【51CTO.com 专家特稿】近期各大政府站点相继被入侵,更为可恶的是被挂上恶意网马,造成访问政府站点的用户大量密码、银行账号、股票交易账号、游戏账号,甚至是个人隐私不断泄露,内网机密信息泄露,造成大量不可估量的损失!
经过笔者调查,zone-h.org这个组织是一个全球网络站点攻击的统计站点,排在第一位一直都是中国的政府站点。不知道是为了刷这个排名,还是一些黑客以此类站点成功入侵为荣,但是从这个上面也能看到政府站点一是hack最喜欢光顾的站点,也可以看出这些站点是多么的脆弱!每年政府机关投入的网络安全经费达到上百万之多,更有甚者投入设备达到上千万,但是这么多的经费投入,设备投入,为什么还是抵挡不住这些恶意攻击呢?下面笔者来做下深度分析。
政府站点结构:
目前政府站点结构有三类:
A类是以jsp架构为主,数据库以oracle为主(重要单位)
B类是以php架构为主,数据库以mysq为主(官方政府站点,办事机构等)
C类是以asp架构为主,数据库以sql server,更小的使用access(多用于一些政府站点下的2层机构,例如社区站点,民生相关的,医保等机构)
政府站点之所以沦陷的原因:
一、溜须拍马,疏于防范
一些网络管理人员为了能更上一层楼,讨好相关领导,利用上班时间给一些领导下载电影和帮助一些领导子女下一些学习资料,歌曲,考试复习资料,在现在的信息时代中,谁能保证你所下载的这些电影和资料里面不被下了“作料”呢。有人肯定会说,这是没有办法的事情,毕竟人在屋檐下不得不低头么,再说我机器上装的有杀毒软件,有病毒也就被杀毒软件处理掉了,现在的免杀技术关闭杀毒软件已经很轻松了。现在p2p已经成为了病毒和蠕虫的最大滋生地了,所以无论我们的网络安全设备是如何的值钱,但是我们在内部管理上出现了漏洞,那就是把铜墙铁壁搬来也是阻挡不了的。
二、网管人员安全意识淡薄,引狼入室
人以类聚,物以群分,一些网管人员利用上班时间在服务器上聊天,结交五湖四海的兄弟,拜一些所谓的技术牛人为师,日久情深,暴露出自己的真实身份,太过相信对方,被对方利用了也不知晓,这些都不在少数,有些还成为了某间谍机构的马前卒。这些我们能不为之叹息么?做技术的人有一个共同的毛病,那就是空虚,毕竟每天面对自己的都是一些钢铁机器,生活在这个环境下,久而久之就更多的希望有朋友,有兄弟能同情自己,让自己有一些安慰,那么解决这个办法的最好途径就是利用聊天工具进行聊天。这是一个通病,还有一个就是下载一些电影,对于那些爱好学习的书呆子管理员呢,更多的是下资料和人交流网络安全技术,义气大于天,过于相信别人,被人植入木马,还在为其摇旗呐喊,哎,可悲啊,说实在的,这些工作在底层的技术人员很少有人去对他们关心,这也造就了今天的这个局面。所以更多的入侵其实发生在内部,无论是收买也好,还是发泄也好,这些内部的入侵从开始到现在一直都是屡禁不止。
三、巨资投入,更新无钱,网管身心疲惫,更新遥遥无期
一个项目投入上千万,配备最顶尖的防火墙、路由器、IDS等硬件设备,小型机,几十台的公文流转服务器,文件服务器,打印服务器,这些在某政府站点的专业机构中是最常见的。但是为什么还是被轻易入侵了呢,答案是很少有人去打补丁,从安装的那一刻起,怎么装上去的,就怎么使用,没有人会去想着是不是该打补丁了,通常在政府担任的管理人员要身兼多职,有些还要担当某美女的专职程序安装工,他们每天打交道的都是这些机器,平时少言寡语,这样或许更显得酷一些,但是碰到美女的时候,这些管理员也想打开了话匣子一样,恨不得找话题和美女聊天,美女对他们的肯定,那比发了奖金还要高兴,长期生活在这个环境下面,就会让他们慢慢的疲惫和懒散起来,想去更新补丁包吧,又怕把设备给弄坏了,原因是他们的底子薄弱,似懂非懂,怕丢掉饭碗,日子久了,也就没有心思去想着打补丁了,这样样本库,入侵事件库一直都是原始状态,有些设备的密码直接使用admin,或者root,这样的设备笔者进入过的就不少,前提条件是经过官方授权的。还有一种情况就是前期把资金一下花完,这些硬件设备1年之后,再没有多余的经费去做维护,厂商也不愿意担任这个责任,所以更多的这些设备被成了摆设。所以这些政府站点被入侵就是这么的轻松了。
四、弱口令存在,入侵就是这么简单
有些机关站点,使用的网页竟然是一些开源站点,进行修改以后就进行使用的,更多的是使用免费源代码,有些为了省事,连官方公布的密码都没有修改,就直接架设上,连原始的密码都没有调整,有些数据库防下载都没有设置,经笔者检测的这样问题的站点数量已经都记不清楚了,利用万能密码直奔管理后台。哎,换想一下,如果对方是个间谍的话,那么你们自身机器上的文件信息,涉密信息还能保证不泄密么?
