郭福洲
[摘要]針對因遭受木馬病毒而受制于人的計算機——“肉雞”這一信息社會現(xiàn)象由表及里,從木馬病毒的本質(zhì)、機理、客觀存在的原因進行探究,并對木馬病毒的防范策略與方法進行剖析與探索。
[關(guān)鍵詞]肉雞木馬網(wǎng)絡(luò)黑客計算機信息
中圖分類號:TP3文獻標(biāo)識碼:A文章編號:1671-7597(2009)1220047-02
近來以央視為首的新聞媒體和許多知名網(wǎng)站曝光了黑客利用木馬進行“肉雞”攻擊的全過程,觸目驚心的他人隱私信息的顯示以及黑客駭人聽聞的供詞,使得對網(wǎng)絡(luò)已產(chǎn)生極強依賴性的不免心生恐懼與不安。“肉雞”又叫肉機,即懷有不法動機的電腦黑客,利用網(wǎng)絡(luò)系統(tǒng)信息傳輸為途徑,借用戶在網(wǎng)絡(luò)軟件應(yīng)用時在用戶機器上植入木馬,達到遠程操控用戶計算機,獲取網(wǎng)絡(luò)用戶有價值的賬戶、密碼和文件與數(shù)據(jù)等個人有價值信息。本文將就“肉雞”木馬的本質(zhì)、生存背景和防范辦法進行分析與論述。
一、“肉雞”木馬的本質(zhì)
“肉雞”軟件從本質(zhì)上應(yīng)界定為是木馬程序,什么是“木馬”?“木馬”全稱是“特洛伊木馬(Trojan Horse)”,原指古希臘士兵藏在木馬內(nèi)進入敵方城市從而占領(lǐng)敵方城市的故事。在Internet上,“特洛伊木馬”指一些程序設(shè)計人員在其可從網(wǎng)絡(luò)上下載(Download)的應(yīng)用程序或游戲中,包含了可以控制用戶的計算機系統(tǒng)的程序,可能造成用戶的系統(tǒng)被破壞甚至癱瘓。其本質(zhì)用于網(wǎng)絡(luò)監(jiān)控,但網(wǎng)絡(luò)黑客出于以不法手段獲取他人利益,造成與其本質(zhì)用途相形見遠。
“肉雞”木馬入侵網(wǎng)絡(luò)節(jié)點,必須獲取3個參數(shù):網(wǎng)絡(luò)節(jié)點的IP(即受侵用戶計算機的互聯(lián)網(wǎng)端口地址)、用戶名、密碼。木馬程序大多利用webshell作為web入侵的腳本攻擊工具。webshell是采用asp或php技術(shù)所設(shè)計的網(wǎng)站或網(wǎng)頁的后門,黑客在入侵了一個網(wǎng)站后,常常在將這些asp或php木馬后門文件放置在網(wǎng)站服務(wù)器的web目錄中,與正常的網(wǎng)頁文件混在一起。然后黑客就可以用web的方式,通過asp或php木馬后門控制網(wǎng)站服務(wù)器,包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。
Webshell管理的后門,即本地計算機與外界通訊的端口,一臺計算機有65535個端口,如果視計算機為一幢建筑,那么65535個端口即可看做是計算機與外界連接所開設(shè)65535出入口。每個出入口均可開設(shè)與一種服務(wù)。如25端口:為SMTP(Simple Mail Transfer Protocol,簡單郵件傳輸協(xié)議)服務(wù)器所開放,主要用于發(fā)送郵件;80端口:為HTTP(Hyper
Text Transport Protocol,超文本傳輸協(xié)議)開放,主要用于在WWW(World Wide Web,萬維網(wǎng))服務(wù)上傳輸信息的協(xié)議。理論上,很多端口都該是關(guān)閉著的,但由于計算機操作人員技術(shù)水平的局限性,不能關(guān)閉操作系統(tǒng)默認開放的端口各種原因,很多端口默認都是開啟的,由于大多數(shù)用戶計算機管理操作水平有限,于是就有好事者進入,主人的隱私信息及重要的有價值文件數(shù)據(jù)被刺探,不堪其擾。
二、“肉雞”木馬肆虐的原因與取向
