频道栏目
读书频道 > 安全 > 反入侵的艺术——黑客入侵背后的真实故事
2.5.3 入侵白宫
2014-08-22 14:57:14     我来说两句
收藏   我要投稿
本书中有些故事令人震惊,有些故事开阔视野,有些故事使你为黑客的灵感而发笑。如果你是一位IT或安全专业人士,就能从每个故事中吸取教训以帮助你的公司加固安全。如果你并非技术人员,而只是对有关犯罪、胆大、  立即去当当网订购

计算机安全的历史与古代密码术的历史颇为相似。几个世纪来,密码制造者不断设计出自认为“永不可破解的密码”。即使在今天这样一个计算机时代,人们使用包含上百个字符的密钥给自己的信息加密,大多数的密码依然可以破解(美国密码设计和密码破解组织“国家安全局”称他们研制出一系列世界上规模最大、最快、最强大的计算机)。

计算机安全问题就像“猫和老鼠”的游戏:一方是安全专家,一方是入侵者。如Windows操作系统的代码行数有千万条。然而众所周知,复杂的软件无疑会存在漏洞,聪明的黑客有一天肯定会找到。

同时,公司职员和政府官员(有时甚至是安全专家)会给自己的计算机安装新的应用程序,但往往会忽略更换默认口令或重新设计一个真正安全的口令。如果你常常看黑客攻击的新闻,你就会知道军队、政府甚至是白宫的网站都遭受过攻击。有的还被攻击过数次。

登录到一个网站并在网页上涂鸦只是一方面—— 虽然令人感到厌烦,很多时候这都不足以让人担忧。很多人在生活中只有一个口令;如果闯入网站的黑客盗得了口令,入侵者将能在其他网络系统中长驱直入,造成更严重的后果。neOh告诉我们,1999年他与黑客组织gLobaLheLL的两名成员就干了一件这样的事,攻击对象是美国最敏感的地方:白宫。

我想那时白宫正在重新安装他们的操作系统,所有的设置都是默认的。Zyklon和MostFearD在大约10分钟到15分钟内,登录了网站,拿到了隐藏口令文件(shadowed password file),打开文件,进入并篡改了网站。他们做这些的时候,我就在旁边。

他们做这件事情的时间和地点都恰到好处。这纯属偶然:当网站正在修护的时候,他们刚好闯了进去。

我们曾在gLobaLheLL聊天室里讨论过这个问题。凌晨3点的时候我被一个电话吵醒了,他们告诉我他们正在干。我说:“别扯淡了,证明给我看看。”我跳到计算机前,发现他们所言不虚。

大部分是MostFearD和Zyklon做的。他们给了我一个shadow文件让我以最快的速度打开它。我也拿到了口令—— 一个简单的字典上就有的单词。事情经过就是这样。

neOh提供了同伴给他的口令文件的一部分,其中列举了好几个看上去像白宫工作人员的授权用户名:
root:x:0:1:Super-User:/:/sbin/sh
daemon:x:1:1::/:
bin:x:2:2::/usr/bin:
sys:x:3:3::/:
adm:x:4:4:Admin:/var/adm:
uucp:x:5:5:uucp Admin:/usr/lib/uucp:
nuucp:x:9:9:uucp
Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico
listen:x:37:4:network Admin:/usr/net/nls:
nobody:x:60001:60001:Nobody:/:
noaccess:x:60002:60002:No Access User:/:
nobody4:x:65534:65534:Sun0S 4.x Nobody:/:
bing:x:1001:10:Bing Feraren:/usr/users/bing:/bin/sh
orion:x:1002:10:Christopher
Adams:/usr/users/orion:/usr/ace/sdshell
webadm:x:1130:101:Web
Administrator:/usr/users/webadm:/bin/sh
cadams:x:1003:10:Christopher
Adams:/usr/users/cadams:/usr/ace/sdshell
bartho_m:x:1004:101:Mark
Bartholomew:/usr/users/bartho_m:/usr/ace/sdshell
monty:x:1139:101:Monty Haymes:/usr/users/monty:/bin/sh
debra:x:1148:101:Debra Reid:/usr/users/debra:/bin/sh
connie:x:1149:101:Connie
Colabatistto:usr/users/connie:/bin/sh
bill:x:1005:101:William Hadley:/usr/users/bill:/bin/sh

