Tommy被雇佣担任HelpDesk技术员
他和下班后
HelpDesk人员
起工作
下班后HelpDesk人员由大约10名技术员组成他们负责公司需要在下班期间支持8个远程站点Tommy总是带着他笔记本电脑上班当经理问及此事时Tommy解释说他用其休息时间准备个认证考试这似乎是无害并得到了批准尽管公司对在未经公司安全检查就从外部将机器带入公司网络行为有条公司内安全制度 最终
个监视器捕获了Tommy在离开间小配线房时在手臂下藏着某些东西但由于无人报告丢失任何东西无法证明Tommy犯了什么错当HelpDesk经理询问Tommy为什么出现在配线房时他说误把配线房当成了休息室www. 公司安全经理Erika看到了由负责大楼安全
门卫提交报告她想知道Tommy在配线房干什么并且对Tommy向HelpDesk经理回答感到怀疑检查配线房时她发现从其中个配线板上垂下根被拔下接线电缆以及个空集线器端口当她将电缆插回去时链路灯还是不亮这意味着这是个死端口电缆管理员Velcro将所有其它电缆都整齐地捆绑在起凭着Erika多年经验以及对安全利用敏锐意识她确切地知道发生了什么 Erika假设Tommy在未被发现
情况下将其笔记本电脑带入了配线房他很有可能寻找集线器上个死端口然后插上安装了包嗅探器笔记本电脑该嗅探器可以不加选择地拾取网段上通信量稍后他返回取走了电脑(被监视器捕捉到)在保存捕捉文件后拿回家进行分析 使用公司
安全制度她找到Tommy并介绍说明了所有非法进入公司个人财产(如笔记本电脑和掌上电脑)都需要进行检查由于Tommy本不该带入他笔记本电脑所以将它交给了Erika经过仔细检查Erika发现了下列跟踪译码如图1中所示 经过对Sn
ferPro分析器十 6进制窗格严格检查在图2中窗格右边清晰地显示了ASCII数据当连接到配线房交换机时Tommy通过telnet会话连接在运行配置由于telnet协议是不安全且通过明文发送所以很容易看到密码“cisco” 这是最基本
安全性原则的:不要使用产品名称作为密码但无论原则如何基本奇怪是还是经常有人这样做 接下来
请注意某些外部威胁 外部攻击
外部攻击者是那些必须透过您
“深度防御”试图闯入您系统人他们做起来并不象内部攻击者那样容易第种方案涉及种很常见外部攻击形式称为网站WebSite涂改这攻击使用密码破解来渗透攻击者想破坏系统另个可能密码破解攻击是攻击者尝试通过社交工程(SocialEngineering)获取密码社交工程是哄骗个毫无疑虑管理员向攻击者说出帐户标识和密码欺骗思路方法让我们对这两种方案都研究下 外部密码破解
种很常见和简单举例:涂改网站WebSite主页它不费多少力气通常只要通过利用未正确设置其权限InternetInformationServer(IIS)就可以完成攻击者只要转至工作站并尝试使用HTML编辑工具攻击IIS服务器当试图通过因特网连接到该站点时攻击者使用个密码发生器工具(如L0phtCrack)它启动对服务器蛮力攻击 您公司
声誉处于危险中如果业务供应商和关联企业感到您数据保存在不安全服务器上他们将不再信任您请务必同等看待内部和外部威胁 举例:社交工程骗局
不需要工具而破解密码
骗局称为社交工程攻击请阅读这种方案以了解更多信息 Jon是
家大公司新任安全分析师他首要工作是测试公司安全状态他当然要让管理层知道他将要做什么(这样他自己就不会被当成攻击者)他想知道要闯入网络而不使用任何工具难度如何他尝试两个单独但破坏性相同攻击 [Page]作为大公司