黑客、病毒制作者與傳播販賣者們?yōu)槭裁礋嶂杂讷@取他人電腦的控制權(quán)?炫耀其計算機技術(shù)水平僅在其次,更深層次的原因是通過不法手段,不勞而獲奪取他人的金錢資產(chǎn)與文件數(shù)據(jù)價值。具體可分類為:
(一)盜竊“肉雞”機器用戶的真實財產(chǎn)
網(wǎng)絡(luò)商業(yè)用途的開發(fā),使得如網(wǎng)上銀行、網(wǎng)上炒股、網(wǎng)上期貨證券交易等電子商務(wù)項目建設(shè)迅速發(fā)展崛起,在帶給人民理財便捷的同時,新的信息安全問題與由此所產(chǎn)生的糾紛案例也接踵而來。由于在網(wǎng)絡(luò)真實財產(chǎn)包括網(wǎng)上銀行,可以進行網(wǎng)上金額支付與轉(zhuǎn)帳,一旦用戶的網(wǎng)銀帳號被盜,即笑話為別人的消費買單。此外,還有網(wǎng)上炒股、證券交易之類的軟件也一樣也難免在軟件設(shè)計被別有用心之人找出漏洞并利用木馬或病毒程序乘虛而入,輕易獲得取帳號與密碼。
(二)盜竊“肉雞”電腦的虛擬財產(chǎn)
網(wǎng)絡(luò)游戲已是益也為人們在緊張工作之余休閑的一種生活方式。然而更多的知名的網(wǎng)絡(luò)游戲均需付費購置網(wǎng)絡(luò)游戲虛擬財產(chǎn)。如網(wǎng)絡(luò)游戲ID帳號裝備、QQ號里的Q幣、聯(lián)眾的虛擬榮譽值等等。虛擬財產(chǎn)是可以兌現(xiàn)為真實貨幣的,積累起來就是財富。游戲參與者的浩大與有利可圖,加之游戲者疏于防范與信息安全意識與監(jiān)控水平有限,也是黑客借此生財之道的根源。
(三)盜竊他人的隱私數(shù)據(jù)
網(wǎng)絡(luò)作為一把雙刃劍,在給人們帶來繁榮、便利的同時,也存在很多不安全的因素。特別是網(wǎng)絡(luò)的公開性和易窺竊性很容易使人們的隱私暴露于天下,個人隱私面臨著嚴重的威脅。利用偷來的受害人隱私信息進行詐騙、勒索的案例也屢見不鮮。黑客通過軟件侵入他人電腦,使之成為“肉雞”,借機窺探他人隱私,尤其是他人的負面隱私,以達到宣泄個人自己壓抑的欲望、憎恨或期待,尤其是那些性隱私被曝光的人身上,借著別人的身體,依靠自己的想象,在意念上發(fā)泄自己的性欲和攻擊欲,在心理上得到報復(fù)性或勝利的滿足。給他人在精神、名譽、肖像權(quán)以及家庭社會影響力上等多個方面帶來不可估量的傷害。以“艷照門”事件為例,姑且不論他人在個人的道德及其隱私是否應(yīng)受到法律制裁,單就未經(jīng)法律程序或他人允許,而非法散布他人隱私信息,在社會及人們道德與法律的界定上,都是令人不齒的。此外,攻擊者還熱衷于遠程控制別人的攝像頭,滿足偷窺他人隱私的邪惡目的。
(四)盜取他人QQ號碼來獲取非法利益
網(wǎng)絡(luò)聊天工具已成為人們?nèi)穗H關(guān)系聯(lián)系一種方式,黑客通過木馬程序獲取“肉雞”機器上的QQ號以后,可以通過你的QQ等級、QQ秀、Q幣等轉(zhuǎn)賣等獲取錢財,也可以將盜得的QQ號碼進行“銷售”?;蛘呃檬芎θ藗€人資料人脈關(guān)系進行詐騙獲取非法利益。更有甚者,明目張膽地向被盜號者勒索。黑客一旦獲取你的QQ號碼與密碼后,你的QQ好友,你的Email聯(lián)系人,手機聯(lián)系人,都是攻擊者的目標(biāo),攻擊者可以偽裝成你的身份進行各種不法活動,每個人的人脈關(guān)系都是有商業(yè)價值的。如果在受害者的QQ聊天記錄或QQ郵箱中偷到受害人電腦上的商業(yè)信息,比如財務(wù)報表、人事檔案,攻擊者都可以謀取非法利益。
三、避免成為“肉雞”應(yīng)對策略
“肉雞”電腦是攻擊者“致富”的源泉,在黑客攻擊者的機器里,“肉雞”電腦就一只只待宰的羔羊一樣被賣來賣去。與其憤憤不平,不如退而結(jié)網(wǎng),思索應(yīng)對防御才為上策。如何構(gòu)筑起自己機器軟件防護資源的“銅墻鐵壁”?真正成為自己機器的主宰。具體的策略有:
1.如何檢查自己的電腦是不是肉雞?警惕注意個人計算機在網(wǎng)絡(luò)上的異?,F(xiàn)象與跡象。對秘自己機器是否已遭受木馬入侵,做到心中有數(shù),并及時地將木馬程序清除。
具體表征的現(xiàn)象與跡象如:
(1)QQ登錄系統(tǒng)提示異常IP,MSN提醒你曾給給朋友發(fā)過郵件的虛無信息。
(2)網(wǎng)絡(luò)游戲登錄時發(fā)現(xiàn)裝備丟失或和你上次上機時的時間與IP不符,甚至用正確的密碼無法登錄。
(3)突然發(fā)現(xiàn)你的鼠標(biāo)不聽使喚,鼠標(biāo)異常移動,并點擊有關(guān)按鈕或界面進行操作。
(4)正常上網(wǎng)時,感覺突然異常不暢,硬盤指示燈不停閃爍,如同你平時在COPY文件。
(5)當(dāng)你準(zhǔn)備使用攝像頭或其他設(shè)備時,系統(tǒng)提示,該設(shè)備正在使用中。
(6)在你沒有使用網(wǎng)絡(luò)資源時,發(fā)現(xiàn)網(wǎng)卡燈在不停閃爍……
用戶應(yīng)立即檢查進程動態(tài),或借助一些軟件來觀察網(wǎng)絡(luò)活動情況,以檢查系統(tǒng)是否被入侵。如tcpview、金山清理專家等。
2.對個人電腦所用操作系統(tǒng)進行安全性改造。如用戶口令設(shè)置,并保證口令使用字母和其它特殊字符的組合,長度不低于8位,并定期修改口令;或改變登錄方式,要求必須按ctrl+alt+del才可以登錄。
3.任何時候離開個人電腦時,建議拔掉網(wǎng)線,或斷開網(wǎng)絡(luò)。不能斷線的計算機,建議采用機器休眠鎖定,不要讓陌生人能夠物理的接觸到你的計算機。
4.確保網(wǎng)絡(luò)防火墻啟用,并保障機器所用殺毒和防火墻軟件能及時升級。對于互聯(lián)網(wǎng)用戶來說,網(wǎng)絡(luò)防火墻(注意,這里指firewall,不是很多人認為的病毒實時監(jiān)控)是隔離本機計算機和外界的一道關(guān)口,正確啟用和配置防火墻,將會使你減少很多直接面對攻擊的機會。在你的系統(tǒng)有漏洞未修補時,防火墻可能是唯一可保護你的電腦安全的解決方案。
但是,不要以為開啟了防火墻就萬事無憂了,防火墻基本只是攔截由外到內(nèi)(由互聯(lián)網(wǎng)到本機)通信,由內(nèi)向外的訪問,很容易使用各種手段進行欺騙,木馬就是這樣逃避防火墻完成盜竊任務(wù)的。在網(wǎng)頁訪問時,對所要求安裝的插件也要謹慎安裝。盡管,防火墻不是總有效,但有防火墻比沒有強很多,是必須要啟用的。
5.切實關(guān)注安全漏洞信息,及時使用各種補丁修復(fù)工具(如360安全衛(wèi)士等),提升系統(tǒng)安全性。
系統(tǒng)漏洞在正式公布前,通常會被黑客利用很長時間,這就是通常說的0day攻擊,這樣的攻擊也越來越常見。漏洞涉及windows操作系統(tǒng)文件和其它應(yīng)用軟件,但風(fēng)險最大的仍是windows系統(tǒng)漏洞。應(yīng)用軟件漏洞的利用會受到較多的環(huán)境制約,通常風(fēng)險相對較低。
最近廣泛引起人們關(guān)注的是flash player漏洞,攻擊者可利用這個漏洞運行任意指定的代碼。能用windows update的,一定要用,讓windows進行自動更新??吹接蚁陆莣indows update正在工作的圖標(biāo),別給阻止了。用戶不能正常使用windows update或microsoft update的,建議使用第三方漏洞修復(fù)工具。
6.安裝使用殺毒軟件,并經(jīng)常檢查是否工作正常,是否可以進行病毒特征的更新。
