来源:蜘蛛抓取(WebSpider)
时间:2016-09-12 08:19
标签:
刑事侦查技术专业
我们的“个人信息”是如何泄露的-上饶通门户网IT频道
> > 我们的“个人信息”是如何泄露的
我们的“个人信息”是如何泄露的
作者:佚名
扬子晚报网
责编:邱卫平
26日,江苏省人民检察院案管部门通报,2009年《刑法修正案(七)》新增设“出售、非法提供公民个人信息”“非法获取公民个人信息”的罪名后,江苏检察机关共受理该类案件106件232人,起诉81件145人;日起施行的《刑法修正案(九)》将以上罪名取消,取而代之的是 “侵犯公民个人信息罪”,施行至今,江苏检察机关共受理该类案件30件53人,起诉12件26人。
先听听公安部的提醒
昨天,公安部刑侦局官微推出一篇文章《看看你的个人信息是如何被泄露的!》,提醒大家提高警惕,谨防个人信息泄露为诈骗团伙提供可趁之机。文章称,下面这七大途径会泄露你的个人信息。
公共WiFi
若在智能手机的网络设置中选择了WiFi自动连接功能,就会自动连接公共场所WiFi。但WiFi安全防护功能比较薄弱,黑客只需凭借一些简单设备,就可盗取WiFi上任何用户名和密码。
●防范方法:公共场所尽量不使用不需要密码的免费WiFi。使用WiFi登录网银或者支付宝时,可以通过专门的APP客户端访问。最好把WiFi连接设为手动。
旧手机
换新手机时,很多人会将旧手机转卖。尽管你将旧手机恢复到“出厂默认设置”,甚至将其格式化,但通过技术手段,专业人员还是可以把旧手机里的短信、通讯录、软件甚至浏览记录等全部恢复,就连支付账号、信用卡信息也可能被还原。
●防范方法:存储有个人账户资料的手机,尽量避免转卖。如果确有出售必要,在转卖之前,务必做好彻底清理工作。
社交媒体
通过微博、QQ空间、贴吧等和熟人互动时,有时会不自觉说出或标注对方姓名、职务、工作单位等真实信息。
有些家长在朋友圈晒的孩子照片包含孩子姓名、就读学校、所住小区;晒火车票、登机牌,却忘了将姓名、身份证号、二维码等进行模糊处理。
●防范方法:在微博、QQ空间等社交网络要尽可能避免透露或标注真实身份信息。朋友圈晒照片,一定要谨慎。
网络调查
上网时经常会碰到各种填写调查问卷、玩测试小游戏、购物抽奖,或申请免费邮寄资料、申请会员卡等活动,一般要求填写详细联系方式和家庭住址等个人信息。
●防范方法:参与此类活动前,要选择信誉可靠的网站认真核验对方的真实情况,不要贸然填写导致个人信息泄露。
目前,很多人通过网上投简历找工作,简历中的个人信息一应俱全,有些公司在面试的时候还会要求你填写一份所谓的“个人信息表”,上面有你的家庭关系说明、父母名字、个人电话、住址、毕业学校甚至身份证号等信息。
●防范方法:一般情况下,简历上只提供必要的信息,不要过于详细填写本人具体信息。
各类单据
快递单、车票、登机牌、购物小票、办理手机卡的业务单、水电费账单……这些单据都可能导致个人信息泄露。
●防范方法:快递收货地址不必留得太详细。无用的单据可以直接碎掉,或将姓名、电话、地址等个人信息涂黑再丢弃。有用的单据妥善保存,切勿乱丢乱放!
身份证复印件
银行、电信运营商营业厅、各类考试报名等,很多地方都需要留存你的身份证复印件,甚至一些打字店、复印店利用便利,将暂存在复印店的客户信息资料存档留底。
●防范方法:身份证复印件要保管好,不用的或作废的要处理好,不能随意丢弃。
综合公安部刑侦局官方微信
再来看看省检察院的
“精准分析”
泄露者
源头之一是自己,各类用户信息数据库更可怕
本应成为个人隐私的信息是怎样泄露出去的呢?江苏检察机关发现,源头之一首先是自己。废弃的火车票,包裹上的快递单,是不是没做任何处理便扔掉了?商家搞的各种有奖问卷调查、办理会员卡送积分活动,是不是大笔一挥留下个人资料?……种种不经意间,个人信息便神不知鬼不觉地泄露了出去。
与此同时,互联网服务商、电信运营商、银行、中介机构、房地产开发商、保险公司、快递公司、外卖机构、淘宝卖家等各种组织机构或企业、个人都在长期的经营中,逐渐形成并积累各自的用户信息数据库。其中涉及姓名、性别、年龄、生日、住址、电话、银行账号等大量个人基本信息。有的因管理不善而导致“被动泄密”,有的则是 “主动泄密”。
“一些组织和个人,违反职业道德和保密义务,将这些消费者信息数据窃取后出售牟利。”南京市玄武区检察院侦监科科长周颖说,在警方查获的个人信息泄露源头中,有电信公司、快递公司、银行等企业工作人员,也有医院、学校、工商部门人员,他们利用自身岗位的特殊性,轻而易举获得了大量个人信息。
近日,无锡市新吴区一家快递公司也在审查日常数据时发现了一伙窃取公民个人信息的“内鬼”:该公司在例行审查中发现,员工柏某伙同客服季某等4人利用职务之便,窃取5万余条个人信息后出售给微商李某。目前案件处于进一步侦查中。无锡市开发区检察院承办检察官周洁敏介绍。
周颖介绍,目前,“黑客”主要采用钓鱼网站、木马、免费WIFI、恶意APP等手段窃取个人信息。此外还有一种“撞库”技术:即利用已经泄露的用户名、密码信息,尝试登陆各个网站,最终全凭运气“撞”出一些可以登录的用户名、密码。由于很多用户喜欢使用统一的用户名密码,“撞库”的成功率颇高。
倒卖者
形成“源头—中间商—非法使用人员”交易模式
