统软件中是否存在问题呢?答案很明显,肯定有问题,因为到现在还没有一个应用软件厂商和系统软件厂商向您承偌,他们的软件不存在安全问题,而且很多问题都己基露出来,有的问题危害还很大。有的问题设计者和厂家清清楚楚,不过他认为该问题很难发生,因为要达到一个特殊的组合,问题才能出现,而要解决该问题,可能要花费更多的财力和物力,所以是厂家和设计者偷懒。有的问题设计者本人不知道,可能是设计人员或编程人员的疏忽造成。每个公司的设计人员和编程人员只有这几个人,或只有一两个人,也只有这几个人明白。虽然产品开发出来后要进行多种测试,但测试的绝大部分精力侧重于产品的正常功能的测试,而对于隐含的问题,可能是在某种特殊的组合情况下才能出现,而在测试环境中很难出现,因此遗留了一定数量的安全问题。而这些安全性问题,有些在用户使用中已被发现,并在其新的版本中得以纠正,还有一些安全性问题,您可能永远也发现不了、觉察不到,但会给您带来巨大的损失。Windows操作系统的第二密钥(NSAKEY)的出现,使人们对信息安全有了进一步的认识,不管微软如何解释,此漏洞肯定是故意的。WindowsNT的多个ServicePack版本,不言之明,系统无漏洞哪需这么多的补丁。以前版本的浏览器软件InternetExplorer,都有一些安全问题,如可以远程被控制执行本地机器上的命令,或绕过本地的安全防护,或下载执行Web页面中的ActiveX控件,删除您硬盘上的数据,或格式化您的硬盘等。这些已经发现的安全缺陷,其危害性之大,是显而易见的。这些都是设计不周,或编程疏忽而造成。
厂商是否加入故意的安全缺口呢?一方面,可能是厂商善意之举,为了维护方便,加入远程维护功能。在厂家的远程遥控中心系统软件的遥控下,可以进入用户系统,设置用户的环境参数,改变浏览器的工作状态,从而对远程用户进行维护,给用户提供方便。但这也给用户带来了很大威胁。如果该技术,被不怀好意的第三方掌握,那危害就可想而知了。另一方面,可能就是厂商本身不怀好意,一是为了商场竞争的需要,为了获取用户信息或对手的商业情报,或向情报机构出售这种技术,从而获取高额利润。另外或许是出于某种政治需求,屈从于国家的规定或限制,例如一些大国要求在他们出口的软硬件设备中都必须配备这种能够远程遥控的技术,以便必要时能够控制对方。这种远程遥控技术,在其它的产品中,是作为基本功能而配置的,如MODEM、交换机等产品中,有的远程遥控功能较弱,相对地潜在的危险也较小。