书城科普青少年应该知道的互联网
10636800000009

第9章 网民最关心——网络安全

1.网络暗流需提防——骇客

(1)黑客

你认识“黑客”吗?你知道它是干什么的吗?它与网络有什么关系呢?“黑客(hacker)”一词源自英文单词“hack”,意为“劈、砍”,后来引申为“干得漂亮”。一般来说,黑客起源于20世纪50年代的美国麻省理工学院的实验室中。麻省理工实验室中的精英们,精力充沛,才智过人,热衷于挑战各种难题。在麻省理工学院的校园俚语中,“黑客”有“恶作剧”之意,指那些技术高明的恶作剧。

事实上,刚开始的“黑客”并不具有恶意的意味。在60年代,黑客一词代指那些善于独立思考、奉公守法的计算机迷,他们利用分时技术允许多个用户同时执行多个程序,从而扩大了计算机及网络的适用范围。而在70年代,黑客发明并开始生产个人计算机,从而改变了以往计算机技术只掌握在少数人身上的情况,黑客的行动简直给计算机界带来了一场革命,这一时期的黑客们简直可以称为计算机史上的英雄人物。苹果公司的创始人,史蒂夫·乔布斯,这个家喻户晓的人物,便是其中的一员。不可否认,这一时期的黑客们也发明了一些侵入计算机的技巧,如破解口令、开天窗等均属此列。80年代,以黑客为代表的软件工程师们开始为个人计算机设计各种应用软件,他们的杰出代表便是计算机天才比尔盖茨。随着计算机重要性的提高,又出现了信息越来越掌握在少数人手里的情况,大型的数据库越来越多。这时黑客们为了实现信息共享而奋斗,开始频繁地入侵各大计算机应用系统。

通过以上的介绍,我们不难理解,黑客一定意义上是指那些真正了解计算机系统,并且对计算机的发展有所贡献的人。他们的存在,创造了新的计算机应用技术,给互联网带来更多新的发现、惊喜。而不是现在人们所说的那些以破坏为目的的入侵者,偷偷入侵别的企业或个人的计算机系统,给他人造成巨大的损失。

(2)骇客

什么是骇客呢?和黑客有什么关系吗?骇客是指具备丰富的电脑知识的一群人。不过他们不是把自己所拥有的电脑知识用于网络服务,而是专门用来入侵电脑,并且以破坏电脑软、硬件为目的。他们可以入侵到企事业单位的计算机系统实施破坏,也可以利用网络漏洞对网络进行攻击破坏。黑客与骇客有着本质上的不同,不要把他们混淆。虽然骇客、黑客都不是指固定的某些人,但是,骇客的行为要比黑客恶劣得多,因此要对他们有清楚的认识。希望一些电脑爱好者不要成为一名“骇客”,都争取为网络服务做好事。

(3)最著名的5大黑客

美国ABC新闻网近期在广泛征求赛门铁克、美国司法部、全美白领犯罪中心以及其他几家著名的科技咨询机构意见的基础上,综合考虑影响范围、经济损失等因素,评出了5大最著名黑客。他们分别是哪些高手呢?

①弗雷德·科恩

1983年11月3日,还是南加州大学在读研究生的弗雷德·科恩在UNIX系统下,编写了一个会自动复制并在计算机间进行传染从而引起系统死机的小程序。后来,科恩为了证明他的理论而将这些程序以论文发表,从而引起了轰动。此前,有不少计算机专家都曾发出警告“计算机病毒可能会出现”,但科恩是真正设计计算机病毒的第一人。他的一位教授正式将他编写的那段程序命名为“病毒”。