“长期收购和出售快递单号,全部记录真实有效,全国地址任意发,最低0.2元一单……”随便在搜索引擎输入“售快递单”,就能获得这样的链接。随着快递业飞速发展,此类专门销售快递单信息的小公司犹如雨后春笋,一夜之间遍布网络。
当前侵犯公民个人信息犯罪活动,已形成“源头——中间商——非法使用人员”的交易模式。一些打包待售的客户信息,在各大保险代理论坛上遭到各方争抢;在一些物业公司,业主信息也成为无本经营的“秘诀”;甚至在一些医院里,花3毛钱就能收购到一个新生宝宝的信息……由于没有门槛,贩卖个人信息的从业者越来越多,有人甚至为此开设了各种“数据挖掘”、“信息咨询”公司,挂羊头卖狗肉,专门从事公众信息倒卖。
苏州工业园区检察院刑检科副科长王军近日承办了一起侵犯公民个人信息案件。犯罪嫌疑人金某是苏州一家文化传媒公司的负责人,2009年9月至2014年11月期间,因公司广告投放的需要,金某通过购买等方式,非法获取公民个人信息60万余条。目前该案正在审查起诉中。
金某交代,该公司非法获取的公民个人信息主要包括两种:一种是学生数据,包括姓名、班级、电话号码等;一种是移动的号码信息,包括电话号码、话费信息等。
“学生数据一部分是买来的,还有一部分是与教育机构合作时对方免费提供的;移动号码信息是公司通过号段筛选出来的,还有一些是从移动的外包公司里买来的。”金某称。
获得这些信息后,金某等人除了用手机短信群发的方式投放广告外,还将这些信息转卖给了十多家教育机构。
个人信息落入中介方后,这些“二道贩子”便会通过低买高卖的方式赚取利润。在此案中,金某等人于2009年购买了几十万条个人信息,花费不过四五千元;当他们转手卖给其他教育机构时,获利却高达几万元。
最终流向
中介、装修、保险、教育培训等行业最热衷,还有诈骗团伙
海量的个人信息最终流向何处?江苏检察官表示,购买这些信息最多的,是那些“需要推销广告信息、出售假冒发票和垃圾信息发布源头的人”。其中,房屋中介、装修公司、保险公司、母婴用品企业、广告公司、教育培训机构等日渐兴盛的产品推销和服务企业,是对这些个人信息趋之若鹜的核心群体。
2009年3月,无锡人朱某成立了一家教育培训机构,主要从事中小学生课外辅导。为了招揽学生,朱某通过多种途径发布了招生广告。王某是一家广告公司的二级代理,他看到该教育机构的招生广告后,便主动前来推销短信群发业务,并表示可以免费提供中小学生资源。朱某眼前一亮:海量的中小学生信息正是他梦寐以求的资源。于是,他与王某一拍即合,大量骚扰短信就这样发送到了中小学生家长手机上。
渐渐地,王某手中资源有些不够用了,朱某开始寻找新的信息中介。2013年4月,徐某来到朱某的公司应聘。初试时,徐某表示,手中有10万余条中小学生个人信息,入职后可将数据提供给公司。这些信息的真实性被确认后,徐某成功入职。据查,徐某提供的资源中,有10万余名在校学生的姓名、班级、家庭联系方式等个人信息。徐某曾在5家教育机构工作过,他掌握的数据,或是从前同事处得到,或是从原工作单位电脑中私自拷贝而来。
日,经无锡市锡山区人民检察院依法提起公诉,朱某、徐某因犯非法获取公民个人信息罪,王某因犯非法提供公民个人信息罪,被处以罚金刑。
此外,个人信息流向的另一个终端是不法分子,当他们通过各种途径获取大量个人信息后,滋生盗窃、电信诈骗、绑架、敲诈勒索等刑事犯罪的风险也便随之而来。
今年3月,南京市玄武区检察院办理了一起因个人信息泄露而导致的诈骗案。犯罪分子谢某某等人通过网络扫号软件获取了一家网购商城的部分客户身份信息,并偷偷修改了客户的预留电话号码;接着,他们套取账户上的信用额度,进而提现。短短1个月,谢某某等人套现15次,非法骗取资金数百万元。南京市玄武区检察院侦监科科长周颖说,遏制个人信息泄露,出台个人信息保护法才是当务之急。通讯员 邓凌原 扬子晚报全媒体记者 于英杰
(文中涉案人物系化名)
赚钱的牛市结束,镀金时代的美梦可以醒来了。美国投资管理巨头GMO创始人、市场泡沫预言家杰莱米?格兰瑟姆(Jeremy Grantham),十多年前对市场的种种预测均应验。他曾发出警告称,美国股市这一波的“牛市可能在任何时间走到尽头”。而最近以科技股首当其冲的下跌行情,再一次被他说中。……
·聚划算2012开放战略发布会
十一月份的北京正是浓妆艳抹的时节,虽然天意渐凉,但放眼望去也都是层峦尽染浓妆艳抹的艳丽风光。这个世界正是带上相机踏出家门去“采风”的好时节,我趁着“APEC蓝”的通透空气带上我新入手的佳能PowerShot G7 X相机去北京园博园转转。……
哈苏作为世界著名的中画幅相机厂家,其产品以出色的光学性能和高昂的价格始终是让大部分摄影师望其心叹。而在近期有传闻称哈苏将关闭其在意大利特雷维索设立新的产品设计中心,或许哈苏更期望能够进一步降低成本吧。
全画幅数码单反一直以出色的性能和昂贵的价格“高高在上”,不过随着生产工艺的不断升级以及市场需求的不断变化,以往十分“高贵”的全画幅数码单反相机也随之出现了万元级别的全画幅数码单反产品,作为万元级别的全画幅数码单反相机一直倍受到广大消费者的青睐,无论是其拍摄的性能还是万元上下的价格都无疑让更多的摄影师实现全画幅的梦想。而佳能EOS 6D以及尼康D610一直是大家关注的焦点,今天小编我就为大家带来这两款入门全画幅数码单反对比评测。
