150 likes | 345 Views
電腦病毒 , 駭客 , 防火牆的認識與 資訊安全 9804 11 陳信瑋. 《 駭客的由來 》 在西元 1970 年代左右,當時網路並不發達,以美國為主要地區的電腦玩家們,常常利用電話線路互相連線通訊。但是在幅員廣大的美國,玩家之間或許相隔甚遠,為了節省鉅額的長途電話費用,所以有人發明了一種模擬長途電話訊號的儀器,可以「騙」過電話公司的長途撥接控制系統,這種儀器暱稱為「藍盒子」( BlueBox )。之後,凡是使用藍盒子或是其他技術玩弄電話系統的人,開始有了「 Phreak 」的綽號,中文就稱之為「飛客」。
E N D
電腦病毒,駭客,防火牆的認識與資訊安全 9804 11 陳信瑋
《駭客的由來》 在西元1970年代左右,當時網路並不發達,以美國為主要地區的電腦玩家們,常常利用電話線路互相連線通訊。但是在幅員廣大的美國,玩家之間或許相隔甚遠,為了節省鉅額的長途電話費用,所以有人發明了一種模擬長途電話訊號的儀器,可以「騙」過電話公司的長途撥接控制系統,這種儀器暱稱為「藍盒子」(BlueBox)。之後,凡是使用藍盒子或是其他技術玩弄電話系統的人,開始有了「Phreak」的綽號,中文就稱之為「飛客」。 「飛客」是「駭客」的前身,許多網路入侵、破解密碼的知識技巧,都是早期「飛客」的經驗累積。不過「飛客」是專指對電話通信系統動手腳的專家,之前國內有人破解某公司電話總機外線轉撥密碼,盜打電話的事件,基本上就是典型的飛客行徑。 駭客,它是英文hacker的中譯,而hacker又是由「hacking」這個意思演變而來,hacking的意思是「利用高度技術做出不符合常理所能判斷之結果」,因此駭客的行為,常常是有別於常人的行動邏輯,凡是從事此類行為的人,就叫做hacker。時至科技發達的今日,網路與通信系統的發達,提供了許多技術高超的專家們一展身手的機會,所以網路成為駭客聚集的樂園。嚴格來說,駭客不是網路的產物,只不過現在網路特別適合駭客一族發揮功力而已。 駭客:
防火牆是用來隔開內部網路與外部網路,尤其近年來網際網路逐近成熟,為企業帶來許多的便利與新商機 ,有愈來愈多的企業連上網際網路,也有愈來愈多的應用系統將在網路上被執行,因此網路安全是急待克服的難題。企業不僅需要擔心網路遭到入侵,也必須防止資訊外洩(如:客戶資料、研發資料),或是電腦資源被破壞而停止運作。因為這種安全性的考量,防火牆的設計就是網際網路安全性考量的第一層關卡,但防火牆只是一個網路安全的控管系統,企業還需要有一套安全的網路架構規劃以及控管機置,基於這樣的安全規劃,防火牆方能發揮功能,來保障企業網路的安全。 防火牆:
有不少病毒製作者駭客們被逮捕並予以起訴,判決的輕重各國都有所不同,如羅馬尼亞西歐班尼花費15分鐘寫的MSBlast.F變種大約只感染了1000台電腦,按他們國家的法律他就有可能最高會被判15年有期徒刑,而1998年台灣病毒作者陳盈豪寫的CIH病毒被一些人認為「迄今為止危害最大的病毒」[1],使全球6000萬台電腦癱瘓,但他因為在被逮捕後無人起訴而免於法律制裁,在2001年有人以CIH受害者的身份起訴陳盈豪,才使他再次被逮捕,按照台灣當時的法律,他被判損毀罪面臨最高3年以下的有期徒刑。有不少病毒製作者駭客們被逮捕並予以起訴,判決的輕重各國都有所不同,如羅馬尼亞西歐班尼花費15分鐘寫的MSBlast.F變種大約只感染了1000台電腦,按他們國家的法律他就有可能最高會被判15年有期徒刑,而1998年台灣病毒作者陳盈豪寫的CIH病毒被一些人認為「迄今為止危害最大的病毒」[1],使全球6000萬台電腦癱瘓,但他因為在被逮捕後無人起訴而免於法律制裁,在2001年有人以CIH受害者的身份起訴陳盈豪,才使他再次被逮捕,按照台灣當時的法律,他被判損毀罪面臨最高3年以下的有期徒刑。 中國的木馬程式「證券大盜」作者張勇因使用其木馬程式截獲股友賬戶密碼,盜賣股票價值1141.9萬元,非法獲利38.6萬元人民幣,被逮捕後以盜竊罪與金融犯罪起訴,最終的判決結果是無期徒刑 病毒作者:
