特洛伊木马(或称木马),英文叫做“Trojanhorse”。它是一个程序,驻留在目标计算机里。在目标计算机系统启动的时候,特洛伊木马自动启动。然后在某一端口进行侦听。如果在该端口收到数据,对这些数据进行识别,然后按识别后的命令,在目标计算机上执行一些操作。比如窃取口令、复制或删除文件,或重新启动计算机。
木马传播方式主要有两种:一种是通过Email,控制端将木马程序以附件的形式通过电子邮件发送到用户端(收信人),收信人只要打开附件就会被植入木马。另一种是黑客将木马程序捆绑在软件安装程序上,用户在不知情的情况下载并安装,木马程序随着安装程序的安装也就自动地安装到用户的计算机上。
特洛伊木马的特性主要有以下3点。
(1)木马的隐蔽性
木马隐蔽性主要表现在以下几个方面。
①木马的启动方式。
在Windows系统中,木马最容易下手的地方有3个:系统注册表、win.ini和system.ini。电脑启动时,首先装载这3个文件,大部分木马是使用这3种方式启动的。但是木马schoolbus1.60版本,是采用替换Windows启动程序装载的,这种启动办法更加隐蔽,而且不易排除。另外,也有捆绑方式启动的,木马phAse1.0版本和NetBus1.53版本就以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上。如果捆绑到一般的程序上,启动是不确定的,如果用户不运行,木马就不会进入内存。
捆绑方式是一种手动的安装方式,一般捆绑的是非自动方式启动的木马。
非捆绑方式的木马因为会在注册表等位置留下痕迹,所以很容易被发现,而捆绑木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等,位置的多变使得木马具有很强的隐蔽性。
②木马在硬盘上存储的位置。
木马实际上是一个可以执行的文件,所以它必然会存储在硬盘上。一般而言,木马存储在C:\Windows和C:\Windows\System中,这也体现了木马程序的隐蔽和狡猾。木马为什么要存储在这两个目录下呢?因为Windows的一些系统文件在这两个位置,如果用户误删了文件,用户的电脑可能崩溃,从而不得不重新安装系统。
另外,系统目录下的文件众多繁杂,一般用户很难查找出哪个文件是木马,而且这些木马的名字通常具有欺骗性。
③木马的文件名。
木马的文件名更是一种学问,木马的文件名一般与Windows的系统文件名接近,这样用户就会被搞糊涂。例如,木马SubSeven1.7版本的服务器文件名是C:\Windows\KERNEL16.DLL,而Windows的一个重要系统文件是C:\Windows\KERNEL32.DLL,二者如此相似,一般用户很难判断,而且一旦误删,后果极其严重,因为删除了KERNEL32.DLL将意味着用户的机器将崩溃。
再比如,木马phAse1.0版本,生成的木马是C:\Windows\System\Msgsvr32.exe,简直和Windows的系统文件C:\Windows\System\Msgsvr32.exe一模一样,只是图标有点不同。
上面两个是假扮系统文件的类型,还有一些无中生有的类型,木马SubSeven1.5版本服务器文件名是C:\Windows\window.exe,仅仅少一个s,一般用户如果不知道这是木马,肯定不敢删除该文件。
④木马的文件属性。
Windows的资源管理器中可以看到硬盘上的文件,默认方式下隐含文件和DLL等系统文件是不显示的,因此一部分木马就采用这种办法,让用户在硬盘上看不到,虽然办法是简单了点,但是如果用户不注意的话,还是会漏掉的。比如木马schoolbus2.0版本的木马是一个隐含文件。
⑤木马使用的端口。
黑客要进入目标计算机,必须要有通往目标计算机的途径,也就是说,木马必须打开某个端口,大家叫这个端口为“后门”,木马也叫“后门工具”。这个不得不打开的后门是很难隐蔽的,只能采取混淆的办法,很多木马的端口是固定的,让人一眼就能看出是什么样的木马造成的。所以,端口号可以改变,是一种混淆的办法。
从已有的木马来看,7306是木马netspy使用的,木马SUB7可以改变端口号,SUB7默认的端口是1243,如果没有改变,那么目标计算机的主人马上就可以使用删除SUB7的办法删除它,但是,如果端口改变了呢?所以,比较隐蔽的木马端口是可变的,因而目标计算机的用户不易察觉。