画幅顾名思义就是指成像单元的尺寸。在胶片时代就是指底片的尺寸,而在数码时代就是指感光元件的面积。胶片时代的画幅分别有:135画幅、中画幅、大画幅这三大类胶片画幅尺寸,当然中画幅以上的画幅尺寸也都有着更加细致的划分,但整体就是这几大类。在135mm相机系统中标准的画幅尺寸是24mm*36mm,这也就是传统135mm胶卷的尺寸。而在数码时代划分的更加细致,尤其是135画幅以内的画幅尺寸被细分为:全画幅、APS-H、APS-C、1英寸、4/3英寸、1/1.8英寸以及更小的画幅尺寸。……
2014年无疑是4K电视的里程碑,在今年,4K电视成为电器城里最耀眼的明星产品,消费者选购电视的首选,也是众多家电厂商们争抢的对象。在CES 2014上,三星、LG便将4K超高清电视作为主打产品,相信在CES 2015上,4K电视会有更出色的表现……厘清“侦查技术”与“技术侦查”
日11:07&&&来源:
E-mail推荐:
在职务犯罪侦查中如何利用技术侦查手段,成为检察机关关注的热点。虽然“技术侦查”写入修改后刑诉法,但是,技术侦查的内涵是什么?特征是什么?“侦查技术”与“技术侦查”如何区分?仍是值得探讨的问题。
为什么要厘清“侦查技术”与“技术侦查”
“侦查技术”是指侦查机关运用现代科学技术的理论和研究成果,在刑事侦查中采用的各种技术方法的总称,既包括利用先进科技发现、显现、记录、提取书证、物证、口供等各种证据,也包括采取盯梢、跟踪等传统的侦查手段。总之,从广义上讲,在侦查过程中采取的任何技术都可以称之为侦查技术。从狭义而言,“技术侦查”范畴外的技术手段,都属于“侦查技术”。
“技术侦查”,也称为技术侦察、技侦手段或行动技术手段,是指国家安全机关、公安机关和检察机关为了侦查犯罪而采取的特殊侦查措施,包括电子侦听、电话监听、电子监控、秘密拍照或录像、秘密获取某些物证、邮检等秘密的专门技术手段。
在实践中,厘清“侦查技术”与“技术侦查”意义重大。如果一个侦查手段被界定为普通的侦查技术,那么它就不需要经过复杂的审批手续即可由检察机关自行使用。如果一个侦查手段被界定为“技术侦查”,虽然也可由检察机关决定使用,但是必须经过特定的审批手续请公安或者安全机关执行,不得由检察机关自行使用。
随着社会的发展和科技的进步,网络、电脑、手机等科技含量高的产品进入人们的生活,依托这些科技产品来查办案件是新时期职务犯罪侦查的常用手段。但是,依托这些产品而使用的“侦查技术”是否属于“技术侦查”(最为典型的是手机定位)?目前并没有明确的规定或权威的解释。
职务犯罪侦查中“技术侦查”手段的认定与应用
有观点将外线侦查、网络侦查都归纳为“技术侦查”,这值得商榷。笔者认为,在外线侦查中跟踪、盯梢、守候、监视手段使用过程中,如果运用了电子监听、电信监控这些技术手段,那么这些手段可以认为是技术侦查手段,如果仅是常规的通过肉眼或者经验进行跟踪等侦查行为,则只是一种普通的侦查手段。同样,在网络侦查中,如果通过网络的搜索引擎或社交工具等常规的软件和技术就能获取信息,也不能认为是技术侦查手段。笔者认为目前典型的技术侦查手段应包括:电子侦听、电信监控、电子监控、邮件检查、密搜密取。同时,技术侦查手段应具备以下特征:
第一,秘密实施,不被当事人察觉。从目前公认的几种技术侦查手段电子侦听、电话监听、电子监控、秘密拍照或录像来看,均是秘密实施,均在当事人不知情的情况下。如在他人通讯通话中截听其谈话内容,在他人不知情的情况下拍摄其照片,等等。此时被侦查者处于自然行动状态,与犯罪事实有关的证据尚未受到侦查者的破坏,获取的证据材料比较真实。
第二,具备较高的科技含量,有时需要专业的单位配合。技术侦查手段的实施,需要运用现代科技设备,主要是将现代化的监听、检测等科技原理与成果运用于刑事侦查工作中,将现代科学技术与刑事犯罪侦查工作有机结合起来,具有较高的科技含量。有些技术侦查手段如监听还需要中国电信、中国移动、中国联通等单位的配合。
第三,侵入个人空间,获取或知晓个人信息,对隐私权造成一定程度的侵犯。之所以限制技术侦查手段的使用,一个重要原因在于其逼近或侵入公民的个人空间,对隐私权造成一定程度的侵犯。如果一种侦查手段即使具备了秘密性和技术性,但并未对隐私权造成侵犯,界定其为技术侦查手段也无必要。
第四,所采取的措施是针对当事人尚未实施或正在实施的语言、信息、行为或动作。笔者认为,对于已经实施的“语言、信息、行为或动作”,勿需采取“技术侦查”手段,只需要通过一定的手续去调取、查询、分析即可。
技术侦查相关规定的反思与重构
修改后刑诉法专门在第二编第一章第八节对技术侦查作了规定,明确了可以采取技术侦查措施的机关,可以适用技术侦查的罪名、期限以及保密义务,但仅对技术侦查作了原则性规定,对于一项很可能侵犯公民基本权利的侦查手段而言,这样的规定过于宽泛。笔者认为,还应明确以下内容:
第一,技术侦查的种类和适用条件。技术侦查手段的适用条件应当包括以下几个方面:一是手段必要性。二是罪名特定性。三是期限确定性。四是罪行严重性。许多国家都确立了技术侦查措施使用的“重罪原则”,即技术侦查措施只能适用于性质严重的刑事案件的侦查活动。因此,对于情节轻微可能判处3年以下有期徒刑的职务犯罪案件,一般情况下不得采取技术侦查措施。
第二,技术侦查的审批。技术侦查措施审批的主要内容包括:是否属于法定的案件适用范围、是否具备法定适用条件、技术侦查措施的采用是否必要、技术侦查对象是否确定等。只有经依法定审查程序作出决定后,侦查机关方可采取技术侦查措施。另外,还要明确因情况紧急来不及申请而采取的技术侦查措施的补充审批制度和原审批技术侦查期间已满需延长的审批程序。