这是以UNIX或Linux形式创建的口令文件,一般将加密的口令储存在一个单独的受保护文件中。每行列出系统中的一个用户名。其中有些行里面写有“sdshell”的词条,这表明这些用户还有其他的安全措施—— 一个称为RSA SecureID的电子设备。这个设备每60秒生成一个6位数的验证码。在登录前进行身份确认时,这些用户必须将那一刻出现的安全验证码以及身份证号码(一些公司也让员工自己设置口令)输入。据neOh说,这些年轻黑客刚进入白宫网站就对网页进行了改写,以表示他们已经“到此一游”。neOh自己就与涂鸦事件有关联(参见图2-1)。在网站上除了粘贴gLobaLheLL黑客组的标志外,他们还写下了“危险二人组”的标识语。neOh告诉我们说,写下假名是为了误导调查者。

 

据neOh回忆,这群入侵白宫的家伙并没有因自己入侵了国家安全级别最高的网站而沾沾自喜。他们真的“忙于入侵”,neOh解释说,“以向世界证明我们是最棒的。”neOh说,他们并没有怎么自我陶醉,而只是说:“干得不错,伙计们!我们终于成功了。下个目标在哪里?”

但事实上他们已没有多少时间去进行任何形式的入侵了。他们的天就要塌下来了,而先前的传言又一次将故事线索集中到神秘的Khalid身上。

这时Zyklon或者叫Eric Burns的话题接过去了。他告诉我们,事实上他非globaLheLL的成员,但那时他刚好在IRC里与一些黑客聊过天。他是这么描述这件事的,他发现可以利用样本程序PHF的一个漏洞,他们的网站就会容易受到攻击,这样入侵白宫网站就变得可行了。PHF是用来访问基于Web的电话簿数据库的,它非常脆弱,这在黑客群体中已不是什么秘密,“使用它的人不多”,Zyklon说道。

通过几个步骤(在本章结尾的“启示”一节会详细讲到),他能获得whitehouse.gov的根用户权限,并能在这个局部网络中访问好几个系统,包括白宫email服务器。那时,Zyklon能截取任何往来于白宫职员和公众之间的信息。

但他同样可以,据Zyklon自己所说,能够“弄到口令的副本和shadow文件”。他们就一直逗留在那里,看看自己能发现点什么,就那样一直等到人们都来上班了。就在等候期间,他收到了一条来自Khalid的信息,Khlid说他正在撰写一篇有关入侵的文章,问Zyklon最近有没有什么入侵实例可以提供。“所以我就告诉他,我们正在攻击白宫网站”,Zyklon说道。

在与Zyklon交谈的两小时内,他还告诉我,他们在网站上看到了一个嗅探器—— 系统管理员所使用的一种工具,用来查看网站上正发生的情况,并可用来追踪网站上的用户。难到是巧合吗?或者难道是因为某些特别的原因需要他们在那一刻检查网络?离Zyklon找出这个答案,还有好几个月。当发现嗅探器的那一刻,黑客们立即拔出网线接口,下了线,他们只是希望能比管理员抢先一步,在管理员发现他们之前,自己已经先发现了管理员。

但他们已经捅了马蜂窝。大约两个星期后,FBI的探员展开大规模行动,逮捕了每个他们已经确认身份的gLobaLheLL成员。除了Zyklon(当时19岁)在华盛顿州被捕外,他们还抓获了MostHateD(真名Patrick Gregory,当时也是19岁,来自德克萨斯州)、MindPhasr(真名Chad Davis,来自威斯康星州)等人。

neOh是少数几个幸存者之一。因为自己身处远方,他得以保全,但他被激怒了,他改写了网页,还在上面贴了一段话:“FBI的小子们,你们听好了。不用为难我们的成员,你们就要被打败了。现在FBI的官方网站也在我们手中。而你们会为此难受的。你们抓了我们这么多人,是因为你们这帮白痴找不到真正的入侵者……我说得没错吧?所以你们试图将我们全抓起来,看看我们当中有没有叛徒,向你们告密。我们不会投降的!明白吗?整个世界都要听我们的!”

然后署上自己的大名:“无情的,neOh。”

您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:2.5.2 9•11以后
下一篇:2.5.4 结局
相关文章
图文推荐
排行
热门
最新书评
特别推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站