相關知識(一)
一、黑客與網絡戰
在北約空襲南聯盟的過程中,北約成員國遭受到來自全球範圍的計算機黑客的攻擊。由於受到數日不詳的塞爾維亞計算機黑客的攻擊,北約互聯網站點於3月28日對公眾關閉。據說黑客的攻擊手段主要有三種:一是通過「PING『命令,向一些站點發送成千上萬個空數據包,使伺服器過載、4n點癱瘓;二是侮天向北約網站發送上千封電子郵件,使其電子郵件伺服器阻塞,計算機系統運算速度減慢;三是利用宏病毒作為破壞手段。與此同時,為了對付這些計算機黑客的攻擊,北約採取了一些對抗措施,主要包括::為了對抗「PING」炸彈,北約提高了伺服器的處理能力和通信線路的帶寬,避免過載和阻塞::②加緊開發能阻止惡毒電子郵件信息的過濾器;③關閉除超文本傳輸協議和電子郵件以外的網絡服務。在這場北約對南聯盟的空襲中,南聯盟人民己將網絡作為抵抗北約空襲的一個新的戰場。與此同時,一個自稱「俄羅斯黑客聯盟」的組織,也在互聯網上對北約宣戰,並號召全世界的同行都加入到這場「網上戰爭」中來,以此來聲援正遭受北約空襲的南斯拉夫人民。因此,外刊稱科索沃衝突是互聯網上的第一場戰爭。
網絡系統將是黑客進行網絡戰的主線場。隨着計算機網絡的普及,「電腦黑客」的名字也日益為人們所熟悉。黑客(HACKER),在英文裏有「閑逛者」的意思,它起源於50年代麻省理工學院的實驗室里,他們是一幫喜歡鑽研機械和計算機系統技術奧秘、並從中增長個人才幹的人。現在,他們憑藉嫻熟的計算機技術,侵入他人計算機、竊取情報、篡改數據、刪改程序或製造故障、散佈錯誤情報,注入計算機病毒。「黑客」己對計算機網絡系統安全構成了嚴重威脅。1979年,一個名叫米尼克的15歲少年運用他破譯密碼的特殊才能,成功地進入美**方的「北關防空指揮中心」的計算機網絡系統中,包括美國指向蘇聯的全部核心彈頭的數據與資料等核心機密一覽無遺。由於網絡系統在現代戰爭中起著巨大的作用,交戰雙方都把破壞對方的網絡系統作為一個重要目標,以此削弱甚至癱瘓敵作戰系統。對於未來戰爭中進行網絡戰的需要,世界上一些國家已開始培訓具有「黑客」本領的計算機人才。美軍認為,未來的戰爭將是計算機戰爭,而計算機戰爭是「電腦專家」的戰爭。1995年6月,經過美國國防大學培訓的16名「第一代計算機網絡戰士」誕生了,這些計算機網絡戰士可以說是職業化的「黑客」。
網絡戰中少G4IRS系統將是「黑客」攻擊的主要目標。G4IRS系統是自動化指揮控制系統,它是現代軍隊形成戰鬥力的粘合劑和倍增器,能把各類武器系統連成一個有機整體形成配合密切、運轉靈活的整體打擊能力,使單一武器系統充分發揮優勢,所以未來戰爭中,交戰雙方都把制網絡權放在首要的位置。在現代戰爭中,人們常認為爭奪制空權是戰爭的開始,但在硝煙瀰漫的戰場背後,往往先進行的是一場沒有硝煙的網絡戰爭。在海灣戰爭前,美軍成功地進入伊拉克的G3I系統進行破壞,甚至連伊拉克戰機上的計算機也染上了病毒,致使伊軍的情報、指揮機關癱瘓,以致於戰爭開始前,美軍已經實際上贏得了海灣戰爭。美國五角大樓曾經作過一次實驗,一位美軍上尉用在商店裏買到的電腦設備,通過網絡非常容易就攻破並進入美國海軍系統,再通過核心繫統無線聯絡,在短短的一個小時內控制了整個美國大西洋艦隊。