第三,技术侦查所获信息的保存、运用和处理。技术侦查的目的是获得相关的案件信息和证据,立法应明确技术侦查措施所获证据的证据能力,但同时要确立非法证据的排除规则,强调对于技术侦查措施的运用必须遵守法定程序,否则将导致技术侦查行为无效,而由这些行为所获取的证据材料应予以排除。另外,对技术侦查所获信息的运用要严格保密,或封存一定期间,对与案件无关的信息要予以删除,以保护当事人的隐私权。
第四,明确技术侦查行为的侵权救济和责任制度。对于违规使用技术侦查,故意或过失造成当事人的隐私泄露和扩散的,要追究责任。对于违法或不当适用技术侦查手段而侵犯公民隐私权等合法权益时,应有救济途径保护当事人权益。
(作者单位:广东省人民检察院)
(责编:常雪梅、程宏毅)
热点导航[新闻热词]
&&&推荐新闻
& &&& && &&& & & &&& & |
48小时排行榜
48小时评论榜
1.2.3.4.5.6.7.8.9.10.
&&?频道精选
基础|||会议|||文献|||事件|||专题|||图集|||视频|||查看: 520|回复: 0
网络安全基础知识之侦察与工具
主题帖子积分
安全扫描以各种各样的方式进行。你将利用Ping和端口扫描程序来侦查网络,你当然也可以使用客户端/服务器程序,如Telnet和SNMP等,来侦查网络泄漏的有用信息。你应当利用一些工具来了解网络。有些工具很简单,便于安装和使用。有时,审计人员和黑客利用程序语言如Perl, C,C++和Java自己编制一些工具,这是因为他们找不到现成的针对某种漏洞的工具。
另外一些工具功能更全面,但是在使用前需要认真地配置。专门从事网络管理和安全的公司出售这些工具。你将在本课中学习使用这些工具。好的网络级和主机级扫描器会试图监听和隔离进出网络和主机的所有会话包。在学习这些“Hacker-in-a-box”的解决方案前,你应当先接触一些当前黑客常常使用的技巧。
Whois 命令
Whois〔类似于finger〕是一种internet的目录服务,whois 提供了在Internet上一台主机或某个域的所有者的信息,如管理员的姓名、通信地址、电话号码和Email地址等信息,这些信息是在官方网站whois server上注册的,如保存在InterNIC的数据库内。Whois命令通常是安全审计人员了解网络情况的开始。一旦你得到了Whois记录,从查询的结果还可得知primary和secondary域名服务器的信息。
nslookup
使用DNS的排错工具nslookup,你可以利用从whois查询到的信息侦查更多的网络情况。例如,使用nslookup命令把你的主机伪装成secondary DNS服务器,如果成功便可以要求从主DNS服务器进行区域传送。要是传送成功的话,你将获得大量有用信息,包括:
·使用此DNS服务器做域名解析到所有主机名和IP地址的映射情况
·公司使用的网络和子网情况
·主机在网络中的用途。许多公司使用带有描述性的主机名。
使用nslookup实现区域传送的过程
(1)使用whois命令查询目标网络,例如在Linux提示符下输入 .cn
(2)你会得到目标网络的primary和slave DNS服务器的信息。例如,假设主DNS服务器的名字是.cn
(3)使用交互查询方式,缺省情况下nslookup会使用缺省的DNS服务器作域名解析。键入命令server .cn 定位目标网络的DNS服务器;
(4)列出目标网络DNS服务器的内容,如.cn。此时DNS服务器会把数据传送给你,当然,管理员可以禁止DNS服务器进行区域传送,目前很多公司将DNS服务器至于防火墙的保护之下并严格设定了只能向某些主机进行区域传送。
一旦你从区域传送中获得了有用信息,你便可以对每台主机实施端口扫描以确定它们提供了那些服务。如果你不能实现区域传送,你还可以借助ping和端口扫描工具,当然还有traceroute。
Host命令是UNIX提供的有关Internet域名查询的命令,可实现主机名到IP地址的映射,反之亦然。用host命令可实现以下功能:
·实现区域传送
·获得名称解析信息
·得知域中邮件服务器的信息
参数-v可显示更多的信息,参数-l实现区域传送,参数-t允许你查询特定的DNS记录。例如,要查询域的邮件服务器的记录,你需要键入命令:
host -t
你可以参考UNIX命令帮助获得更多信息。
Traceroute(tracert)
Traceroute 用于路由追踪,如判断从你的主机到目标主机经过哪些路由器、跳计数、响应时间如何、是否有路由器当掉等。大多数操作系统,包括UNIX,Novell和Windows NT,若配置了TCP/IP协议的话都会有自己版本的traceroute程序。当然我们也可以使用其它一些第三方的路由追踪软件,在后面我们会接触到这些工具。
使用traceroute,你可以推测出网络的物理布局,包括该网络连接Internet所使用的路由器。traceroute还可以判断出响应较慢的节点和数据包在路由过程中的跳计数。Ping 扫描作用及工具
Ping一个公司的Web服务器可帮助你获得该公司所使用的IP地址范围。一旦你得知了HTTP服务器的IP地址,你可以使用Ping扫描工具Ping该子网的所有IP地址,这可以帮助你得到该网络的地址图。