②凯文·米尼克

凯文·米尼克被美国司法部称为“美国历史上被通缉的头号计算机罪犯”。他是真正的计算机天才。他开始黑客生涯的起点是破解洛杉矶公交车打卡系统,并因此得以免费乘车。他尝试盗打电话,侵入了Sun、Novell、摩托罗拉等公司的系统。他还曾成功地进入了五角大楼并查看一些国防部文件。17岁那年,他第一次被捕。当时被称为“美国最出色的电脑安全专家”的日裔美籍计算机专家下村勉,经过艰苦漫长的努力,于1995年跟踪缉拿到他。五年零八个月的监禁之后,米尼克现在经营着一家计算机安全公司。

③罗伯特·塔潘·莫里斯

1988年,还在康奈尔大学读研究生的莫里斯发布了史上首个通过互联网传播的蠕虫病毒。莫里斯创造蠕虫病毒的初衷是为了搞清当时的互联网内到底有多少台计算机。可是,这个试验最后脱离了他的控制,这个蠕虫病毒对当时的互联网几乎构成了一次毁灭性攻击。莫里斯最后被判处3年缓刑,400小时的社区服务和10500美元的罚金。他是根据美国1986年制定的“电脑欺诈滥用法案”被宣判的第一人。他后来创办了一家为网上商店开发软件的公司,并在三年后以4800万美元的价格将这家公司卖给雅虎,更名为“Yahoo!Store”。莫里斯现在担任麻省理工电脑科学和人工智能实验室的教授。

④凯文·鲍尔森

凯文·鲍尔森对汽车很感兴趣。1990年,洛杉矶电台推出一当有奖节目,宣布将向第102位打入电话的听众免费赠送一辆保时捷跑车。结果,鲍尔森立即以黑客手段进入洛杉矶电台的KIIS-FM电话线,并“顺利”地成了赢得保时捷的“幸运听众”。其实在此之前,因为鲍尔森闯入了FBI的数据库和国防部的计算机系统,FBI(美国联邦调查局)已经开始在追查他。在17个月的躲避后,他于1991年被捕并被判处五年监禁。现在他是《连线》杂志的高级编辑。

⑤肖恩·范宁

从大多数人的认知来说,肖恩·范宁很难被称为“黑客”,但是他对计算机世界的改变正是绝大多数黑客渴望去做却未做成的。范宁是全球第一个走红的P2P音乐交换软件Napster的创始人,也正是这个软件开始颠覆传统商业的音乐格局。越来越多的人们不再是跑去商店买CD,开始进行网络下载音乐。后来在经过多次由唱片业主导的法律诉讼后,Naspter成为Roxio公司的资产。2006年12月,范宁又研发出了社交网络工具Rupture,供网络游戏《魔兽世界》的玩家方便地进行沟通。

2.病毒的天敌——电脑安全宝典

(1)安装杀毒软件

在电脑入网以及日常的使用中,难免会感染上一些计算机病毒,那么,如何来对此防治呢?那就要用到杀毒软件,它是一种专门用于保护计算机安全的软件。在电脑上安装上杀毒软件是相当必要的。目前,电脑安全软件有防黑软件、杀毒软件和防火墙等,它们三者共同承担电脑的安全工作,其中杀毒软件是电脑中必不可少的。我们在上网时,即便是遭受到骇客的攻击,安装了杀毒软件的电脑在一定程度上也不会轻易受到破坏的。不过,在使用电脑的时候,最好不要随便下载东西,以免遭到更严重的病毒侵害。

(2)取消文件夹隐藏共享

在我们使用电脑的时候,有些程序在运行但我们却找不到它存在的位置,其实这是因为所使用的文件夹被隐藏共享了。在Windows 2000/XP系统环境下,右键单击C盘或者其他磁盘,选择“共享”项,你会发现它已经被设置为“共享该文件夹”。而在“网上邻居”中却看不到这些内容,这是为什么呢?原来,在默认的状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下,选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个。只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,但是,大多数个人用户系统Administrator的密码都是空的,这就给网络安全带来了极大的隐患,入侵者可以轻易看到C盘的内容。怎样来消除默认共享呢?方法很简单,打开注册表编辑器,新建一个名为“Auto Share WKs”的双字节值,并将它的值设为“0”,然后重新启动电脑,这样共享就取消了。

