以黑客手段入侵提供公众服务的政府网站,取得网站数据库管理员权限,添加伪造数据,然后根据伪造数据制作假医师资格证、教师资格证牟利,这是前不久发生在国内的一个真实的案例。该案件共涉及十余名犯罪嫌疑人,其中一人非法牟利达200多万元。入侵的网站涉及江西、湖北、贵州、四川、江苏等11个政府网站,修改相关数据700余个。
究竟政府网站的安全情况有多脆弱?难道稍微懂点网络安全技术的人就真的能把网站玩弄于鼓掌之间?记者就此进行了调查,也亲眼目睹了一次真实的网站入侵。
IT时报记者 林斐 王昕
入侵实战演习
一次入侵仅耗时50分钟
入侵实施者:Fly-T(黑客)
实战点评:朱翼翔(信息安全专家)
一台普通笔记本电脑,一间普通办公室,Wifi无线上网……坐在记者身边的黑客Fly-T(化名),正准备模拟一次黑客攻击,目标就是政府网站!
20出头的Fly-T外表并不起眼,身着红白条纹衬衫,黑色西裤,和普通企业中的工程师没有什么两样。在Fly-T已经开着的笔记本电脑中有各种黑客工具,他就像一位计算机老师一样,一边操作,一边向记者解释他正进行的每一步。
在入侵之前,他与记者达成的共识是此次模拟入侵将不篡改任何网页和数据库信息,仅仅作为对该政府网站安全性进行的一次深入检测。因为医疗和教育已成为不法黑客的攻击重点,所以此次记者为Fly-T挑选的攻击目标是一个本市某区教育系统网站。
第一步:收集信息
按照记者所提供的网址,Fly-T用IE打开了该网站,粗粗浏览一遍网站后,他胸有成竹地说:“应该不会很困难。”
Fly-T在百度搜索框中输入“whois”,在搜索结果中随便挑选一个点击后,打开了一个域名查询服务页面。在查询框中输入目标网站的域名,也就是www.***.com,该网页就跳出域名注册的详细信息,包括注册联系人、电子邮箱、地址、电话等。
Fly-T说,这些信息很重要,一些公司网站经常以电话号码等信息作为网站管理员密码。但在黑客眼中,这样的做法很愚蠢,这等于让他们不费吹灰之力就得到了网站大门的钥匙。
实战点评
这一步仅算是预热,大致摸清网站的基本概况,但还未涉及任何黑客技术。
第二步:扫描端口
接着,Fly-T像是想起了什么,打开CMD命令行,Ping了一下网站地址。他解释说,根据Ping命令所显示结果中的TTL数值,有经验的黑客大概能估计出目标服务器系统软件是Windows、Linux或是其他。根据结果显示,此次的目标网站采用的是常规Windows系统。
然后,Fly-T开始利用网络扫描和嗅探工具包软件扫描网站端口。他边扫描变嘴里嘟囔着:“21、25、53、80、110……”他发现有不少端口都开着,开始琢磨并选定最终的攻击方法。
在正式展开攻击之前,Fly-T先用很常见的FTP命令尝试连接21端口。“没连上,21端口是受限的。” 不过,他表示这在预料中。
实战点评
端口就像网站服务器的一扇扇门,一般情况下门是关上的,但只要黑客找到钥匙,就能打开门锁。显然这里指的钥匙就是管理员的用户名和密码,而21端口主要提供远程连接服务器上传下载文件。
第三步:主攻开始
Fly-T随手点开一个电脑桌面上的图标,他告诉记者这是他自己写的程序,可以用来对网站的Web页面进行检测,主要是检测网站动态页面的数据库操作是否安全。
通过软件扫描,果然找到了网站上某个页面存在安全漏洞。Fly-T解释说,这是因为网站的开发者只关注了动态页面的功能实现,完全没考虑是否有安全隐患。
接下去的操作就简单多了,Fly-T用自己编写的这个软件,很快就锁定后缀名为dbo的一个数据库,并检索其中的数据表。他之前就告诉记者,这个扫描过程可能是整个入侵中最耗时的。
“哇,怎么会这样,”一直心平气和的Fly-T忽然尖叫一声,“没想到其他黑客早就来过了。” Fly-T笑道,显然My_cmd_45657、t_jiaozhou等都是非常规数据表名称,肯定都是以前黑客留下的,而ADMIN、Employee、X60、NEWS、Achievement等都是常规的数据库表文件。