Ping扫描程序将自动扫描你所指定的IP地址范围。WS_Ping ProPack工具包中集成有Ping扫描程序,单独的Ping工具有许多,Rhino9 Pinger是比较流行的程序。
端口扫描
端口扫描与ping扫描相似,不同的是端口扫描不仅可以返回IP地址,还可以发现目标系统上活动的UDP和TCP端口。
在本例中,地址192.168.1.10正在运行SMTP和Telnet服务,地址192.168.1.12正在运行FTP服务,主机192.168.1.14未运行任何可辨别的服务,而主机192.168.1.16运行着SMTP服务。最后一台主机属于Microsoft网络,因为该网络使用UDP137和TCP138、139端口。
端口扫描软件
端口扫描器是黑客最常使用的工具。一些单独使用的端口扫描工具象Port Scanner1.1,定义好IP地址范围和端口后便可开始实施扫描。还有许多单独使用的端口扫描器,如UltraScan等。像Ping扫描器,许多工具也集成了端口扫描器。NetScan、Ping Pro和其它一些程序包集成了尽可能多的相关程序。你将发现许多企业级的网络产品也将ping和端口扫描集成起来。
网络侦查和服务器侦查程序
使用简单的程序如Ping Pro,你可以侦查出Microsoft的网络上开启的端口。Ping Pro的工作是通过监测远程过程调用服务所使用的TCP、UDP135端口,和Microsoft 网络会话所使用的UDP137,138,和139端口来实现的。其它的网络扫描工具允许你监测UNIX,Novell,AppleTalk的网络。虽然Ping Pro只能工作在其安装的特定子网,但还有更多更复杂的工具,这些工具的设计者把它们设计成为可以识别更多的网络和服务类型的程序。
例如,NMAP是UNIX下的扫描工具,它可以识别不同操作系统在处理TCP/IP协议上细微的差别。其它类似的程序还包括checkos,queso和SATAN。
堆栈指纹
许多本课中介绍的程序都利用堆栈指纹技术,这种技术允许你利用TCP/IP来识别不同的操作系统和服务。因为大多数的系统管理员注意到信息的泄露而且屏蔽了系统标志,所以应用堆栈指纹的技术十分必要。但是,各个厂商和系统处理TCP/IP协议的特征是管理员所难以更改的。许多审计人员和黑客记录下这些TCP/IP应用的细微差别,并针对各种系统构建了堆栈指纹表。
要想了解操作系统间处理TCP/IP协议的差异需要向这些系统的IP和端口发送各种特殊的包。根据这些系统对包的回应的差别,你可以推断出操作系统的种类。例如,你可以向主机发送FIN包(或任何不含有ACK或SYN标志的包),你会从下列操作系统获得回应:
·Microsoft Windows NT,98,95,和3.11
·FreeBSD
·CISCO
·HP/UX
大多数其它系统不会回应。虽然你只不过缩小了一点范围,但这至少开始了你对目标系统的了解。如果你向目标系统发送的报文头有未定义标志的TCP包的话,2.0.35版本以前的LINUX系统会在回应中加入这个未定义的标志。这种特定的行为使你可以判断出目标主机上是否运行该种LINUX操作系统。
下列是堆栈指纹程序利用的部分特征,许多操作系统对它们的处理方式不同:
·ICMP错误信息抑制
·服务类型值(TOS)
·TCP/IP选项
·对SYN FLOOD的抵抗力
·TCP初始窗口:只要TCP开始进行三次握手,总是先发出一个SYN包。像NMAP这样的程序会发出一个SYN包欺骗操作系统作回应。堆栈指纹程序可以从回应报文的格式中推论出目标操作系统的一些情况。
NMAP由于功能强大、不断升级和免费的原因十分流行。它对网络的侦查十分有效是基于两个原因。首先,它具有非常灵活的TCP/IP堆栈指纹引擎,NMAP的制作人FYODOR不断升级该引擎是它能够尽可能多的进行猜测。NMAP可以准确地扫描服务器操作系统(包括Novell, UNIX, Linux, NT),路由器(包括CISCO,3COM和HP),还有一些拨号设备。其次,它可以穿透网络边缘的安全设备,例如防火墙。
NMAP穿透防火墙的一种方法是利用碎片扫描技术(fragment scans),你可以发送隐秘的FIN包(-sF),Xmas tree包(-sX)或NULL包(-sN)。这些选项允许你将TCP查询分割成片断从而绕过防火墙规则。这种策略对很多流行的防火墙产品都很有效。
当前NMAP只能运行在UNIX操作系统上。操作系统类型包括Linux的所有版本,Free BSD 2.2.6-30,HP/UX,和Solaris。在Linux的X-Windows上还提供图形界面。最好的掌握NMAP的方法是学习使用它。使用nmap -h命令可以显示帮助信息,当然,你也可以用man nmap命令查看它的使用手册。
共享扫描
你可以扫描网络中绝大多数的内容,包括正在使用的共享。这种扫描过程提供了重要的侦查和利用各种资源和文件的方法。
共享扫描软件
Ping Pro提供了允许审计人员扫描Windows网络共享的功能。它只能侦查出共享名称,但不会入侵共享。例如,Microsoft网络利用TCP139端口建立共享。更具侵略性的侦查软件有知名的RedButton,许多Internet站点都免费提供下载。