(3)拒绝恶意代码

在使用网络的时候,经常会弹出一些小对话框,不过,你不要轻易去点击这些对话框,因为它可能是一段恶意代码的化身。目前,恶意代码或网页成了宽带的最大威胁之一。在宽带流行之前,因为打开网页的速度慢,在网页未被完全打开前可以发现恶意代码,并立即把它关闭。而现在宽带的速度非常快,一分钟之内能打开好几个网页,所以很容易就被恶意网页攻击。一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码相当于一些小程序,只要打开该网页就会被运行,所以只要禁止这些恶意代码的运行就可以避免恶意网页的攻击。

那么,如何避免恶意代码的攻击呢?具体方法是运行IE浏览器,依次点击“工具/互联网选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其他项设置为“提示”,之后点击“确定”。经过这样的设置,使你再使用IE浏览网页时,就能有效避免恶意代码的攻击。

(4)删掉不必要的协议

对于我们的电脑主机来说,一般只安装TCP/IP协议就够了,对于不必要的协议可以进行缷载。鼠标右击“网络邻居”,选择“属性”,再用鼠标右击“本地连接”,选择“属性”,这样不必要的协议就可以被卸载了。其中NETBIOS(网络基本输入与基本输出协议)是很多安全缺陷的根源,可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。那么,如何对NETBIOS进行关闭呢?选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。

(5)关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也会成为黑客入侵的途径,所以在没有必要使用“文件和打印共享”的情况下,最好将它关闭。那么,如何来进行操作呢?用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止他人更改“文件和打印共享”。首先打开注册表编辑器,在该主键下新建DWORD类型的键值,然后键值名为“No File Sharing Control”,键值设为“1”表示禁止这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。键值为“0”表示允许这项功能。

(6)禁止建立空连接

在默认的情况下,任何用户都可以通过空连接与服务器相连,这样就可以获取账号并猜测到密码,因此,我们必须禁止建立空连接。如何来禁止呢?

(7)隐藏IP地址

骇客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标。他可以向这个IP发动各种进攻,如Floop溢出攻击、DOS拒绝服务攻击等。那么,如何来避免这种情况的发生呢?那就要把IP地址隐藏起来。通过代理服务器可以隐藏IP地址。

与直接连接到互联网上相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在个人电脑和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当个人电脑向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其他用户探测不到用户的IP地址,只能探测到代理服务器的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。你可以用代理猎手等工具来查找提供免费代理服务器的网站。

(8)关闭不必要的端口

骇客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序,比如Netwatch,该监视程序则会有警告提示。一旦遇到这种入侵,可用工具软件关闭用不到的端口。比如,用“Norton互联网Security”关闭用来提供网页服务的80和443端口、以及其他一些不常用的端口。

(9)更换管理员帐户

管理员帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。骇客入侵的常用手段之一就是试图获得管理员帐户的密码,所以我们要经常重新配置管理员帐号。

首先是为管理员帐户设置一个强大复杂的密码,然后再重命名管理员帐户,最后还要创建一个没有管理员权限的管理员帐户欺骗入侵者。这样一来,可以在一定程度上减少危险性,入侵者很难搞清哪个帐户真正拥有管理员权限。

(10)杜绝Guest帐户的入侵

Guest的中文意为“客人”,Guest帐户就是所谓的来宾帐户,它可以访问计算机,但是要受到一定限制。即使是这样,Guest也为黑客入侵打开了方便之门,所以保护计算机安全的重要方式之一是杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其他途径来做好防御工作了。首先要给Guest设一个强大的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户,可以访问tool文件夹,右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可访问此文件夹的所有用户。在权限中为相应的用户设定权限,例如只能“列出文件夹目录”和“读取”等,或者删除管理员之外的所有用户,这样再使用Guest就安全多了。

