第十一章 網路駭客攻擊 及防制策略 課前指引 資訊網路科技的快速普及雖然帶給人類莫大的助益,卻也帶來不少的犯罪問題,而資訊犯罪已隱然成為未來社會棘手的問題。資訊犯罪並不單純只是電腦的問題,亦包括公約、倫理、道德及法律層面等問題。其中,又以網路駭客入侵問題最具神秘性且防制困難度較高。
章節大綱 11-1 網路駭客的行為特質 11-4 駭客入侵的常見階段過程 11-2 駭客的時代意義 11-5 健全的安全防護策略 11-3 駭客入侵的攻擊方式 11-6 結語 備註:可依進度點選小節
11-1 網路駭客的行為特質 被查獲的資訊駭客未必武藝高強,只要於各知名網路搜尋引擎輸入破解、入侵或駭客等關鍵字,便可找出許多網站連結,從中獲取相關攻擊工具程式、操作方式及說明。 即使不會運用,只要懂得投入心思尋找,還是可以尋求解答。
11-1 網路駭客的行為特質 透過網友的協助成功入侵他人網路主機的事件也不在少數,但在別人指導下的攻擊作法,也只是抄襲別人先前用過的攻擊技巧而已,沒有創造性,也沒有研究價值,只是陷自己在法律邊緣徘徊而已。 網路駭客就資訊技術能力等級區分,可以分為以下3級。
11-1 網路駭客的行為特質 第1級特色: 有發現軟體弱點能力,經常發表自己所發現的安全問題,並瞭解網路通訊的深層技術,如OSI模組、TCP/IP等。 可獨自運作,難以追蹤,避免出風頭,引人注目,具正面形象。 強調團隊合作,一再反覆測試程式,喜好持續性主動奉獻時間與精力,累積知識與技巧。
11-1 網路駭客的行為特質 第2級特色: 能廣泛的收集工具程式,並使用來源可靠的技術方法。 具有描繪或撰寫需求的能力,但需依賴他人開發或確認程式碼。 熟悉網路協定及相關軟體弱點,擁有多種作業系統與應用程式的實務經驗,並具系統管理員層級經驗。
11-1 網路駭客的行為特質 第3級特色: 具有基本的知識可以取得相關攻擊工具,並花費大部分的時間在蒐尋本身中意喜歡的攻擊工具上。 依賴他人完成的程式碼包裝成新的套裝攻擊工具程式,喜歡觀察最近發現弱點漏洞的實際運作情形,自視為公開資訊的散布者,只希望引起他人注意。 大多執行未經測試的程式碼,甚至不懂該程式的執行目的與可能影響。
11-2 駭客的時代意義 一般而言,「駭客」行為屬於「利用不正常管道的侵入使用」行為,從資訊犯罪角度作分類,因應時代的變遷,有予以不同分類與解讀的必要。 早期,有的人會把「駭客」行為分成駭客(Hacker)與鬼客(Cracker)兩類,同為未授權之侵入行為,但以「是否從事破壞」作區隔。其中,駭客著重研發,鬼客喜好破壞。
11-2 駭客的時代意義 現今則區分成道德駭客與罪犯駭客兩類,同為「不正常管道使用」之侵入行為,但以是否「經過授權」作區隔。其中,道德駭客傾向安全防護的補強,而罪犯駭客隱含不法舉止行為。 以下,我們以資訊犯罪角度從「網路駭客的原始形象」、「駭客形象的特質變化」及「新時代的駭客意義」等3方面,對駭客的時代意義作一詮釋。
11-2 駭客的時代意義 網路駭客的原始形象 崇尚並奉行「資訊免費分享」、「協助解決困難」及「絕不從事破壞」的最高行為指導準則。藉由資訊分享討論的方式,逐漸創造出網際網路(Internet)、UNIX 作業系統及全球資訊網(World Wide Web)的概念。在該族群中,被其他成員稱作駭客(Hacker),表示他具有熱衷解決問題及克服困難能力,是高級資訊技術專家,也是資訊科技通信產業的先驅者,具有一種高尚的榮譽與榮耀。
11-2 駭客的時代意義 網路駭客的原始形象 當時,只要有人把駭客(Hacker)的精神特質(主張資源分享及解決困難)發揮在其它領域,便可以被稱作「駭客」。當時的駭客,被視為具備「資訊免費分享」、「協助解決困難」及「絕不從事破壞」等3項特色。
11-2 駭客的時代意義 駭客形象的特質變化 早期駭客的創造精神與分享資訊觀念,多藉由舉辦「駭客年會」方式進行延續擴散,但隨著資訊破壞事件的不斷相繼出現,「駭(Hack)」字便衍生出「不正常管道使用」的觀念 未經授權的破壞行動人員便成為相繼宣傳出版之大眾傳播媒體、科技小說電影與資訊安全書籍等所稱呼的「電腦犯罪者」或「資訊恐怖份子」(也許會有不同見解、稱謂,但實質意義大同小異)。