RedButton是一个很古老的程序,大多数的系统管理员和安全管理员都找到了防范它的方法。这个程序不仅可以侦查出共享名称还可以发现相应的密码。它还可以获得管理员的账号名称。缺省配置和补丁级扫描
黑客和审计人员对系统的缺省配置很了解。你可以编制工具查找这些弱点。实际上,本课中讨论的许多企业级的侦查工具都是针对这些弱点进行工作的。安全专家还知道操作系统工作的细节,根据服务补丁和hot fix的数量进行升级。
使用Telnet
Telnet是远程登录系统进行管理的程序。缺省情况下telnet使用23端口。当然,你还可以利用Telnet客户端程序连接到其它端口。
例如,你可以Telnet至HTTP端口。在连接一段时间内若没有任何动作,服务器会因为无法识别这次连接而自动切断。但是你通常可以从HTTP服务器上得到一些信息。例如,可以得知服务厂商的信息,版本(如Apache Web Server 1.36或IIS 4.0)等等。
虽然信息不是很多,但你至少能从报错信息中推断出服务器类型。如左边图所示你与服务器连接被终止,但在Web服务器报错信息中仍可以看出HTTP服务器版本。你还可以用Telnet连接上系统再使用SYST命令,许多TCP/IP堆栈会泄漏一些重要的信息。
使用SNMP
简单网络管理协议(SNMP)允许你从网络主机上查询相关的数据。例如,你可以收集TCP/IP方面的信息,还有在路由器、工作站和其它网络组件上运行的服务情况。SNMP由网络管理系统(NMS)和代理Agent组成。NMS通常安装在一台工作站上,再将代理安装在任何需要接受管理和配置的主机上。
当前存在三个版本的SNMP。SNMPv1最普通但也最不安全。原因有两个,首先,它使用弱的校验机制。只是靠community name作验证,而community name只是很短的字符串。其次,SNMP用明文发送community name,易于被sniffer捕获。而且,许多网络管理员使用缺省的“public”作community name。任何黑客都会首先尝试用“public”来访问SNMP。
SetRequest命令
你还可以利用SNMP重新配置接口或服务。这包括设置路由跳计数,停止和启动服务,停止和启用接口等等。如果你使用SNMPv1而且黑客又得到community name的话,他就可以侦查和控制你的系统。SNMPv3包含了更复杂的加密和验证的机制。然而,许多网络管理员由于使用缺省的密码和设置,给黑客以可乘之机。当然,经过加密的SNMP密码仍然可以被捕获和暴力攻击。
SNMP软件
许多厂商出售SNMP管理软件,常见的SNMP软件有:
·HP的OpenView
·Windows NT Resource Kit中的SNMPUTIL
·各种各样的网络附加工具包,如Ping ProPack等
虽然象HP的OpenView程序是工业的标准,你还可以使用功能稍差的程序象Ping Pro来获取网络的情况。
TCP/IP 服务
大多数的SMTP和POP3服务仍然以明文方式发送密码,这增大了Man-in-the-middle攻击成功的可能性。而且,LDAP、FTP、SMTP,尤其是HTTP服务非常容易遭受缓冲区溢出的攻击。
附加的TCP/IP服务
LDAP服务容易引起问题,不仅因为该服务所泄漏的信息而且经常遭受缓冲区溢出的攻击。E-mail程序如Microsoft Outlook,Eudora和Netscape Communicator也包含LDAP客户端的软件。而且,象Ping Pro和NetScan等管理工具运行你进行更复杂的查询。TFTP的问题是没有验证机制。黑客喜欢对其进行拒绝服务攻击,对系统提出了严峻的考验。
像Finger和TFTP等简单TCP/IP服务所泄漏的信息容易被黑客利用进行社会工程和其它类型的攻击。LDAP,FTP和SMTP服务经常出现安全问题有很多原因。首先这些服务容易泄漏太多自己配置的信息。
Finger
Finger服务使你考验获取远程服务器上的用户信息。使用Finger,你可以得到:
·用户名
·服务器名
·E-mail账号
·用户当前是否在线
·用户登录时间
·用户的crond任务
企业级的审计工具
进行到这里你已经接触了一些审计人员使用的基本的工具。这些工具便于安装和使用。它们可以为你提供很多关于网络的信息,还可以帮助你对特定系统进行风险评估。前面讨论程序的缺点是它们只能单独进行简单的查询而不能同时对多个系统和服务实施侦查。一个好的审计人员需要综合使用这些方法使审计的侦查工作能够成功。企业级的审计程序用以其人之道还制其人之身的方式来对付黑客,通过对网络进行综合的攻击使你可以实时地检测到网络的漏洞,并加以改进。
绝大多数的网络探测器都支持TCP/IP,而且许多还支持其它协议包括IPX/SPX,NetBEUI和AppleTalk。你已经对侦查数据库有所了解,在这一部分,你将更多地接触如何配置和更新侦查数据库。你还将学习网络扫描器的一些特性。
通常,网络扫描器程序无法跨子网。当然你可以在每个子网中都安装一个。然而,有些扫描器(如WebTrends Security Analyzer Enterprise Edition和ISS Internet Scanner Enterprise Edition)是可以跨子网的。
