幾個(gè)月前發(fā)生的“灰鴿子事件”,表明黑客行為及行為者已然發(fā)展成一條產(chǎn)業(yè)鏈,并且是一個(gè)賺錢(qián)快速成長(zhǎng)的產(chǎn)業(yè)。數(shù)以百萬(wàn)的網(wǎng)民,為了方便從互聯(lián)網(wǎng)下載方便實(shí)用的的軟件,但很可能會(huì)在無(wú)意間外泄電腦中所有的信息,甚至成為攻擊第三者的跳板。以前的黑客,大多的是出于技術(shù)炫耀,或是好奇而采取黑客行為;隨著時(shí)代的發(fā)展,現(xiàn)在黑客行為卻常常和金錢(qián)與利益掛勾,并且大批用戶被黑的事件更是頻頻爆發(fā)。可以想象,未來(lái)黑客行為會(huì)更加趨向于以竊取網(wǎng)民用戶的利益為出發(fā)點(diǎn),并且手段會(huì)更加高明。 Qno俠諾的技術(shù)人員在最近的交流中,也談?wù)摰竭@個(gè)事件。由于Qno俠諾在全國(guó)各個(gè)城市都有技術(shù)人員,因此對(duì)于用戶應(yīng)用互聯(lián)網(wǎng)的情況也有全面性的了解。在“灰鴿子事件”的討論中發(fā)現(xiàn),很多企業(yè)用戶由于觀念不正確或者專(zhuān)業(yè)知識(shí)不足,常常因此而導(dǎo)致在網(wǎng)絡(luò)配置上留下很大的漏洞,未來(lái)可能成為企業(yè)信息外泄的重要渠道。 一、ERP遠(yuǎn)程接入配置 隨著企業(yè)信息化國(guó)家發(fā)展政策出臺(tái),很多中小企業(yè)也建置了像ERP、財(cái)務(wù)管理、CRM等方面的軟件系統(tǒng),作為企業(yè)運(yùn)作的核心。近一兩年,據(jù)Qno俠諾工程師調(diào)查發(fā)現(xiàn),更多的中小企業(yè)又更進(jìn)一步地建置了遠(yuǎn)程接入的系統(tǒng)。這也許是因?yàn)榻?jīng)營(yíng)擴(kuò)張的需要,或者是因?yàn)榻?jīng)營(yíng)者希望能更迅速地掌握企業(yè)現(xiàn)狀,希望隨時(shí)可登陸相關(guān)系統(tǒng)。 但是,由于企業(yè)希望最大程度地節(jié)省成本,因此有些軟件商、SI或者是項(xiàng)目公司會(huì)根據(jù)客戶的需求,采取直接開(kāi)放內(nèi)網(wǎng)資源的方式,讓互聯(lián)網(wǎng)用戶可以直接使用路由器的虛擬路由功能,直接登陸企業(yè)內(nèi)部服務(wù)器。常見(jiàn)的作法包括:第一,直接開(kāi)放數(shù)據(jù)庫(kù)端口給公網(wǎng);第二,通過(guò)應(yīng)用服務(wù)器開(kāi)放一個(gè)端口對(duì)公網(wǎng),再把此端口傳來(lái)的請(qǐng)求,通過(guò)應(yīng)用服務(wù)器轉(zhuǎn)成標(biāo)準(zhǔn)的數(shù)據(jù)庫(kù)請(qǐng)求后,交給數(shù)據(jù)庫(kù)服務(wù)器處理;第三,通過(guò)終端服務(wù)、Citrix等軟件,讓用戶直接使用中心的應(yīng)用系統(tǒng)。 對(duì)于這些作法,大多數(shù)用戶不會(huì)感到任何不同,因此也可以達(dá)到終端接入的目的。但是由于大部分企業(yè)SQL服務(wù)器和應(yīng)用服務(wù)器放在一臺(tái)PC機(jī)上,因此給攻擊者一個(gè)很好的機(jī)會(huì)和渠道。例如,早期做法是直接把SQL服務(wù)器的TCP1433端口開(kāi)放給外部用戶,這樣就相當(dāng)于給所有用戶都開(kāi)放了此端口;即使現(xiàn)在大量的軟件都是做一個(gè)應(yīng)用服務(wù)器中轉(zhuǎn)一下,也是開(kāi)放了應(yīng)用服務(wù)器的計(jì)算機(jī);而B(niǎo)/S的應(yīng)用,同樣要對(duì)外開(kāi)放SQL服務(wù)器或者其它端口。由于計(jì)算機(jī)的端口開(kāi)放,黑客只要使用類(lèi)似Portscan的軟件,就可以很快的查到企業(yè)服務(wù)器。 這樣的情況,在臺(tái)灣、香港或外企公司,由于已經(jīng)具備很強(qiáng)的安全意識(shí),所以基本上都是用VPN來(lái)做遠(yuǎn)程,沒(méi)有人愿意冒風(fēng)險(xiǎn)以直接開(kāi)放的方式進(jìn)行配置。但是在國(guó)內(nèi),一般項(xiàng)目實(shí)施的供應(yīng)商在項(xiàng)目洽談的時(shí)候,可能考慮控制成本或者是迎合客戶決策者的低成本暗示,一般會(huì)掩蓋此問(wèn)題,只有在出了安全問(wèn)題的時(shí)候才有可能暴露。