防Anonymous和LulzSec黑客!這五招夠不?
譯文【51CTO.com 8月2日外電頭條】讓我們正視現實吧:你根本沒有辦法阻止得了下定決心的黑客,哪怕你是家安全公司,照樣阻止不了。今年一波又一波的攻擊清楚無誤地表明了這一點,發動攻擊的有Anonymous、從Anonymous分立出去的另一黑客組織LulzSec以及"反安全"浪潮的其他不屬于任何組織的黑客,他們以暴露安全漏洞,拋售暴露的數據、電子郵件文件夾及其他敏感信息為樂事。
Lumension安全公司的取證調查和安全分析師Paul Henry說:"在我看來,美國安全公司HBGary遭黑客攻擊是個轉折點。這起事件絕對引起了我的注意:這表明,與互聯網相連接的任何人都有可能成為受害者。"
Karim Hijazi是Unveillance這家安全新興公司的首席執行官兼總裁,該公司在今年5月底曾遭到現已解散的LulzSec的攻擊;他表示,其實沒有辦法避免被這些類型的攻擊所盯上。Unveillance公司使用污水口服務器(sinkhole servers),偽裝成僵尸網絡服務器,獲取孤立的僵尸機器發來的公告信息。他說:"考慮到攻擊的猖獗程度,很遺憾,我無法確信誰的系統是這伙人嚴格上來說攻破不入的。我是說,這天中央情報局(CIA)面向公眾的網站遭到分布式拒絕服務(DDoS)攻擊;第二天換成游戲公司遭到了攻擊,攻擊根本毫無模式可言。"
他說:"話雖如此,某人不想讓自己被這伙人盯上還是相當難。我們無疑在反其道而行之;我會竭力勸別人不要嘲笑這伙人。" 他是指他公司拒絕把僵尸網絡的信息、控制權和所得利益交給攻擊者。于是LulzSec采取了報復,把他的電子郵件文件夾及其他信息公布在了網上。
LulzSec的成員也被認為在幕后攻擊了HBGary Federal安全公司,隨后竊取了HBGary本身的電子郵件文件夾,而這些黑客當時隸屬規模更為龐大的Anonymous這家黑客組織。HBGary Federal前首席執行官Aaron Barr發表了身份揭露的組織成員的研究報告后,就遭到了報復性攻擊。
最近,LulzSec的成員之間外泄的聊天會話日志讓外界或多或少了解了這家組織采用的一些攻擊類型。比如說,Imperva安全公司分析日志后得出了結論:采用的三種攻擊手段包括遠程文件添加、SQL注入和跨站腳本(XSS)--它們都是常見的Web安全漏洞。據Stach & Liu安全咨詢公司的研究人員聲稱,谷歌黑客攻擊(Google-hacking)是LulzSec成員采用的另一個工具。
那么,你怎樣才能幫助自己抵御像Anonymous及其追隨者這些下定決心、野心勃勃的黑客呢?下面是Unveillance公司的Hijazi及其他安全專家傳授的一些技巧,次序不分先后。
1、自己采用谷歌黑客攻擊手段。
結果證明,LulzSec攻擊者最早使用的工具之一是谷歌黑客攻擊,也就是上網查找安全漏洞,比如網頁上的SQL注入和遠程文件添加等漏洞。Stach &Liu公司的執行合伙人Francis Brown研究了LulzSec使用谷歌黑客攻擊的手法,表示上網查找其他網站的安全漏洞是該組織偵察活動的第一步。
大多數企業甚至懶得采取這個很簡單,卻常常能發現問題的措施。Brown說:"我們建議你自己也采用谷歌黑客攻擊手段。一旦你做了這一步、找到了安全漏洞,比如某個思科VPN配置文件,將來就有了重點關注的對象。"
Stach & Liu公司的研究人員提供了免費的谷歌黑客攻擊工具;Brown表示,他和另一名研究人員Rob Ragan打算在下個月即將于拉斯維加斯舉行的黑帽美國(Black Hat USA)大會上發布更多的谷歌黑客攻擊工具,不過這些工具用于防范目的。Brown說:"最大的《財富》100強公司中有一家公司使用了這類工具,并使用谷歌快訊服務和必應(Bing)RSS新聞源;如果谷歌檢索到的內容與這些安全漏洞匹配,這些工具就會向你實時發送最新信息。這就好比是入侵檢測系統(IDS)。"
他們將發布的新工具包括面向Android和iPhone的版本。他表示,所以,要是其中一款所謂的"Diggity Hacking"工具看到谷歌上檢索出了含有貴企業30萬個密碼的某個SQL文件,它就會提醒你。
他說:"你可能存在一大堆的傳統安全漏洞。你不希望別人通過谷歌輕而易舉就能找到這些漏洞,因為谷歌太友好了,會為你檢索出你的所有安全漏洞。"
2、使用和執行強密碼和多因子驗證機制。
密碼很麻煩,但它們仍是大多數企業每天所要面對的安全機制。不止一個用戶帳戶使用同一個密碼給了黑客可趁之機,也給了揭露貴公司電子郵件或其他信息的另一條途徑。
