导读-- 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合词,它利用欺骗性的E-mail和伪造的Web站点来进行诈骗活动,使受骗者泄露自己的重要数据,如信用卡号、用户名和口令等。
_1.shtml" target=_self>
几个月前,很多用户收到了一封貌似来自美国花旗银行的E-mail,若点击邮件正文中的超级链接,便会打开美国花旗银行的页面,尽管IE地址栏中显示的是https://web.da-us.citibank.com/cgi-bin/citifi/scripts/login2/login.jsp(美国花旗的网址),但大家千万不要认为自己进入了真正美国花旗银行的网站,你所造访的不过是一个假冒网站而已。
上述这种欺骗方法就是“网络钓鱼(Phishing)”,一种正趋于流行的网络诈骗手段。
其实在该网页上单击鼠标右键,选择右键菜单中的“属性”选项便可确认真正的URL地址。
小知识:
网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合词,由于黑客的“老祖宗”起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”这个词汇。它利用欺骗性的E-mail和伪造的Web站点来进行诈骗活动,使受骗者泄露自己的重要数据,如信用卡号、用户名和口令等。
“渔”具剖析
仿冒网址的技术很早就已经被发现,实现的方法也有很多种。据德国的安全研究人员弗兰兹分析,若黑客在一个网页的HTML href 标签中放置两个URL和一个表格,那么IE 浏览器就会显示“欺骗性”的那个链接,这种假冒的链接会在用户毫不知情的情况下将他们带到一个完全陌生的网站。
就目前笔者所掌握的资料看来,除了上述所讲的方法外,还可以在网页中添加JavaScript等语言所制作的脚本,通过更改状态栏所显示的内容来进行欺骗;另外利用人们的疏忽大意,根据英文字母“o”、“l”与数字“0、“1”相似的特点,让这些字符与真正的网址内容混淆,使用户将仿冒的网址当成正确的网址进行点击。
不久前,一恶意网站(www.1enovo.com)伪装成联想主页(www.lenovo.com),前者将数字1取代英文字母L,并利用多种IE漏洞种植网页木马,同时散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,结果造成很多用户访问该网站时感染了病毒,李逵与李鬼让人真假难辨!
#p#2.系统过载攻击
另一种流行的基于进程的攻击是一个用户产生了许多进程,消耗了大量的cpu时间。这种攻击减少了其他用户可用的CPU处理时间。例如,某用户使用了十个find命令,并使用则在一些目录中查找文件,这些都可以使系统运行得像爬行一样慢。
比较好的办法是,教育用户合理地共享系统,鼓励用户使用nice命令降低后台运行的进程的优先级。另外,也可以使用at和batch命令,将一些长的任务安排在系统不是很繁忙的时候去执行。对那些故意或者重复这种行为的用户可以采取一些措施。
如果系统过载了,用root登录,将自己的优先纽设为较高的值。然后使用ps命令观察运行的进程,并使用kill命令。
3.磁盘攻击
攻击方式是填充磁盘空间个用户向磁盘填充了大量的文件,其他用户不能生成文件做其它有用的事.
磁盘满攻击
du命令可以发现系统中磁盘分区空间的使用情况。du命令递归地查找目录树,列出每一个使用了多少块。也可以使用flnd命令列出那些大文件的文件名。可以使用find命令的-size选项,列出文件大小超过一定慎的文件。
quot命令可以根据每一个用户来总结文件系统的使用情况。使用―f选项,quot打印出每一个用户使用的文件数量和使用的块数。
UNIX文件系统使用inode来存放文件的信息。一个可以便磁盘不能使用的途径是消耗所有磁盘上的空闲inode,使之不能生成新的文件。一个用户可能生成了上千个空文件。这是一个很令人困惑的问题,因为df命令提示有许多可用的空间,然而当生成文件时,却得到一个错误。这是因为每一个新文件、目录、管道文件都需要一个inode结构去描述。如果可用的inode消耗尽了,系统便无法生成新文件,但此时,系统还有可用的磁盘空间。
可以使用df命令的―I选项来查看有多少空闲的inode。通常,可以将磁盘划分成一些小的分区,保护磁盘满攻击。将不同用户的主目录放到不同的分区中。用这种方式,如果一个分区被充满了,别的用户并不受影响。
另一个有效的办法是,使用在许多现代unix系统中都有的quota系统,来保护系统不受这种攻击。通过磁盘配额系统,每一个用户可以确定有多少inode可用;有多少磁盘块可用.