11-2 駭客的時代意義 駭客形象的特質變化 當未經授權事件逐漸演變成資源干擾(就算沒有從事破壞,依然對電腦系統資源的分配使用產生影響)及資訊破壞(影響系統正常運作)事件後 舉凡人力投資、時間花費、系統回復及商譽損失等事項上,均導致受害機構的偌大困擾。
11-2 駭客的時代意義 新時代的駭客意義 道德駭客(Ethic Hacker)必須事先「經過授權」才能進行不正常的登入系統工作,這是一個很重要的觀念,其差別在於後來的行為是否構成犯罪 任何研究系統或探討安全的理由,僅適合使用於早期電腦系統不普遍的時候。 罪犯駭客(Criminal Intruder),主要限縮於「未經過授權登入」,有廣義與狹義的描述。廣義罪犯駭客(Criminal Intruder)為「行為人未經授權逕行進出電腦系統」, 狹義罪犯駭客,又稱為入侵者(Intruder),定義為「機構外的行為人(指外賊)蓄意以非法之方法,未經電腦主機所有人或系統管理者的同意而逕行進出電腦系統」。 對於罪犯駭客的種類而言,可區分「飛客」、「鬼客」、「入侵者」及「惡客」等4類。
11-2 駭客的時代意義 新時代的駭客意義 狹義罪犯駭客,又稱為入侵者(Intruder),定義為「機構外的行為人(指外賊)蓄意以非法之方法,未經電腦主機所有人或系統管理者的同意而逕行進出電腦系統」。 對於罪犯駭客的種類而言,可區分「飛客」、「鬼客」、「入侵者」及「惡客」等4類。
11-3 駭客入侵的攻擊方式 駭客攻擊方式 網路駭客嘗試要進入電腦系統通常都會先利用一些刺探性指令去觀察系統,再藉由回傳的訊息去判斷系統的軟體名稱與版本,這像是小偷行竊前會先逐一觀察週遭環境,研判被害人生活習性、籌劃行竊時機與逃離路線一樣。 網路上的許多地下駭客網站,都會介紹一些不同的攻擊方式,每種方式都會有一些不同得攻擊效果。本文將介紹阻絕服務、網址假造、網路監看、社交工程、木馬程式、系統漏洞、網路掃瞄及緩衝區溢位攻擊等數種常見的駭客入侵攻擊方式。
11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式1:阻絕服務(Denial of Service) 阻絕服務指利用網路通訊協定弱點,傳送大量封包使電腦系統負荷過重,並讓主機的某一服務無法運作、發生錯誤、重新開機或整個系統當機,而攻擊行為本身並不會破壞資料的內容,卻又十分惹人厭。 攻擊方式2:網址假造(IP Spoofing) 網址假造又稱為網址詐騙或鳩佔鵲巢(接替)法,主要係指入侵者可假造錯誤、不存在或被授權的網址(使用者),以進行攻擊作為或規避系統管理者及執法機關的查緝。
11-3 駭客入侵的攻擊方式 駭客攻擊方式
11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式3:網路監看(Sniffing) 網路監看指查看及複製網路上流通的電磁紀錄而言。網路監看的工具有人稱它為「嗅探者」(Sniffer),如Gobbler、Ethload、Netman及Esniff等。 Sniffer主要是指可抓取特定網路上流通封包資訊的軟體或硬體,目的是將網路卡置於雜亂模式(Promiscuous Mode),並藉此抓取網路上的封包資料(目前在高速、高流量網路上監看,實際運行可能會有丟掉封包、影響頻寬及組裝不易等困難)。
11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式4:社交工程(Social Engineering) 社交工程指的是利用人際關係上的溝通疏誤,以取得某特殊的系統帳號密碼或重要文件。 攻擊方式五:木馬程式(Trojan Horse) 木馬程式,或稱為特落伊木馬,主要係指隱藏未授權程式碼並執行使用者不想或不知道功能的程式。通常藏在二位元執行檔中、不易看懂、很難偵測且容易導致電腦系統的危害,亦是網路駭客為讓特定對象代替自己完成部分侵入所需執行的程序,而蓄意修改常用指令及路徑設定,以取得某些執行權力。