“你看ADMIN内应该有网站管理员的重要信息,我现在就列出这个数据库表内的信息。”据记者观察,Fly-T自己编写的这款软件非常智能,它甚至能有选择地列出ADMIN内的信息。很快,像用户名、密码、最后登录时间等信息,一一出现在电脑屏幕上。
“用户名admin,密码还是admin;还有几个管理员的密码是123456,这个网站真是太糟糕了,一个安全级别高点的密码都没有。” Fly-T有点抱怨地说,也许是觉得密码得来太容易了。
实战点评
很多黑客都有类似Fly-T所用到那款软件,一般来说自己编写的黑客工具用起来更加顺手,这对有一定技术水平的黑客来说并不费事。从上述攻击过程来看,Fly-T的攻击过程很顺利,这步完成后,入侵成功的可能性就很大了。
第四步:入侵网站
Fly-T再次打开浏览器,输入www.xxx.com.admin.asp和“www.xxx.com.login.asp”。他说自己在尝试直接找到管理员界面登录入口,如果成功,直接输入刚才得到用户名和密码,就能攻破网站。可惜,几次尝试都没有成功。Fly-T开始有些牢骚,不过他告诉记者这只是时间的问题,网站已经逃不出他的手掌心了。
下一步,Fly-T在电脑上运行ipconfig/all命令,接着利用最常用的DOS命令Dir打开网站服务器C盘根目录下的所有文件和文件夹,整个界面就像Fly-T在使用自己的电脑一样。
“哦,原来入口是manage!”虽然小经波折,Fly-T还是很顺利地找到了网站入口。用IE登录入口,并用前面的用户名和密码登录,网站数据库的大门被彻底打开了。
实战点评
没错,就是时间问题,因为在上一步中Fly-T已经获取了最重要的信息。
第五步:留下后门
“事情还没完呢。”Fly-T边说边往入侵的服务器远程上传了一个以asp为后缀名的图片木马文件。他说这是最常见的留后门的方法。一般来说,后门程序也是黑客自己编辑的,只要打开后门,黑客就可以像网站管理员一样自如地执行各种命令。
Fly-T告诉记者,此时如果要修改数据库中的信息,可以用SQL修改工具连接数据库,里面有数不清的内容都可以随意修改,比如某某考生的成绩等。不过到了这一步Fly-T就没有再继续操作,他的任务已经完成。
整个看似复杂且专业的操作仅仅用去了50分钟,其中还包括Fly-T向记者解释每步操作所消耗的时间。Fly-T无奈地说,事实就是这样残酷,许多政府和职能部门网站的安全系数就是这么低,不法分子想利用的话,其实非常方便。
实战点评
高明的黑客在完成入侵后,还会修改日志,擦去所有自己留下的“脚印”,以免被网站管理员察觉。不过这次仅是模拟入侵,也就没有必要“吃完后抹嘴了”。
记者调查
拿站吧:网站入侵者的聚集地
在国内专门从事网站入侵的黑客圈子中,有一个颇有名气的地方叫“拿站吧”。不少黑客会在上面发贴,做广告,收费帮人破解网站,取得服务器权限。也有不少人在该帖吧上留言,开出千元以上的价格悬赏黑客来破解他自己建的网站。
记者随机选取了某北方省级卫生厅的网站,通过QQ一共联系了7名“黑客”,假称要付费破解其“医师资格查询”数据库的修改权限,其中三名立即回应了记者。
黑客A说看过目标网站,难度不大,“1000元即可,正式接单后3个小时之内就可以搞定,预付20%定金”。他同时还给了记者四家银行的账号,并告诉记者这些账户全部开通手机银行,3秒钟手机短信自动提醒具体汇款金额。不过记者在查询该黑客给记者的手机号码时发现,有人在某投诉网站称,黑客A收到定金后就不肯干了,说要加钱才愿意做。
黑客B的开价最高,4000元,而且不接受还价,甚至还要求先付60%的定金。“诚心做的话,第二天下午可以完工。”为让记者相信他的技术实力,黑客B让记者打开一家福建某企业的网站,用他给的地址和密码,记者果然进入服务器,可以下载任意文件。当记者提出为了避免上当,能否用支付宝交易时,黑客B表示同意。
最为积极的回应是黑客C。当记者表示不太懂技术时,他表示自己拿到服务器权限后,可以远程演示给记者看,“手把手”教记者添加服务器权限,这步成功了,确认后再付款也行。
安全专家:不存在绝对的网络安全
分工明确的黑客产业链已形成