防止拒绝服务的攻击
许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台主机的用户无法使用,这些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。
#p#密码术简介
在美国,围绕着密码术的辩论时时成为重要新闻,因此,公众对于密码术的一般概念已有相当的了解。但在中国,公众对此却知之甚少。就在昨天,我遇到几个从事计算机行业的老同学,当我对他们谈到“公开密钥加密系统”时,他们竟然一无所知,这真是叫我吃了一惊(其实,在比
密码术有很长的历史。早在公元前1900年,一个古埃及书写员就在一个铭文中使用了非标准的象形文字,这是人类最早的有记录的密码术。在其后的年代中,古代人使用了各种各样的原始的密码术,如把字母表的顺序颠倒过来,进行字母替代,或者用错后一定数目的位置的字母替代前
现代密码术的划时代突破,是威特菲尔德·迪菲(WhitfieldDiffie)和马丁·海尔曼(MartinHellman)有关公开密钥加密系统的构想,这是在1976年发表的。但威特菲尔德·迪菲和马丁·海尔曼提供的MH背包算法于1984年被破译,因而失去了实际意义。真正有生命力的公开密钥加密系统
传统的加密技术都是秘密密钥加密技术,也称单密钥加密技术。也就是说,消息发送者使用一把密钥将消息加密,而消息接收者须使用同一密钥将其解密。
这就产生了一个重要的密钥管理问题,如何在没有任何其他人发现的情况下,发送者和接收者商定一个秘密密钥。若他们位于不同的地方,寻找一个安全保密的通讯渠道以商定这把密钥,就成了建立一个安全保密的通讯渠道的先决条件,也就是说,如果你想有一个保密的通信渠道,就
这个奇妙的构想是如何实现的呢?让我们以RSA算法为例,作一简单的说明。
一般说来,许多数学中的函数都有“单向性”,这就是说,有许多运算本身并不难,但如果你想把它倒回去,作逆运算,那就难了。最简单的例子:除法比乘法难,开方比乘方难,这是谁都知道的。在RSA公开密钥加密体系中,首先要选择足够大的两个素数p和q,算出p和q的乘积n,即
从理论上讲,只要知道了n,就可以通过我们上小学时就知道的分解因数的方法求出p和q,然后找出d。问题是,如果n很大,对于n进行因数分解的计算量就会非常非常大,以至用最快的计算机也不可能在合理的时间内算出p和q来。RSA算法在理论上的重大缺陷是并不能证明分解因数绝?
RSA算法在实际应用当中的缺点是它不如秘密密钥算法的速度快,因此,在传输长文件时,人们往往只用公开密钥体系传输秘密密钥加密法的密钥,而用秘密密钥加密法加密文件本身。
RSA算法还有一个好处就是它可以用来作数字签名。这是利用RSA算法的对称性,即用数对(n,e)加密的消息只能用数对(n,d)解密,但反过来用数对(n,d)加密的消息又只能用(n,e)解密。如果我想用数字签名证实一个文件确实是我发出去的,我可以把它用我自己的本来用于解密的秘密密
现代广泛运用的密码体系,都是对算法公开,其安全性依靠密钥的保密,因此,有三种破解密码的基本方法。第一种是偷取密钥或收买密钥持有者。第二种是通过分析发现算法的漏洞——历史上曾有一些被高度信任的加密术为数学分析所破解。第三种是所谓“蛮力”(brute-force)破?