新雇员很多人还不认识Jon这使他能容易地完成第个社交工程攻击他第个目标是HelpDeskJon给HelpDesk打了个常规电话作为假想远程用户要求密码重设由于Jon知道公司命名约定是用户名字加上其姓第个字母他已经有了他需要半信息CIO名字是Jeff他姓是Ronald因此他登录标识是JeffR这条信息可以从公司电话目录中轻易地得到Jon假装成CIO打电话给HelpDesk并要求密码重设
忘记了密码HelpDesk技术人员每天都要重设上百次被遗忘密码然后回电让请求者知道其新密码这对于他们来说是常规工作5分钟后HelpDesk技术人员给Jon回电话告诉他新密码是“friday”恰好是星期 55分钟的内Jon就进入了服务器上CIO共享文件及其电子邮件了 Jon
下个社交工程攻击涉及他个好朋友此人为当地电话公司工作Jon在他休假时借了他衣服、皮带和徽章Jon穿着他新衣服进入公司存放所有灾难恢复路由器和服务器另部分场地这个硬件包含公司所有当前数据有效副本并且认为是机密Jon穿着他电信制服走入场地安全办公室然后介绍说明他是由本地交换运营商(LocalExchangeCarrier(LEC))派来看来电路从电话公司形成了回路他需要被允许进入数据中心这样他可以检查在SmartJack上是否有任何警报 现场管理员陪同Jon到数据中心
甚至没有检查他标识旦进入管理员明智地站在边这样Jon开始了他测试几分钟后Jon通知管理员他必须打电话给办公室并请他们再运行些测试以便能断开到SmartJack回路并尝试故障诊断Jon让管理员知道这将花费45分钟因此管理员向Jon提供了他呼机号并请在Jon完成时呼他以让他出来Jon现在成功地排除了他和数据中心沿墙机架上排列30台服务器的间唯障碍 Jon现在有几个区别
机会他可以转至每个服务器然后查找未加锁控制台或者他可以将其笔记本电脑插入开放端口并开始嗅探由于他确实想知道自己能走多远所以决定查找开放控制台花5分钟查看所有KVM槽后他发现WindowsNT服务器是作为域备份域控制器(BackupDo
Controller)运行Jon从包中拿出张CD然后将它放入服务器CD托盘他将L0phtCrack安装到公司域BDC上然后运行字典攻击5分钟的内产生了如下密码:Yankees它表明首席管理员是个纽约Yankee迷他现在已经有了对公司最重要信息访问权
现在
研究下这是如何做 保护核对表
这里有
张事件检查表您可以照做以使密码破解更加困难: 对您
组织进行审查走圈并确保没有将密码贴在监视器或键盘底下 设置哑帐户
除去administrator(或admin)帐户或将其设置为陷阱并对其尝试进行审查 使用强壮
难以猜测密码永远不要让控制台处于解锁状态 备份是必需
以防不测您需要组有效数据务必确保您拥有它们也要保护磁带否则那里数据也可能遭到损坏 [Page]防止垃圾搜寻
不要乱扔敏感信息;撕碎它或把它锁起来 检查标识并讯问您不认识
人有来访者时对他们进行检查并确认他们身份 教育您
最终用户确保他们不受社交工程侵害教育并提醒内部用户公司安全制度 结束语
在本文中
我描述了攻击者动机的后某些心理以及用来破解密码些低技术和高技术思路方法您已经看到了几种攻击方案包括由经验丰富管理员、HelpDesk技术人员和外部故意破坏者对大公司发起攻击您还了解了密码破解者如何在内部和外部使用技术攻击您基础结构最后提供了有关如何适当保护您自己和您系统避免可能受到密码破解攻击些想法最终挫败这些攻击需要投入自觉努力、经过培训人员、有用工具以及良好安全制度希望您作为主动出击安全分析师在帮助减少组织内部和外部这种恶意活动中发挥重要作用否则您可能在服务器房间中发现Jon得意地笑着手里还拿着您数据 
最新评论