安全专家看黑客:黑客浅谈
[引言: 正如论坛上的兄弟们说的,国内有一个趋势就是什么东西都是一窝风的上。黑客这个东西好像也差不多。一下子国内冒出了无数的黑客组织,论坛和网站,大家都号称自己是黑客,而且还有一大批人想成为所谓的“黑客” ,大家相互交流所谓的“黑客” 技术。做市场的兄弟们知道,让一个东西流行起来,起一个可以迅速流传,具有想象力的名字很重要。就象艺人们出道以前都要改个名字,一样的道理。把“hacker” 翻译成黑客,非常具有想象力,让人觉得黑客是中国传统意义上的侠义之人,疾恶如仇,行侠仗义,很让人跃跃欲试。如果把“hacker” 翻译成“海客” ,可能想当的人就不那么多了。马丁在这里只是想谈一谈个人对黑客的了解,和大家商量,如果介绍中有不准确之处,或引用的技术有不当之处,欢迎指正。]
黑客浅谈之一:脚本小子
首先想说一下什么是script kiddie,我不知道国内把这个翻译成什么,我想可以翻译成“脚本小子”, script kiddie指的是用别人写的程序的人。网上有很多hacker写的小程序,许多hacker 在公布他们发现的漏洞时,常常也副上一个可以exploit漏洞的程序,作为自己发现这个漏洞的证明。也有的hacker 编写了一些hacking的工具程序。而脚本小子就是收集这些程序的人,他们可能自己从来没有写过一行程序,可能对这些程序内部如何工作一无所知,也不知道如何写这些程序,更不知道如何发现系统的漏洞,就是说他们不知道如何“hack” 一个操作系统或一个应用程序,但是他们知道如何使用hacker编写的程序与工具,脚本小子可以利用一些已知的工具, exploit一些以知的操作系统或应用程序漏洞。在很多hacker的观点中,他们不是hacker,所以hacker们给他们起了个名字叫 script kiddie。很多hacker在公布自己发现的漏洞时,常在公布的程序上坐一些手脚,如果你看不懂程序,只会编译或者只会照学照用的话,得到的东西很可能不能正常工作。这样做的目的就是为了防止脚本小子用他们的程序到处去胡乱试,造成损害。
所以脚本小子是攻击者,是attacker, attacker和hacker应该是不同的, hacker发现系统的漏洞,但他们不一定攻击某个系统。Attacker的目的是为了要攻击某个系统,获得控制权。
马丁对国内的hacker community也不太了解,或者说了解很少,但斗胆妄言一句,很有可能有一大部分是脚本小子。但并不是说脚本小子中就没有高手,前一阵有一个上海的高中生搞得很红火,号称是黑客,还出了本书讲如何用各种工具,很是风光。但脚本小子可以把100种攻击工具, 1000, 10000种攻击工具用的神出鬼没,可以利用已知的系统漏洞攻陷好多网站,控制好多没有管理好机器,但终究还是攻击者,是脚本小子。如果一个系统所有的补丁都是最新的,那脚本小子在其面前就很难有所作为。关键的系统,关系到国计民生的系统,应该都是有资深人士,专业人士全天候管理的,脚本小子能造成的损害还是有限的。前一阵很风光的所谓” 中美黑客大战“,现在看起来只是中美script kiddie之间的大战,损害好像还是很有限。说到这儿,马丁想声明一点,马丁决对没有冒犯的意思, script kiddie 中的高手还是很厉害的,哪位兄弟看到这,千万不要火冒三丈,说居然有人说我不是黑客,一怒之下黑了我们 cnsea.org 或我们的论坛,我们这里是不设防的,绝对没有向各位高手挑衅的意思。
黑客浅谈之二:Bot Net
可以发现系统漏洞的黑客也可以分成两类,就象星球大战电影中的dark side 和 good side。有人以帮助别人为乐,帮助别人修补好系统的漏洞,使系统更健康强壮。也有人喜欢控制别人的系统,把某个公司的网页篡改成别的东西,搞恶作剧。
他们当中有一些发现了系统的漏洞,都是先通知制作系统的公司,让他们把漏洞修好,把可能的损失降到最小,然后再向外界公布。马丁因为工作的关系,接触到一些这样的人,他们大部分都是随着计算机系统的发展成长进来的,都非常博学,人也都很和善。
他们的能力是很大的,不论什么系统,不论如何配置,如何控制,都会有漏洞。可以想象,如果你有能力对一个系统作出分析,分析并找出系统中的漏洞,然后知道任何编写程序来利用这个漏洞对系统进行控制,那你就是等於掌握了很大的权力,所有在网络上运行的这个系统都在你的控制之中,你可以选择发布这个漏洞,修好它,你也可以选择把这个漏洞留给自己用。利用这个漏洞做如何你想做的事。好多hacker觉得自己是 God , 原因也就在与此,你感觉你不受任何人控制,而你可以控制任何你想控制的东西。不过能达到这种水平的人,大多数人都是有责任感,有正义感的程序员。是不会用他们的知识干坏事的。