在你用扫描器扫描网络之前,你必须先配置它使其能够识别网络上的主机。有时,扫描器可以自动识别,但其它时候你必须手动配置它。每个程序都有它自身的配置方法,但配置原则是相同的。所有的商业扫描器都支持TCP/IP。许多还支持象IPX/SPX,NetBEUI,AppleTalk,DECnet和其它协议。你应当根据你的网络中应用的协议情况来购买不同的版本。
许多版本的扫描器只支持特定的操作系统,因此你必须在购买前考虑到其使用的平台。以前,网络扫描器、探测器和入侵监测系统都是在UNIX系统下工作得更出色。但是随着Windows NT更加成熟,许多功能强大的产品也出现了。
扫描等级
大多数的企业级的扫描器允许你选择安全扫描的等级。一次轻级别的扫描通常会扫描众所周知的端口(从0到1023)和常见的安全漏洞,包括弱口令,低的补丁等级和额外的服务。如果你扫描一个小型的子网大概需要花费30分钟。中级和严格级别的扫描根据网络的速度和运行扫描程序的主机CPU的时钟速度快慢等因素通常会花费几天的时间。
定义严格级别的扫描策略会让扫描器对目标网络发起连续的攻击。如果你设置了规则让扫描器扫描所有的65,535个端口,还要检测口令强度以及细致地分析从管理账户到UNIX子系统的每项服务的话,工作量是相当大的。这种扫描不仅费时,而且会极大地加重网络的负担。个别主机将无法承受这种扫描。
配置文件和策略
在使用任何扫描器前,你必须首先定义配置文件,然后再实施策略。绝大多数的扫描程序事先都定义了一些配置和策略,但你可以根据实际需要对它们进行编辑和增加。需要注意的是要将策略和配置文件结合起来。
报告功能
企业级的扫描程序具有细致的报告功能。可以用很多种格式输出信息,包括:
· 简单的ASCII文本
· HTML字处理文本格式,如RTF,或一些专利格式,例如Microsoft Word(DOC)或Corel Word Perfect(WPD)。
· 电子表格形式,例如Microsoft Excel。
· 图形格式,包括幻灯片,例如Microsoft PowerPoint 报告风险等级
大多数的网络扫描器将风险分成低、中、高三个等级。你将接触到各种扫描器是如何汇报它们的扫描结果的。即使得出你的网络只有低的安全问题,你也不应该沾沾自喜。一名优秀的黑客可以从很小的缺陷入手给系统造成致命的破坏。
Axcet NetRecon
NetRecon是最先为Windows NT网络设计的网络扫描产品之一。NetRecon象其它扫描器一样可以发现网络中的各种元素,处理本课中讨论的各种问题,包括密码检查。NetRecon可以比较准确的模拟各种攻击。NetRecon的界面由三个窗格组成。对象窗口允许你查看每个扫描对象,通过单击可以展开目录结构。通过扫描网络,图形窗口显示低、中、高的风险等级。状态栏显示扫描的进程。你可以对网络进行深度扫描,当然这种扫描会耗费大量的时间。例如,广泛的扫描会花费两天的时间。
漏洞数据库和对象列表
在NetRecon中以一些漏洞列表作为侦查数据库,你可以将这个列表理解为攻击指纹,但是这个名词通常被用于入侵检测系统程序中。如果你持有NetRecon的授权,便可以从Axent的Web站点升级这个漏洞列表。通过 Reprots view Vulnerability Descriptions 菜单,可以查看相关漏洞的描述。
下面列出NetRecon可以扫描出的系统漏:
· Finger服务漏洞
· GameOver(远程管理访问攻击)
· 未授权注销禁止
· 服务漏洞,包括SMTP、DNS、FTP、HTTP、SOCKS代理和低的sendmail补丁等级。
大多数网络扫描器,如NetRecon,包含了事先定义好的对象列表。通过选择 Reprots View Objective Descriptions,你可以查看在NetRecon中已经配置好的当前对象列表。
Network Associates CyberCop Scanner
CyberCop Scanner是Network Associates的产品,该公司的产品还包括Sniffer Basic(前身是NetXRay)和其它网络管理软件。象NetRecon一样,CyberCop Scanner是一个主机级别的审计程序。与Axent的产品一样,CyberCop也把各种漏洞分类为低、中、高三个等级。附录B中是一份CyberCop Scanner生成的报告样例。
技术提示:CyberCop Monitor不是网络扫描器,它是入侵监测系统程序,能够对黑客活动进行监视,提供报警功能,还能惩罚黑客。你将在本教程中学习一些入侵检测系统程序。
WebTrends Security Analyzer
该软件以前叫Asmodeus Security Scanner,WebTrends的产品在UNIX和NT系统下都经过很好的测试。Security Analyzer的优点之一是与UNIX搭配使用多年,操作界面也简单易用。
在主界面上选择Policy,然后edit,这时Security Analyzer 的选项窗口将出现。你可以选择扫描的强度,或编辑已有的策略、建立新的策略。如果你点击Host Selection标签,便可以选择子网内主机的范围。
Internet Security Systems的扫描产品
