防Anonymous和LulzSec黑客!這五招夠不?
譯文【51CTO.com 8月2日外電頭條】讓我們正視現(xiàn)實吧:你根本沒有辦法阻止得了下定決心的黑客,哪怕你是家安全公司,照樣阻止不了。今年一波又一波的攻擊清楚無誤地表明了這一點,發(fā)動攻擊的有Anonymous、從Anonymous分立出去的另一黑客組織LulzSec以及"反安全"浪潮的其他不屬于任何組織的黑客,他們以暴露安全漏洞,拋售暴露的數(shù)據(jù)、電子郵件文件夾及其他敏感信息為樂事。
Lumension安全公司的取證調(diào)查和安全分析師Paul Henry說:"在我看來,美國安全公司HBGary遭黑客攻擊是個轉(zhuǎn)折點。這起事件絕對引起了我的注意:這表明,與互聯(lián)網(wǎng)相連接的任何人都有可能成為受害者。"
Karim Hijazi是Unveillance這家安全新興公司的首席執(zhí)行官兼總裁,該公司在今年5月底曾遭到現(xiàn)已解散的LulzSec的攻擊;他表示,其實沒有辦法避免被這些類型的攻擊所盯上。Unveillance公司使用污水口服務(wù)器(sinkhole servers),偽裝成僵尸網(wǎng)絡(luò)服務(wù)器,獲取孤立的僵尸機器發(fā)來的公告信息。他說:"考慮到攻擊的猖獗程度,很遺憾,我無法確信誰的系統(tǒng)是這伙人嚴(yán)格上來說攻破不入的。我是說,這天中央情報局(CIA)面向公眾的網(wǎng)站遭到分布式拒絕服務(wù)(DDoS)攻擊;第二天換成游戲公司遭到了攻擊,攻擊根本毫無模式可言。"
他說:"話雖如此,某人不想讓自己被這伙人盯上還是相當(dāng)難。我們無疑在反其道而行之;我會竭力勸別人不要嘲笑這伙人。" 他是指他公司拒絕把僵尸網(wǎng)絡(luò)的信息、控制權(quán)和所得利益交給攻擊者。于是LulzSec采取了報復(fù),把他的電子郵件文件夾及其他信息公布在了網(wǎng)上。
LulzSec的成員也被認(rèn)為在幕后攻擊了HBGary Federal安全公司,隨后竊取了HBGary本身的電子郵件文件夾,而這些黑客當(dāng)時隸屬規(guī)模更為龐大的Anonymous這家黑客組織。HBGary Federal前首席執(zhí)行官Aaron Barr發(fā)表了身份揭露的組織成員的研究報告后,就遭到了報復(fù)性攻擊。
最近,LulzSec的成員之間外泄的聊天會話日志讓外界或多或少了解了這家組織采用的一些攻擊類型。比如說,Imperva安全公司分析日志后得出了結(jié)論:采用的三種攻擊手段包括遠(yuǎn)程文件添加、SQL注入和跨站腳本(XSS)--它們都是常見的Web安全漏洞。據(jù)Stach & Liu安全咨詢公司的研究人員聲稱,谷歌黑客攻擊(Google-hacking)是LulzSec成員采用的另一個工具。
那么,你怎樣才能幫助自己抵御像Anonymous及其追隨者這些下定決心、野心勃勃的黑客呢?下面是Unveillance公司的Hijazi及其他安全專家傳授的一些技巧,次序不分先后。
1、自己采用谷歌黑客攻擊手段。
結(jié)果證明,LulzSec攻擊者最早使用的工具之一是谷歌黑客攻擊,也就是上網(wǎng)查找安全漏洞,比如網(wǎng)頁上的SQL注入和遠(yuǎn)程文件添加等漏洞。Stach &Liu公司的執(zhí)行合伙人Francis Brown研究了LulzSec使用谷歌黑客攻擊的手法,表示上網(wǎng)查找其他網(wǎng)站的安全漏洞是該組織偵察活動的第一步。
