遠程入侵者(Ratters)指一些運用遠程訪問工具激活被入侵電腦的網路攝像頭並在用戶毫無戒備的情況下錄製其視頻的電腦入侵者,稱為“遠程入侵者”。
簡介,入侵方式,危害,
簡介
信息化在企業中普及的程度已經相當之高了,遠程訪問的需求也越來越高。雖然遠程訪問的便捷使得企業工作效率大大提升,但是同時也增加了企業網路的危險性,因為大多數的遠程訪問應用程式本身並沒有安全策略,所以遠程訪問入侵又成了企業網路安全的新隱患 。
因此,網路安全人士曾經警告,電腦黑客可以遠程激活我們電腦上的攝像頭,獲取我們的視頻資料。這種行為在英語裡叫做Ratting,而遠程入侵我們電腦的人則叫做Ratter(遠程入侵者) 。
入侵方式
一、遠程訪問入侵之針對特定服務的攻擊
遠程入侵者企業往往會在內部網路中部署一些HTTP、FTP伺服器。同時,通過一定的技術,讓員工也可以從外部訪問這些伺服器。而很多遠程訪問攻擊,就是針對這些服務所展開的。諸如這些支持SMTP、POP等服務的應用程式,都有其內在的安全隱患。給入侵者開了一道後門。
如WEB伺服器是企業常用的服務。可惜的是,WEB伺服器所採用的HTTP服務其安全性並不高。現在通過攻擊WEB伺服器而進行遠程訪問入侵的案例多如牛毛。
入侵者通過利用WEB伺服器和作業系統存在的缺陷和安全漏洞,可以輕易的控制WEB伺服器並得到WEB內容的訪問許可權。如此,入侵者得手之後,就可以任意運算元據了。即可以在用戶不知情的情況下秘密竊取數據,也可以對數據進行惡意更改。
針對這些特定服務的攻擊,比較難於防範。但是,並不是一點對策都沒有。採取一些有效的防治措施,仍然可以在很大程度上避免遠程訪問的入侵。如採取如下措施,可以起到一些不錯的效果。
1、是採用一些更加安全的服務。就拿WEB伺服器來說吧。現在支持WEB伺服器的協定主要有兩種,分別為HTTP與HTTPS.其中HTTP協定的漏洞很多,很容易被入侵者利用,成為遠程入侵企業內部網路的跳板。
而HTTPS則相對來說安全的多。因為在這個協定中,加入了一些安全措施,如數據加密技術等等。在一定程度上可以提高WEB伺服器的安全性。所以,網路安全人員在必要的時候,可以採用一些比較安全的協定。當然,天下沒有免費的午餐。伺服器要為此付出比較多的系統資源開銷。
2、是對套用伺服器進行升級。其實,很多遠程服務攻擊,往往都是因為套用伺服器的漏洞所造成的。如常見的WEB服務攻擊,就是HTTP協定與作業系統漏洞一起所產生的後果。
如果能夠及時對套用伺服器作業系統進行升級,把作業系統的漏洞及時補上去,那么就可以提高這些服務的安全性,防治他們被不法之人所入侵。
3、是可以選擇一些有身份鑑別功能的服務。如TFTP、FTP都是用來進行檔案傳輸的協定。可以讓企業內部用戶與外部訪問者之間建立一個檔案共享的橋樑。可是這兩個服務雖然功能類似,但是安全性上卻差很遠。
TFTP是一個不安全的協定,他不提供身份鑑別貢呢功能。也就是說,任何人只要能夠連線到TFTP伺服器上,就可以進行訪問。而FTP則提供了一定的身份驗證功能。雖然其也允許用戶匿名訪問,但是只要網路安全人員限制用戶匿名訪問,那么就可以提高檔案共享的安全性。
二、遠程訪問入侵之針對遠程節點的攻擊
遠程節點的訪問模式是指一台遠程計算機連線到一個遠程訪問伺服器上,並訪問其上面的應用程式。如我們可以通過Telent或者SSH技術遠程登入到路由器中,並執行相關的維護命令,還可以遠程啟動某些程式。在遠程節點的訪問模式下,遠程伺服器可以為遠程用戶提供套用軟體和本地存儲空間。現在遠程節點訪問余越來越流行。不過,其安全隱患也不小。
一是增強了網路設備等管理風險。因為路由器、信箱伺服器等等都允許遠程管理。若這些網路設備的密碼泄露,則即使在千里之外的入侵者,仍然可以通過遠程節點訪問這些設備。
更可怕的是,可以對這些設備進行遠程維護。如入侵者可以登入到路由器等關鍵網路設備,並讓路由器上的安全策略失效。如此的話,就可以為他們進一步攻擊企業內部網路掃清道路。而有一些人即使不攻擊企業網路,也會搞一些惡作劇。
有人入侵路由器後,“燕過留聲,人過留名”。入侵者竟然把路由器的管理員密碼更改了。這讓我鬱悶了好久。所以如果網路安全管理人員允許管理員進行遠程節點訪問,那么就要特別注意密碼的安全性。要為此設立比較複雜的密碼,並經常更換。
二是採取一些比較安全的遠程節點訪問方法。如對於路由器或者其他套用伺服器進行遠程訪問的話,往往即可以通過HTTP協定,也可以通過SSH協定進行遠程節點訪問。他們的功能大同小異。都可以遠程執行伺服器或者路由器上的命令、應用程式等等。
但是,他們的安全性上就有很大的差異。Telent服務其安全性比較差,因為其無論是密碼還是執行代碼在網路中都是通過明文傳輸的。如此的話,其用戶名與密碼泄露的風險就比較大。
如別有用心的入侵者可以通過網路偵聽等手段竊取網路中明文傳輸的用戶名與密碼。這會給這些網路設備帶來致命的打擊。而SSH協定則相對來說比較安全,因為這個服務在網路上傳輸的數據都是加密處理過的。它可以提高遠程節點訪問的安全性。像Cisco公司提供的網路設備,如路由器等等,還有Linux基礎上的伺服器系統,默認情況下,都支持SSH服務。
而往往會拒絕啟用Telent服務等等。這也主要是出於安全性的考慮。不過基於微軟的伺服器系統,其默認情況下,支持Telent服務。不過,筆者建議,大家還是採用SSH服務為好。其安全性更高.
