舉世震驚的駭客攻擊
包括Yahoo!、eBay、Amazon.com、CNN.com、E*Trade、ZDNet、Datek Online 和Buy.com等等美國的大型電子商務網站最近受到不知名的網路駭客入侵,紛紛當機、停止服務。
此次駭客攻擊手法是以駭客用分散式拒絕服務(Distributed Denial-of-Service,簡稱DDoS)之方式,經由多數無辜的第三者植入電腦病毒的經紀,協同第三者瞬間同時傳送極為龐大的資訊流,發放大量的服務請求去攻擊網站,弄得網站因為大量無用的信息而應接不暇,以致於無法服務正常的的要求,而造成主機癱瘓、網站當機。
駭客攻擊美國知名網站造成舉世震驚,因為這些知名的網站續遭駭客入侵,導致直接損失預估為12億美元,甚至平均每次駭客對網站的攻擊,造成的總損失會超過50萬美元,這麼鉅額的財務損失使,網站安全防護頓時成為熱門話題。
美國司法單位向駭客宣戰
在電腦駭客連續攻擊國際知名網站之後,美國的司法部、聯邦調查局(FBI)、國家基本建設保護中心(NIPC),電腦緊急反應小組(CERT)和聯邦電腦事件反應中心(FEDCIRC)都聯合起來,為此集會商討對策,並表示將對網路上的駭客宣戰,他們要動員全力來調查和追蹤這一個入侵事件。
美國司法部長雷諾也對此次駭客的入侵行為非常震怒,她信誓旦旦地要動員一切力量去追捕駭客,以一切可能的方法追蹤幕後首腦,並且要將駭客繩之以法,以維護電子商務的安全。
美國聯邦調查局公開宣示要揪出這些攻擊事件的主謀,他們已經發動全面性的犯罪調查,以查出對美國知名網站進行一連串攻擊行動的禍首到底是何方神聖。
追擊駭客的不可能任務
雖然美國司法部長雷諾和聯邦調查局都誓言要把造成這些網路攻擊事件的禍首繩之以法,但是有幾位電腦安全專家卻對駭客的追捕工作不太樂觀,懷疑有關當局能夠實現這個誓言,甚至有人認為這是一個不可能的任務,因為這是一種用借刀殺人的攻擊手法,沒有簡單有效的解決方案去追查,以致要找出攻擊者幾乎不可能。
以往,一般要找出攻擊的駭客都是從仔細審視路由器上的登入記錄,追溯過往的網路交通等網路記錄,並追查到這些攻擊的IP位址是從那裡發出等等方式來著手。然而,這一次的攻擊之追查工作困難重重,因為入侵太多了,用這些方式來調查,其工程浩大,過程相當困難而費時。
而且,駭客利用非常複雜的軟體,使得很多網路記錄都是假造的,甚至,駭客在入侵時是用偷竊來的IP位址和加密過的通訊頻道,這使得追查駭客的蹤跡難上加難。
因此在這種駭客使用借刀殺人計所做的案子,聯邦當局的人進行收集與分析被攻擊目標網站的登入資料的程序,用上述的那些方式來調查,就算追蹤到了,最多將可能只是找出被駭客利用來作案的那些主機,而不是找到真正的攻擊者。
所以雖然駭客用分散式拒絕服務的攻擊事件發生了這麼久,但截自筆者發稿前,卻還沒找出藏身幕後之元兇也就不足為奇了。
讓網站忙得不可開交
什麼是分散式拒絕服務的攻擊呢?簡單地說,這種攻擊假借他人之手,利用假的資訊去淹沒某一個網站的電腦,使它無法將正常的數據與資訊送給客戶。其實,拒絕服務的攻擊並不是一種新式的入侵手法,這種攻擊方式是讓網站為那些不相關的事務弄得異常地忙碌。
「忙」字在中文是心亡這兩個字所組成的,這種攻擊方式就是要讓電腦主機核心死亡,以致無法執行正常的業務。不過,這種攻擊方式只影響到網站的服務態度,但卻不會影響到後端資料的完整性、正確性及私密性。也就是說,這種入侵方式對於客戶的信用卡數據、企業的機密資料和財務的往來資料等不會產生任何的威脅。但是,讓那些重要的電子商務網站忙得無法進行網上的商務,甚至當機,會影響商譽和消費大眾對那些網站的信心。
在過去,拒絕服務的攻擊手法也被一般人用來報復那些濫發垃圾電子郵件的網站,讓那些網站忙得不可開交而無法達到發信之目的。只不過,那些都只是局部性的,不像分散式的這種那麼利害。
萬砲齊發的攻擊方式
