一、业余玩家:多半是对网络技术有兴趣的相关人士,这些人其实没有什么恶意,只觉得「入侵」是证明自己技术能力的方式,即使造成什么破坏,也多是无心之过。而只要是系统管理员,都能预防这类的破坏。
二、职业入侵者:把「入侵」当成事业,认真且有系统的整理所有可能发生的系统弱点,熟悉各种信息安全侦防工具。这也许需要一个经验老到的全职系统管理员,才有能力应付这种类型的入侵者。
三、玩票性质的计算机高手:可能是天才型的学生,也可能是熟练的计算机工程师,他们对网络、操作系统的运作了若指掌,对信息安全、网络侵入也许丝毫不敢兴趣,但是只要系统管理员稍有疏失,整个系统在他们眼中就会变得不堪一击。
四、Hacker级的cracker:具操作系统或系统安全工具设计研发能力的人。面对拥有技术能力底子的人,系统管理员也许只能说:「还好这样的人不多!」。
在知道会是哪些人尝试存取企业的信息资产后,进一步要了解的是入侵行动是怎么进行的?选定目标,设法取得权限。想要直接取得系统管理员的权限很难,但是一般使用者通常容易得多。有一般使用者的权限,就有机会登入机器看看系统内部的环境,也许就能找到系统的弱点。
有机会登入系统后,当然下一个目标就是取得更高的权限。只要是程序就一定有漏洞,假设更改密码的程序发生错误,则一般使用者就可以更改别人的密码!入侵者在登入系统后,接下来就是寻找系统中是不是有系统弱点存在?利用系统弱点,取得更高的权限。当然最终目标是取得管理者的权限。
取得管理者权限,表示入侵者已经入侵成功,整个系统已经掌握在他的手中,但同时系统管理员可能正坐在终端机前,随时可能发现入侵者的行踪。所以入侵者首要做的工作当然是隐藏自己的行踪。修改系统记录文件,如UNIX系统中的wtmp、utmp、syslog等;清除相关记录后,系统管理员使用一般如last、who之类的指令,就应该看不到入侵者的踪影了,除非使用netstat之类监看网络状态的程序,警觉的管理者才能发现一些不寻常的联机。
◎如何防堵?
入侵事件的防堵尤困难于计算机病毒的防治,计算机病毒是程序、是死的东西;而入侵者是活的,没有固定的行为模式。换句话说,理论上没有任何一种自动化的系统安全工具可以保证免于所有的入侵攻击。但是选择适当的侵入侦测、防火墙等安全系统,并正确的设定、使用,确实能提高入侵的困难度,避免大多数的入侵事件。
另一方面,制订适当的信息安全政策,诸如定期备份、删除不必要的网络服务、重要资料离线处理等信息安全管理规则,除了增加入侵的困难外,更能降低入侵事件的损害,节省回复所需的时间。
「只要是程序,没有不出bug的!」,建立一套安全的系统,绝对不仅止于选择一套安全的操作系统或网络环境,否则再安全的系统,也总有一天会被入侵者找出致命的弱点。在系统管理者与入侵者间的这场战争里,入侵者的优势是对网络及系统的了解,而成功的入侵者更有超人的耐性,能忍受不断的尝试与失败。而管理者则拥有合法且完整的系统使用权,所以事实上是占有绝对的优势,而正视系统安全的问题,细心与恒心是系统管理者所能拥有的最佳利器。
一切顺利,入侵者已经变成系统中「隐形」的管理员,可以从容地环伺周围是不是有更值得攻击的目标。NIS、NFS、DNS server在哪里?看看网络设定文件就可以知道了。在精明的入侵者眼中,甚至从这些设定档的瑕疵,就可以看出弱点,一举攻陷相同网域的其它主机。
接下来,每次入侵都要花费这么多心血,不辛苦吗?当然辛苦,所以安装一些木马程序,才可以让下次光顾时大摇大摆拿着钥匙开门进来。
最后,该作的事情都作完了,看看的资料都看过了,再留一个网络监听程序,坊间像sniffer、tcpdump都常被使用,这样定期回来看看,多半可以找到一些同一个网域的登入密码。看看系统上还有那些可能被发现的痕迹,清理干净,免得让系统管理员提高警觉。