綜hinaByte 特稿】 El Paso Energy公司位于休斯顿,该公司组织了一个黑客训练班。
当然,训练的目的不是要培养黑客,而是要教授学员如何防范黑客的攻击。来自摩托罗
拉、电子数据系统公司以及州农业保险署的网络管理员、核算师和安全专家们参加了这
一为期4天的培训。公司的训练方法十分特别,它要求学员首先成为一个黑客,于是这些
平时专与黑客斗争的专家们,一下子跃身进入黑道。
几天下来,学员中的12个人成功地取下了微软公司皇冠上的明珠――他们进入了一
台Windows NT服务器,体会了作为一名黑客的最大乐趣:复制系统密码,随心所欲地取
走数据,整个过程没有任何负罪感。“这个课程使我们能够更深入地洞察入侵者的心态
和能力。”一位从事计算机安全技术规划的学员深有体会,“我们这样做,是为了在将
黑客赶出网络系统的斗争中向对手学习。”
让我们来看看一名学员记录的黑客培训的全过程:
第1天:寻找攻击目标
首先我们从互联网上寻找有用的公共信息。主讲人 McClure先生谈到通过搜索证券
交易委员会(SEC)的网站可得到其会员公司、实验室和融资公司的基本资料,而后利用
这些公司的融资或子公司的资料信息就可以打入这家公司,因为这些子网的监督或安全
一般并不如其母公司那样完善。
但出于方便考虑,我们绕过SEC,直接去了InterNic注册中心,一家负责域名分配
的服务机构。通过以一个简单的命令查询,我们得到了将被攻击对象所有服务器的IP地
址,以及公司的别名、会员和实验室的辅助域名服务器(DNS)地址。我们甚至看到服务
器的类型(主DNS是Sun-3/180,运行Unix),以及服务器管理员的姓名和电话。
我们用一些常见的网络分析工具来对付我们收集到的一些IP地址,很快就得到一个
与被攻击网络相连的所有机器的域名和IP地址列表。 下一步,我们用trace route(另
一个网管工具,它能追踪源和目标之间的路径)来查看网络拓扑,并确定象路由器和防
火墙这样的访问控制设备。
而后进行的是被McClure先生把称为“扫描端口”的工作。利用管理工具和可下载
的黑客工具来找到哪个端口是打开的,以及这些端口上正运行什么服务。我们采用的是
Nmap,一种可免费下载的工具,它将用于网络映射。我们用它得到攻击目标服务器开放
端口的路径映射,以及它们支持的网络协议和应用服务。例如,在报告的开头,我们看
到: “端口21:打开;协议:TCP;服务:Telnet”。同样,我们得到同一台机器上的
其它10个端口的信息。
第2天:NT根目录之舞
我们被介绍给Eric Schultze先生,他被自己的密友称为“胡佛吸尘器”。这个“
胡佛吸尘器”确实能将一台被攻击机器的五脏六腹吸个一干二净。他证明自己确有资格
叫这个名称。
我们现在开始挑选自己的目标。测试服务器在口令控制和监督松懈这一点上已经是
显而易见的了。另外,我们也准备“嗅”一下邮件服务器,看能不能找到用户名和口令
。最后我们决定进攻后备域控制器(一个单独的物理服务器),那里存放着用户名和安全
信息,由于是备份,它常被人遗忘。
我们与受攻击服务器建立起一个空会话,这种针对微软的小工具,允许在不进行用
户识别的情况进行通讯服务。我感觉自已就象进入别人屋里的一个鬼魂。我能看见每样
东西:网络服务清单、口令文件、用户帐号,甚至薪水册。
我们急不可待地想获得根目录访问权。但我们必须先退出,然后以合法用户的身份
重新登录,再用我们一流的口令破解工具来对付其中各种编码口令。我们以用户名 “b
ackup”重新登录,并尝试口令“backup”)。计算机的回答竟然是:“Command compl
eted successfully(命令执行成功)”。我问Schultze提高警觉是否能使管理员更好地
监管口令。而他遗憾地回答,大多数网络仍满是这种一猜就中的口令。
一旦进入了系统,我们将用户文件和加密口令文件拷到我们的硬盘上。我们退出系
统,用Lophtcrack和速度更快的John the Ripper来对付这个口令文件。这两个工具都可
以从网上下载,他们对照一个常用口令字典,直到破出口令。然而,比较难解的口令可
能需要一天的时间,因为两个工具都是一个字符一个字符地破解。不用几分钟,我们已
经得到了70%以上的简单文本口令。
从受害人的角度来看,微软的LAN Manager口令文件是最糟糕的,因为它将口令分
割成两个部分,每个七字符长,然后用一个已知的常数(如Schultze)来对每一半进行
加密。我们的解密工具正是为此编程,所以它们能比在Unix上更快地找出口令。
如果管理员使LAN 管理器失效,则NT计算机无法与任何运行Windows 95或98的计算
机对话。这将是一个很难解决的问题。
凭借我们新找到的口令,我们又重新以管理员级身份侵入计算机,并获得对计算机
root的控制权。
第3天:夺取Unix的旌旗
“攻击根目录反映了一种心态。”第3天的课程就这样开始了。我们实际上正进入了
这种“心态”。我们摩拳擦掌地走进教室,准备攻破不堪一击的Unix。
我们开始重复搜索过程,象我们在NT上那样又重新获得了进入权。但指导教师Pro
sise先生希望开个小玩笑。他向我们演示如何摧毁一个DNS服务器,使通讯量都被重指向
到一个叫“evil.com”的服务器的一个假冒的IP地址中。通过这个服务器,他不仅可以
掠夺信息,还能将信息重新定向后自己又消失得无影无踪。
他也向我们显示了如何进行普通的HTTP攻击,如常见的对公共网关接口的测试,这
种攻击能将使被攻击的机器无法用简单的"get"命令获得文件和目录,以及如何执行远程
命令使使访问权失效。我们安装了特洛伊木马(它可以执行我们的远程指令)。这就冲
开了后门,使我们就能通过 Telnet会话返回,而无需进行身份验证或提供口令。
然后我们玩起夺旗游戏,在四台Unix服务器上一级一级地跃过……
第4天:真正的战斗刚刚开始
4天的实践为这些网络安全负责人们上了生动的一课。没有一个人再敢自信地说:
“我管理的网络是安全的。”而通过这种“培养”公司内部黑客的做法,将使得这些信
息安全专家能够更好地与外部黑客作斗争。
