现代生活的方方面面都依赖很多网站账号,这就导致攻击者发掘网站漏洞的机会变得更多。即使攻击者的技术水平不能发现Web服务的安全漏洞,也会破解用户密码入侵账户。这里将带大家介绍一些应对攻击者的安全措施以及管理方式。
难度:★★
提高安全性最重要也最简单的做法之一就是及时更新安全补丁。大多数攻击者会通过扫描手段确定用户正在运行的软件版本,然后搜索该版本中还未修补的、可利用的漏洞。
在Linux系统中会有多个用户账号,应该避免使用共享账户,否则一旦系统出现问题,将很难判断错误的责任人是谁,而个人账户可以让我们知道登录账户人员的身份。如果攻击者使用此账号进行破坏性活动,就可以更加容易地追踪其行动轨迹。除了避免使用共享账号,还应该在这些账号的生命周期内对其进行维护。
另外,了解密码破译者使用的工具和技术也是非常重要的。通过了解攻击者是如何尝试破译密码的,可以避免使用更容易被破解的密码,还可以在系统中更安全地存储密码。虽然攻击者会通过直接猜测尝试破解密码并登录账户,但是他们还是会尝试破解存储在单向散列中的密码。单向散列是一种字符串的加密方式。
密码破解的工具和方式有很多,比如流行的散列密码破解工具John the Ripper和Hashcat。很多密码破解工具是专门为破解散列密码设计的,它们不会直接解密密码,而是尽可能多地猜测密码,并将输出与密码的散列值进行比较。常见的密码破解技术如表1-5所示。
表1-5 常见的密码破解技术
如果说初级攻击者使用密码破解器破解普通密码,那么高级的攻击者则是为了竞技而破解密码,还会配备价格高昂的专用设备。
由于密码破解技术在速度和先进性方面都在不断提高,所以相应的对策也需要不断提高。这里主要介绍两种防御对策,如表1-6所示。
表1-6 两种防御对策
要想保障信息安全和系统安全,除了掌握必要的技术手段之外,还需要考虑管理因素,也就是管理员工、流程和制度。这些都是不可忽视的重要因素。
比如加强公司员工的安全意识培训、注重密码安全、禁止使用破解版软件、组建合理的安全组织结构等。
在信息泄露事件中,一部分是由于公司内部员工缺乏安全意识导致的。这会导致部分员工受到钓鱼邮件的威胁,这些电子邮件几乎真假难辨。钓鱼邮件的攻击流程如图1-7所示。黑客会针对某些特定的员工发送钓鱼邮件,当员工打开此邮件后就会释放恶意代码,通过员工连接的网络访问外部恶意网站,从而下载更多恶意软件。
图1-7 钓鱼邮件的攻击流程
在日常工作中,注意不要打开未知来源以及与工作无关的邮件,尤其是那些具有诱惑性标题的邮件。在发现钓鱼邮件后也要及时通知公司安全管理人员。
从大量的安全事件中可知,弱密码(即容易破解的密码)问题是导致许多安全事件的罪魁祸首。很多时候,黑客入侵系统并不需要高超的技术,而是从弱密码入手就可以攻破公司整个信息基础设施。所以我们应该要特别注意弱密码问题,在任何环境和系统中都不能使用弱密码,主要原因如下。
● 系统中常常保存着重要的数据,比如源代码、数据库信息。
● 系统中如果设置弱密码可能会通过发布系统等方式将风险传递到其他重要的服务器中。
在安全实践中,重视安全原则和威胁,可以避免大部分安全问题的发生。