在互联网还没有大规模商业化之前,黑客是特立独行的标志,是具有自己信仰和理念的群体,不管是喜欢恶作剧,还是助人为乐,目的都是为了要让别人觉得自己与众不同,有能力做一般人做不到的事情,也就是” 酷“。
但随着互联网大规模的商业化,网络在国计民生中越来越重要,黑客的涵义正在悄悄的改变。因为现在,黑客行为可以赚到钱了。
一个行为如果可以赚钱,在商业化的今天,意义就完全变了。金钱的介入意味着产业化,意味着有组织,意味着不择手段,” 酷“再也不是目的了,如何控制互联网上的资源,然后再利用这些资源赚到钱,变成了最终目的。
首先是如何控制网络资源,现在网上的机器越来越多,网上有漏洞的机器也越来越多,攻击者可以很容易利用已知的漏洞控制一些机器,在控制了这些机器之后,如何利用,如何管理这些机器就成为了一个问题。而攻击者的解决方案就是用Internet bot, bot 是robot的简称,也就是机器人,这是一个可以远程控制的程序,你可以向一个bot 发一定的指令,机器人可以根据这些指令,执行一定的任务。现在最流行的控制机器人的方法是通过IRC的通道,马丁会在另外一篇文章里讲一下如何在IRC 通道里发现internet bot.
那么控制者可以向机器人发送什么命令呢?首先可以让机器人到某地更新机器人的版本,可以命令机器人攻击某个网络地址,最重要的是,可以让机器人扫描其他的机器,发现网络漏洞,然后在有漏洞的机器上复制一个机器人,就象电影Matrix里的agent Smith,一传十,十传百,越传越多,你就象拥有了一个机器人的军团,每一个机器人都在为你不停的寻找网上有漏洞的机器,控制它,然后让这个机器也成为你的机器人,寻找下一个目标。 马丁的同事是发现这些机器人的专家,他发现的机器人网络有成百上千的节点。依靠这种技术,控制者可以控制越来越多的网络资源。
一次马丁听HoneyPot的发明者(国内翻译成蜜罐技术),太阳微系统公司的Lance Spitzner的报告,他说因为有了这些机器人网络的存在,以前如果你把一台有漏洞的机器搬上网,可能要一天或一个礼拜的时间才有人发现,才有人试图控制这台机器。但现在,如果你把一台有漏洞的机器搬上网,大概在几分钟之内,就会被机器人网络发现。
所以各位网管兄弟们,千万不要心存幻想,以为侥幸把一台机器悄悄弄上网,不会有人知道,在互联网上有很多这样的机器人军团,他们在日日夜夜的寻找有漏洞的机器。
而且当控制者拥有了成百上千个机器的控制权,如果你发现你的机器被人控制,修补好,对他来说也就是损失了一台,根本无所谓。在这个级别的黑客,他不但可以发现系统的漏洞,还可以利用机器人网络来控制网络资源。
黑客浅谈之三:赚钱有术
拥有了网络资源,并不是这些黑客的最终目标,他们的目标是如何利用这些网络资源赚到钱。但是如何赚到钱也是一个很需要动脑筋的问题,不错,你是控制了这些机器,但你不能让如何人知道,也就是说,这是见不得人的事,你不能做广告,被控制机器上的机器人也不能自动为你赚钱。但是经过一番考虑和寻找,赚钱的方式还是有的。马丁仅列举几个。
1. 敲诈
这个方式俄罗斯的或其他东欧国家的黑客用的比较多,他们控制一台机器之后,通常在里面留一些痕迹,如何通知网管,说你的系统里有问题,我已经知道如何进入,然后给网管一些证据譬如在系统里用root生成一个小文件之类。然后说如果你给我$,我就帮你修好,以后你就不用再担心了。他们用google大规模寻找有漏洞的系统,然后大规模敲诈。还真有公司相信了他们,他们也挣到了一些钱。有意思的是,他们当中有些还不认为这是犯罪,有一个兄弟敲诈了一个美国公司,那个美国公司报告了FBI,然后设了个陷阱,说可以给他在美国工作的机会,给他买了飞机票,让他飞过来,他还高兴的不行,真的就飞过来了,结果一下飞机,就被FBI抓了起来。
另外一项敲诈就是DDOS攻击,拒绝服务的攻击,如果你不给我钱,我就DOS你的网站,让你网站不能工作。现在的商业网站, down机一分钟就损失上百万美元。象今年 (2004) 美国的超级碗大赛,就有人敲诈,如果不给钱,就让它的网站在比赛期间下线。所谓的攻击就是向所有的被控制的机器上的机器人发命令,让他们向被敲诈的网络发一些垃圾东西。如果成百上千的机器同时向一个网站攻击,而又一些机器的可用带宽很大,整体力量还是很大的。象这种对时间特别敏感的网站,损失的就更多了。可见敲诈者也变得越来越聪明。
2. 给spammer(发垃圾邮件的人) 做电子邮件的转发
发垃圾邮件的人象老鼠过街,人人喊打,但发垃圾邮件的确可以挣到很多钱,美国就有很多人靠发垃圾邮件成为了百万,千万富翁。但如果不让公开转发垃圾邮件,然后把垃圾邮件发到大家手中?