分散式拒絕服務主要是用在網路上徵募來的幾十台或數百台電腦電腦,駭客可自動驅動這些電腦,並用像是砲擊的方式向特定之電子商務網站發出數百萬的資料封包,引起這些網站的伺服器立刻否認那些正常的、合法的資料封包請求,從而影響到網站的可用度。
這種入侵方式的特點在於它是分散式的,入侵的指令送到其他的電腦之中,再以借刀殺人的方式去攻擊特定的電腦,這使得被攻擊的電腦若要循線去追查那些搗亂資料封包的發射地點時,結果卻發現那些發射炮擊資料封包的電腦其實也是被駭客入侵的受害人。
分散式的高明之處在於它是用程式去自動掃描一大堆電腦,當發現電腦有安全弱點時,就自動地將像屠城木馬般的發射程式藏到該電腦之中。這整個過程只需要不到四秒鐘的時間,DDoS的入侵程式可以在很短的時間之內,將發射程式藏到數千台電腦之中,然後再讓這數千台電腦在同一個時間,一齊變成砲擊網站的發射台,使被攻擊的網站措手不及,無法應付。
厲害的倒鉤鐵絲網
根據美國一個獨立的電腦安全組織國際電腦安全協會(ICSA)的研究專家的判斷,這次的入侵事件或許是用一個名叫”Stacheldraht”的工具來攻擊,Stacheldraht是德文,其意義為「倒鉤鐵絲網」。
Stacheldraht是源於一個叫做「種族淹沒網路」(Tribe Flood Network,TFN,TFN2K)或是trin00的程式,去年夏天trin00和TFN出現,算是這種程式的1.0版本,而Stacheldraht將是版本3.0。所有的這些程式都允許電腦駭客祕密的使用其他人們的電腦來做發射台,砲擊特定之網站。這使得要追蹤真正的駭客非常困難,抓了半天只抓到受害者,而非幕後真正的元兇。
像「種族淹沒網路」這類的工具用一個多層的指令結構,首先入侵並攻擊一些非特定的電腦系統,然後就可讓攻擊者在被攻擊的電腦上設定遠端「代理程式」,再從之發出電腦指令和假的資訊去攻擊指定的系統。這就可以指揮像Yahoo!、eBay與其他網站所遭遇到的相同種類的攻擊。
禍亂的根源
為什麼駭客們可以輕易地下手進攻呢?這有兩個主要的原因:一是目前Internet的開放式通訊協定使得要製造DDoS的入侵不是一件難事;其次,在網路上有太多沒有做好保全措施的電腦了,這使得駭客要找代為發射的砲台幾乎是垂手可得。
雖然主管Internet的IETF現在正在研究如何可以改善Internet的通訊協定,使得網路上的駭客不能輕易地得逞,但這是一個長程的努力方向,不是一年半戴就可以見效的。因此,在短期之內,對抗駭客用DDOS入侵的最佳妙計還是要切實地將自己所屬的那些在網路上電腦之安全措施做好,不讓自己的電腦成為整體網路安全的一部分。
對抗駭客入侵的祕訣
美國的電腦安全專家警告說,這DDoS是一個複雜的問題,沒有辦法找到一個容易的或簡單的防禦方法。雖然如此,還是有一些對抗駭客入侵(Intrusion)的基本方法,我們現在馬上就可以去做的。只要是電子商務網站之安全性逐步增加,就會增加對DDoS的防禦能力,並進而對網路界對抗DDoS威脅有所貢獻。
目前有很多網路安全的技術可以被用來防禦DDoS的入侵。例如防火牆、路由器、入侵偵測系統、網路安全掃描等等都可以使自己電腦有比較強的網路保全措施,讓駭客無法闖入來放置砲擊的發射台。
下面筆者將介紹一些對抗駭客入侵的教戰守則,包括讓專人負責網站保全、移除不必要的網路服務、詳細查核防火牆和網站等之組態(Configuration)設定、過濾無用的資料封包、建置入侵偵測系統、檢查日誌(Log)並追蹤駭客的蹤跡以及設置入侵通報辦法等等。
這些教戰守則雖然不一定是對抗這次分散式拒絕服務入侵的特效藥,但是它們絕對可以讓駭客使用DDos的困難度提高,不讓他們輕易得逞,並且進而降低網站成為DDoS的攻擊目標,或者被駭客入侵來作為砲擊發射台之機會,更可有效降低駭客事件對社會所帶來的衝擊。
專人負責網站保全