網絡戰中民用系統也將是「黑客」進行攻擊的重要目標。人們通常認為,戰爭期間政府部門和軍事系統將會成為首要的目標,而在信息戰中,敵人的攻擊目標可能從民用系統開始。民用系統經營的大量信息系統硬件和軟件支撐著軍事信息系統,並且由於軍隊後勤保障社會化,軍隊對社會的依賴性大大增強。美國斯坦福研究所的國家計算機安全顧問唐·帕克認為:「將來的戰爭將是計算機戰爭」。據他估計如果用電子匯款方式騙走1600億美元的話,就足以摧毀整個美國經濟,並進而導致西方經濟全面崩潰。在北約空襲南聯盟的過程中,由於達不到目的,北約打擊目標逐漸擴大到南聯盟的一些民用目標,又由於南聯盟黑客在網上揭露北約暴行、公佈事實真相,並攻擊北約網站,北約一度威脅要切斷南聯盟與國際互聯網的聯繫。可見民用和軍用聯繫密切,甚至民用可直接轉為軍用,形成強大的戰爭支撐能力。在美國,據說95%以上的軍事通信是通過商業系統進行的。所以,敵對國家在現實戰場上有可能不對民用目標進行直接打擊,但在網絡戰場這個「虛擬戰場」上,對其發動毀滅性打擊。「黑客」們以設計的最新電腦病毒在網上製造混亂,他們破譯敵方的網址、網站密碼,就可以用鍵盤、滑鼠來癱瘓敵人的通信、郵電、銀行等系統,並操縱敵人的各種媒體,傳播虛假信息,造成敵方社會秩序紊亂、經濟崩潰、人心不穩,喪失戰鬥動員能力。
二、黑客入侵系統的方法
入侵網絡的方式基本分為兩類:被動式和主動式。被動式進攻,就是入侵者僅僅是竊聽信息,希望收集一些將來有用的信息,並不修改通過網絡的信息。主動式進攻,就是入侵者與目標系統交互,試圖影響目標系統的行為,一般會修改通過網絡的數據。所有的進攻策略中,最終會達到一個最基本的目的,那就是入侵者要獲得進入目標系統的一個入口,要麼作為一個普通用戶,要麼作為一個超級用戶登錄入系統。相應地,有三種基本的進攻形式::猜測或獲取口令,利用協議本身存在的安全漏洞,利用系統實現上存在的有意無意的漏洞。
口令攻擊。被動字典攻擊是口令攻擊最常用的一種。黑客獲取目標系統的口令文件,試圖以離線的方式破解口令。黑客先猜一個口令,然後用與原系統中一樣的加密演演算法(加密演演算法是公開的,如DES.、RSA等)來加密此口令,將加密的結果與文件中的加密口令相比較,若相同則猜對了。因為很少有人使用隨機組合的數字和字母來做口令,許多用戶使用的口令都可在一個特殊的黑客字典中找到。在字典攻擊中,入侵者並不窮舉所有字母數字的排列組合來猜測口令,而僅僅用黑客字典中單詞來嘗試,包括英語或其他語言中的常見單詞、黑客詞語、拼寫有誤的單詞和一些人名。已有的黑客字典包括了大約200000多個單詞,用來猜測口令非常成功,而對現代的計算機來說。嘗試所有的200000個單詞是很輕鬆的事。主動修改系統軟件,黑客修改合法的系統程序,使得該程序不僅能完成原來的功能,而且還可以為黑客收集用戶口令,也就是說,黑客在系統中放置了「特洛伊木馬」(TrojanHorses)。這些程序是針對ISP伺服器的類似「特洛伊術馬」的病毒程序的變體。它看起來像是一種合法的程序,但是它靜靜地記錄着用戶輸入的每個口令,然後把它們發送給黑客的internet信箱。
協議存在的安全漏洞。TCP/IP協議存在安全漏洞。目前使用最廣泛的網絡協議是TCP/IP協議,而TCP/IP協議恰恰存在安全漏洞。如IP層協議就有許多安全缺陷。IP位址可以軟件設置,這就造成了地址假冒和地址欺騙兩類安全隱患:IP協議支持源路由方式,即源點可以指定信息包傳送到目的節點的中間路由,這就提供了源路由攻擊的條件。再如應用層協議Telnet、FTP、**TP等協議缺乏認證和保密措施,這就為否認、拒絕等欺瞞行為開了方便之門。
ARP(AdressResolutionProtocol,地址解析協議)提供了兩種不同形式地址:網絡層使用的32比特IP位址和數據鏈路層使用48位的物理地址。因為存入ARP緩衝區中的IP位址與物理地址影射關係表有幾分鐘存留期,這就使得利用偽造和篡改IP位址與物理地址影射關係表的攻擊成為可能。攻擊者可以利用一台被分配了相同IP位址的機器,將被假冒的機器關掉或從網上斷開,或分配其合法的1P地址。幾分鐘之後,緩衝區中原始輸入的存留期一到,攻擊者就可以發動直接針對信任伺服器的攻擊。
