賽迪獨家：專家揭秘美國最大黑客盜竊案

【賽迪網-IT技術獨家】一個月前，美司法部起訴了11名涉嫌非法闖入美國9大零售商電腦系統、並偷盜販賣4100萬個信用卡和提款卡號的網絡黑客，其中一人為美國密情局特工。 這是美國司法部處理過的最大一起黑客入侵、身份盜竊案件。

近期，筆者聯繫了著名安全研究專家Derek Manky先生，就此次黑客入侵事件進行了交流探討。這裡讓我們通過幾個小問題深入洞悉此次事件背後的一切秘密。

1.攻擊者是如何具體入侵無線網絡的？

要入侵無線網絡，黑客需要打破無線網絡的WEP加密。這種加密協議存在缺陷，很容易被攻破，進而進入受保護的網絡。

美國波士頓的聯邦檢察官邁克爾沙利文表示，一旦進入網絡內部，那三個安裝好的「嗅探器」程序就會在零售商的卡處理網絡中到處嗅探，捕獲信用卡號碼、密碼和帳戶信息。還有一些其他私人號碼可以幫助他們訪問已經簽發並且激活了的信用卡和借記卡。

2.整個事件中入侵者都利用了哪些漏洞，採用了哪些入侵手段？

黑客使用的是一種廣為流行並且普遍適用的技術，即通過前端資料隱碼入侵獲取訪問資料庫。這直接通過一個公眾所面臨的界面(HTTP)執行，並且依賴於利用貫穿網絡層到後端系統的資料查詢。在這種情況下，這是管理方面的問題－－這是一個廣泛、普遍存在的問題，應該一直嚴肅對待。

伺服器系統可能遇到各式各樣的攻擊，一旦被入侵，客戶的資料資料確實可能處於危險之中。典型的案例包括通過 「被迫式」下載來自動安裝惡意軟體。

「被迫式」下載往往發生在用戶訪問一個有漏洞的網頁的時候，它將從網頁瀏覽器中找到沒有打補丁的漏洞進而安裝惡意代碼。當然這並不一定發生在伺服器上，它可能發生在作為與關鍵系統處於同網絡的客戶系統上。惡意軟體(木馬)往往從那裡散播到整個網絡。

然而，在這種情況下，確保無線網絡的安全看起來是一個簡單的問題。沒有採用「零日」攻擊，而是利用一種眾所周知的具有無線加密協議的安全問題。通過使用加密技術如WEP或者更強有力的機制如WPA、WPA2可以保護大部分無線網絡的安全。據說WEP擁有各種安全性缺陷，其加密協議很容易被破解從而進入該無線網絡。無線網絡不應該允許訪問敏感資料的。基於這些原因，一個相對容易的安全漏洞出現。我們所提及的嗅探器程序是一種後門木馬，它們是一種可以搜集並傳遞信息的惡意代碼，也是當今網絡犯罪很受歡迎的黑客工具。

3.為什麼這麼長時間才破獲這個案件？

據CNN報道，調查開始於2006年年底，除了司法部門，密情局通過美國在聖地亞哥聯邦調查局進行了三年多的秘密調查。

司法部在一個聲明中表示，黑客當時隱藏了他們控制的位於美國和東歐的在加密計算機伺服器上的資料。一些信用卡和借記卡的號碼通過互聯網出售給其他人，然後將信用卡號加密儲存於空白卡來取現金。通過在空白卡的磁條上加密「兌現」。當局聲稱，被告然後用這些卡每次在ATM取款機上提取數萬美元。花了這麼長時間是因為調查這些事件十分複雜，在各個地區牽扯到許多因素。不同國家針對加密儲存資料的法律不同，導致了調查加密資料儲存只會拖延調查的進程。

4.是攻擊者技術手段很高，沒有讓任何一方察覺，還是其他原因？

這存在兩個主要問題。

第一個是關於最初的安全漏洞：在防護無線網絡和資料的時候，用簡單的手段保護無線網絡的防護協議非常脆弱。很容易通過無線網絡獲得敏感信息，這是設計和拓撲佈局的問題。

第二個問題是關於惡意後門木馬程序在網絡上的蓬勃發展，並且搜集了大量的信息用於惡意目的。這些木馬程序常常被疏忽。通過部署適當的安全系統，最初的漏洞不會再發生。當一個漏洞出現，一個惡意的內部人員進入網絡，綜合安全系統各個功能應該會阻止這些木馬：反病毒就是一個很好的例子。

網絡安全的一系列發展正導致一個綜合解決方案的出現，從而使網絡能夠伸縮自如以抵禦絕大部分攻擊。這個解決方案的關鍵組件正在由產品廠商推出，被稱之謂UTM，或統一威脅管理系統。

促使內部網絡安全成為危機點的兩個主要因素是：

(1)網絡犯罪：隨著犯罪分子在身份盜竊與勒索方面越來越成熟，他們所涉及的網絡範圍也越來越大。現在，他們把目標鎖定在提供豐富機會的特定公司和網站，因為它們可以帶來有價值的交易或者儲備了大量個人信息如信用卡和銀行賬戶的資料庫。

(2)懷有惡意的內部人員：對於一般終端用戶可使用的入侵、掃瞄和開發網絡資源的工具和技術的數量不斷劇增。隨著時間的推移，那些導致信息或者業務資源真正丟失的內部人員事件將會增加。為了保護組織免受來自這些方面的攻擊，局域網接入點必須看作是一個安全周界。

5. 國內企業應該採取哪些防範措施？

・無線網絡不能訪問關鍵資料，並且採用更為強大的加密算法(非WEP協議)。

・通過封包分析(入侵防禦系統)防禦資料隱碼入侵。

・通過入侵防禦系統防禦漏洞利用(惡意下載，服務攻擊)。

・通過反垃圾郵件、反病毒和網頁過濾(有惡意漏洞利用的網址或其它惡意軟體)防禦網絡釣魚類攻擊。

・通過防火牆政策保護來自不可信任來源未被授權的端口訪問。

・通過為軟體提供最新更新和補丁防範成功的漏洞攻擊。

・通過反病毒軟體防禦在網絡上氾濫並危及敏感信息的惡意代碼。

6. 特殊時期(如奧運期間)哪些安全措施尤為重要？

公司IT管理人員應該為員工推薦以下培訓：

‧ 決不要打開第三方建議的、未經請求的鏈接－－取而代之的是，打開你的瀏覽器輸入你想要訪問的網址URL。

・升級安全解決方案－－適當擁有一個有效的反垃圾郵件、網頁過濾和防病毒的解決方案，並且確保持續更新。

・「點擊之前，請選擇」－－用幾秒鐘的時間看一下你打算點擊的鏈接，始終要有意識，注意那些企圖通過使用錯誤拼寫或者古怪的子域名使之看似合法的鏈接。

・保護隱私－－永遠不要應第三方的請求洩露個人信息，如銀行帳號、信用卡或者密碼。

・瞭解你的供應商－－當使用個人信息來進行在線交易的時候，確保供應商是一個可信任的來源而且交易是通過一個安全的連接進行的。

・關鍵問題培訓－－員工應該清楚瞭解安全風險，尤其在加強警戒階段，推薦通過簡單的培訓來防禦社會工程攻擊。

・補丁、補丁、補丁－－所有的軟體，尤其是瀏覽器和操作系統，應該獲取最新的更新(補丁)。這將確保網頁漏洞被關閉，使遠程攻擊者不能利用已知的漏洞。

(