现在有很多种 “后门”可被利用而危及系统的安全和隐私。虽然这些秘密访问方法有很多都是由供应商和服务供应商部署的,但其中一些后门程序还是带来了远程可利用漏洞,给攻击者提供了根系统访问权限。这些后门程序几乎贯穿着整个现代计算时代,而随着美国国家安全局(NSA)丑闻的暴漏,后门程序已成为当前热门的安全话题。
在本文中,我们将介绍IT后门程序的历史、它们对企业带来的威胁以及我们应该如何缓解这种风险。
这一切是如何开始:IT后门程序的历史
后门程序是进入网络、应用或系统的秘密方式,至少在理论上是这样。部署后门程序的目的可能是用于支持,也可能是在调试时被意外创建或者由攻击者故意插入。自计算时代以来,后门程序就广泛存在于在软件、硬件和所有其它类型的电子系统中。
第一个被熟知的后门程序由计算科学先驱者Ken Thompson在1984年创建。在接受计算机协会图灵奖发表获奖感言时,Thompson透露,他插入一个病毒到C编译器,以在登录信息被编译时创建后门程序。这个名为“Trusting Trust”的编译器后门程序可以秘密运行,并且可以利用企业信任的工具,这表明在计算世界信任应该保持相对性。
从那时起,很多其它后门程序开始相继出现。一个流行的软件后门程序例子出现在电影《电影游戏》中。一个名为Joshua的用户账户被硬编码到系统中,供创造者使用;这个账户被Matthew Broderick扮演的角色利用来获取未经授权系统访问权。
对于操作系统中可能存在的软件后门程序,人们有很多疑问,特别是当政府参与其中。在2013年的LinuxCon和CloudOpen北美会议上,针对美国后门程序的圆桌讨论引发Linux项目协调员Linus Torvalds的有趣回应。他是否证实了很多安全专家多年来质疑的问题?你需要自己判断。
然而,软件后门程序并不是唯一值得关注的问题。虽然硬件后门程序不太常见,我们也时不时会看到这方面的消息。当数据加密标准在1975年提出时,据称NSA削弱了DES算法s-盒,使其更容易攻破它们。1993年,有人担心NSA创建了“Clipper Chip”作为政府后门程序来绕过加密。2012年,美国认为中国政府在华为产品中插入后门程序。
不过,并不是所有后门程序都被用于恶意行为。很多已知后门程序由供应商和服务提供商部署,这些是为了方便支持人员的工作,并且经常在供应商层面广泛共享,有时候甚至被公开。
后门程序也存在于网络中,允许来自特定IP地址范围的连接或者使用某个端口窍门来绕过网络访问控制。即使是通讯强制法律援助法案(Communications Assistance for Law Enforcement Act)执行的执法窃听功能也被看做是后门程序,因为未经授权的第三方可能用它来窃听通信。
后门程序对企业的威胁
从风险方面来看,后门程序给企业带来巨大的风险,因为可能知道或者找到后门程序的任何人都可能滥用它,并且不容易被检测到。
无论是攻击者利用供应商创建的后门程序还是插入他自己的后门程序,他都可以获取对系统的完全访问权限,然后利用它作为攻击其他企业资源的起点,最终完全破坏企业的安全性。
不幸的是,一些已知后门程序并没有被禁用,并且需要额外的安全措施来减少威胁。
如何最大限度地降低风险
IT管理员可以采取很多步骤来缓解已知和未知后门程序带来的风险。企业应该采取的最重要的做法之一是监控。
监控对于检测已知后门程序非常有效,虽然这可能很难完成。要做到这一点,企业应该监控特定系统的进程,找出哪些进程在未包含在系统的密码文件中的账户下运行。此外,没有定期监测的另一种通信渠道(例如调制解调器)应该被限制或禁止。
此外,IT管理员可以通过下面的方法来减少他们环境中使用的产品被植入后门的风险:
◆使用多个供应商来减少不同系统共同后门的风险
◆更改后门支持账户的默认密码来防止未经授权访问
◆安装开源软件
◆检查软件完整性签名
◆扫描已知后门程序
◆监控网络中的可疑通信
另外,管理员还可以部署漏洞扫描器或者配置管理工具来识别已知后门程序,并检测和禁用它们。供应商应该使用强大的软件开发生命周期来尽量减少未经授权后门程序被插入其产品或调试功能被用于后门程序,从而避免这些后门程序进入到客户的生产环境。
对于具有最高安全要求的企业,最好执行内部审计或者聘请第三方审计来检查源代码和封闭源产品及系统中的后门程序。
底线
IT供应链非常脆弱。消费者和企业必须确保没有已知后门程序插入到其产品中。更进一步说,企业必须确保其服务供应商和政府机构不会利用后门程序。鉴于当前的局势,我们很容易理解为什么IT管理员如此谨慎。
只要我们使用计算机,后门程序将继续成为企业的风险。然而,早期规划和保护企业免受各种形状和大小的后门程序可以帮助显著降低潜在风险。
为什么会有漏洞?