黑客们当然有解决方案,让被控制的机器上的机器人做不就得了,所以这个赚钱的方式是发垃圾邮件的人给黑客钱,黑客用他们控制的网络资源给发垃圾邮件。但这样一种发布式的邮件转发系统也不是很容易实现的,要很复杂的调试,大家看到最近有很多基於电子邮件的病毒,马丁掌握的消息是他们在调试他们的分布式邮件转发程序,病毒发了几轮,证明他们的程序也已经有了几个版本的改进,当然工作的越有效,发垃圾邮件的人给他们的钱就越来越多。
3. 控制股市
这个还是只在理论之中,但有没有人在实现就很难说了。方法是DOS一家公司的网站,尤其是那些做电子商务的网站,这样公司就会损失很多钱,因为公司的revenu都是从网上来的,如果公司损失钱,股票价格就很有可能会跌,对股市有了解的兄弟们知道,能预测股市跌也是可以赚到钱的,就是抄期权。所以攻击者可以先买一个电子商务公司的期权,也就是买跌,然后DOS公司的网站,等公司股票下跌,他们就赚到钱了。
也许有些兄弟们要问,互联网不是发展的好好的么,怎么就会出来这么一批叫黑客的人,在网上兴风作浪,象今天的蠕虫程序,使很多网络瘫痪,动辄造成上百万,千万,甚至上亿美元的损失。他们当中有的人还窃取公司的机密,控制网络资源,甚至敲诈勒索。如果没有这些黑客,互联网岂不是发展的更好,更快。
然而,此言差矣,马丁可不这么认为。任何一个系统,不论是生态系统,还是一个计算机系统,都需要保持平衡。而保持平衡的方法之一就是系统中力量的此消彼长,在各种力量的斗争中,系统才能进化,才能发展。
生态系统中,如果没有狼群捕食老弱病残的鹿群,使鹿群的整体保持健康,时间一长,鹿群就会因为疾病而减少鹿的数量。正是因为狼群的存在,鹿群才会保持整体健康。
在人体内部的生态系统中,如果没有病毒的存在,人体的免疫能力就会下降,人类的体质就会下降,对整个人种的发展就会有不利影响。换句话说,病毒的存在是人类不断的提高自己的免疫能力,不断强壮的动力。而病毒也在不断进化,越来越复杂的病毒越来越多。两个系统在不断的斗争中不断发展自己,两个系统也都变得越来越强壮。
相对于网络的发展也是一样,如果没有黑客的存在,不停的找到网络的漏洞,新的攻击方式,网络也不可能变得象今天这样有这么多安全方面的技术,使网络更强壮。黑客于网络就象病毒对人体的意义。黑客的存在使网络变得更强壮。
网络和黑客都在进化,彼此在进化之中都不断完善自己。会有越来越多的网络安全技术涌现,网络的安全性会越来越高。黑客的攻击技术也会越来越复杂,攻击力也会越来越强。
但马丁预测, 绝对不会有那么一天,有一种技术可以从此让你的网络高枕无忧。黑客技术不断发展,新的攻击技术会不断涌现,也会有新的网络安全技术防备新的黑客攻击技术,也会有新的黑客攻击技术攻破新的网络安全技术。
这是一场持久战,不管两方面的力量消长任何,不会有一方是永远的胜利者,也不会有一方是永远的失败者。但有一点是肯定的,在这个过程之中,我们的网络会越来越强壮,网络安全技术会越来越完善,网络安全事业会越来越重要。
