在這個網絡時代,不安全的因素無處不在。一旦網絡或一台計算機被嚴重地擊毀了,系統管理員需要采取行動來對付攻擊。在下面的文章中,讓我們來看一些常見的選擇和假設,並且考慮在處理一個受到攻擊的系統時,為什麼這些未必是最好的行動。
1.你不能通過為一個受到損害的系統打補丁來保持其健康;補丁只能清除漏洞。而一旦一個黑客進入了你的系統,你應當假定他或她已經保證有其它的方法可以使其重新進入。例如,建立一個賬戶等。
2.你不能通過移除後門來淨化你受到損害的系統。你千萬不要保證已經找到了攻擊者可以進入的所有後門。事實是,你不能找到更多的後門只是表明︰你並不知道到哪里去查看,或者系統已經被糟蹋的千瘡百孔以至于你所看到的並不是其本來面目。
3.你不能通過使用一些漏洞清除程序來為系統「淨身」。讓我們假設你的系統受到了沖擊波的攻擊。許多廠商(國內的、國際的都有)都發布了其漏洞清除程序。在清除工具運行之後,你能相信一個曾受沖擊波攻擊的系統嗎?筆者不能。因為如果系統易受到沖擊波的攻擊,那麼它也容遭受其它形式的攻擊。你能保證其它的某種攻擊不會針對你的系統嗎?
4.你不能通過使用一個病毒掃描程序來保障曾受到攻擊的系統是安全的。一個完全受到損害的系統是不可信任的,它不會告訴你真相。甚至病毒掃描程序在某種水平上還要依賴于系統對其「真誠相見」,也就是說系統會向病毒掃描程序撒謊。如果要問一個特定的文件是否存在,攻擊者可能只需要一個工具就可以告訴你一些虛假信息.如果你能保證損害系統的唯一因素是一個特定的病毒或蠕蟲,並且你知道這個病毒或蠕蟲沒有與之相關的後門,而且由這個惡意代碼利用的漏洞不能從遠程利用,那麼可以使用一個病毒掃描程序來清潔你的系統。例如,多數電子郵件蠕蟲依賴于一個用戶打開一個附件。在這種特定的情況下,系統上的唯一感染源就是包含蠕蟲的郵件附件。不過,如果這個被蠕蟲所利用的漏洞能夠在用戶不操作的情況下被遠程控制,而且你不能保證蠕蟲是利用此漏洞的唯一因素,那麼其它的某種惡意代碼利用同一個漏洞的可能性是完全可能的。在這情況下,你就不能只是為系統打上補丁就萬事大吉了。
5.在現有的系統上重新安裝操作系統也不能保證系統的安全性。攻擊者仍會使用安排好的一些工具來欺騙安裝程序。如果是這種情況,安裝程序可能並沒有真正清除受到感染或損害的文件。此外,攻擊者還有可能在非操作系統部件中安置後門。
6.你不能相信通過復制、粘貼等手段來自受損系統的任何數據。一旦一個攻擊者進入了一個系統,其上的所有數據都可能被篡改。將一個受損系統的數據復制到一個干淨的系統上,其結果是什麼呢?最好的情況是,你將得到潛在地不可信任的數據。最糟的情況是,你可能復制了一個隱藏在數據中的後門。你說可怕不可怕?
7.你不能相信受損系統上的事件記錄。一旦一個攻擊者完全進入了一個系統,他修改事件記錄來掩蓋其攻擊的足跡是相當簡單的事情。如果你依賴于事件記錄來告訴你攻擊者對你的系統做了什麼操作,那麼你有可能正中其下懷,因為你讀的可能是黑客們需要你讀的東西。
8.你還可能無法相信最新的備份。你能指出最初的攻擊是什麼時候發生的嗎?前面說過,事件記錄是不可相信的。如果沒有這些知識,你最新的備份就毫無用處。也許可以這樣說,你做的只是一個包括目前系統上所有漏洞的備份,你能相信任何備份嗎?在你上網炒股時尤其要注意這一點,因為你無法完全確定用以恢復的系統沒有包含「網銀大盜」這種間諜程序。
9.也許我們可以這樣說,保持系統健康的唯一正確方法是自己破壞原有的系統,並重新構建它。也許可以這樣說,要想創造一個新世界,首先要打破一個舊世界。如果你擁有一個受到徹底損壞的系統,你可以實施的唯一安全措施是重新構建、安裝系統。
還有其它什麼選擇嗎?我們的回答是有的,那就是一開始就要防止系統受到攻擊。關于這方面有許多文章,你可以上網上找到許多資料,例如,通過一般用戶上網查找資料,正確設置瀏覽器防止自動下載,及時安裝下載補丁(不過,你怎麼知道什麼時候算是「及時」?你能為所使用的所有應用程序和工具及時安裝補丁嗎?),修改超級用戶密碼,安裝防火牆,等等,在此筆者就不一一列舉了。但我們要說的是,沒有絕對安全的網絡和系統!
看書惘小說首發本書