隨著病毒和安全威脅的不斷升級與 網路用戶不斷增多的 ,校園防毒管理變得更加複雜,從桌面機、伺服器甚至網路主幹,均需安裝防護軟體, 防範各種保安危機、病毒入侵及綜合式系統威脅。因此計中訂定了全校的防毒政策,全面防止電腦病毒在東海的校園網路感染。 病毒防禦政策:
病毒主要特徵詳解: • 傳播性 • 病毒一般會自動利用25電子郵件埠傳播,利用物件為微軟作業系統捆綁的Outlook的某個漏洞。將病毒自動複製並群發給儲存的通訊錄名單成員。郵件標題較為吸引人點選,大多利用社會工程學如「我愛妳」這樣家人朋友之間親密的話語,以降低人的警戒性。如果病毒製作者再應用指令碼漏洞,將病毒直接嵌入郵件中,那麼使用者一點郵件標題開啟郵件就會中病毒。 • 隱蔽性 • 一般的病毒僅在數KB左右,這樣除了傳播快速之外,隱蔽性也極強。部份病毒使用「無處理程序」技術或插入到某個系統必要的關鍵處理程序當中(工作管理員中的處理程序內,無法關閉的就是了),所以在工作管理員中找不到它的單獨執行處理程序。而病毒自身一旦執行後,就會自己修改自己的檔名並隱藏在某個使用者不常去的系統資料夾中,這樣的資料夾通常有上千個系統文件,如果憑手工尋找很難找到病毒。而病毒在執行前的偽裝技術也不得不值得我們關注,將病毒和一個吸引人的文件捆綁合併成一個文件,那麼執行正常吸引他的文件時,病毒也在我們的作業系統中悄悄的執行了。
病毒主要特徵詳解: • 感染性 • 某些病毒具有感染性,比如感染中毒使用者電腦上的執行檔,如exe、bat、scr、com格式,透過這種方法達到自我複製,對自己生存保護的目的。通常也可以利用網路共享的漏洞,複製並傳播給鄰近的電腦使用者群,使鄰里透過路由器上網的電腦或網咖的電腦的多台電腦的程式全部受到感染。 • 表現性 • 病毒執行後,如果按照作者的設計,會有一定的表現特徵:如CPU佔用率100%,在使用者無任何操作下讀寫硬碟或其他磁碟資料,藍白當機,滑鼠右鍵無法使用等。但這樣明顯的表現特徵,反倒說明被感染病毒者發現自己已經感染病毒,並對清除病毒很有說明,隱蔽性就不存在了。
病毒主要特徵詳解: • 破壞性 • 某些威力強大的病毒,執行後直接格式化使用者的硬碟資料,更為厲害一些可以破壞引導磁區以及BIOS,已經在硬體環境造成了相當大的破壞。
病毒主要特徵詳解: • 潛伏性 • 部份病毒有一定的「潛伏期」,在特定的日子,如某個節日或者星期幾按時爆發。如1999年破壞BIOS的CIH病毒就在每年的4月26日爆發。如同生物病毒一樣,這使電腦病毒可以在爆發之前,以最大幅度散播開去。 • 可激發性 • 根據病毒作者的「需求」,設定觸發病毒攻擊的「玄機」。如CIH病毒的製作者陳盈豪曾打算設計的病毒,就是「精心」為簡體中文Windows系統所設計的。病毒執行後會主動檢測中毒者作業系統的語言,如果發現作業系統語言為簡體中文,病毒就會自動對電腦發起攻擊,而語言不是簡體中文版本的Windows,那麼你即使執行了病毒,病毒也不會對你的電腦發起攻擊或者破壞。[8]
