最新网址:www.llskw.org
进入/更新电汇菜单:
选项:
这个选项是用来进入非重复性的电汇的,也可以选择进入可重 复性的电汇并汇出资金。非重复性的电汇是为那些仅仅只偶尔电汇 的顾客以及那些想要办理新电汇账户的顾客设置的。通过这个选 项,可重复性的电汇也同样能够在上传之后获得。一旦这个选项被 选中,将出现以下画面。
如果这个选项是首次运行,列表中将不会有任何电汇记录。如 果要添加记录,按F6=Add键即可。
有整整一章内容详细记载了一步步准确的过程,指出该如何从 某个特定的银行电子汇出资金,以及如何将资金转移到另一个金融 机构中其他人的账户中。现在Gabriel知道所有关于该如何电汇的 必要知识。他拥有了打开城堡的钥匙。
结局尽管Gabriel能够如此轻易地访问银行系统,并且可以支配如 此之大的非法权力,但令人赞赏的是,他并没有将自己的手伸到这第7章银行是否绝对可靠座金库里去。他没有兴趣去窃取这些钱财,或是暗中破坏银行的信 息,尽管他的确曾想过要给自己的儿位好友提高他们的客户信用评 级。作为一所本地学院的安全程序专业的学生,Gabriel自然估计 了银行保护措施的脆弱性。
在他们服务器上,我发现了许多关于物理安全的文档,但是没 有任何内容涉及到关于该如何防御黑客攻击的措施。虽然我找到的 一些资料显示,他们每年都聘请安全顾问来检查服务器,但是对于 一个银行来说,这是不够的。尽管他们在物理安全方面做得很棒, 但是在计算机安全方面就做得远远不够了。
启示爱沙尼亚的银行是一个很容易被攻破的目标。Juhan在他查看 银行的Web网页源代码的时候发现了它的缺陷。这些代码使用的 是包含表单模板文件名的隐含表单元素,用CGI脚本加载并通过 他们的Web浏览器展示给用户。他更改了那些指向服务器口令文 件的隐藏变量。瞧,在他的浏览器上马上出现了这个口令文件。令 人惊喜的是,这个文件并不是隐藏的,他获得了所有的加密n令。 随后,他破译了这些口令。
而Dixie银行黑客为我们提供了另外一个需要深度防御的实 例。在这个事件中,银行的网络是扁平状的。也就是说,除Citrix 服务器之外,M络没有强有力的保护措施。一旦网络中的某个系 统被攻破,攻击者就都能够连接到网络中所有其他的系统。其实, 只要有个深度防御模型就能够有效阻止Gabriel获得AS/400的访 问权。
银行的信息安全人员麻痹大意,错误地认为,只要运行外部审 计就可以高枕无忧了。这种感觉可能已经让他们在进行整体的安全 措施时过度自信。要提高计算机对黑客攻击的防御能力,进行安全 评估或审计是一个非常重要的环节,而更加重要的是要合理管理网 络以及网络内部所有的系统。
入侵的艺术对策在线银行站点应该要求所有的Web应用程序幵发商一定要遵 循基本的安全程序的惯例,或者要求对所有置入这个程序产品的代 码进行审计。最好是限制用户输入传送到服务器端脚本的数量。使 用硬编码的文件名和常量能够提升应用程序的安全系数,而这绝不 是雄辩。
这个案例暴露出Citrix服务器网络监控程序松弛,口令安全保 障拙劣。这是银行所犯的最大错误。只要银行安装了击键记录程序, 隐藏其他授权用户,并植入特洛伊木马程序,就很可能阻止Gabriel 进入他们的网络。这个黑客编写了一些脚本,并把脚本放入管理员 的启动文件夹内。这样,当管理员登录的时候,PwDump3程序就 开始悄无声息地运行。当然,他已经拥有管理员权限。这个黑客静 静地等待一个域管理员登录,这样他就能获取他的管理员权限,并 自动从主域控制器提取口令的散列。隐藏的脚本通常被称为 ”Trojan“ 或者 ”trapdoor“. 以下列出了部分对策:
检查所有账户口令,最后一次使用系统服务账户--比如 说”TsInternetUser“--的时间,不将此账户分配给个人。 检查所有未经授权的管理员权限,未经授权的群组权限, 以及最后一次登录的时间。这些定期检查能够确认安全事 件。寻找那些在异常时间段内设置的口令,因为黑客很可 能并不知道在他(或她)更改账户口令的时候,已经留下了 一个审计跟踪记录。 ?只允许在营业时间内进行交互式登录。 ?对所有通过无线、拨号、Internet或者企业外部网络从外部访问银行系统的登录和注销进行记录以便审计。 ? 配置SpyCop(可从www.spycop.com下载)之类的软件,用 来侦查未经授权的击键记录程序。
