2004年前二十位网络安全隐患排行榜

tour

计算机安全组织美国系统网络安全协会(SANS Institute)本周公布了2004年度前二十位网络安全隐患排行榜。事实上这一排行榜是由两部分组成，其中包括10项Windows安全隐患以及10项UNIX及Linux相关安全隐患。

　　SANS的主管阿兰·帕勒表示，该机构发布这一排行榜是为了给企业和组织提供参考，促使系统管理员再次确认这些安全隐患在自己管理的系统中已经妥善解决。他说：“当你告诉系统管理员去测试上千个漏洞时，企业就几乎陷入停滞了，所以我们每年都要挑出危害最大的20个安全隐患发布。”

　　SANS的排行榜是结合了全球多名安全研究专家和公司的意见和建议而得出的，其中包括美国国家基础设施保护中心(National Infrastructure Protection Center)和英国国家基础设施协同中心(National Infrastructure Security Coordination Centre)等重要部门。今年已经是SANS第五次公布年度安全隐患排行榜。除了公布安全隐患名单，SANS还同时发布了上百页的文档，对这一类安全隐患进行了详细的描述，并提供了具体的解决方案。

　　排在Windows安全隐患第一位的是Web服务器和服务(Web servers and services)，而排在Unix安全隐患第一位的则是BIND域名系统(BIND domain name systems)。此外还有很多安全隐患首次入围，这样的安全隐患在Windows列表中包括排名第7位的文件共享(file sharing applications)和第10位的即时信息(instant messaging)。负责排行榜的主管罗斯·帕特尔表示：“专家们都为文件共享和点对点文件传输这一安全隐患感到忧虑，因为它们易于操作并且应用非常广泛。”

　　在Windows列表中排名第6的Web浏览器(Web browsers)同样是一个热门话题，帕特尔表示：“专家们对于Web浏览器的讨论最为热烈。今年年初，由于IE浏览器中发现了多个严重漏洞，甚至有专家建议用户停止使用这一浏览器。”

　　美国系统网络安全协会公布的安全隐患排行榜：

　　Windows十大安全隐患：

　　1 Web服务器和服务(Web Servers & Services )

　　2 工作站服务(Workstation Service)

　　3 Windows远程访问服务(Windows Remote Access Services)

　　4 微软SQL服务器(Microsoft SQL Server)

　　5 Windows 认证(Windows Authentication)

　　6 Web浏览器(Web Browsers)

　　7 文件共享(File-Sharing Applications)

　　8 LSAS Exposures

　　9 电子邮件客户端(Mail Client)

　　10 即时信息(Instant Messaging)

　　Unix十大安全隐患：

　　1 BIND域名系统(BIND Domain Name System)

　　2 Web服务器(Web Server)

　　3 认证(Authentication)

　　4 版本控制系统(Version Control Systems )

　　5 电子邮件传输服务(Mail Transport Service)

　　6 简单网络管理协议(Simple Network Management Protocol)

　　7 开放安全连接通讯层(Open Secure Sockets Layer)

　　8 企业服务NIS/NFS 配置不当(Misconfiguration of Enterprise Services NIS/NFS)

　　9 数据库(Databases)

　　10 内核(Kernel)

tour

最近自己网站总是被黑客骚扰，索性人家只是“借用”了一下我们的空间，没有进行任何破坏性举动，但看着也冒了一身冷汗。。。。决心下些工夫研究研究~~~`````

tour

<>俄罗斯独特的职业黑客文化</P>
<>罗斯黑客在国际上拥有相当高的"声誉"，他们技术高、"口碑好"，几乎已经成为许多同黑客打交道的专业人士的共识。因此俄罗斯黑客也成为许多国家情报机构的"抢手货"。国际网 络安全公司资深分析家肯·杜赫姆在接受采访时说道："这些俄罗斯人的黑客技巧简直到了难以置信的地步。他们都是相当出色的程序员，是真正懂得网络的人。他们知道如何在网络中进进出出，而又不留下任何蛛丝马迹。"他们曾多次成功入侵五角大楼的电脑系统、破解了微软的源代码，入侵北约网站，从西方国家的银行偷窃上百万的美元。俄罗斯人弗拉基米尔·列文于1995年从花旗银行的多个账户中累计盗取370万美元。而他的作案工具只是一台个人电脑和拨号上网的电话线而已。英国技术安全咨询公司的安全专家弗兰克·文登对俄罗斯的黑客评价道："俄罗斯的黑客可以用相当有限的设备干出令人吃惊的事情。他们相当聪明，总是将自己的行迹隐藏得很好。而且，俄罗斯的黑客们都有很棒的编程技巧。他们不像美国或其他地方的所谓黑客，只是从网上下载一个程序，但并不知道自己在干些什么。这些俄罗斯人都清楚的知道自己要干什么。"