自從HBGary黑客事件之后,Lumension公司的Henry采用了一項極端的密碼安全策略。他說:"我的做法如下,我仔細審查了自己擁有的每一個在線帳戶,并更改了每個帳戶的密碼,采用大小寫字母、數字和符號組成的密碼。平均長度是12至16個字符。"他還每隔30天就更新密碼。
Henry說:"我知道這個做法很極端,但我只能這么做。"
當然,選用復雜而獨特的密碼存在的缺點是,要記住這些密碼就算并非不可能,至少也很困難。他說:"于是,我將它們按只有我知道的順序記下來,并制成一張塑封卡放在錢包里。"
他還使用那些秘密問題的虛假答案,以便在網上驗證用戶身份。"我對于主要帳戶的秘密問題有不同的答案。我的生日不對,我母親的娘家姓也不對",旨在進一步保護其在線帳戶的安全。
優利系統公司的全球安全解決方案副總裁Steve Vinsik也提議,為每一個帳戶采用復雜的密碼;并且每隔30天就更新密碼。他還建議采用多因子驗證機制,而不僅僅是標準的用戶名和密碼:有權訪問敏感數據的管理員及其他帳戶應使用生物特征等第二個安全因子。
Unveillance公司的Hijazi表示,多因子驗證正漸漸成為大多數企業的一種比較實際的選擇。Hijazi說:"多因子驗證正成為確保安全運營的一個日益明顯的層面,不管貴公司的規模有多小。"#p#
3、消除SQL注入、XSS及其他常見的網站漏洞。
除了采用谷歌黑客攻擊手段查找自己的安全漏洞外,對網站和應用程序執行漏洞掃描和評估工作也非常有助于將一些黑客拒之門外。像SQL注入和XSS這些常見的、很容易被利用的漏洞是LulzSec及其他攻擊者最先尋找的一些對象,以便偷偷潛入攻擊目標的系統。
優利系統公司的Vinsik建議,還要在自己的網絡上執行滲透測試,以便找出漏洞,一定要補救這些漏洞。
Unveillance公司的Hijazi說:"如果貴企業是一家在網上頗有知名度的企業,就有必要證實你的Web應用程序已經過了全面深入的檢查,找出安全漏洞--以LulzSec為例,這個漏洞具體就是指SQL注入。在許多情況下,開發期間一項到位的軟件開發生命周期(SDLC)計劃能夠找出大多數軟件缺陷,但是確保補丁版本最新或者更新LAMP堆棧或Windows服務器環境從來是有益無害。"
4、讓第三方機構托管你的網站。
實際上沒有辦法預防大規模的分布式拒絕服務攻擊(DDoS),不過有一些方法可以緩解這種攻擊的風險,比如緩送技術(tarpitting),或者迫使DDoS僵尸機器發送比較少的流量以及阻止不良的IP地址。但是大多數企業根本就缺少防范DDoS所需的設備和資源。
Unveillance公司的Hijazi說:"不管你作了多么充分的準備,要對付拒絕服務攻擊尤其困難。面向公眾的網站很容易受到這類攻擊的危害,可能總是會這樣,原因在于這些網站誰都可以訪問。拒絕服務攻擊是一種很低級的攻擊,但是對門外漢來說,它還是會造成相當大的影響。我知道,許多人覺得針對參議院網站和CIA網站的攻擊讓人很窘迫,這反映了這些網站的安全沒有做到家,或者表明毫無準備。"
他說:"我不能說,對于期望防范這類威脅的企業,我有好多的忠告--只要看看到目前為此的這些受害者的地位和能力。對于大多數企業來說,最多只能采取'經受風暴襲擊'的做法。"
另一個辦法就是將你面向公眾的網站外包給第三方機構。Lumension公司的Henry就采取了這一做法。他把其個人博客托管在自己的服務器上好幾年之后,最近請第三方主機托管提供商來運行其個人博客。Henry說:"如果有人攻擊了我的博客,他們攻擊的只是提供托管的第三方,而不是我的內部網絡。"他使用了報警系統,只要內容出現任何變化,就會第一時間通知他;他表示,他還對博客上更新的任何文件內容進行了"加密"處理。
第三方主機托管提供商可能比中小型企業、甚至大企業更有能力幫助防范DDoS攻擊。
5、離線歸檔比較舊的電子郵件。
如今,Henry把時間在30天以上的電子郵件統統遷移到離線歸檔系統。這個方法可能適用于一些企業。
Unveillance公司的Hijazi說:"如果你一旦完成了電子郵件讀取或者遷移到離線系統,就可以一刪了之,這將是保護自身安全的另一種方法。"
Henry表示,自己平時從存儲歸檔系統的機器搜索舊的電子郵件。他說:"我不會把時間至少在一年以上的數據放到在線系統。"
比如說,對于像律師事務所這些需要保留30天以上的電子郵件來辦理案子的機構來說,他建議電子郵件只保留90天。Lumension公司為一家律師事務所客戶就是采取了這一做法。他說:"過去可以從網上訪問到這家律師事務所的其中一個負責人四年多以來的電子郵件。現在,它們對電子郵件進行了歸檔,每隔90天就把郵件從服務器上刪掉。這些郵件保存在無法從網上訪問的地方,只能通過內聯網來訪問。"
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