⑥木马运行时的隐蔽。
木马在运行的时候一般都是隐蔽的,与正常的应用程序在运行时一般会显示一个图标的情况不同,木马运行时不会在目标计算机上打开一个窗口,因而用户不太容易发现正在悄悄运行的木马。
⑦木马在内存中的隐蔽。
一般情况下,如果某个程序出现异常,用正常的手段不能退出的时候,采取的办法是按【Ctrl+Alt+Del】组合键,跳出一个窗口,找到需要终止的程序,然后关闭它。早期的木马会在按【Ctrl+Alt+Del】组合键时显露出来,但现在大多数木马已经看不到了。所以只能采用内存工具才会发现木马。
(2)木马的顽固性
一旦木马被发现存在于计算机中,用户很难将它删除。
例如,木马schoolbus1.60版本和2.0版本,启动位置是在C:Windows\System\runonce.exe中,用户很难修改这个文件,只有重新安装这个文件才可以排除木马。
再如木马YA107.291999版本,可使大面积的程序染上木马,导致用户不得不格式化硬盘,因为用户基本不可能一个一个文件去删除。删除这种类型的木马,最好还是通过杀毒软件来删除。
(3)木马的潜伏性
高级的木马具有潜伏的能力。表面上的木马被发现并删除以后,后备的木马在一定条件下会跳出来。这种条件主要是由目标计算机用户的操作造成的。
来看一个典型的例子:木马Glacier(冰河1.2正式版)。
这个木马有两个服务器程序,一个是C:\Windows\System\Kernel32.exe,挂在注册表的启动组中,当计算机启动时,会装入内存,这是表面上的木马;另一个是C:\Windows\System\Sysexplr.exe,也在注册表中,它修改了文本文件的关联,当用户点击文本文件的时候,它就启动了,它会检查Kemel32.exe是不是存在,如果存在的话,什么事情也不做。
当表面上的木马Kerne132.exe被发现并删除以后,目标计算机的用户可能会觉得自己已经删除木马了,应该是安全的了。但是如果目标计算机的用户在以后的操作中点击了文本文件,那么这个文件照样运行,同时Sysexplr.exe被启动。Sysexplr.exe会发现表面上的木马Kernel32.exe已经被删除,就会再生成一个Kernel32.exe,于是,目标计算机以后每次启动木马都会被装上。因此,这是一个典型的具有潜伏能力的木马,隐蔽性更强。
4.黑客的攻击
黑客(Hacker),源于英语动词Hack,意为“劈,砍”,也就意味着“辟出,开辟”,进一步引申为“干了一件非常漂亮的工作”。该词源于麻省理工学院,当时一个学生组织的一些成员因不满当局对某个计算机系统的使用所采取的限制措施,而开始自己“闲逛”闯入该系统。他们认为任何信息都是自由公开的,任何人都可以平等地获取。
在Internet上,黑客组织有公开网站,提供免费的黑客工具软件,介绍攻击手法,出版网上黑客杂志和书籍。黑客们公开在Internet上提出所谓“黑客宣言”,其主要观点如下:①通往计算机的路不止一条;②所有信息都应该免费共享;③打破计算机集权;④在计算机上创造艺术和美;⑤信息无疆界,任何人都可以在任何时间和任何地点获取任何他认为有必要了解的信息;⑥反对国家和政府部门对信息的垄断和封锁。
1)黑客的行为特征
黑客的行为特征有以下几种表现形式。
(1)恶作剧者
喜欢进入他人网址,以删除某些文字或图像、篡改网址主页信息来显示自己高超的网络侵略技巧。此行为多为增添笑话自娱或娱人,或者进入他人网址内,将其主页内商品资料内容、价格作降价等大幅度修改,使消费者误以为该公司的商品便宜廉价而大量订购,从而产生Internet订货纠纷。
(2)隐蔽攻击者
躲在暗处以匿名身份对网络发动攻击性行为,往往不易被人识破,或者干脆冒充网络合法用户,侵入网络“行黑”。由于该种行为是在暗处实施的主动攻击行为,因此对社会的危害极大。
(3)矛盾制造者
非法进入他人网络,修改其电子邮件的内容或厂商签约日期,进而破坏甲乙双方交易,并借此方式了解双方商谈的报价价格,乘机介入其商品竞争。有些黑客攻击政府网站,修改公众信息,制造社会矛盾和动乱,严重者可颠覆国家和军队。
(4)职业杀手