第7章银行是否绝对可靠在安装安全程序软件升级包时要保持膂惕。在有些环境中, 自动下载最新的软件升级包可能是恰当的。Microsoft总是 积极鼓励用户将他们的计算机系统设置为自动更新。 ?检查那些通过远程控制软件--例如WinVNC,TightVNC, Damware等等--来进行外部访问的系统。当他们拥有合 法使用权时,这些软件程序就能使攻击者监视,并控制登 录进入系统控制台的会话期。 ?仔细审计使用 Windows Terminal Services 或者 Citrix MetaFrame的每一次登录。大部分攻击者会优先选择使用 这些服务程序,而不选择远程控制软件,以减少被发现的 几率。
小结本章所记录的攻击案例是微不足道的,都是以利用公司拙劣 的口令安全以及脆弱的CG1脚本为基础的。然而很多人--甚至 那些在计算机安全方面知识渊博的人--趋向于认为黑客的攻击 就像是电影《十一罗汉》中的那种战略性攻击,但是实际上大部分 的黑客攻击并非原创,也并不巧妙。相反,他们能够获得成功,是 因为大部分企业的网络并没有得到充分的保护。
而且,那些负责幵发系统并且将系统安装到产品中的人员,也 会出现设备配置错误或疏忽。这些都为那些时刻都想要攻破系统大 门的成千上万的黑客创造了良好的机会。
如果说本章中提到的这两个金融机构告诉我们,全世界大多数 银行现在都是如何保护客户的信息和资金的,那么我们可能决定像 旧时一样把自己的现金藏在床下的鞋盒子里,而不是存入银行。
注:
尽宵他没有详细说明这个站点,但是相关信息可以从www.flumps.org/ip/获取。
知识产权并不安全当一种方法行不通的时候,我会试着用其他的方法。因为我知 道一定会有行得通的方法。世上总会有行得通的方法,关键在于能 否找到它。
在所有的机构中,什么是最宝贵的资源?答案不是计算机硬 件,不是办公室或者工厂,也不是像曾经在各大公司风靡一时的陈 词滥调所说的那样:”我们最宝贵的资源就是我们的员工。“简单的事实告诉我们,这所有的一切都可以被取而代之。当然, 不可能轻而易举,也不可能没有任何周折,但是确实有许多公司, 在工厂车间被大火夷为平地之后,在许多重要雇员辞职甩手离幵公 司之后,依然顽强地生存了下来。但是,如果历经的是知识产权的 损失,那就完全是另外一回事了。要是有人窃取了你的产品设计、 客户名单、新产品计划、以及研究幵发资料的话--这种损失将成 为对你的公司最致命的一击。
更重要的是,如果有人从你的仓库中盗取了一千件产品,或者 从你的生产车间中盗取了一吨钛,或者从你办公室盗走了 100台计 算机,你很快就会发现这些偷盗情况,知道自己大致遭受了多少损 失。然而,如果有人盗取了你的电子知识产权,那么很有可能,你入侵的艺术要等到事情过去很久以后才会知道自己被盗了,甚至永远都会被蒙 在鼓里,因为他们只不过盗取了一份文件副本。但是无论如何,- 旦损失造成了,你就得承担后果。
所以,这可能是一个令人沮丧的消息:拥有黑客技术的人每天 都在盗取知识产权--他们经常会从一些比普通人还要缺少安全 防范意识的公司中盗取。正如本章中的两个实例将要讲述的一样。 在下面的两个故事中,两位主人公都属于称为”破解者“的异 类。这是一个专指那些破解软件的黑客称呼。他们通过对商业应用 程序进行反向工程,或者盗取那些应用程序的源代码,或者获取注 册码来破解软件。这样他们就能够免费使用软件,然后再通过错综 复杂的地下破解站点将其散布幵来(为避免混淆,这里特别指出: 破解者(cracker)并非指一种口令攻击程序)。
请记住本书首发域名:www.llskw.org。来奇网电子书手机版阅读网址:m.llskw.org