現(xiàn)在大部分的網(wǎng)絡(luò)用戶可能只知道黑客會使用特洛伊木馬、利用操作系統(tǒng)或應(yīng)用程序漏洞,以及進行網(wǎng)絡(luò)嗅探和中間人(Man-in-the-Middle)攻擊這幾種方式來攻擊我們的網(wǎng)絡(luò)和系統(tǒng),因而常常將防范黑客攻擊的重點也由此放到了預(yù)防這幾類攻擊事件之上。可是,黑客可以使用的攻擊手段遠遠不止這些,其它的攻擊手段同樣可以給網(wǎng)絡(luò)用戶帶來嚴重的后果。而且,計算機信息系統(tǒng)的安全防范工作應(yīng)當全面詳細地考慮,這種一頭重一頭輕的安全防范方式無論做得多么牢固,黑客還是有其它攻擊機會可尋。因此,本文將給大家展示五種不被人們特別關(guān)注的黑客攻擊方式,以提醒大家在防范黑客攻擊的過程中必需將它們與防范其它黑客攻擊方式一樣被重視,以進一步減少被黑客攻擊的風(fēng)險。
1、盜取密碼
密碼被盜取問題每年都被不斷地提起,但是,就是沒有多少人能吸取這些教訓(xùn),以及采取實際的行動來解決這個問題。從這里可以看出,同樣的安全問題之所以年年都在發(fā)生,有時并不是用戶不了解,而是用戶不愿意按解決它的要求去做。
現(xiàn)在的計算機應(yīng)用當中有許多方面都在使用密碼提供身份認證,但如果我們所處的網(wǎng)絡(luò)環(huán)境中僅僅使用密碼來進行身份認證,由于密碼可以被盜取、猜解和暴力破解等方式被黑客獲取,那么,這種方式可能帶來的入侵和黑客攻擊風(fēng)險要比多身份驗證方式要大得多。
實際上,密碼只是人們通過鍵盤輸入的一串字符串,我們必需牢記自己設(shè)置好的這個密碼字串,以便在需要的時候能正確輸入。通常,為了安全,要求設(shè)置的密碼有足夠的長度,例如最小8位;足夠的復(fù)雜程度,例如其中應(yīng)當包括大小寫字母,數(shù)字,可使用的特殊符號等。
可是,要產(chǎn)生一個具有足夠安全性的密碼并不困難,難就難在僅憑頭腦來記住這個復(fù)雜的密碼,尤其長度超過16個字符的密碼時,就顯得相當困難。更不要說在應(yīng)用計算機的過程中有許多方面都需要設(shè)置密碼,如果每個密碼都不相同,并且都滿足密碼復(fù)雜性要求,那么,要一個人同時記住這么多的密碼就更加困難了。因而就有很多用戶為了減輕記憶各種不同復(fù)雜程度密碼的負擔,就在許多方面使用一個相同的密碼。但用戶忘記了密碼可以被黑客通過字典猜測或暴力破解的方式盜取,這樣一來,一旦這個密碼被黑客盜取,那么所有使用此密碼的服務(wù)將沒有任何安全可言。
不幸的是,人們對在使用密碼過程中存在的這些問題似乎視而不見,目前,一些用戶還存在下列所示的這些錯誤使用密碼的行為,這些行為就是導(dǎo)致密碼被黑客輕易盜取的主要原因。
這些導(dǎo)致密碼被黑客盜取的主要原因有:
(1)、將同一個密碼應(yīng)用到操作系統(tǒng)登錄、應(yīng)用程序訪問,以及網(wǎng)絡(luò)訪問和數(shù)據(jù)庫訪問等各個方面,這使得只需要盜取一個密碼就可以獲取此用戶所有的使用此密碼的服務(wù)權(quán)限。
(2)、用戶知道需要設(shè)置一個相當復(fù)雜的密碼,但是為了防止自己在過一段時間后也不記得,就隨手將這些設(shè)置的密碼記錄在紙上,然后將這張記錄有所有密碼的紙片貼在辦公桌對面的墻上或顯示器的邊框上,或者壓在辦公桌的玻璃下,以方便自己隨時可以看到和使用。這樣是防止了自己忘記密碼和方便了密碼的使用,但同時也方便了黑客,黑客只需要想法進入用戶的辦公場所,然后不需要任何方法就可以輕易攻取這些用戶的所有密碼。
有些用戶對密碼的安全性要重視一些,但也僅限于將密碼記錄到一個筆記本、U盤或其它可移動媒介中,并將這些記錄有密碼的介質(zhì)隨身攜帶或鎖住保管。但如果這些記錄密碼的介質(zhì)丟失或忘了上鎖,那么密碼同樣可以被黑客盜取。
(3)、使用一些不安全的網(wǎng)絡(luò)通信方式,例如通過FTP、沒有加密的E-Mail或即時聊天工具來發(fā)送含有密碼的數(shù)據(jù)包時,由于這些網(wǎng)絡(luò)通信會以明文的方式發(fā)送數(shù)據(jù),如果黑客使用網(wǎng)絡(luò)嗅探器就可以截取這些網(wǎng)絡(luò)通信數(shù)據(jù)包,然后就可以輕松地從中得到密碼。
(4)、導(dǎo)致密碼丟失的另一個問題就是用戶計算機中感染了盜取密碼為主的鍵盤記錄器木馬程序,以及以獲取軟鍵盤輸入數(shù)據(jù)的屏幕監(jiān)控或錄像軟件。
(5)、另外,當在一些安裝有視頻監(jiān)控的場所使用計算機時,一旦黑客可以控制這些攝像頭,或者恰巧監(jiān)視這些視頻監(jiān)控設(shè)備的工作人員中存在圖謀不軌者,那么他們就可以通過攝像頭來觀看用戶在輸入密碼時按了那些鍵,然后就可以通過用戶擊鍵識別出密碼字符,這種盜取密碼的方式我們應(yīng)當在電影鏡頭中經(jīng)常見到。
從上面列出的造成密碼被盜取的問題可以得知,要減少這個問題帶來的安全風(fēng)險,最佳的解決方式就是使用復(fù)合身份認證,在各種需要密碼的場合使用不同的密碼,并且培訓(xùn)員工安全使用密碼的習(xí)慣,以及使用安全的網(wǎng)絡(luò)通信方式,如SSL、VPN或OPENSSH等來進行網(wǎng)絡(luò)連接,并規(guī)范用戶的網(wǎng)絡(luò)操作行為,減少計算機系統(tǒng)中感染木馬的機率等。