　　俄罗斯黑客的高超技能与俄罗斯的独特黑客文化是密不可分的。在全世界，黑客已经形成了一种独特的地下文化。与世界其他国家相比，俄罗斯的计算机教育相当出色，俄罗斯的黑客也更具有职业色彩。在俄罗斯，黑客得到了社会更多的肯定。俄罗斯有成千上万的电脑天才受雇于美国以及很多欧洲国家的电脑公司，而俄罗斯的技术学院，特别是圣彼得堡的科技学院研制生产世界第一流的软件。

　　同其他国家的黑客不同，俄罗斯的黑客攻击电脑网络的动机大都是因为"囊中羞涩"。雷伊夫斯基的经历在俄罗斯非常典型。雷伊夫斯基找到了一个利用自己掌握的黑客技术合法赚钱的方法：他在莫斯科的阿拉丁知识系统公司上班，主要职责是为公司客户测试电脑的安全性能。他在接受采访时说道："所有的黑客都有一种想证明自己手段高明的冲动，但是俄罗斯黑客更富于职业色彩。这就是他们的工作，因为他们找不到合适的工作。美国一家电脑安全专家说："电脑网络所面临的威胁可能来自任何一个地方，但是来自俄罗斯的威胁主要是与金融动机有关。在俄罗斯一个电脑黑客的'工资'往往比大学教授要高十几倍甚至几十倍。"阿莱克谢·雷伊夫斯基是俄罗斯一名黑客，他在很小的时候就悟出了一个"道理"：做黑客能赚大钱！他还只有十几岁的时候就开始袭击一些企业的电脑网络，得手后再拿着掌握的公司秘密去和对方谈判，主动提出帮助对方进一步巩固电脑网络的安全防范能力。而另一位自称解密高手的莫斯科人伊戈·克瓦力夫则不无自豪地说："我们都认为俄罗斯是黑客的天堂。在这里我可以找到很多同伴。我们干起来都得心应手。而且黑客在俄罗斯是一份很好的职业，当然也是为数不多的好职业。"以克瓦力夫为例，经常有人雇佣他去与雇主的对手网站"玩儿两把"。每干一次他可以得到3000卢布(约合104美元)的报酬。听起来这个报酬并不算高，但是在俄罗斯，一个大学教授一个月的工资也才150美元。俄罗斯还有一类黑客，专门靠制作盗版软件谋生。据统计，俄罗斯目前在用的软件有80%都是盗版软件。一名绰号叫雷登的黑客透露，他从微软等公司拷贝一个新软件，一天可挣200美元。而根据俄罗斯政府最近公布的数字，俄罗斯人的平均月收入是55美元。因此有人说俄罗斯是世界上第一个有黑客文化的国家。

　　对于国际电脑网络安全专家来说，享誉黑客界的圣彼得堡黑客是最让他们头疼的。圣彼得堡黑客被西方国家视为"最有威胁的网络犯罪团伙"之一。2000年10月，微软被黑，在业界掀起了一场轩然大波。经过美国联邦调查局一番追踪之后，终于找到了"元凶"，是在黑客界鼎鼎大名的俄罗斯圣彼得堡黑客。1999年，圣彼得堡黑客曾一度使北约和美国政府的多个网站瘫痪以抗议美国及北约对南联盟的军事行动；紧接着，美国国防部又遭圣彼得堡黑客们有组织有计划的攻击；2000年年初，圣彼得堡一黑客高手从美国网络零售商那里窃走了30万美元；2000年4月，五名圣彼得堡黑客突破美国网络商店的密码，窃走了大量的信用卡号。因此彼得堡黑客也被冠以"网络黑手党"的称号。

　　电脑与互联网在全球的盛行，已经使黑客文化日益受到重视并发挥着重要的政治影响力。1983年好莱坞的一部电影《战争游戏》中一位名叫大卫·莱特曼的少年黑客误闯美国五角大楼的超级电脑系统，几乎引发了第三次世界大战。而如今似乎电影与现实的差距并不太遥远。美国一位著名的网络安全专家最近在接受美国公众电视台的采访时说："美国就是一个活靶子，如果你想你就可以用这样或那样的方法对任何一个目标实施攻击，对于那些掌握了这项技术的恐怖分子来说，

　　最终都会意识到这种方法要比使用炸弹效率高的多。"
</P>