一般小型電子商務網站最大的通病,就是網站經營者忙於在網路上做生意,而疏乎了網站的保全工作。例如,有些和電子商務相關的軟體系統已經被發現在安全上有嚴重的缺失,但是還是被網站經營者拿來安裝。有些軟體的廠商在發現安全上的漏洞時,推出了一些修複性的軟體,但網路管理人員卻疏於將這些修補軟體裝上,以致那些已知的漏洞仍然存在。這些無心的疏失,都會讓電腦駭客有機可乘。
因此,電子商務網站的保全工作應該要由專門的網站保全人員來負責,並且將和網站安全有關的各項任務放到最優先的工作項目。如果作業系統,網站伺服器軟體和其它和電子商務相關的網路應用程式發現有安全的漏洞時,一定要馬上修補;有新的版本推出時,也要馬上測試並且提出升級安裝的計劃,以便隨時保持最新版本。
在安裝新的硬體或軟體完畢之後,一定要馬上將由原廠提供的用戶識別ID和密碼口令(password)改掉,因為這些ID和密碼是駭客闖空門時最先試用的口令。其次,口令的本身是一個非常重要的保全項目,進入網站伺服器的超級用戶應該要列管,而且要強迫至少每隔三十天就要更換密碼口令一次。遇到網站網站站長或技術管理人員離職時,一定要馬上將其ID刪除,並更換超級用戶的密碼口令。
移除不必要的服務
UNIX作業系統為了便利用戶,提供了很多遠距的服務,諸如網路檔案共享的NFS、網路資訊服務的NIF,以及遠距程序控制或呼叫的RPC等等,在設置網站伺服器時,一定要將他們關閉,以免便利了駭客。在NT上面的遠距存取伺服器(RAS)和在麥金塔上面的AppleTalk這些便利遠距遙控的工具,千萬不能允許它在網站伺服器上面使用。
在UNIX上的那些r字頭的指令,諸如像rsh、rexec、rlogin和rcp之類的「r」指令,都是有可能讓駭客用來打開後門的指令,在一個採用以 UNIX 為主的網路環境中,這些「r」指令有安全上的漏洞,應該注意讓它們在企業網站及伺服器上面無法使用。
防止用戶利用這種信些r字頭的指令的方法是將/etc/hosts. equiv和/.rhosts檔案以及所有用戶的~/.rhosts檔案全部設定一個沒有內容的空檔,並且經常定時和不定時地檢查這些檔案是否有人任意修改,是否有人在這些檔案上面加上非法的信任者名單。/etc/ hosts檔案也要常常查看,以免被人動了手腳而不知。
詳細查核組態設定
在防火牆內所保持擷取名單(access list),如果組態設定錯誤,而又沒有經常檢查的話,會讓一些非常危險的TCP/IP 通訊服務自由地通過防火牆。此外,在防火牆裡面所保持的連接日誌(logging)如果沒有經常去檢查的話,很可能記在上面的一些非常奇怪的連接行為都不會被人發現。
在防火牆前面的路由器(Router)是負責連接到Internet上面的,如果它的組態設定錯誤,或者是被駭客竄改了,則會危害到網站的安全。座在防火牆外非軍事區之中的網站伺服器,如果被駭客入侵,則後果不堪設想。為了要防止這種情形的發生,其電腦主機的本身一定要像一個保壘一般,不能讓宵小攻破,它本身的作業系統以及附加的通訊服務功能非常簡單明瞭。
網站保全人員要經常提高警覺,隨時注意各種可疑的狀況,並且經常檢查防火牆及網站伺服器上各種進出的日誌和其他各種組態。作業系統的組態檔案也有可能會產生安全的漏洞,要詳加檢查。
檢查追蹤駭客的蹤跡
此外,網站保全人員還要隨時檢查和安全有關的各種日誌(Log)以及稽查蹤跡(Audit Trail),以確定沒有不法的闖入跡象。在防火牆、電腦及伺服器上面重要的系統日誌包括一般信息的日誌、網路連接的日誌、檔案傳輸的日誌、以及簽入者的日誌等檔案。
在檢查上面的這些日誌檔案時,要注意有沒有不合理的時間戳記,例如一個正常的用戶在三更半夜簽入上機;不正常的日誌記錄,例如日誌只記了一半就切斷了,或者是整個日誌檔案被人刪除了;用戶從陌生的網址進入到系統中來,例如有超級用戶權限的用戶從沒有見過的網址上機;因密碼錯誤或者用戶帳號錯誤而被摒棄在外的日誌記錄,尤其是那些一再連續嘗試進入失敗,但卻有一定模式的試錯法;非法使用或者不正常使用超級用戶權限SU(1)的指令;還有重新開機或者是重新啟動各項服務的記錄。