木馬/殭屍網路: • 一般也叫遠端監控軟體,如果木馬能連通的話,那麼可以說已經得到了遠端電腦的全部操作許可權,操作遠端電腦與操作自己電腦沒什麼大的區別,這類程式可以監視被控使用者的攝像頭與截取密碼。而Windows NT以後的版本內建的「遠端桌面連線」,如果被不良使用者利用的話,那麼也與木馬沒什麼區別。 • 主條目:殭屍網路 • 使用者一旦中毒,就會成為「喪屍」或被稱為「肉雞」,成為駭客手中的「機器人」,通常駭客或指令碼小孩(script kids)可以利用數以萬計的「喪屍」發送大量偽造包或者是垃圾資料包對預定標的進行拒絕服務攻擊,造成被攻擊標的癱瘓
有害軟體: • 蠕蟲病毒漏洞利用類,也是我們最熟知的病毒,通常在全世界範圍內大規模爆發的就是它了。如針對舊版本未打修補程式的Windows XP的衝擊波病毒和震蕩波病毒。有時與殭屍網路配合,主要使用緩衝區溢位技術。 • 主條目:灰色軟體 • 間諜軟體和流氓軟體,是部份不良網路公司出品的一種收集使用者瀏覽網頁習慣而制訂自己廣告投放策略的軟體。這種軟體本身對電腦的危害性不是很大,只是中毒者隱私遭到洩露被收集走和一旦安裝上它就無法正常刪除移除了。比如對Internet Explorer的廣告軟體會自動修改並釘選使用者預設首頁以及載入廣告公司的工具條。 • 主條目:惡意軟體 • 惡作劇軟體,如破壞性很大的「格盤炸彈」,執行程式後自動格式化硬碟,原本只為「愚人」目的,但這種惡意程式執行後就會對使用者重要資料造成很大的損失。與此相同的還有文件感染器(File infector)以及在DOS下的根磁區病毒。
指令碼病毒: • 巨集病毒的感染物件為Microsoft開發的辦公系列軟體。Microsoft Word,Excel這些辦公軟體本身支援執行可進行某些文件操作的命令,所以也被Office文件中含有惡意的巨集病毒所利用。openoffice.org對Microsoft的VBS巨集僅進行編輯支援而不執行,所以含有巨集病毒的MS Office文件在openoffice.org下開啟後病毒無法執行。
檔案型病毒 • 檔案型病毒通常寄居於可執行檔(副檔名為.EXE或.COM的檔案),當被感染的檔案被執行,病毒便開始破壞電腦。
防範: • 修補作業系統以及其捆綁的軟體的漏洞主條目:Microsoft Update • 安裝系統以及其捆綁的軟體如Internet Explorer、Windows Media Player的漏洞安全修補程式,以作業系統Windows為例Windows NT以及以下版本可以在Microsoft Update更新系統,Windows 2000SP2以上,Windows XP以及Windows 2003等版本可以用系統的「自動更新」程式下載修補程式進行安裝。設定一個比較強的系統密碼,關閉系統預設網路共享,防止區域網路入侵或弱口令蠕蟲傳播。定期檢查系統配置實用程式啟動索引標籤情況,並對不明的Windows服務予以停止。安裝並及時更新防毒軟體與防火牆產品保持最新病毒媒體櫃以便能夠查出最新的病毒,如一些防毒軟體的升級伺服器每小時就有新病毒媒體櫃包可供使用者更新。而在防火牆的使用中應注意到禁止來路不明的軟體存取網路。由於免殺以及處理程序注入等原因,有個別病毒很容易穿過防毒以及防火牆的雙重防守,遇到這樣的情況就要注意到使用特殊防火牆來防止處理程序注入,以及經常檢查啟動項、服務。一些特殊防火牆可以「主動防禦」以及登錄檔即時監控,每次不良程式針對電腦的惡意操作都可以實施攔截阻斷。不要點來路不明連線以及執行不明程式[10]來路不明的連線,很可能是蠕蟲病毒自動透過電子郵件或即時通訊軟體發過來的,如QQ病毒之一的QQ尾巴,大多這樣資訊中所帶連線指向都是些利用IE瀏覽器漏洞的網站,使用者存取這些網站後不用下載直接就可能會中更多的病毒。另外不要執行來路不明的程式,如一些「性誘惑」的檔名騙人吸引人去點選,點選後病毒就在系統中執行了。