问题的产生和原因分析
宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因帐号被盗用而产生的经济损失。
1、问题的产生
宽带的发展给人们带来了信息勾通的便利,但也产生了一些问题。近一个时期以来,许多中国电信ADSL宽带用户在毫不知情、毫无防范的情况下,帐号被人盗用后进行QQ币冲值、玩盛大网络游戏及其他消费的事情时有发生。笔者是ADSL宽带包月用户,在 2005年5月份的网费单中凭空多出100元 “互联星空”费用。经过多方查询发现这100元来自互联星空所联合的众多SP(Service Provider服务提供商)之一“腾讯科技有限公司”,主要用于QQ帐户充值消费。通过与消费的QQ号聊天,得知他是通过“互联星空一点通”进入ADSL帐号进行消费的。
“互联星空一点通”是面向电信宽带帐号用户推出的一项登陆功能。宽带帐号用户使用自己的宽带帐号访问互联星空服务网站时,无须再输入帐号名和密码,只需点击“互联星空一点通”按钮,即可安全登录,并直接使用互联星空合作伙伴提供的相关产品和服务。既然是安全登录,又怎么会出现帐号丢钱的事情呢。
2、宽带帐号费用超支的原因分析
当前,电信部门为了防止用户的宽带帐号被盗取,已经在技术上做了很多防范,比如将宽带帐号和拨号的电话号码捆绑到一起,甚至将宽带帐号和计算机网卡的MAC地址捆绑在一起,让帐号只能在固定的电脑或电话线路上使用,其他地方不能用绑定的帐号上网。很多用户尤其是对计算机网络安全不是很专业的用户都认为这已经很安全了,帐号不会被人轻而易举地盗取了,可是事实并非如此,如果你没有很好的网络安全意识,不对自己的电脑作出必要的安全防范,电脑黑客可以很轻易侵入你的电脑,进行远程盗用ADSL帐号,甚至盗取你计算机中的重要资料。
电脑黑客可以利用开放端口和弱口令甚至空口令漏洞侵入用户电脑。黑客可以通过QQ获取对方网段(或直接获取IP),利用扫描工具(例如: Superscan、X-scan等)扫描用户计算机端口并获取IP,再运行客户端连接工具(例如:冰河2.2)侵入用户电脑,只要你的网络是通过宽带帐号已经拨通的,他们就可以利用互联星空的“互联星空一点通”功能直接进行远程消费。家里的小孩和朋友通过你在家里拨通的ADSL帐号,也能利用 “互联星空一点通”功能进入互联星空去订购各种服务。
由于互联星空为每一位宽带用户提供了至少100元的可以预支消费的“信用额度”,这些黑客或家里的孩子们就可以无所顾忌的在网络里提前消费了,往往很多用户只有在交费时才会发现自己要为别人买单了。互联星空一点通“是面向电信宽带帐号用户推出的一项登陆功能。宽带帐号用户使用自己的宽带帐号访问互联星空服务网站时,无须再输入帐号名和密码,只需点击”互联星空一点通“按钮,即可安全登录,并直接使用互联星空合作伙伴提供的相关产品和服务。既然是安全登录,又怎么会出现帐号丢钱的事情呢。
宽带帐号安全的防范措施(1)
3、宽带帐号安全的防范措施
针对以上情况,笔者特提出以下几点防范措施:
⑴ 注销互联星空帐号或取消信用额度
宽带用户如果不打算使用互联星空,应尽快到电信营业厅申请销户或登陆互联星空网站www.chinavnet.com, 在“我的星空”——“我的帐户”——“我要销户”栏目申请注销。如发现帐号被别人盗用,立刻修改自己的adsl帐号密码,并在“互联星空”的“我的星空”下及时取消所有订购的服务。
⑵ 强化系统,防止黑客入侵
强化系统:及时升级操作系统或打补丁以修补系统漏洞;减少电脑管理员人数;设置安全选项——不显示上次用户名;不要打开来路不明的电子邮件及软件程序,不要回陌生人的邮件;电脑要安装使用必要的防黑软件、防火墙和杀毒软件,并保持定期更新,及时查杀电脑病毒和木马,阻止黑客侵入电脑。一般来说,采用一些功能强大的反黑软件和软件防火墙来保证我们的系统安全。
强化口令:正确设置管理员密码(系统开机密码)和adsl上网密码;数字与字母混合编排,同时包含多种类型的字符,比如大写字母、小写字母、数字、标点符号(@,#,!,$,%,& …);密码应该不少于8个字符;禁用ADSL拨号软件记住密码的功能,即不勾选“记住密码”项。
⑶ 限制开放端口,防止非法入侵
