不久前,我和我的十一个同伴侵入了微软公司皇冠上的明珠---Windows NT系统,并且将其口令拷贝到了我们的硬盘上。
EL Paso Energy公司信息设备技术经理Fred Norwood曾问我们:“你们对‘掠夺’这个词如何理解?”我想,这个词对于我们的最大意义就是“乐趣”。
在Houston近期进行的一次小型测试中,我和我的同伴们充分享受到了这种“乐趣”,而参加这次活动的各公司,如摩托罗拉公司、电子数据系统公司、国家农场保险公司,则希望使自己的网络工程师、审计师以及安全问题专家能够从中获取一些对付我们这类黑客的经验。
某大型计算机服务公司的安全技术专家John McGraw说:“这次活动使我对这些侵袭者的智力和能力有了全新的了解。我们对网络的缺陷不乏认识,但有时候,各种新的问题和漏洞总是令人防不胜防。”
以下是我们这3天的活动过程。
第一天:搜寻目标
第一天,照我们教练Stuart McClure的说法,力争有所“发现”。首先,我们在因特网上搜寻一些公众化信息,安全与交换委员会(SEC)的网站原本是我们的首选对象,通过它,可以获得有关某个公司的基本信息和它的机构、实验室的情况。从而可以很轻易地从其附属公司下手,然后进一步袭击该公司,因为这些附属公司在安全保障体系上往往是比较薄弱的。
但作为权宜之计,我们掠过了SEC直接上了InterNic Registrar,这是一个域名服务器。输入一个简单的“Who is”命令后,我们得到了袭击对象,即目标网站服务器的所有IP地址和公司的匿名,以及其机构和实验室的辅助域名服务器地址。我们甚至还发现了该服务器的类型和服务器管理员的姓名与电话号码。
针对这些所搜集到的IP地址,我们采用了一些很普通的故障查找工具(如区域变换工具,用来在后备服务器和原始服务器之间交换数据)。这样一来,我们就有了与目标网络相连的所有机器的域名和IP地址的清单。
下一步,我们利用跟踪程序观测网络布局,并找出诸如发送程序等潜在的接入控制设备,以避免和它们有冲突。
利用管理工具和可下载的黑客工具,我们发现了开放的端口,看到了这些端口上正在提供的服务。McClure把这个过程称为“端口搜索”。
我主要负责Nmap,这是一种实用型的网络地图,通过它可以找出开放端口和他们所提供的网络协议与应用服务。比如说,在我们那张清单的开头,显示着“第七端口开放;协议:TCP;服务:Telnet”。这样的话,在这台机器上就有10个开放端口。
这一成果令我们欢呼雀跃,但想到还有数不清的地下黑客们也会象我们一样轻易的攻击某家网站,真有点不寒而栗。
第二天:在NT的底层“跳舞”
这一天,我们认识了31岁的Eric Schultze,他被其伙伴们亲密的称为“吸尘器”,能够彻底的掏空目标对象的“五脏六腑”,而Schultze的表现也的确说明他是名副其实的。
一开始,我们先挑选对象,测试哪些服务器的口令控制和监测不够严格。我们决定从后备域名控制器着手,这种服务器是用来存储用户名的,安全性较低。
利用目标服务器,我们建立了一个空对话服务项目(即无需表明用户身份就可进行通话)。这是我感到自己就好似一个悄然闯入的幽灵。我能看到一切---网络服务口令文件,用户记录,甚至工资单。但我却不能去碰它们,因为空对话项目只为进程间通信服务。
我们渴望进入底层访问阶段(最深入的访问阶段)。但首先,我们得退出系统,然后再以合法用户身份登陆,这样才能获得经过编码的口令,并将它们载入我们的口令编辑工具。
我们试着以“backup”这一用户名重新登陆,机器上显示“成功完成指令”的信息。
我问Schultze,网络入侵是否会提高网络管理员的警觉型,使他们在口令上多花些工夫,但他的回答是否定的。他说大多数网络管理员依然在使用一些极易破解的口令。
没用几分钟,我们就已经获得了70%的这类简单口令。
微软LAN Manager的口令是目标对象中最没有规律的。它将口令分成两半,给每一半都加密。我们的破解工具是针对这种情况设计的,所以它们破解这类口令比在UNIX系统中要快的多。LAN Manager如果被黑,那么NT系统与Win95和Win98系统将无法对话,其结果很难想象。
有新发现的口令做武器,我们终于对机器实现了底层控制。
教练Ron Nguyen说:“你们进入底层时做的第一件事是什么呢?就是在那里跳舞。”
我们将自己的黑客工具隐藏在目标服务器中的readme.txt文件里,以备最后之需。Schultze说,你完全可以将10M字节的黑客工具隐藏在这样一个文本里,文本大小不会改变。网络管理员要预防这种情况的唯一办法就是建立审查栏,当磁盘空间明显改变时,可以唤起他们的警惕性。
第三天:全胜UNIX系统
“侵入底层系统才够深入”。从第三天起,我们才真正进入这个阶段。UNIX系统是我们的攻击目标。
另一位教练Chris Prosise也没让我们失望。
开始时,我们以在NT系统上运用的手法进入了UNIX,但Prosise想来点刺激的。他教我们如何破坏DNS服务器,以重新确定通往“evil.com”服务器上IP地址的路径。
他还演示了如何对普通的HTTP(超级文本传输协议)进行攻击。我们将“特洛伊木马”(远程工作的可执行密码)安装在机器上,利用Telnet终端通讯,我们就能返回系统,并不需身份认证和密码。
接下来,我们就开始在四个UNIX系统里跃跃欲试了。而这一次我想时间会比较长。
三天的试验,我们也学到了不少东西。
网络和安全管理者们还有很多艰巨的工作要做,所谓网络安全体系无孔不入的这一说法无疑是片面的。或多或少我们大家也许都有过一些黑客行为,但通过研究黑客的手法,信息安全专家们定会在与黑客的斗争中有更出色的表现。