此种黑客以职业杀手着称,经常以监控方式将某公司网址内由国外传来的资料迅速清除,使得该公司无法得知国外最新资料或订单;或者将计算机病毒植入他人网络内,使其网络无法正常运行。更有甚者,进入军事情报机关的内部网络,干扰军事指挥系统的正常工作,任意修改军方首脑的指示和下级通过网络传递到首脑机关的情报,篡改军事战略部署,导致部队调防和军事运输上的障碍,达到干扰和摧毁国防军事系统的目的。严重者可以导致局部战争的失败。
(5)窃密高手
出于某些集团利益的需要或者个人的私利,利用高技术手段窃取网络上的加密信息,使高度敏感信息泄漏。或者窃取情报用于威胁利诱政府公职人员,导致内外勾结进一步干扰破坏内部网的运行。有关商业秘密的情报,一旦被黑客截获,还可能引发局部地区或全球的经济危机或政治动荡。
(6)业余爱好者
计算机爱好者受到好奇心驱使,往往在技术上追求精益求精,丝毫未感到自己的行为对他人造成的影响,属于无意性攻击行为。这种人可以帮助某些内部网堵塞漏洞和防止损失扩大。有些爱好者还能够帮助政府部门修正网络错误。因此,这类黑客的出现并非坏事,至少他们的本意无反社会的色彩,只是受到了好奇心驱使而已。
2)对黑客问题的进一步思考
从某种意义上说,由黑客袭击而造成的计算机网络系统瘫痪事件是恐怖事件,因为信息是21世纪的发展支柱,计算机网络将会成为社会基础的一部分。如果有恐怖分子袭击一个国家的核心信息系统,如金融、商贸、交通、通信、军事等系统,以及建立在这些系统上的经济体系,其后果并不亚于用炸弹直接轰炸这个国家的重要设施,从而造成该国整个经济基础的紊乱,达到“不战而屈人之兵”的目的。
有专家预测,通过网络攻击对手的核心信息系统并使其瘫痪的网络战将成为传统战争之后的一种全新形式的战争,“网军”有可能成为继陆、海、空、天四军之后的又一新兵种。专家警告,凭中国网络技术现状,很难抵御黑客们的攻击行为,而且一旦遭到破坏,恢复起来也相当困难。下面介绍一下国内网络的现状。
我国的许多网络在建网初期确实较少或者根本就没有考虑安全防范措施,不少网络工程本身没有认真处理网络系统的安全环节,就像给人家盖楼而没有给门窗配锁就交付使用,是经不起严格验收的。因此,有相当大比例单位的计算机系统或多或少都存在着安全漏洞,随时都有可能遭受黑客袭击。这一两年人们开设网站的积极性很高,但网络管理的水平却没有及时跟上。无须多加说明,我国目前极缺网络及计算机高级系统管理人才。由于高等教育尚未专门培养这方面人才,社会上又缺乏造就这类人才的实践环境,像SUN、IBM、HP等这类大型服务器的高级系统管理一般人不易接触到。这种人才往往又都是外企重点招聘的对象,导致我国在各网络运行的机构大多缺乏得力可靠的系统管理员。这使许多网络的运行处于低水准,非常不安全。大多数国内的网络提供商(ISP)及从政府到企业的信息提供网站(ICP)还缺乏有经验的安全员,黑客侵入网站内很长时间竟都一无所知。有些领导或企业总裁不大了解高技术中的这些情况,既没有选拔可信的技术人员,又没有创造必要的条件保证这些技术人员的稳定和技术上的深造。对这种状态的网络系统必须及早采取措施。
国际上几乎每20秒就有一起黑客事件发生,仅美国每年由黑客所造成的经济损失就超过100亿美元。信息化能给一个国家带来希望,但同时也可能带来麻烦。如果信息化不是在靠科学决策,靠高技术队伍,这种“信息化”必然是某些因素误导的结果。可以说一些网络工程安全质量不能保证就仓促上网,是商业利益驱动的结果。我国不成熟的网络市场迫切需要由一批可信的专家组成的网络工程监理机构,因此要从根本上重视和保证网络工程的安全及管理人员的培训。
此外,由于中国内地的网站大部分是基于国外厂家的产品,它们的安全系数更令人怀疑。中国有关部门最近还发现某些进口的计算机产品并不安全,这些计算机以“远程维护”为借口故意留下安全漏洞,为其幕后公司或组织留下信息植入的入口。有些操作系统,利用网上注册的名义,把用户的信息发给厂商。更有甚者,在电脑芯片中植入身份识别标志,因此中国有关部门规定,为了保护国家利益和经济安全,禁止中国公司购买包含外国设计的加密软件产品,国内任何组织和个人都不得出售外国商业性加密产品。
与此同时,为了迎战国内外黑客的挑战,我国的有识之士早就开展了以防范黑客入侵的研究课题。中国电脑安全专家认为,积极发展民族电脑工业,在技术上不受制于人,尽快发展国产计算机和软件,这才是防止国外黑客攻击、保障国家安全的长远而有效的方法。
7.1.2电子商务安全面临的威胁电子商务安全所面临的威胁可分为以下几类。
1.信息的截获和窃取