所以,企業(yè)用戶使用路由器虛擬服務(wù)的方式,會(huì)容易被競(jìng)爭(zhēng)對(duì)手或黑客入侵,導(dǎo)致報(bào)價(jià)信息、商業(yè)機(jī)會(huì)外泄、投標(biāo)輸?shù)舻惹闆r都有可能發(fā)生。 圖:企業(yè)用戶應(yīng)用情況分析 用戶A:不論是存取終端服務(wù)器、ERP應(yīng)用服務(wù)器,或是SQL服務(wù)器,都極有可能被黑客侵入; 用戶B:服務(wù)器都配置于同一硬件計(jì)算器上,風(fēng)險(xiǎn)更大; 用戶C:采用VPN,使用VPN隧道隔離對(duì)外聯(lián)系,黑客無(wú)從進(jìn)入。 二、方便的黑客工具 由于信息交流的方便,再加上有很多像“灰鴿子”這樣的服務(wù)廠商,利用以上漏洞攻擊企業(yè)并不困難。 早期應(yīng)用軟件一般采取直接開(kāi)放TCP的1433 (SQL常用端口)或3389(開(kāi)放終端服務(wù))端口,因此只要知道服務(wù)器域名,很容易就可以發(fā)動(dòng)攻擊。即使不知道,網(wǎng)絡(luò)上許多免費(fèi)工具軟件都可以幫助找到,非常簡(jiǎn)單,初級(jí)黑客即可實(shí)現(xiàn)。例如,先用IPSCAN掃公網(wǎng)上已經(jīng)開(kāi)機(jī)的IP,再用PortScan掃已經(jīng)開(kāi)機(jī)的IP的開(kāi)放端口,同時(shí)目前還有很多免費(fèi)軟件直接可以幫你一次性把IP和端口都掃出來(lái)。 由于服務(wù)器的對(duì)應(yīng)端口開(kāi)放給用戶,這樣做也同時(shí)開(kāi)放給了互聯(lián)的所有人,包括黑客。一旦找到服務(wù)器及端口,用戶如果不強(qiáng)制斷開(kāi),IP一般是不會(huì)變,在相對(duì)的時(shí)間內(nèi)就是一個(gè)固定的IP,此時(shí)的黑客就有足夠的時(shí)間來(lái)進(jìn)行入侵服務(wù)器。之后,再用工具軟件去猜測(cè)SQL的密碼,一旦SQL密碼被猜中,所有用戶的數(shù)據(jù)都會(huì)被看到。并且,SQL一般默認(rèn)密碼為空,所以很多時(shí)候不用猜測(cè),或者密碼很簡(jiǎn)單,1234,abcd等,會(huì)更容易造成信息外漏。 即使無(wú)法入侵,容易造成被網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn),例如以DDoS進(jìn)行攻擊,導(dǎo)致1433端口繁忙,無(wú)法回應(yīng)正常的請(qǐng)求,或者是服務(wù)器直接被攻死掉。這都是因?yàn)殚_(kāi)啟端口,所可能引發(fā)的問(wèn)題! 三、中小企業(yè)宜防范未然 Qno俠諾旳技術(shù)服務(wù)人員發(fā)現(xiàn),大多數(shù)中小企業(yè)大量采用路由器的虛擬服務(wù)作為遠(yuǎn)程接入,主要原因是成本問(wèn)題。但是一半以上的業(yè)主,并不了解以上的風(fēng)險(xiǎn),也無(wú)法了解“灰鴿子事件”和自身的網(wǎng)絡(luò)安全相關(guān)連。由于對(duì)于網(wǎng)絡(luò)知識(shí)的不足,即使受到攻擊,也常常意識(shí)不到。 事實(shí)上,由于現(xiàn)在很多黑客個(gè)人或是工作室,都通過(guò)收費(fèi)的方式提供攻擊服務(wù),只不過(guò)之前攻擊對(duì)象主要以網(wǎng)吧和大型企業(yè)為主。這是由于網(wǎng)吧對(duì)于網(wǎng)絡(luò)知識(shí)比較了解,有些業(yè)主會(huì)以這種方式打擊鄰近的網(wǎng)吧,把客人搶過(guò)來(lái)。隨著網(wǎng)吧設(shè)備對(duì)于攻擊的防御能力越來(lái)越高,不肖的黑戶難免會(huì)把主意打到中小企業(yè)上來(lái)。對(duì)于企業(yè)而言,招標(biāo)數(shù)據(jù)或商業(yè)秘密的取得,利益價(jià)值是很高的。這樣買(mǎi)賣(mài)相合,未來(lái)針對(duì)特定客戶的攻擊或是盜取資料事件,肯定會(huì)更多。 對(duì)于中小企業(yè)而言,現(xiàn)在的VPN產(chǎn)品價(jià)格已經(jīng)不再高不可攀。只要適當(dāng)?shù)嘏渲,也可用以很省錢(qián)的方式建置VPN聯(lián)機(jī),例如Qno俠諾的QVM330產(chǎn)品,同時(shí)支持IPSec、PPTP及SmartLink VPN協(xié)議,中小企業(yè)若是只要移動(dòng)用戶或是幾臺(tái)電腦要上線,只要采用PPTP即可,建置成本也只在幾千元之間。相較于把企業(yè)重要的資料,以虛擬服務(wù)器的作法開(kāi)放在互聯(lián)網(wǎng)上,再采用加密的VPN的作法,可達(dá)到預(yù)防的效果。