當然,一個真正的駭客高手在闖入成功,取得超級用戶的權限之後,他會很小心地將所有的證據湮滅。因此在檢查各項日誌沒有發現任何的賊蹤時,並不代表整個電腦系統沒有被闖入過。
建置入侵偵測系統
如果網站很多,各種日誌及稽查蹤跡要做每日檢查在實務上沒有可能的話,應該要考慮建置入侵偵測系統(Intrusion Detection Systems),自動地檢查各種日誌,並在偵查到有入侵的行為時,自動地發出警報信息和訊號。
入侵偵測系統採用「偵測-預警-攔截」的程序來捍衛網路,提供即時、非入侵偵測、以政策為基礎的預警以及自動攔截。新型的入侵偵測系統同時也藉由輕鬆、快速安裝、針對各種攻擊預先定義以及完整的內建式報表等設計,為電子企業提供立即性的價值。
像TFN2K和倒鉤鐵絲網這類程式已由網路駭客安裝並部署在網際網路上的數百個電腦內,但一般使用者卻渾然不知。新型的入侵偵測系統方案能夠偵測這些電腦是否已被駭客侵入,用來發動新一波的攻擊。入侵偵測系統方案還會定義病毒和其他諸如TFN2K之類的惡意行動程式碼,它亦能偵測入侵和惡意存取系統的意圖,透過緩衝區超載的科技來提供防護能力。
過濾無用的資料封包
在RFC 2142之中,界定了如何將和功能相關的電子郵件設置妥當,轉到相關人士的手中,例如網站站長的「Web master」、管理郵件的「Postmaster」,還有管理垃圾郵件及網路濫用的「abuse」等等。
在RFC 2267之中,界定了如何將ICMP網路廣播的地位失效。這些規則應該要安裝到自己的路由器上面,並且要求網路服務供應商(ISP)在他們的路由器上面裝上這些功能。
ICMP是Internet控制信息協定,它被路由器用來在當指定目的地無法搭上線時通知電腦主機。在網路上有像是unke或是icmpbomb之類的工具,可以被駭客用來作為ICMP轟炸的工具,它可以放出假的ICMP訊息,告訴路由器說某一個特定的目的地現在已經當機,使路由器不會將資料封包轉交到目的地去。
網站保全人員要確定防火牆可以阻擋ICMP的訊息,不讓Internet上面的那些ICMP的訊息傳到自己企業的內部網路上。
未雨綢繆防範入侵
在電子商務的網路上要如何偵測出駭客的入侵行為,並且在當偵測出駭客的入侵的時候應如何處理、如何報告到上級、並且如何在事後亡羊補牢等,都是屬於入侵通報辦法的範圍。
網站保全人員要未雨綢繆在網路安全政策上訂明一個入侵通報辦法,以免發生入侵事件時措手不及,無法應付。在通報辦法之中,要預先確定報告的階梯式程序和所有相關人員在工作時間外的聯絡資料。注意要向他們取得聯絡的電話號碼,而不只是電子郵件的網址,因為一旦受到DDoS攻擊時,網路會因為疲於奔命,使得電子郵件不能寄達到任何人。此外,現在就要和自己的ISP之中主管安全的職員接觸,取得聯絡的電話號碼,以免臨時找不到外界的助力。
當網站伺服器有入侵的行為的事件發生,要能很快地找出犯罪的記錄,使宵小無所遁形。所有在網站伺服器上重要的資料、組態設定或程式的更動,都應該要保留稽查蹤跡,以便追蹤所有資訊和組態更改的過程,並在問題發生時,順利找出元兇。
打造安全的網路社區
「保密防駭,人人有責」。在網路上要使資料保密,不讓駭客入侵,不只是那些網上重要的大型電子商務網站的責任,而是在網路上每一個電腦的責任。千萬別以為自己在網路上的電腦沒有什麼機密可言,而完全不設防。
網路上的駭客很可能借用這些不設防的電腦來做攻擊其他人的發砲台或者是跳板。例如在這次的DDoS入侵事件之中,就查出有大學的電腦被駭客用來做為攻擊CNN.Com的發砲台。(圖一)
《圖一 攻擊CNN.com的發射台包括大學的電腦》 |
|
總而言之,唯有大家全力動員,切實做好網路的保全工作,共同打造一個安全的網路社區,才能使網上的駭客不會輕易地得逞。
(作者為本刊特約的旅美作家,本文的相關資料可以在筆者的網站上面找到,見URL:http://home.earthlink.net/~symonchang/security.htm。)