我们在前面介绍的这些密码术准备知识,对于理解后面有关密码术的社会学、政治学讨论是有帮助的,因此还得请读者们原谅这些东西的枯燥费神。
#p#密码术的用途
密码术的传统用途是人们所熟知的,主要是在军事、外交等有关国家事务的领域。一般公众与之关系不大。但在信息时代,密码术突然找到了前所未有的广阔的应用天地。首先是电子商业的需要。就目前来说,电子商业仍旧可以说是还刚刚处在起步阶段,但其规模已经是惊人的了。如
在信息时代,人们越来越多地利用电子邮件进行通信,这又快又便宜。但电子邮件是十分容易被人截收、窜改的,特别是对于这一切你可能完全被蒙在鼓里,一点不知情——用传统方式通信,别人如果拆了你的信你多半还能看出来。中国在信息技术方面虽然还十分落后,但有关电子邮
对于企业来说,通信保密当然更为重要。无论是技术秘密还是商业动向,都有可能价值无算。比如说,一个建筑公司竞标的价格对于其竞争者来说,实在是太重要了。为了提高通信效率,现代企业大量采用传真、蜂巢电话、微波电话、卫星通讯及不十分安全的计算机网络传递信息,这
密码术对于不少专业人士也十分重要,如律师们都知道对于案子有关文件进行保密的重要性。医生、药学家、会计师等也需要保密。
密码术遭受攻击和限制的一个原因是它大大地有助于犯罪活动。密码术不仅有助于个人对其通信及文件记录等保密,而且也让他们可以对自己的身份保密。
这就使得犯罪分子有可能利用最先进的通讯手段进行最阴暗、最邪恶的犯罪策划,而完全不被他人所察觉。除此之外,如我们在前面已提到过的那样,密码术将有可能使得金钱交易不留任何痕迹,从而使得洗钱、逃税等行为变得异常容易。
总而言之,密码术是推进电子商业的关键,也是保护个人隐私的利器,它可以阻碍黑客的横行不法,也可以防止奥威尔式的无所不在的专制暴政的出现,但社会也要付出相当的代价,这就是密码术在犯罪方面也有广泛的用途。
害怕“一比特不名”,美国政府的密码术政策
美国政府十分恐惧密码术在民间的广泛运用,它从一开始就制定了一系列政策,试图阻止密码术的广泛传播。早在1977年,美国政府为了对于密码术进行管制,就制定了所谓的“数据加密标准”(DES)。DES原本为IBM所开发,是一种单密钥算法,在IBM的早期版本中,密钥长度在一百位
由于DES的安全性能日见过时,商业界要求使用更强的密码术的呼声越来越高。美国政府的回答是,你们要更强的密码术可以,但得把一把密钥交给一个机构保管,以便在必要时我可以取到密钥查看你的通信内容,这就是所谓“托管密钥加密标准”(EES)。作为这一设想具体措施,就是
对于加密软、硬件的出口,美国政府更是限制严格:密码术被列为军火,受到武器出口管制条例的限制。就DES算法而言,只允许出口密钥长度为40位的,比这更强的一律不准出口(对于RSA算法的密钥长度限制是512位,不要以为512位很多,由于RSA算法与DES不同,512位的密钥也不?
美国政府迄今为止对于密码术的管制是完全失败的。强制性的EES无法通过立法,自愿的EES,如“剪切芯片”的尝试,虽有政府带头购买,想通过市场造成总趋势,成为市场造就的标准,但由于公众的普遍反对,这一尝试在市场上遭到了惨败。对于出口的管制更是显得荒唐可笑,因为
最主要的是,有谁愿意买一个加密系统,它的密钥竟然攥在一个你看不见、摸不着的外国政府手里?如果是本国政府,当它滥用这把密钥时,你还可以跟它打官司,它也得忌惮一点公众舆论;一个外国政府,则可以完全不受这些东西的约束,一般说来,限制政府滥用执法权力的法律,
在美国,合法的电话窃听要由法庭批准。在1992年,法庭只批准了919件案件的电话窃听,其中只有141件包括窃听传真、数字显示或声音录呼、蜂巢电话,或电子邮件。1993年批准了976件,涉及94,000人的1.7百万次谈话。从上述数字看,似乎窃听的规模并不大,没有那么重要,但实
美国情报机关的电子情报搜集的对象当然还包括外国的政府、军队、企业,盟国也不例外。美国国家安全局的主要任务是两项,第一是获取并解密外国通讯,第二是对外国和国际通讯进行通讯流量分析。通讯流量分析不具体窃听每一次的通讯内容,而只是分析其流向和进行大致分类。
#p#密码术与人权法案
反对EES的理由也是十分充分的。在CNN电视台1997年1月31日的一次访谈节目中,RSA数据安全公司的总裁JimBidgos将反对的理由表达得十分简单而明了。
节目主持人BobbieBattista问:“Jim,在必要的时候,把密钥交给某些执法机构或第三方,或是与之分享密钥,又有什么不好呢?