#p#
为什么有人会这么热衷政府站点的入侵,入侵此类站点的用意为何?
通过近期这么多的政府站点被入侵,可以看出哪些黑色交易商已经到了狗急跳墙的地步,以前他们是只针对游戏站点下手和赌博站点,现在这些游戏站点已经获得了大量的安全经验,加上国内针对这个方面打击的相当严厉,他们已经把矛头转向了这个领域,这个领域的涉猎范围广阔,每天有很多的用户登陆上来,进行一些信息查询和了解一些最新的政府动向。这些用户有可能就是一些游戏玩家,企业家,机关人员,拿下该站点后,通过挂网页木马从而能够盗取大量的信息。这些信息经过汇总分类以后再处理给黑色产业链下面的分支机构,进行专向的分拣,各取所需。
谁最该为这些政府站点遭受入侵之后而负责?
最该为这些政府站点负责的不是别人,而是管理这些站点的领导,管理这些站点的管理员,他们太多的是没有经过任何的岗前安全培训就进行上岗操作了,多数都是通过各种关系而进入,熟人推荐,以某某领导的亲戚而进来,恰恰因为这些人的存在,造成了网站沦陷的加剧,这些人员没有一点的安全常识,更多的是就靠书本上的一点点所知的皮毛就进行操作,为了自己的私欲,利用上班期间,高速带宽的便利条件,下载大量的电影和资料,天南海北的聊天。未经别人开口,就自报家门,在强大的虚荣心纵容下,甚至在聊天过程中暴漏很多机密信息,以及网络拓扑结构等重要信息,从而留下致命的安全隐患。
还有些机关为了省钱,把站点进行isp托管维护,这些服务器供应商维护人员通常也不够专业,有些是兼职人员,还有一些管理员是身兼多职,通过熟人介绍认识一些所谓社会上的电脑高手,经过一番简单调查以后,就让这些人员来进行维护,这就造成了被旁路入侵的安全隐患,在同一网段的服务器被拿下以后,通过渗透入侵,嗅探到关键密码,而最终拿下该政府站点。
在这里笔者真诚的希望这些领导醒悟起来,花一些时间和精力要么组建一支专业的技术强队来维护,要么就选择一些专业的技术团队来做技术服务支撑,前提条件是如果选择了后者,一定要做好调查,以免被人鱼目混珠,被人浑水摸鱼了,因为98%的攻击最先发自网络安全内部,有些入侵的原因就是管理人员对领导的不满,或被责骂或被撤职,这些都是造成攻击的主要原因,所以在这里笔者也希望这些领导能更多的平已进人,放下官架子,多为这些基层人员考虑,能一视同仁,多关心下下属。
如何才能更好的防范政府站点被入侵?
对网络管理人员进行技术培训,经过技术考核才能上岗,岗前安全培训,要求操作人员对数据库调用读写具有一定的水准,网站编写要有高水准,熟悉一些常见的网络脚本。在服务器上不擅自进行下载和上传操作,不在主服务器上聊天和安装未经验证和检查的第三方软件和控件。
管理员要经常的更换密码,随身携带的密码本要放到别人不容易看到和拿到的地方,不和外面的社会人员进行聊天,时刻保持清醒的头脑,不要在工作之外的时间谈论自己的身份和工作相关的内容。
把重要数据库放到内网里面,对进行数据库操作的人员进行ip限制和安全审计,2天一清查登陆信息,勤查服务器日志。
内网做到真正的物理隔离,对一些重要的移动存储设备进行安全审计,未经允许不得私自插入个人机和涉密服务器,涉密邮箱要做到发完即删除,时常检查草稿箱和文件服务器,一经发现有入侵迹象,要第一时间做到现场保护,数据保留,不能为了逃脱干系而采取毁灭证据,错过了重要的取证过程。
总结:
建议这些政府站点的领导们能够好好的深思下,检查下自己的站点是否存在上述的这些问题,现在改的话,还是来得及的,别到时候丢了乌纱帽,或者丢了性命,到那时,为时已晚矣!自身负责,勤加管理,多多咨询专业安全机构,时常搞一些安全培训,友情入侵检测,和当地的安全公司或者安全组织进行互动,由衷的希望政府职能部门的领导能充分利用政府站点更好的为老百姓做事,让老百姓能够快速安全,便捷的在家中完成一些事物处理。
【编辑推荐】