(11)防范木马程序

木马程序是最常见的病毒之一,它一般会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序。如何来防止木马程序入侵呢?常用的办法是提前预防,将下载的文件先放到自己新建的文件夹里,用杀毒软件来检测。

还可以在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,要立刻把它删除。

(12)不要回复陌生人的邮件

你知道吗?有些黑客文件是非常狡猾的,他们可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信,要你输入上网的用户名称与密码,然后,当你按照它的要求,输入用户名与密码,并按下“确定”后,你的帐号和密码就进了黑客的邮箱。因此,在收发邮件时不要随便回陌生人的邮件,一定要看清楚再进行操作,即使他说得再动听再诱人也不要上当去回复邮件。

(13)做好IE的安全设置

虽然ActiveX(一些软件组织或对象,可以插到WEB网页或其他应用程序中)控件和Applets有较强的功能,但也存在被人利用的隐患。网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行,所以只有禁止这些恶意代码的运行才能避免恶意网页的攻击。IE对此提供了多种选择,通过具体设置步骤“工具”→“互联网选项”→“安全”→“自定义级别”来进行,同时还要将ActiveX控件与相关选项禁用。

另外,在IE的安全性设定中我们只能设定互联网、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和Applets时有更多的选择,并对本地电脑安全产生更大的影响。

最后建议大家给自己的系统打上补丁,不要认为那些没完没了的补丁很烦人,其实它们还是很有用的,因为补丁的修复也是在变相地保护电脑安全!

3.拒敌于千里之外——防火墙

防火墙是英文Firewall的意译,是在网络与电脑之间建立起的一道监控屏障,从而使在防火墙内部的系统不受网络骇客的攻击。理论上来讲,防火墙既是信息分离器、限制器,也是信息分析器,它可以有效地监控局域网和互联网之间的任何活动,从而保证局域网内部的安全。

使用防火墙可以过滤不安全的服务,极大地提高网络安全并减少子网中主机的风险。例如,防火墙可以禁止NIS(网络信息服务)、NFS(网络文件系统)服务通过、拒绝源路由和ICMP(网际控制报文协议)重定向封包。

另外防火墙还可以控制外部对系统的访问权限。例如某些企业允许从外部访问企业内部的某些系统,而禁止访问另外的系统。通过防火墙对这些允许共享的系统进行设置,从而达到保护企业内部信息的安全的目的。

防火墙根据应用不同,包含有不同的类型。从总体上分,可以把它分为数据包过滤、应用级网关和代理服务器三种类型。

(1)数据包过滤防火墙

数据包过滤技术是在网络层对数据包进行选择的一种方式,选择的依据是系统内设置的过滤逻辑,它被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙通常被安装在路由器上,具有逻辑简单、价格便宜、易于安装和使用的特点,并且网络性能和透明性好。

虽然数据包过滤防火墙拥有众多的优点,但也有它的不足,它的缺点主要表现在两个方面:一是非法访问突破防火墙,依然能够攻击主机上的软件和配置漏洞;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。

(2)应用级网关防火墙

应用级网关主要是在网络应用层上建立协议过滤和转发的功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤防火墙和应用网关防火墙有一个共同的特点,它们只能依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统便可以建立直接联系,这有利于实施非法访问和攻击,防火墙外部的用户就有可能直接了解防火墙内部的网络结构和运行状态。

(3)代理服务防火墙

代理服务也称链路级网关或TCP通道,也有人将它归于应用级网关。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而隔离开防火墙内外的计算机系统。此外,代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时保留攻击痕迹,并向网络管理员发出警报。

目前网络上最著名的软件防火墙是Lock Down 2000,这套软件需要经过注册才能获得完整版本,它保护个人上网用户、维护商务网站的运作,功能十分强大,表现非凡。但注册这样一个防火墙软件需要一定费用,如果有能力,使用这一款防火墙是不错的选择。