11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式六:系統漏洞(System Bug and Hole) 系統漏洞的攻擊方式是指利用電腦系統程式設計或維護時所留下的錯誤或私人密道進行侵入工作。 網路駭客有時也會自行設計後門程式,以避開一般的系統防護措施。 漏洞也就是弱點,只要是會被未授權使用者獲得存取權限或更高權限,便是系統漏洞。 攻擊方式七:緩衝區溢位(Buffer Overflow) 緩衝區溢位是利用寫入資料超過原先分配緩衝區的大小,以造成執行錯誤指令的效果,並在所有攻擊實例中佔有極高的比例。
11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 一、阻絕服務的種類 1.死亡之聘(Ping of Death) 阻絕服務又稱為阻斷服務或拒絕服務,為一種令人煩惱的干擾方式,攻擊行為的本身並不需要入侵密碼檔或取得敏感資料,可能僅針對任何暴露於網際網路上伺服端或客戶端的軟體、硬體或服務進行干擾,迫使遭受攻擊的網路主機服務暫時性的失效。 1.死亡之聘(Ping of Death) 此方式為較早發現且較為簡易的攻擊方法,主要係利用TCP/IP實作程序上的缺失,送一種大量不正常封包的簡單技巧(超過IP規格所允許的65,535位元組資料大小),影響電腦主機的運作環境。
11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 2.分散式代理攻擊(DDOS;Distributed Denial of Service) 分散式代理攻擊主要是指植入後門程式後遠端遙控攻擊,攻擊者可各從多個已入侵的跳板主機控制數個代理攻擊主機,所以攻擊者可同時對控制下的代理攻擊主機啟動干擾命令,以對受害主機大量攻擊。
11-3 駭客入侵的攻擊方式 攻擊者 跳板主機 代理攻 擊主機 遠端控制指令 攻擊干擾封包 受害者 攻擊者 受害者 跳板主機 代理攻 擊主機 遠端控制指令 攻擊干擾封包 圖9.6 分散式代理攻擊(DDOS)示意圖
11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 3.廣播攻擊(Smurf Attack) 廣播攻擊係針對IP規格中的廣播網址(如210.255.255.255或210.50.255.255)進行暴力攻擊(Brute-Force Attack)的行為,透過網路控制訊息協定(Internet Control Message Protocol,ICMP)的回應要求封包方式(如Ping為最常見的實作程序)產生大量的訊息 其中網路控制訊息協定(ICMP)主要是負責通訊錯誤的處理與控制訊息的交換,並負責傳達網路傳輸程序中相關的狀態、錯誤、壅塞等資訊。
11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 4.淚痕攻擊(Teardrop Attack) 淚痕攻擊暴露出IP封包分解與組裝上的弱點,在IP封包傳輸於網路的過程中會被分解成許多不同的區段傳送,並藉由偏移量欄位(Offset Field)作為組裝的依據,淚痕攻擊便是透過加入過多或不必要的偏移量欄位,使電腦系統組裝錯亂,產生不可預期的後果。
11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 二、阻絕服務的防制措施 1.網路安全知識的充實 2.資訊安全策略的擬定 3.網路異常封包的過濾 4.網路管理合作模式的建立
11-4 駭客入侵的常見階段過程 依據曾經接觸過的駭客入侵案例,整理出一般駭客在入侵時可能採取的「決定目標」、「蒐集資訊」、「發動攻擊」及「處理善後」等4大階段階段過程。 階段一:決定目標階段 目標的決定通常與攻擊者的動機相關,為娛樂、公佈戰果、挑戰系統保護機制、純休閒、尋找刺激、報復或獲利,每個攻擊者背後的原因都不盡相同。而決定目標的過程中,可能係基於「隨機看到」、「競爭對手聘請」、「新聞媒體報導」、「曾經服務過或親友服務單位」或「存在明顯的系統漏洞」等幾種理由。