RSA总裁JimBidgos:“这个问题问得好。首先,这样做确实没有什么不好。
让我来打个比方。今天,每一个人都有钥匙用来锁上自己的家,办公室或文件柜。如果政府出示了法庭的命令或搜查令,我想我们所有的人都会提供给他们想要的信息。
然而,我们不会在事先就把一份钥匙交给政府保管,让他们想进来就进来。
在一个计算机化的世界里,他们现在要的就是这个。而人们应该懂得,这种要求是完全没有道理的。”
反对强制性EES的人认为,美国政府的要求违反了人权法案,即宪法第一至十修正案。
首先,宪法第一修正案宣布:“国会不得制定下列法律……削减人民言论或出版自由;削减人民和平集会及向政府请愿伸冤之权力”。强制性的密钥托管在三个方面损害了言论及集会的自由。第一,它强制密码使用者公开他本不愿意公开的秘密,这属于强制言论。第二,它使人们在说
其次,宪法第四修正案宣布:“人民之人身、住房、文件与财产,不受无理搜查与剥夺之权利不得侵犯……”。而强制性密钥托管在某种程度上可以说是在没有法庭搜查令的情况下就进行的搜查与剥夺。再次,宪法第五修正案宣布:“……不得在刑事案件中强迫任何人作不利于本人之
另外,宪法第一、第三、第四、第五、第九和第十四修正案都保障了个人隐私权。隐私权主要有三部分:①不受别人打扰的权利;②自主决定秘密事务的权利;③自主决定其它个人事务的权利。强制性密钥托管在表面上看似乎没有侵害个人隐私权,因为政府只有在得到法庭允许的情况
需要一个信息时代的“人权法案”?
然而,宪法在执行时往往是可以作灵活解释的。比如说,宪法第四修正案中保护个人不受未经法庭授权的搜查的权利,在日常生活中是常常得不到严格保障的:我们在上飞机时接受的例行检查就是一例,这是为了公众生命安全而对宪法权利作出变通的一个著名的案例。因此,政府还是
从主张公民权利的人们的角度说,无论是否违宪,政府的强制性托管密钥方案是无论如何难以接受的。他们认为,政府的方案是建立在政府是天使这样一个当时的宪法起草者们决不能接受的假定之上的,实际上,政府有可能违法,政府官员个人也有可能违法。
美国被许多国家的人们,也被许多中国人认为是世界上最自由、最民主的国家,即使如此,美国政府在背地里也是干了许多偷偷摸摸、侵犯人权的勾当的。
据前面提到的美国迈阿密大学法学院副教授A.MichaelFroomkin那篇文章介绍:在1950年代,联邦调查局开列了一个26,000人的所谓的“潜在危险人物”黑名单,准备在出现“国家紧急状态”时予以逮捕;在1970年代,连很多同情者都不相信美国的一些持不同政见者抱怨联邦调查局非?