三、遠程訪問入侵之針對遠程控制的攻擊
遠程控制是指一個遠程用戶控制一台位於其他地方的計算機。這台計算機可能是有專門用途的伺服器系統,也可能是用戶自己的計算機。他跟遠程節點訪問類似,但又有所不同。當用戶通過遠程節點訪問伺服器,則用戶自己並不知道有人在訪問自己。而通過遠程控制訪問的話,則在視窗中可以直接顯現出來。
因為遠程用戶使用的計算機只是作為鍵盤操作和現實之用,遠程控制限制遠程用戶只能夠使用駐留在企控制的計算機上的軟體程式。如像QQ遠程協助,就是遠程控制的一種。
相對來說,遠程控制要比節點訪問安全性高一點。如一些遠程控制軟體往往會提供加強的審計和日誌功能。有些遠程控制軟體,如QQ遠程協助等,他們還需要用戶提出請求,對方才能夠進行遠程控制。但是,其仍然存在一些脆弱性。
一是只需要知道用戶名與口令,就可以開始一個遠程控制會話。也就是說,遠程控制軟體只會根據用戶名與密碼來進行身份驗證。所以,如果在一些關鍵伺服器上裝有遠程控制軟體,最好能夠採取一些額外的安全措施。
如Windows伺服器平台上有一個安全策略,可以設定只允許一些特定的MAC地址的主機可以遠程連線到伺服器上。通過這種策略,可以讓只有網路管理人員的主機才能夠進行遠程控制。無疑這個策略可以大大提高遠程控制的安全性。
二是採用一些安全性比較高的遠程控制軟體。一些比較成熟的遠程控制軟體,如PCAnyWhere,其除了遠程控制的基本功能之外,還提供了一些身份驗證方式以供管理員選擇。管理員可以根據安全性需求的不同,選擇合適的身份驗證方式。
另外,其還具有加強的審計與日誌功能,可以翔實的紀錄遠程控制所做的一些更改與訪問的一些數據。當我們安全管理人員懷疑遠程控制被入侵者利用時,則可以通過這些日誌來查詢是否有入侵者侵入。
三是除非有特殊的必要,否則不要裝或者開啟遠程控制軟體。即使採取了一些安全措施,其安全隱患仍然存在。為此,除非特別需要,才開啟遠程控制軟體。
因此,平時的時候,你應該把一些套用伺服器的遠程控制軟體關掉。而只有出差或者休假的時候,才會把他們開起來,以備不時之需。這么處理雖然有點麻煩,但是可以提高關鍵套用伺服器的安全。這點麻煩還是值得的。
危害
遠程入侵者指一些運用遠程訪問工具激活被入侵電腦的網路攝像頭並在用戶毫無戒備的情況下錄製其視頻的電腦入侵者,稱為“遠程入侵者”。他們將這些被入侵電腦用戶稱為“奴隸”,而那些有損名聲的視頻,尤其是女性“奴隸”的視頻,則被用來公開交易並在視頻網站上發布。
除了侵犯受害者的隱私外,“遠程入侵者”還使用他們軟體里的工具恐嚇或騷擾遠程受害者。他們可以打開和關閉用戶的DVD驅動器、在用戶電腦上播放圖形圖像、使用文本語音切換應用程式讓電腦大聲朗讀,甚至隱藏用戶的開始按鈕。
雖然這種未經授權的計算機入侵行為明顯觸犯了法律,但打擊這種行為仍頗具挑戰。網上已經有許多免費或低價的惡意程式,入侵者們通常都不在本地也不在受害者附近。而且,儘管任何一個“遠程入侵者”論壇都可能會被封殺,類似的論壇卻很容易在其它地方出現。