大多數(shù)企業(yè)甚至懶得采取這個很簡單,卻常常能發(fā)現(xiàn)問題的措施。Brown說:"我們建議你自己也采用谷歌黑客攻擊手段。一旦你做了這一步、找到了安全漏洞,比如某個思科VPN配置文件,將來就有了重點關(guān)注的對象。"
Stach & Liu公司的研究人員提供了免費的谷歌黑客攻擊工具;Brown表示,他和另一名研究人員Rob Ragan打算在下個月即將于拉斯維加斯舉行的黑帽美國(Black Hat USA)大會上發(fā)布更多的谷歌黑客攻擊工具,不過這些工具用于防范目的。Brown說:"最大的《財富》100強公司中有一家公司使用了這類工具,并使用谷歌快訊服務(wù)和必應(yīng)(Bing)RSS新聞源;如果谷歌檢索到的內(nèi)容與這些安全漏洞匹配,這些工具就會向你實時發(fā)送最新信息。這就好比是入侵檢測系統(tǒng)(IDS)。"
他們將發(fā)布的新工具包括面向Android和iPhone的版本。他表示,所以,要是其中一款所謂的"Diggity Hacking"工具看到谷歌上檢索出了含有貴企業(yè)30萬個密碼的某個SQL文件,它就會提醒你。
他說:"你可能存在一大堆的傳統(tǒng)安全漏洞。你不希望別人通過谷歌輕而易舉就能找到這些漏洞,因為谷歌太友好了,會為你檢索出你的所有安全漏洞。"
2、使用和執(zhí)行強密碼和多因子驗證機制。
密碼很麻煩,但它們?nèi)允谴蠖鄶?shù)企業(yè)每天所要面對的安全機制。不止一個用戶帳戶使用同一個密碼給了黑客可趁之機,也給了揭露貴公司電子郵件或其他信息的另一條途徑。
自從HBGary黑客事件之后,Lumension公司的Henry采用了一項極端的密碼安全策略。他說:"我的做法如下,我仔細(xì)審查了自己擁有的每一個在線帳戶,并更改了每個帳戶的密碼,采用大小寫字母、數(shù)字和符號組成的密碼。平均長度是12至16個字符。"他還每隔30天就更新密碼。
Henry說:"我知道這個做法很極端,但我只能這么做。"
當(dāng)然,選用復(fù)雜而獨特的密碼存在的缺點是,要記住這些密碼就算并非不可能,至少也很困難。他說:"于是,我將它們按只有我知道的順序記下來,并制成一張塑封卡放在錢包里。"
他還使用那些秘密問題的虛假答案,以便在網(wǎng)上驗證用戶身份。"我對于主要帳戶的秘密問題有不同的答案。我的生日不對,我母親的娘家姓也不對",旨在進一步保護其在線帳戶的安全。
優(yōu)利系統(tǒng)公司的全球安全解決方案副總裁Steve Vinsik也提議,為每一個帳戶采用復(fù)雜的密碼;并且每隔30天就更新密碼。他還建議采用多因子驗證機制,而不僅僅是標(biāo)準(zhǔn)的用戶名和密碼:有權(quán)訪問敏感數(shù)據(jù)的管理員及其他帳戶應(yīng)使用生物特征等第二個安全因子。
Unveillance公司的Hijazi表示,多因子驗證正漸漸成為大多數(shù)企業(yè)的一種比較實際的選擇。Hijazi說:"多因子驗證正成為確保安全運營的一個日益明顯的層面,不管貴公司的規(guī)模有多小。"#p#
3、消除SQL注入、XSS及其他常見的網(wǎng)站漏洞。
除了采用谷歌黑客攻擊手段查找自己的安全漏洞外,對網(wǎng)站和應(yīng)用程序執(zhí)行漏洞掃描和評估工作也非常有助于將一些黑客拒之門外。像SQL注入和XSS這些常見的、很容易被利用的漏洞是LulzSec及其他攻擊者最先尋找的一些對象,以便偷偷潛入攻擊目標(biāo)的系統(tǒng)。
優(yōu)利系統(tǒng)公司的Vinsik建議,還要在自己的網(wǎng)絡(luò)上執(zhí)行滲透測試,以便找出漏洞,一定要補救這些漏洞。