Internet Security Systems是最早生产扫描程序的公司。在本课中你将学习Internet扫描器和系统扫描器。它们都是ISS设计来提供跨操作平台的安全工具包。
ISS Internet Scanner
这款扫描器工作于UNIX和NT平台,象Axent NetRecon、WebTrends Security Analyzer和其它扫描器一样可以扫描远程主机。
Ineternet Scanner有三个模块:intranet,firewall和Web服务器。程序的策略是希望将网络活动分类,并针对每种活动提供一种扫描方案。这个特点由于你可以直接扫描更重要和经常遭受攻击的系统而变得十分有效。你也可以在三个模块中定义你自己的扫描参数。
下列是Internet Scanner中部分扫描的项目:
·PHP3 缓冲区溢出
·Teardrop和Teardrop2攻击
·跨网络的协议分析仪(包括tcpdump和Sniffer Basic)
·搜索一些FTP服务类型,包括War FTP
·SNMP和RMON检测
·Whois检测
·SAMBA溢出
·增强的SMS支持
·增强的NT功能,使它与UNIX一样有效
ISS Security Scanner
Security Scanner是基于主机的扫描程序。它可以深入挖掘系统的情况。由于是基于主机的扫描程序,所以能更深入地扫描系统内部。这一功能在检查象数据库、FTP和Web服务等特定的系统时显得十分有用。这种程序应该只运行在考虑到有黑客活动的高风险的系统上。
其它扫描程序厂商
其它提供扫描和检测漏洞的产品包括:
·Security Dynamics Kane Security Analyst
·Netect HackerShield
社会工程
我们已经接触了一些侦查程序,其中有的工具非常灵活和全面。但是,通过人为你侦查网络情况更方便。一名优秀的审计人员会从人力资源角度来获取网络信息。虽然你可以用社会工程对网络进行渗透和控制,但用这种方法来侦查网络也同样有效。作为安全管理人员,你不应低估社会工程的威胁。作为安全审计人员,你也不应在侦查工具和技巧中漏掉社会工程。电话访问
审计人员试图以人为突破口。在从Nslookup获得有关信息后利用电话骗取更多的有用信息。通过这种方法,你可以获得更多的信息,甚至骗取他人给你访问网络主机的权限。
E-mail诈骗
虽然欺骗性的邮件本身是无效的,但你可以伪装成工程技术人员骗取别人回复你的信件,泄漏有价值的信息。
作为安全管理人员,避免员工成为侦查工具的最好方法是对他们进行教育。通过提高员工对设备的认识和增强他们的责任感,可以使他们变得更难于被黑客控制。
获得信息
作为安全审计人员,你可以把信息分成网络级别和主机级别的信息。
网络级别的信息
下表中列出了你需要获得的有价值的网络级别的信息。
网络拓扑 安全审计人员首先应当搞清楚网络的类型(以太网,令牌环等等),IP地址范围,子网和其它网络信息。配线架的位置也很重要。作为安全管理人员,你的目标是利用防火墙、代理服务器等设备保护这些信息。
路由器和交换机 掌握路由器和交换机的种类对分析网络安全十分重要,你可以是路由器泄漏信息。
防火墙种类 大多数的网络都有防火墙。如果你能够访问防火墙,便可以侦查它并寻找相应的漏洞。
IP服务 最基本的服务包括DHCP,BOOTP,WINS,SAMBA,和DNS。DNS服务特别容易遭受缓冲区溢出的攻击。
Modem池 也许最流行的绕过防火墙是做法是通过modem连接再附以Man-in-the-middle攻击和包捕获。War dialer是在Internet上寻找网络连接的重要的审计工具。
主机级别的信息
下表列举了一些更有价值的主机级别的信息
活动端口 你应该了解服务器上有那些端口是活动的。HTTP和FTP服务是最容易遭受端口扫描的服务,而且黑客会进一步实施缓冲区溢出攻击。
数据库 数据库类型(例如Oracle,Microsoft SQL Server和IBM DB2),物理位置和应用协议都很有价值。
服务器 服务器类型是非常有价值的信息。一旦你确定了服务器的种类是Microsoft或UNIX,便可以有针对性的利用系统的缺省设置和补丁侦查登录账户名称,弱口令和低的补丁等级。
近年来,许多成功的黑客都利用了大量的业余时间。他们阅读了大量的文献,研究系统的缺省设置和内置的漏洞。无论你是安全管理人员还是安全审计人员,都应该尽可能地多掌握产品的情况。
例如,通过研究TCP/IP的RFC文件,你可以获知各个厂商如何应用TCP/IP协议。在Student CD中的RFC目录中有RFC1700文章,其中描述了TCP和UDP端口的划分情况。这种文献是你和黑客都可以免费得到的关于协议、操作系统和硬件信息的资料。
合法和非法的网络工具
黑客会尝试使用任何工具,不论它有多复杂。而且,黑客工具和审计工具并没有本质上的区别。在本课中讨论的一些工具,如Axent NetRecon,通过广播主机名进行查询。这些信息可以帮助系统管理员和安全管理人员明确需要扫描那些资源。无论如何,这些程序并不仅限于系统管理员的正当使用。
黑客可以使用本课中讨论的任何工具。使用企业级的扫描工具通常会占用大量的带宽,并不是隐蔽的侦查工具。因此,任何系统管理员,安全审计人员或黑客都乐于使用网络级的扫描程序,即使冒不是引起注意就是使整个网络瘫痪的风险。
Powered by