翱欧邻信息安全技术(上海)有限公司安全分析工程师金圣武浏览了案例中提到的两家政府网站,告诉记者:“破解并不困难,不过没有取得对方的授权,我无法实际操作给你看。”
某杀毒厂商安全工程师向记者表示:“在黑客眼中,攻击政府网站的价值不高,一方面这些网站流量不太大,而且政府网站有一定威慑力,黑客一般不会去主动攻击。但利用数据库去伪造证件,有这样的巨大利益在其中,那黑客攻击也就很正常了。”该工程师还向记者强调,目前国内黑客圈已经形成了一条产业链,分工明确。
不过,国家计算机网络应急技术处理协调中心(CNCERT)上海分中心运行部副部长杨海军认为,政府网站数据库被入侵的情况并不少见。翱欧邻安全管理服务事业部经理魏翊表示,上海作为中国的经济重镇,网站数量也相对较多,被攻击次数多很正常。
重要政府网站被重点监控
杨海军表示,并不能就此武断地认为政府网站的安全性比企业网站差,也不能说中国的政府网站安全性就比国外的要差,“现在互联网是非常同质化,全球网站的数据库总是有限的几种类型。往往一个安全漏洞发现公开后,全球的同类型服务器都有可能会被攻击”。不过据了解,对上海重要的政府网站和关键企业的网站,CNCERT都会进行重点监控,而且每个月都会有情况通报。
杨海军说,目前越来越多的政府网站提供网上办事功能,这对安全性要求比较高。但现在政府网站实在太多了,甚至连街道都有网站,现在还不可能有专门部门统一全部监控起来。
使用期也得有人管
“在政府网站运行之前,可以引入第三方安全评估测试。”杨海军认为。但这只解决了建设期的问题,更多的安全隐患会出现在网站的使用期,比如是不是有专人来监控维护,有没有一支应急响应的队伍,是不是及时了解安全漏洞并知道解决办法。他表示,否则的话,前期篱笆扎得再紧也没用。
魏翊认为,从管理的角度来说,政府部门将重要数据集中管理有好处,可这也带来了另外一个危险——万一集中管理的数据库被攻破的话,带来的损失也更大,“不过利弊权衡的话,统一管理也许更好”。
杨海军则强调,网站安全不是一朝一夕就可完成,从事安全工作的人都知道绝对的网络安全是不存在的。
资深黑客告白
黑客的道德准则已丧失
讲述人:中国知音(网名)
中国所谓黑客群体大多生存在大学阶段,因为只有这段时间他们才可以全身心地投入技术研究。一旦走上社会,工作、家庭等方面的压力将使他们渐渐远离黑客的生活方式。这也就解释了为何现在动不动就出现十几岁黑客攻破政府网站的消息,十几岁本就是黑客的黄金年龄。在百度搜索“中国知音”,可以看到我的很多信息,能看到很多我写的软件,我自己还办网站,但我现在也不过20岁。
研究黑客技术的学生,在毕业走上社会后,要么开始从事程序员、公务员等工作,要么继续研究技术,维持原来的黑客状态。还有一些为了钱和生存,放弃了自己曾经坚持的原则。盗号、刷Q币、挂马对许多“黑客”来说并不难,攻击政府网站亦是如此。
我现在更喜欢称自己为“电脑爱好者”,在国内,黑客二个字已经被腐蚀,道德准则的缺失使黑客圈大环境越来越差,他们有些人通过打擦边球赚些小钱,而另一些干脆以身试法。前两年曾有人找我黑一个教育网站,开价十几万,被我拒绝了。而现在呢,恐怕这是许多“黑客”抢破头的好生意。
记者手记
应该有更严格的管理和执法
在本文开头提及的政府网站被入侵的案件中,公安部门的行动很迅速,3个月内就抓到10余名嫌疑人。但对更多金额更小的黑客行为,或者后果并不是太严重的黑客行为,目前看来还是很难办。所以,去年会发生黑客为了几百元而锁死普通用户的文件。这样的金额够不上立案标准,普通用户只能破财消灾,而黑客则笑到最后。
有一个很老套的比喻,黑客技术是一把菜刀,用来维护网站的叫安全技术,用来攻击网站的才叫黑客。网络上黑客技术比比皆是,是否应该有个部门来监管一下了?既然相关部门有能力每年都会停止未备案网站的接入服务,要管理这个应该不存在难度。
而且,提供公众服务的政府网站一旦被入侵,所影响的是大多数普通人,所以这些网站应该比普通企业网站有更高的安全防范。但是很遗憾,每年都有诸多某地政府网站被攻击的报道,而就记者了解的情况来看,这些被曝光的案例还只是冰山一角。看来政府部门是时候给予网站安全更多的重视了。