网络安全迫在眉睫 谢朝霞 1999年 第31期 29版 E-Business(电子商务)将是下一世纪主要的商贸活动,很多交易、信息传播、重要的约见都将在互联网上进行。任何生意都有可能涉及到流动资金和商业机密,如果不解决严峻的网络安全问题,商户在网上的利益将随时面临被侵犯的危险,在我们熟悉的Internet服务中,黑客至少有1500种以上的手段来非法侵入,获取最大权限,查阅机密数据。下面,我们就各类和网络有关的软硬件系统做一个安全问题的概述。 #1 网络应用程序的漏洞 1.浏览器 IE浏览器已经彻底击败Netscape,占据着65%以上的用户比例,而IE4.0浏览器的毛病有41条,最新的IE5.0也有不下10条的新漏洞,以前还有些老毛病没有彻底解决。其中包括:黑客可以通过IE读取你硬盘上的文件,并把它们发送到任何一个Internet上的服务器,用Java Applets可以往你的硬盘上写东西;在IE用户浏览一个网站时,Applets可以使他们不知不觉地来到另外一个地方;网站的恶意代码可以关掉你的浏览器甚至使你当机等等…… IE如此,Netscape也不例外,原因是浏览器集成了太多开放性的技术,但浏览器要想有更好的互动性,就必须用到这些。虽然每个浏览器有报警装置,但对于一些人来说攻击这些报警装置不是什么难事,他们甚至可以绕过浏览器设定的安全配置。 2.电子邮件 电子邮件炸弹到处盛行,任何一个用户都可以用很容易找到的工具去发邮件炸弹,撑爆别人的邮箱。新出现的邮件附件病毒“美丽杀手”还告诉了人们这样一个事实,有些邮件文档是不可以执行的,打开这些文档就有危险,更不要说exe文件了。“美丽杀手”的攻击目标主要是邮件服务器,而把它改成攻击本地硬盘上的文件也是很容易的事情。 3.网络服务程序 IIS2.0~4.0的毛病有35条,其中包括当机的危险、根用户密码被窃的危险和非授权访问的危险。Apache Web服务器软件的漏洞有12条,关于CGI和Perl Scripts的漏洞有18条。Mssol的漏洞8条,黑客有办法通过它们拿到Web数据库的资料,如此种种,不一而足…… 4.协议 Http协议、Smtp协议和Socks协议等等,在网上已经运行和发展了多年,至今还没有完善。通过Http协议(已知漏洞25条),黑客可以轻而易举地获得人们认为很难被窃取的权限。通过Socks5,攻击者可以隐藏自己的身份,还可以造成服务器溢出错误;通过TCP/IP的漏洞,黑客可以把Web网站指向色情站点,破坏该站点的名誉。 #1 网络硬件产品的安全问题 有关硬件的毛病在我们的清单中有100多个,其中有关BIOS的5个,有关3COM网络产品的8个。已知的关于Cisco网络产品的安全漏洞有26条之多。这里列举最近发现的几个例子: 1.远程用户可以获得对路由器的未授权访问; 2.远程用户可以使超级用户模块重新加载; 3.远程用户可以修改路由器设置; 4.远程用户可以使路由器重新启动; 5.用户通过D.O.S炸弹(Denial of Service)攻击可以当掉路由器; 6.用户可以绕过访问限制过滤( Access-List Filtering.); 这些都是最新发现的漏洞,还有一些比较早期的漏洞是很多人都知道的,涉及的对象是支持WWCP(“Web Cache Control Protocol”)的系统如Cisco IOS 11.2(P)。通过这个漏洞,黑客可以把所有的Http的通信转到Internet的任何一台服务器上去,他还可以建立假的公司网站,拿到他需要的密码和机密数据,以及中断Web服务。这个严重的问题到现在都还没有有效的补丁,解决的办法是封掉路由器的2048端口上的所有UDP通信。 #1 操作系统安全测试 我们用什么操作系统最安全?这个问题没有很好的答案。因为如果你不注意安全,没有足够的防范措施,用什么操作系统都不安全。对各类用户,都有最适宜于他们使用的操作系统。对于银行、金融机构和重要的内部网络,Novell系统是最受欢迎的;多种多样的Unix系统是最传统的网络操作系统,被广泛地应用于各种网络管理和应用服务;对于拥有几台要求不太高的服务器的网络管理员,相对友好的Windows NT可能比较适合他们的胃口;从事多媒体工作的人和某些开发人员也许更愿意使用苹果机上的Macintosh系统;Windows9x系统对于个人上网冲浪,一般的办公应用、设计和开发,可能是最普遍的选择。(^312901a^) 从下面这个清单中我们会得出一个结论:相对安全的是苹果公司的Macintosh系统。原因是很少有黑客去研究它的Appletalk协议和苹果公司独特的硬件设计,而不是它设计得比其它平台安全。苹果机里面的东西可能是黑客最不感兴趣的。在我们下面的一个关于操作系统弱点的清单中,Macintosh榜上无名(这并不是说Macintosh没有毛病,在另一份清单中,Macintosh有14个漏洞),而为安全性设计考虑得最多Novell系统,有15个漏洞。 这个清单内的数据,显示了一个与一般人的安全常识不同的结果:漏洞最多的是Linux系统,因为它是一个开放的、免费的软件;然而被ISP广泛采用的Sunos、Solaris和NT,漏洞居然都比Windows95/98还要多,Unix中的命令也还有225个毛病,仅与Sendmail有关的就有16条。(^312901b^) 上面这些漏洞,几乎有60%以上是黑客入侵的突破口,还有一些是D.O.S炸弹(Denial of Service)。有些漏洞至今都还没有有效的补丁。网络管理员应该多订阅一些安全通报的邮件列表,对运行于自己服务器上的平台,应该经常去软件商的网站那里获取最新的补丁。网管还应该对服务器上的每项设置分析清楚熟知其含义,对不清楚或者没有把握的设置,宁愿关掉它,绝不该一律采用缺省设置。很多Unix服务器可以不采用标准的端口,比如Telnet(23)和FTP(21),可把端口提升到很高的范围,增加黑客扫描的难度。 对于各种网络安全产品,如防火墙和监视器,该用的一定要用,但不能过分依赖,很多防火墙产品自身就有安全漏洞。对于监视器所搜集到的包和信息,应该定期地、有重点地加以分析和研究,找出可疑的活动。经常分析这些信息将有助于防范能力的提高。安全人员还应该去研究一些黑客网站的攻击技术,不断更新自己的知识,并制定防范策略。在很多关于网络安全和黑客的网站,经常公布一些关于攻击原理的源码,设法获取这些源码和支持文件,并对其加以仔细研究,可以大大提高自己的安全技术甚至开发能力。 #1 加密技术 任何有关自身利益和商业机密的资料,在网上传送要注意安全。关系重大的,传送前一定要采取加密的手段,网上有一种嗅探收集各种信息包的技术,还有中途拦截和伪装身份的技术,这些技术在现在虽已不算很先进的手段,但如果运气好的话,他们得到的可能是很有价值的权限、密码或者是机密数据。 SSL是一种比较通用的加密方案,但它仍然有破绽可寻,因为SSL本身也有8条以上的漏洞,例如过期账号还可以登录到系统,旧用户有办法可以获得新用户账号的权限。要想更加安全,可以多用几种加密技术,如PGP和DES等。入侵者的知识面可能很广,做网络安全管理的人知识面应该比他们更广。 有关部门应该充分注意到网络安全技术对国家实力的重要性,把入侵和反入侵技术列为军事范畴。把针对一切与网络安全有关的技术、活动规范化,合法化,并加强对违法破坏行为的打击。只有真正面对和充分重视,才能增进我国网络的安全。