通过限制端口来防止非法入侵,关闭相应开放端口,比如3389端口。简单说来,非法入侵的主要方式可粗略分为2种。(1)扫描端口,通过已知的系统Bug攻入主机。(2)种植木马,利用木马开辟的后门进入主机。如果能限制这两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且这两种非法入侵方式有一个共同点,就是通过端口进入主机。要想防止被黑就要关闭这些危险端口,对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。
139端口是NetBIOS Session端口,用于文件和打印共享,值得注意的是运行samba的unix机器也开放了139端口,功能一样。这个端口是黑客比较喜欢利用的端口之一。关闭139端口方法是在“网络和拨号连接”窗口中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”选项“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。 对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启时服务也重新启动,端口也随之开放。
3389端口,网络管理员可以通过它远程对安装有Windows Server或Windows XP的电脑进行管理和维护,黑客或非法攻击者也能较轻易地获得服务器中的超级管理员账号。在Windows xp中关闭的方法是:我的电脑上点右键选属性——>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。在Win2000 server中关闭的方法是: 开始——>程序——>管理工具——>服务里找到Terminal Services服务项,选中属性选项将启动类型改成手动,并停止该服务。(该方法在XP中同样适用)
4899端口其实是一个远程控制软件所开启的服务端端口,由于这些控制软件功能强大,所以经常被黑客用来控制自己的肉鸡,而且这类软件一般不会被杀毒软件查杀,比后门还要安全。4899不是系统自带的服务,需要自己安装,而且需要将服务端上传到入侵的电脑并运行服务,才能达到控制的目的。所以只要你的电脑做了基本的安全配置,黑客很难通过4899来控制你。
对于采用Windows 2000或者Windows XP的用户来说,不需要安装任何其他软件,可以利用“TCP/IP筛选”功能限制服务器的端口。具体设置(关闭的方法)如下:点击“开始→控制面板→网络连接→本地连接→右键→属性”,然后选择“Internet(tcp/ip)”→“属性”,。在“Internet(tcp/ip)属性”对话框中选择“高级”选项卡。在“高级TCP/IP设置”对话框中点选“选项”→“TCP/IP筛选”→“属性”,。在这里分为3项,分别是TCP、UDP、IP协议。假设我的系统只想开放21、80、25、110这4个端口,只要在“TCP端口”上勾选“只允许”然后点击“添加”依次把这些端口添加到里面,然后确定。注意:修改完以后系统会提示重新启动,这样设置才会生效。这样,系统重新启动以后只会开放刚才你所选的那些端口,其它端口都不会开放。
宽带帐号安全的防范措施(2)
⑷ 关闭默认共享,禁止空连接
当前家用电脑所使用的操作系统多数为Win XP 和Win2000 pro,这两个系统提供的默认共享(IPC$,C$,D$,ADMIN$等)是黑客最喜欢利用的入侵途径,宽带用户可以运行CMD输入net share来查看本机的共享,如果看到有异常的共享,那么应该关闭。但是有时你关闭共享下次开机的时候又出现了,那么你应该考虑一下,你的机器是否已经被黑客所控制了,或者中了病毒。
关闭默认共享可以使用net share 默认共享名 /delete 命令(如 net share C$ /delete),但是这种方法关闭共享后下次开机的时候又出现了,所以如果宽带用户不在局域网内使用共享服务,干脆将“本地连接‘属性中的”网络的文件和打印机共享 “卸载掉,默认共享就可以彻底被关闭了。
禁止建立空连接的方法是:首先运行regedit,在注册表中找到如下主键[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\LSA]把RestrictAnonymous(DWORD)的键值由0改为1.