美国的人口普查数据被认为是个人隐私,因而受到法律的保护,不得泄露,不得用于其他目的(这点曾在中国被传为美国保护个人隐私的美谈),然而,在
第二次世界大战中,政府正是利用人口普查数据确认并逮捕了112,000名日裔美国人。
除了政府违法偷取个人隐私外,政府官员也难保不作这种勾当。在过去五年中,美国国内收入署(InternalRevenueService)抓获了数百名偷看其“朋友、邻居、敌人、可能的亲家、股票经纪人、名人和前配偶”的纳税记录的雇员。
#p#在一个信息技术飞速进步,人们越来越依靠电子通讯的时代,让政府把可以了解自己几乎全部隐私的密钥攥在手里,这确实会让人寝食难安。因此,一些主张保护公民权利的人已经提出来,过去的人权法案是于1791年通过的,当时的人们根本不可能想到今天的信息技术的神奇,因此,
从目前看,美国的政治气氛是有利于保障公民权利的主张的。如前所述美国政府管制密码术的政策不断遭到挫败,国会的气氛也是不利于美国政府的。但令主张保护公民权利的人们担心的是,政治气氛是有可能变化的,譬如,要是在1950年代麦卡锡主义盛行的时期辩论这个问题,获胜
从某种程度上讲,人类在政治上、文化上、法律上、伦理上、心理上还无法适应信息技术所带来的巨大变化。人类一下子掌握了前所未有的巨大力量,可是不知道这力量该怎么用,交给谁管合适。往右偏一步,很可能出现人类历史上最严酷、最无孔不入的专制,往左偏一步,又有可能
这就要看人类怎么掌握住这个平衡了。如果说,黑客是一种违禁的平衡力量,那么,有关密码术的宪法辩论就是要在法制框架内找到一种力量的平衡。我们且看信息时代的先行国,美国,给我们作出什么榜样,留下什么经验、教训。
技术从来没有这么重要过
技术在过去就是重要的。在19世纪,如果一个人不知道什么叫洋枪洋炮、什么叫火轮船,却要跟你谈治国安邦大计,你大可不必浪费时间去听他。然而在今天,不要说那些显赫的大技术,如航天、生物遗传工程、新材料、精密机械、微电子技术等,就连一个小小的密码术,都有可能给
技术从来没有这么重要过。一项新的技术突破很可能要求修改宪法,人类才能把它好好地安顿下来。人类似乎受到他们自己所创造的技术摆布,摇来晃去,不能自主,不知道技术给我们带来的最终是福还是祸。有些人,如美国的校园——航空公司爆炸杀手,坚决认为技术的发展将剥夺
就我自己而言,一是要再补补计算机科学和生物学的课,二是要去看看能不能下载个PGP软件。一想到我的所有信件都能被别人乱看我就睡不着觉,虽然我并没干过什么见不得人的事。
#p#“鱼”死网“破”
从仿冒地址的技术成因以及实现手段来看,它一直奉行着“姜太公钓鱼,愿者上钩”的策略。大多数用户通过点击E-mail中所提供的地址进入假冒网站,进入后基本上都会为了实现某种需要而进行各种操作,这些操作往往会把你的重要数据泄露出去,从而造成巨大的损失。
据著名的市场调查研究公司Gartner公司最近一项调查表明,约5700万名美国消费者收到过此类仿冒的E-mail,有高达5%的人都会对这些骗局做出响应。由于仿冒网址技术不断升级,Gartner公司还预测,这种诈骗会快速蔓延到通过E-mail与客户通信的所有商业领域,任何拥有在线业务的公司都将成为潜在的受害者。
拒绝“鱼饵”
对于个人用户,可以通过实施一些反垃圾邮件措施去抵御这些邮件。假如不幸中招,应尽快更改重要数据,例如银行的账户及密码等,将损失减少到最低限度。
除了上述个人的应对之策外,一些公司也积极开发出了防范仿冒网址的软件产品。专业身份认证企业CoreStreet在其站点上就提供了一种被称为Spoofstick的免费浏览器助手,当用户在登录合法站点,如signin.cpcw.com/aw-cgi/ ..时,地址栏的下方会出现一个明显的注释,并显示“You’re on cpcw.com”,若用户被骗到了一个伪造的站点,那么该注释便会显示“You’re on 10.19.32.4”,这足以引起我们重视。
美国的EarthLink公司也推出了具有防止仿冒功能的工具条,它包含有一些臭名昭著的网站地址数据库,当用户试图访问已被确认的诈骗网站时,该工具条便会发出警告,并且将用户重定向到EarthLink公司的网页。
反“渔”联盟
为了防范那些利用仿冒网址而危及用户利益的事件发生,在美国和英国已经成立了专门反假冒网址等网络诈骗的组织,比如2003年11月成立的APWG(Anti-Phishing Working Group)和2004年6月成立的TECF(Trusted Electronic Communications Forum)。一些国外公司的主页底部也设有明显链接,以提醒用户注意有关E-mail诈骗的问题。而国内许多公司的主页似乎还没有这种安全防范意识,同时也没有类似的组织去专门研究这方面的应对之策。
随着国内外的各种交流越来越频繁,这种新型网络诈骗的发生率必然也会上升,更何况黑客病毒技术的迅速发展,仿冒网址技术肯定也会“日新月异”,倘若今后我们遇到了这种局面,该如何去应对呢?