11-4 駭客入侵的常見階段過程 階段二:蒐集資訊階段 就掃瞄的種類可區分成以下幾種: 蒐集資訊的目的在於更加瞭解所欲攻擊的對象,當瞭解地越清楚,便較能躲避追緝者的追查,所能產生的攻擊效果亦較大,主要的工作內容有「瞭解攻擊目標」、「偵測欲侵入主機的軟體名稱及版本」、「取得入侵所需資源、技術及工具」及「網路掃瞄攻擊目標」等四部分。 就掃瞄的種類可區分成以下幾種: (1).Ping掃瞄。 (2).主機掃瞄。 (3).通訊埠掃瞄。 (4).漏洞掃瞄。 (5).木馬掃瞄。
11-4 駭客入侵的常見階段過程 圖9.7 SuperScan掃瞄工具程式
11-4 駭客入侵的常見階段過程 圖9.8 通訊埠掃瞄警告訊息
11-4 駭客入侵的常見階段過程 階段三:發動攻擊階段 階段四:處理善後階段 網路駭客常見的攻擊行動,可以區分成「利用系統安全漏洞實行侵入工作」、「取得電腦主機的帳號與密碼」及「讀取侵入主機的電腦檔案」等三大步驟。 階段四:處理善後階段 駭客在成功入侵後,通常會執行一些習慣性的善後工作,諸如:清除相關連線紀錄企圖隱形、放數個後門、充當下次攻擊跳板或伺機尋找下一侵入目標等等均是
11-5 健全的安全防護策略 本文從現今較流行的「網路防火牆」、「電腦防毒軟體」、「入侵偵測系統」、「弱點檢查評估」、「滲透測試」及「健全的安全防護策略」等6道防制策略作一討論。 第一道防制策略:網路防火牆 防火牆原來的意思是一道阻止火勢蔓延的牆,它可以防止災難的繼續擴大,在網際網路的作用上,除了可預防資訊災難發生及防止外界非法入侵外,還可調節網路的流量,隨著網路安全的日益受到重視,防火牆在網路安全的重要性也日益增加,並被視為極為重要的一部分。
11-5 健全的安全防護策略 第二道防制策略:電腦防毒軟體 防駭與防毒軟體在電腦資訊的防衛方法及技術觀念上有所不同的 單純的掃毒程式常用病毒偵測程式監督電腦系統中更改特定檔案或主記憶體的特定部分等類似病毒的行動,並週期性的檢核已知的可疑異動處,但這樣的作法卻無法完全防範遠端入侵者的破壞行為或是冒用名義,因為很多攻擊手法不是採用病毒方式侵入,所以防毒軟體無法防衛。 防駭與防毒兩者常常相輔相成,卻又無法互相替代。
11-5 健全的安全防護策略 第三道防制策略:入侵偵測系統 入侵偵測系統是一種網路安全評估防制工具,也是一套電腦預警系統,可以監控網路系統的通訊內容是否違反安全政策的過程,也可以協助管理人員揪出可能破壞系統的攻擊者。 入侵偵測系統可監督分析使用者與系統的活動、審查系統組態設定與弱點、評估重要系統與檔案的完整性、識別不正常或入侵的活動及針對使用者的登入(出)與影響追蹤,並提供作業系統的稽核管理與違反安全策略即時識別反應的功能,以達有效防制入侵的目的 入侵偵測系統不像一般防火牆需要更改原有網路架構與設定,它可在無需更動系統架構下,監看特定網路通訊活動,並於網路危機狀況發生時,透過警告通知及自動防護方式阻止攻擊動作,提供紀錄報告,作為分析及追蹤的參考。
11-5 健全的安全防護策略 第四道防制策略:弱點檢查評估 弱點檢查為藉由人工手動或程式自動化有系統地檢查電腦主機上已知的安全漏洞、程式瑕疵及組態錯誤等問題,以預防電腦系統的不當濫用。 在檢查弱點漏洞的過程中,檢核表(Checklist)及弱點資料庫(Vulnerability Datatbase)的更新、完善、足夠與否十分重要,因為新的安全漏洞與系統弱點等相關問題會不斷出現,檢核表及漏洞資料庫也會過時落伍,管理者必須像攻擊者一樣思考,設法發現類似的破解路徑或可能得變種攻擊方法,不拘泥於已知的發現問題上。 弱點檢查的程式自動化檢查方式,主要係藉由弱點掃瞄工具(Vulnerability Scanner)對企業內部網路利用各式各樣的安全漏洞進行偵測、評估與監看,企圖找出潛在的安全漏洞,並自動產生掃瞄報告供管理者參考,確保讓企業網路系統環境能維持在較安全的狀態下運作。
11-5 健全的安全防護策略 Fluxay工具入侵實例 某機構電腦遭駭客入侵,追查後發現入侵來源為國內某大知名企業者的電腦主機。經前往該電腦主機現場勘察,發現該電腦主機存有大量漏洞攻擊程式、網路遠端掃瞄結果與破密所用字典檔,攻擊者應已成功進入該業者及其他具信賴關係的多台網路電腦主機,並自行建立成功破解密碼檔。