⑸ 使用入侵检测手段,及时防范入侵
最为常见的木马通常都是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器)打开监听端口来等待连接。我们可以利用查看本机开放端口的方法来检查自己是否被种了木马或其它黑客程序。
我们使用 Windows本身自带的netstat命令(详细方法可使用 netstat /?命令查询)和在windows2000下的命令行工具fport,可以较为有效地看到计算机开放的端口,以及通过开放端口运行的一些可疑程序。及时关闭这些端口,删除这些可疑程序,就能较为有效地保证计算机系统的安全性。
结束语(解决方法一)
4、结束语
宽带上网安全问题的产生,既有宽带运营商、网络服务商、内容提供商在网络安全策略设计和技术实施方面的原因,也有宽带用户自身安全意识、安全措施不到位的原因,还有我国网络立法滞后、出现问题无法可依的原因。解决宽带上网安全问题,需要多方面共同努力,宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因帐号被盗用而产生的经济损失。
记得张楚有句歌词:“隐藏的危险,变得很阴险”,最近怎么觉着这首名为“小人”的摇滚是写给网络犯罪的。随着网络化步伐的加快,网络已经成为我们生活中的一部分,宽带对应的安全问题日益突出,大家在谈论宽带问题,往往爱谈论个人用户应该怎样注意保护自己的账号完全,但是安全问题 只是个人用户造成的吗,这篇文章从另一个角度,以宽带问题为切入点,通过对某省的电信网上计费网站安全测试及获取电信的管理帐号过程这一案例,深度剖析目前源于电信宽带的种种隐患。
宽带安全问题抛开个人用户的种种问题,从电信角度来说:现有网络硬件设备不能满足现有需求,造成用户认证困难:假如目前每个宽带账号和电话线路都可以绑定,真正做到一个账号只能在一条线路上使用,似乎目前很多安全问题都可以解决了。但目前的情况不是这样子的:在各种账号安全问题中,非法共享和盗用以及非法用户追踪困难的原因,主要是因为电信运营商没有对宽带用户账号安全提供限制和可靠的保护,无法形成对宽带用户的唯一的标志。市场经济下,投资成本和利润回报影响各个行业的决策,电信也不例外,目前国内整个宽带网络的认证和计费系统主要由BRAS设备和RadiusServer设备来共同完成,基于当前的城域网,而VLAN资源不足致使多个用户共用一个VLAN的网络现状。根据目前网络现状开发的PITP协议、PPPoE+协议、DHCPOption82等技术就是为了解决这一问题。
当然,这些方式虽然可以解决用户唯一标志问题,但无法在国内统一,原因其一就是成本问题:成本包含两部分:现有设备投资还没有收回,新技术投资收益还不能确定;其二就是由于中国的各地发展不平衡,改造起来很困难。对此我们应多给些时间,相信不久就会解决这个问题。从电信角度说,对于盗用账户的 解决方法目前主要有两个方法:
解决方法一,MAC地址绑定解决方案,电信运营商可以在RadiusServer上将用户上网计算机的MAC地址同用户上网账号进行唯一性绑定,利用MAC的唯一性,从而限制上网账号的唯一使用性。
用户在进行PPPoE拨号连接的时候,BRAS设备获取用户的上网账号以及上网计算机的MAC地址,然后通过标准Radius协议将用户账号和MAC上报给RadiusServer,由Radiusserver完成账号和MAC地址一一对应的判别工作。由于MAC地址的唯一性,用户无法进行账号的非法共享或漫游,同时盗用的上网账号也无法使用。简单方便,无须改造现有网络结构和DSLAM设备,只要BRAS设备能根据标准Radius协议上报用户账号和用户计算机MAC地址给RadiusServer,这一点目前的BRAS设备都能够做到。不过Radiusserver端的维护工作量很大,需要经常维护庞大的用户MAC地址表;而且一旦用户更换电脑或者更换网卡都必须在Radiusserver上进行重新绑定,带来额外的工作量和用户投诉;同时对多个用户共用一个VLAN上行的组网模式,二层接入网络的用户安全隔离和广播报文控制也需要额外的解决方案。
结束语(解决方法二)
解决方法二LAN或PVC绑定解决方案,VLAN或PVC绑定解决方案是在RadiusServer上对用户的宽带上网账号同接入用户的VLAN或PVC进行绑定。在宽带拨号用户进行拨号时,BRAS设备将接入用户的VLAN或PVC信息通过标准Radius协议上报给RadiusServer,由RadiusServer完成用户上网账号同VLAN或PVC的唯一性鉴别工作。显然,VLAN或PVC绑定解决方案在技术要求和宽带网络建网过程中,将每个用户划分为一个单独的VLAN或者PVC.目前,在实际的组网中,ATM-DSLAM都采用一个用户一条PVC方式接入,非常容易实现用户账号同PVC的唯一性绑定;为每个接入的宽带用户分配不同的VLAN标志,实现了用户上网账号同VLAN唯一性绑定,避免账号公用和盗用问题。用户间通过VLAN或PVC隔离也可有效地解决二层接入网络广播风暴问题。硬件上的问题不是最令人心的,从发展的角度,可以很快解决,可有些软问题却比较令人担忧。