Unveillance公司的Hijazi說:"如果貴企業(yè)是一家在網(wǎng)上頗有知名度的企業(yè),就有必要證實你的Web應(yīng)用程序已經(jīng)過了全面深入的檢查,找出安全漏洞--以LulzSec為例,這個漏洞具體就是指SQL注入。在許多情況下,開發(fā)期間一項到位的軟件開發(fā)生命周期(SDLC)計劃能夠找出大多數(shù)軟件缺陷,但是確保補丁版本最新或者更新LAMP堆棧或Windows服務(wù)器環(huán)境從來是有益無害。"
4、讓第三方機構(gòu)托管你的網(wǎng)站。
實際上沒有辦法預(yù)防大規(guī)模的分布式拒絕服務(wù)攻擊(DDoS),不過有一些方法可以緩解這種攻擊的風(fēng)險,比如緩送技術(shù)(tarpitting),或者迫使DDoS僵尸機器發(fā)送比較少的流量以及阻止不良的IP地址。但是大多數(shù)企業(yè)根本就缺少防范DDoS所需的設(shè)備和資源。
Unveillance公司的Hijazi說:"不管你作了多么充分的準(zhǔn)備,要對付拒絕服務(wù)攻擊尤其困難。面向公眾的網(wǎng)站很容易受到這類攻擊的危害,可能總是會這樣,原因在于這些網(wǎng)站誰都可以訪問。拒絕服務(wù)攻擊是一種很低級的攻擊,但是對門外漢來說,它還是會造成相當(dāng)大的影響。我知道,許多人覺得針對參議院網(wǎng)站和CIA網(wǎng)站的攻擊讓人很窘迫,這反映了這些網(wǎng)站的安全沒有做到家,或者表明毫無準(zhǔn)備。"
他說:"我不能說,對于期望防范這類威脅的企業(yè),我有好多的忠告--只要看看到目前為此的這些受害者的地位和能力。對于大多數(shù)企業(yè)來說,最多只能采取'經(jīng)受風(fēng)暴襲擊'的做法。"
另一個辦法就是將你面向公眾的網(wǎng)站外包給第三方機構(gòu)。Lumension公司的Henry就采取了這一做法。他把其個人博客托管在自己的服務(wù)器上好幾年之后,最近請第三方主機托管提供商來運行其個人博客。Henry說:"如果有人攻擊了我的博客,他們攻擊的只是提供托管的第三方,而不是我的內(nèi)部網(wǎng)絡(luò)。"他使用了報警系統(tǒng),只要內(nèi)容出現(xiàn)任何變化,就會第一時間通知他;他表示,他還對博客上更新的任何文件內(nèi)容進行了"加密"處理。
第三方主機托管提供商可能比中小型企業(yè)、甚至大企業(yè)更有能力幫助防范DDoS攻擊。
5、離線歸檔比較舊的電子郵件。
如今,Henry把時間在30天以上的電子郵件統(tǒng)統(tǒng)遷移到離線歸檔系統(tǒng)。這個方法可能適用于一些企業(yè)。
Unveillance公司的Hijazi說:"如果你一旦完成了電子郵件讀取或者遷移到離線系統(tǒng),就可以一刪了之,這將是保護自身安全的另一種方法。"
Henry表示,自己平時從存儲歸檔系統(tǒng)的機器搜索舊的電子郵件。他說:"我不會把時間至少在一年以上的數(shù)據(jù)放到在線系統(tǒng)。"
比如說,對于像律師事務(wù)所這些需要保留30天以上的電子郵件來辦理案子的機構(gòu)來說,他建議電子郵件只保留90天。Lumension公司為一家律師事務(wù)所客戶就是采取了這一做法。他說:"過去可以從網(wǎng)上訪問到這家律師事務(wù)所的其中一個負(fù)責(zé)人四年多以來的電子郵件。現(xiàn)在,它們對電子郵件進行了歸檔,每隔90天就把郵件從服務(wù)器上刪掉。這些郵件保存在無法從網(wǎng)上訪問的地方,只能通過內(nèi)聯(lián)網(wǎng)來訪問。"
【51CTO.com獨家譯稿,非經(jīng)授權(quán)謝絕轉(zhuǎn)載!合作媒體轉(zhuǎn)載請注明原文出處及出處!】
【編輯推薦】