11-5 健全的安全防護策略 第五道防制策略:滲透測試 一、滲透測試的意義 二、滲透測試的特性 滲透測試可根據客戶要求的方法或範圍進行,測試分析者可以使用先進、複雜的慣用技術觀念、滲透方法與工具程式模擬攻擊行動,識別各種新發現不同且迫切修正的弱點漏洞,並安全地探測網路。 測試過程中通常用可靠信賴的方法於受控制的環境下進行,而最後的分析報告,應包含所有的測試經過、相關攻擊畫面、時間點的說明資料、發現的細節解釋、分類的警告訊息及推薦的更正建議。 二、滲透測試的特性 特性一:無全自動的滲透測試工具 特性二:依照既定流程程序進行 特性三:攻擊者的立場思考 特性四:高道德要求標準的偵測人員 特性五:確保當時的較佳防護狀態
11-5 健全的安全防護策略 第五道防制策略:滲透測試 三、滲透測試的套裝工具 1.Crack / Libcrack(http://www.users.dircon.co.uk/~crypto/) 2.CyberCop(http://www.pgp.com/asp_set/products/tns/ccscanner_intro.asp) 3.Firewalk(http://www.packetfactory.net/Projects/Firewalk/) 4.Hping2 (http://www.kyuzz.org/antirez/hping/) 5.ISS (http://www.iss.net) 6.John The Ripper (http://www.openwall.com/john/) 7.L0pht Crack (http://www.l0pht.com/l0phtcrack/): 8.NAT http://www.tux.org/pub/security/secnet/tools/nat10/)
11-5 健全的安全防護策略 第五道防制策略:滲透測試 三、滲透測試的套裝工具 9.Nessus (http://www.nessus.org) 10.Phonesweep (http://www.sandstorm.net/): 11.SARA (http://www-arc.com/sara/) 12.Toneloc 13.Whisker(http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2)
11-5 健全的安全防護策略 第六道防制策略:健全的安全防護策略 可依序採用「阻絕性」、「隱藏性」、「保密性」及「存活性」等4項漸進式原則來加強防制措施。 漸進式原則一:「阻絕性」原則 運用多種安全保護措施,能減少網路被入侵的機會,這些措施包括防火牆的設置、使用者認證(如來源網址的反查)、變更系統既定密碼(以防駭客沿用)、關閉不必要的服務及存取控制(如設定只有特定的時間或終端機才能和重要主機來往)等。 漸進式原則二:「隱藏性」原則 最好將重要檔案(如歷史稽核檔,高階語言程式的原始碼、人員名冊或帳務資料)以連結或隱藏檔等方式偽裝於該(或其它)系統主機的某處,並設定為只有建立檔案者才有存取的權限,以防輕易被竊取或修改。 漸進式原則三:「保密性」原則 將重要機密的資料以編碼或加密碼的方式保護儲存,可確實有效保護資料不外洩,即使駭客取得重要資料檔案,也會因不易解開或解不開而黯然神傷。
11-5 健全的安全防護策略 第六道防制策略:健全的安全防護策略 漸進式原則四:「存活性」原則 將重要檔案定時或不定時備份於其它儲存媒體上(備份資料也有可能被刪改或放置後門程式),以降低機密資料被竊取修改的損失。
11-6 結語 許多的網路駭客本身並非邪惡不善的人,他們只是好奇聰明的電腦玩家而已,且大部分侵入的目的只是想追求刺激與成就感,尚不會以惡意破壞他人電腦系統為目的。 只要透過例行性的內部稽核、控制或查核,還是可以提早發現網路駭客入侵的攻擊行為並儘早作出合適的防護措施,以嚇阻駭客行為擴張。
本章結束 Q&A討論時間