標籤:

許可權的遊戲

對於普通的計算機使用者(這裡的普通使用者包括財務、行政、文員等沒有涉及軟體開發、IT 運維等工作)來說,他們對於信息安全最直觀的印象就是電腦中了病毒了相當卡,QQ 被盜了,攝像頭被遠程控制了,對於媒體從業人員來說,信息安全事件就是XX 網站的官網被黑客入侵了,主頁被改為「XX 到此一游,貴網站存在安全漏洞」等。正所謂外行看熱鬧,內行看門道。普通大眾對於一個具有一定門檻的行業,看到的往往只是表面的現象特徵,這很正常,因為沒有一定的知識儲備。

人們往往只關注自己利益相當的東西,比如QQ 被盜,論壇賬號密碼被盜等,但是之前微軟官方一直提示下載的安全補丁,用戶不關注,因為在很多人看來,這與自己的利益並不相關。操作系統的安全,那是安全系統廠商要考慮的事。現在世面上的操作系統那麼多,有沒有哪一款操作系統是絕對安全的呢?老邪個人認為目前還沒有,如果真有這麼一款操作系統的話,那麼反病毒廠商都倒閉了。微軟的Windows系統是目前使用得最廣泛的系統,但是也是病毒數量最多的系統,Mac OSX操作系統在2006年以前使用的較少,因為當時Mac OSX系統只能運行在蘋果的PowerCPU上,2006年以後,蘋果官方將Macbook的CPU從PowerCPU遷移到Intel X86 CPU平台上。2007年以後,隨著iPhone智能手機的流行,也帶動了Macbook的流行,Macbook的使用率相比以前有了很大的提高。現在的病毒製作者,已經是一個追逐利益的群體,Mac OSX平台使用率不錯,那麼在這一平台上開發病毒可以獲得相應的回報,因此,Mac OSX平台上病毒也慢慢多了起來,具體數據可以查看FreeBuf.COM | 關注黑客與極客。Linux操作系統在伺服器端大範圍使用,在桌面端的使用率相當較低,自然針對Linux平台的病毒會少一些。

道哥吳翰清曾經說過,信息安全的本質是許可權控制,深以為然。比如,網站後台管理員的用戶名與密碼,如果一直在網站管理員那兒,它是安全的,因為這樣網站的許可權在可信任的人那兒。如果黑客通過SQL注入、XSS等手段拿到了管理員的密碼,網站的許可權落在了不可控的人手上,那麼就出現了信息安全問題,黑客可以通過修改網站主面、加入賭博網站鏈接、加入木馬的下載鏈接等手段非法獲取利益。用戶的個人電腦密碼,原來一直在自己的手裡,那麼這個用戶電腦里的信息相當來說是安全的。如果用戶的密碼落到不懷好意的同事手上,剛好用戶這幾天正在做標書,這個同事收了競爭對手的好處,假裝加班,在大家都回去之後打開用戶電腦,把投標價格告訴了競爭對手,這必然給公司造成損失。

以上兩個例子,主角都是人。在計算機世界中,人是需要通過外設(鍵盤、滑鼠)等給計算機程序發送命令,計算機再執行具體操作。那麼這個用戶程序的許可權大小就決定了其對計算機的可能危害的大小。比如,在Linux操作系統中,UID 為0的用戶是許可權最大的用戶,可以修改其它用戶的用戶名與密碼等,而普通用戶則只能修改自己的用戶名與密碼。UID為0的 root 的用戶的許可權如果在系統管理員的手上,那麼就是安全,如果落到不法分子的手裡,那麼不法分子就可以利用root用戶在伺服器上胡作非為。

黑客入侵伺服器或是PC,最終目的是為了取得系統的最高許可權,如果是Windows系統,則是Administrator用戶,Linux操作系統為root用戶,Mac OSX操作系統也為root用戶。但是伺服器或是PC 都在遠程,並未在本地,黑客只能通過遠程工具登錄上去。這個遠程工具可以是SSH, Xmanager, 遠程桌面,CMD-SHELL等,對於網站來說,還有一個很重要的遠程登錄工具,「中國菜刀」,這是一款中國人開發的Web網站管理工具,在黑客圈子裡是一個神器。

一般來說,黑客要想直接登錄到系統上,只有使用正確的用戶名與密碼。一般有經驗的系統管理員都會將用戶名和密碼設置得比較複雜,黑客不可能輕易猜測到密碼。那麼可以通過暴力破解工具進行猜解,前提是被攻擊的系統未設置連續錯誤登錄的次數。對於Web 登錄系統來說,比較有名的暴力猜解工具有Burp Suite,通過這個工具,攻擊者可以自行設置字典進行攻擊。現在網上有很多已經泄露的庫,攻擊者可以從某些渠道獲取這些庫用於攻擊。

對於網站來說,第一個暴露給用戶的就是其頁面,黑客要攻擊一個網站,一般都是從頁面入手,測試是否存在SQL注入,XSS,弱密碼,其次再查找網站使用的是否是通過的CMS,比如DiscuZ,DeDeCMS等,查找是否存在這方面的漏洞。黑客一般比較少直接從操作系統的漏洞出發,一方面是操作系統存在這種遠程直接攻擊的漏洞一般較少,另外從操作系統層來攻擊難度比較大。目前,國內只有部分大神善於尋找操作系統比如Windows及其上瀏覽器IE的安全漏洞,比如TK 教主。先找到Web網站的漏洞,再通過這個漏洞開啟Webshell,通過Webshell來上傳提權源碼,編碼執行,取得操作系統的最高許可權。

推薦閱讀:

信息安全讀研北郵 or中科院信工所,二者哪個學到的知識多些,哪個對女生來說更具優勢,二者的優缺點是?
國內研究人員發現GMR-2漏洞,可實時解密衛星電話通訊
漲姿勢 | 看我如何通過汗液解鎖智能設備?
銀行卡的密碼數據信息是保存在卡裡面還是銀行資料庫?
發現隱藏在偽造的Flash更新中的持續威脅

TAG:信息安全 |