ICMP(InteraetControlMessageProtocol)是IP層上的差錯和控制報文。Ping命令是利用ICMP的回應請求報文探測一個目的機器是否可以連通和有響應。任何一台機器接收到一個回應請求,都返回一個應答報文給原請求者。因為Ping命令的數據報文幾乎會出現在第一網絡和子網中,許多防火牆和網絡都認為這種數據無危險而讓其通過。這是不安全的,明顯地忽略了來自「拒絕服務攻擊」的威脅,用Ping的數據流也可開一暗藏的通道。因ICMP數據包有一項可以包含一個數據段,儘管其中的有效信息通常是時間信息。實際上任何設備都不檢查其數據內容,這樣它可以包含任何數據。因此可開一個暗藏的通道。利用此通道,通過提供一秘密的方法來獲取命令並在目標機器上執行,可在系統中開一個後門。既可用來從這台機器上收集信息,又可作為一秘密的用戶與用戶、用戶與機器間通信的方法。
系統軟硬件實現上存在的漏洞。在工程領域有這樣一個不成文的格言,即系統越大越複雜,其隱含的問題就越多。現在各應用軟件和系統軟件中是否存在問題呢?答案很明顯,肯定有問題,因為到現在還沒有一個應用軟件廠商和系統軟件廠商向您承偌,他們的軟件不存在安全問題,而且很多問題都己基露出來,有的問題危害還很大。有的問題設計者和廠家清清楚楚,不過他認為該問題很難發生,因為要達到一個特殊的組合,問題才能出現,而要解決該問題,可能要花費更多的財力和物力,所以是廠家和設計者偷懶。有的問題設計者本人不知道,可能是設計人員或編程人員的疏忽造成。每個公司的設計人員和編程人員只有這幾個人,或只有一兩個人,也只有這幾個人明白。雖然產品開發出來后要進行多種測試,但測試的絕大部分精力側重於產品的正常功能的測試,而對於隱含的問題,可能是在某種特殊的組合情況下才能出現,而在測試環境中很難出現,因此遺留了一定數量的安全問題。而這些安全性問題,有些在用戶使用中已被發現,並在其新的版本中得以糾正,還有一些安全性問題,您可能永遠也發現不了、覺察不到,但會給您帶來巨大的損失。Windows操作系統的第二密鑰(NSAKEY)的出現,使人們對信息安全有了進一步的認識,不管微軟如何解釋,此漏洞肯定是故意的。WindowsNT的多個ServicePack版本,不言之明,系統無漏洞哪需這麼多的補丁。以前版本的瀏覽器軟件InternetExplorer,都有一些安全問題,如可以遠程被控制執行本地機器上的命令,或繞過本地的安全防護,或下載執行Web頁面中的ActiveX控制項,刪除您硬碟上的數據,或格式化您的硬碟等。這些已經發現的安全缺陷,其危害性之大,是顯而易見的。這些都是設計不周,或編程疏忽而造成。
廠商是否加入故意的安全缺口呢?一方面,可能是廠商善意之舉,為了維護方便,加入遠程維護功能。在廠家的遠程遙控中心繫統軟件的遙控下,可以進入用戶系統,設置用戶的環境參數,改變瀏覽器的工作狀態,從而對遠程用戶進行維護,給用戶提供方便。但這也給用戶帶來了很大威脅。如果該技術,被不懷好意的第三方掌握,那危害就可想而知了。另一方面,可能就是廠商本身不懷好意,一是為了商場競爭的需要,為了獲取用戶信息或對手的商業情報,或向情報機構出售這種技術,從而獲取高額利潤。另外或許是出於某種政治需求,屈從於國家的規定或限制,例如一些大國要求在他們出口的軟硬件設備中都必須配備這種能夠遠程遙控的技術,以便必要時能夠控制對方。這種遠程遙控技術,在其它的產品中,是作為基本功能而配置的,如MODEM、交換機等產品中,有的遠程遙控功能較弱,相對地潛在的危險也較小。