电信部门的管理的软问题:记得2000年初接触到宽带,接宽带时那个电信人员说“宽带密码不存在安全问题,只有你的电话能用”,中国的宽带账户安全观念也在这种观念中成长,这样无形中养成宽带用户的安全意识匮乏,造就了中国的宽带成长中的先天不良。我就以这几天测试的某省的电信网上宽带收费网站为例子,谈谈这个问题:进入该网站后,找到计费业务版块。
这里就暴露了一个历史遗留问题:宽带用户的用户名密码容易被猜解问题: 一直以来电信出于管理方便角度,对用户名很多都以电话号码为基数,加上其他一些简易字母,后边加上诸如@163等的后缀,密码几乎都是电话号码, 用通式来表达: 帐户名:城市名称缩写(如 bj)+电话号码(如 12345678)+@+后缀(如 163) ,密码: 电话号码(注意:此处就是账户里的电话号码)也就是说只要知道某城市一个宽带账号 ,只需要略微更改下电话号码就可以猜到其他人的账号,帐户名及其他部分都无需改动,密码和电话号码一致。无论手动枚举还是软件实现都异常简单。这个网上营业厅另一个大问题也伴随而生:不是每个电话号码都办理了宽带,当你猜解账号错误时,它并不会采取什么安全策略,限制你输入次数,也就是说,可以无限枚举,而不会封掉你的ip.这个问题可以说威胁一个城市的所有宽带用户。猜解成功后,进入账号管理界面用户的上网拨号日志及其他资料会暴露隐私。
善于利用的破解者甚至可以利用分析日至避开账号所有者的使用时间而不会被发现:账号被猜解后,破解者可以在“修改密码”处修改密码,令账号的真正主人不能拨号。轻则别人用你的账号拨号,造成你短期不能拨号上网,重则造成你经济损失:为别人的网上消费支付金钱:如目前流行的在线影院,在线信息查询,在线充值,在线购物功能都可以通过宽带付费,种种在线业务都有个特点,那就是和电信挂钩:究其原因,最终被消费钱是需要电信中转的,往往最终体现在上网费上,目前国内宽带上网费和电话费是一起交的。当他人盗用你的账号消费不是很多情况下,你看到账单多出来的几块或者几十块钱时,你是很无奈的。想起一种现象:犯罪的“成本低”,成本低到受害者没法去告罪犯。而且即使你想告他,找到盗用你账号的人,并拿到证据,其中你的付出的时间和金钱也会令你望而却步,这既是法律的悲哀,更是人性的悲哀,奉劝那些走在犯罪边缘的人:勿以小恶而为之,抛开法律来说,你在盗得点滴利益的同时,你失去的不是单纯金钱可以衡量的。
问题到这似乎可以结束了,可更大的问题还在后边。像电信级的网站,管理后台入口应该十分隐蔽,对于一个动态网站来说,后台管理部分必不可少,由于后台涉及整个站点的安全,因此后台管理部分的入口要十分隐蔽,要采用一套独立前台的模块,采用专用的登陆界面。大型的网站或重要的程序要有很多不同分工的后台管理员来管理,因此每个管理员的管理权限范围和权限之间决不能互相影响。这也是非常重要的特性。这个网站设计就违反这个规则,猜了几次路径后,管理入口就被找到。(由于涉及敏感信息,路径不再给出),然后再根据这个路径,利用离线浏览软件WebSeizer,在WebSeizer的网页首选项设置为这个地址,再把和这个页面相关的所有网页下载下来,在下载层次设置为-1,这样和这个页面相关的所有页面都可以下载下来。这次的收获我非产吃惊,在一个新闻组模块里的admin.jsp.html网页里我找到了管理员密码,ftp密码,还有很多其他东西。
最后通过类似步骤,找到了8个各个模块的管理员帐号。由于计费系统及其他内容涉及法律问题,比较敏感,不在此叙述了。如果单纯是一个民间网站,我也不会多说什么,这毕竟是一个省级的计费系统。最后联系了相关的管理人员,得到回复是:“谢谢你的通知,我们会修补好相关漏洞,也没有再多解释什么。
喜欢找“肉鸡”的朋友如果细心的话会发现这么一个现象:扫描不同国家的同一个数量级的主机,能找到的“肉鸡”数量往往和国家对网络安全的重视程度成反比,1000个主机,中国可能找到100个肉鸡,可美国可能最多找到5个。这不能不给我们带来些思考,最后引用中国工程院院士、国家863计划专项研究专家组组长 何德全的话结束本文:没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。…因此,要把我国的信息安全问题放在全球战略考虑。
网友评论