不要把安全問題只交給殺毒軟件來負責(zé),安全是系統(tǒng)工程,殺毒軟件只是其中的一環(huán)。病毒的新民變種總是先期于殺毒軟件更新。在很多情況下,安裝殺毒軟件后,還是會中各種各樣的病毒。但這不能說明殺毒軟件不必要,相反,殺毒軟件是非常重要的,如果沒有殺毒軟件,系統(tǒng)可能會更糟。
越來越多的病毒為了入侵你的系統(tǒng),首先會嘗試將殺毒軟件癱瘓。破壞殺毒軟件的功能,可能比殺毒軟件對付病毒還要容易。破壞者會針對這幾種安全軟件做手腳。并且,病毒制造者不象殺毒軟件那樣,必須考慮每個更新帶來的兼容性問題,攻擊者只關(guān)注木馬需要完成的任務(wù),不計后果。木馬病毒制造者是這樣痛恨殺毒軟件,用戶不要指望殺毒軟件自身可以做成銅墻鐵壁。連操作系統(tǒng)都可以被破壞,何況殺毒軟件。
我們還可以把殺毒軟件的工作狀態(tài),當(dāng)作另一種檢驗工具:只要觀察到殺毒軟件突然不工作了,第一反應(yīng)就應(yīng)是否被木馬給破壞了。
7.對使用的移動存儲設(shè)備要先殺毒再使用。移動存儲設(shè)備因接觸的機器多,最容易成為病毒和木馬的攜帶者和傳播者?,F(xiàn)在,公眾越來越頻繁的使用移動存儲設(shè)備(移動硬盤、U盤、數(shù)碼存儲卡)傳遞文件,這些移動存儲設(shè)備成為木馬傳播的重要通道。通常把這樣的病毒稱為U盤病毒或AUTO病毒。意思是插入U盤這個動作,就能讓病毒從一個U盤傳播到另一臺電腦??山肬盤的自動播放功能,將染毒的風(fēng)險降低。
8.安全上網(wǎng),更需文明上網(wǎng)。成為肉雞很重要的原因之一是瀏覽不安全的網(wǎng)站,區(qū)分網(wǎng)站安全與否,這對普通用戶來說,甚是困難。即使正常的網(wǎng)站也存在被入侵植入木馬的可能性。也有被ARP攻擊之后,訪問任何網(wǎng)頁都有可能下載木馬的風(fēng)險。目前沿?zé)o良法去規(guī)避網(wǎng)頁瀏覽與下載而中木馬的風(fēng)險。只能降低這種風(fēng)險。另外瀏覽器的安全性也應(yīng)特別關(guān)注,瀏覽器和瀏覽器插件的漏洞是黑客們的最愛,如flash player漏洞就是插件漏洞,這種漏洞是跨瀏覽器平臺的,任何使用flash player的場合都可能存在這種風(fēng)險。瀏覽器漏洞的及時修補,將瀏覽器及時升級到最新版本,將減少把有風(fēng)險的系統(tǒng)暴露給攻擊者的時間。
避免瀏覽一些不健康的灰色站點,如人數(shù)眾多的生活社區(qū)、在線視頻社區(qū)、聊天交友社區(qū)、色情類網(wǎng)站、賭博類網(wǎng)站等等。瀏覽這些類網(wǎng)站后,易發(fā)現(xiàn)系統(tǒng)異常,采取上述方法進行檢查。
以上所述,絕非安全防護的全部,只能說是應(yīng)對風(fēng)險幾大環(huán)節(jié)。注意從上述幾點有意識地對計算機進行安全防護,至少水平較低的黑客無計可施。對計算機病毒與木馬的安全防范,是一個動態(tài)的、長期的過程。時刻提高警惕,在互聯(lián)網(wǎng)及文件數(shù)據(jù)處理時要有首先清除病毒木馬侵襲威脅的觀點。如同外科醫(yī)生眼里認為一切物體都是被細菌病毒污染的,消毒是最基本原則一樣。同時應(yīng)值得高興地是我們國家及其他國家也正在信息安全立法和執(zhí)法的的角度上將此上升為國家意識與意志。將會利網(wǎng)絡(luò)空間這塊天地走向明凈與美好。
參考文獻:
[1]張新寶,隱私權(quán)的法律保護,北京群眾出版社,1997.
[2]楊立新,“關(guān)于隱私權(quán)及其法律保護的幾個問題”,人民檢察,2000.
[3]曹亦萍,“社會信息化與隱私權(quán)保護”,政法論壇,1998.
[4]張秀蘭,網(wǎng)絡(luò)隱私權(quán)保護研究,北京圖書館出版社,2001.
[5]魏振瀛,民法,北京大學(xué)出版社高等教育出版社,2006,第二版.