漏洞的原因一般有以下几个方面.1 编程人员的素质或技术问题而留下的隐患.2 软件在设计之处考虑到将来维护而设置的后门.就象RPC传输协议中存在不检查数据长度而引发的缓冲区溢出漏洞.如果被不法分子成功利用此漏洞将获得超级管理员权限.可以在系统任意添删文件和执行任意代码.3 象2003年流行的蠕虫王病毒利用的就是微软系统的漏洞.从最底层发起攻击.IIS服务存在匿名登陆的错误.病毒和木马对黑客来说一向都是交叉使用.分不开的.利用木马也就是后门程序来接受来自主攻端的指令.再运行自行写好的特定程序.也就是病毒来影响被攻击的用户.
什么是后门程序
后门绕过安全性控制而获取对程序或系统访问权的方法。 在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。 如果后门被其他人知道,或是在发布软件之前没有删除后门,那么它就成了安全风险。 后门又称为Back Door —— 谈到它,就不得不先提一下相关知识:大家都知道,一台计算机上有个端口,那么如果把计算机看作是一间屋子,那么这个端口就可以它看做是计算机为了与外界连接所开的扇门。 为什么需要那么多扇门呢?因为主人的事务很繁忙,它为了同时处理很多应酬,就决定每扇门只对一项应酬的工作。 所以有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)——理论上,剩下的其他门都该是关闭着的,但偏偏因为各种原因,有的门在主人都不知道的情形下,却被悄然开启。 于是就有好事者进入,主人的隐私被刺探,生活被打扰,甚至屋里的东西也被搞得一片狼迹。 这扇悄然被开启的门——就是今天我们要讲的“后门”。 当然,这只是一个比喻,事实上除了通过端口连接外,也可以通过串/并口,无线设备连接的方式进行入侵,为了行文方便,以下文中的“端口”泛指各种对外接口(interface)。 后门产生的必要条件后门产生的必要条件有以下三点:1.必须以某种方式与其他终端节点相连——由于后门的利用都是从其他节点进行访问,因此必须与目标机使用双绞线、光纤维、串/并口、蓝牙、红外等设备在物理信号上有所连接才可以对端口进行访问。 只有访问成功,双方才可以进行信号交流,攻击方才有机会进行入侵。 2.目标机默认开放的可供外界访问的端口必须在一个以上——因为一台默认无任何端口开放的机器是无法连接通信的,而如果开放着的端口外界无法访问,则同样没有办法进行入侵。 3.目标机存在程序设计或人为疏忽,导致攻击者能以权限较高的身份执行程序。 并不是任何一个权限的帐号都能够被利用的,只有权限达到操作系统一定要求的才允许执行修改注册表,修改log记录等相关修改。
系统补漏洞?
一、什么是系统漏洞根据唯物史观的认识,这个世界上没有十全十美的东西存在。 同样,作为软件界的大鳄微软(Microsoft)生产的Windows操作系统同样也不会例外。 随着时间的推移,它总是会有一些问题被发现,尤其是安全问题。 所谓系统漏洞就是操作系统软件在编写时产生错误,这个错误可以被不法者利用来攻击安装这个软件的电脑。 修补漏洞通常称为打补丁。
针对某一个具体的系统漏洞或安全问题而发布的专门解决该漏洞或安全问题的小程序,通常称为修补程序,也叫系统补丁或漏洞补丁。 同时,漏洞补丁不限于Windows系统,大家熟悉的Office产品同样会有漏洞,也需要打补丁。 而且,微软公司为提高其开发的各种版本的Windows操作系统和Office软件的市场占有率,会及时的把软件产品中发现的重大问题以安全公告的形式公布于众,这些公告都有一个惟一的编号。
二、不补漏洞有什么危害
在互联网日益普及的今天,越来越多的计算机连接到互联网,甚至某些计算机保持“始终在线”的连接,这样的连接使他们暴露在病毒感染、黑客入侵、拒绝服务攻击以及其它可能的风险面前。 操作系统是一个基础的特殊软件,它是硬件、网络与用户的一个接口。 不管用户在上面使用什么应用程序或享受怎样的服务,操作系统一定是必用的软件。 因此它的漏洞如果不补,就像我们的门不上锁一样地危险!等待我们的轻则资源耗尽、重则感染病毒、被插木马、隐私尽泄甚至会产生经济上的损失!
当然正版系统可以用系统自带的windows update 程序来升级补丁
盗版系统 用系统自带的windows update 程序来升级补丁 会导致系统不间断的黑屏 影响平时的工具和学习
这是可以用 金山卫士、QQ管家等辅助工具来修复系统漏洞~~~~不会导致系统黑屏~~~
发表评论