free789免费建站网
 

2006年重大黑客事件回顾

本文发布于2007-01-31 13:17:03,浏览...次,好评(0个)投一票
回顾 2006年,众多的黑客事件,让我们历历在目、引人深思。

在年关将近,互联安全网(Sec120.com)与你一同深度分析2006年重大典型黑客事件,让安全的思考变得清晰。敲响安全的警钟,我们期待网络的明天更安全,更美好。

我们没有连上互联网络,会不会也有安全隐患?

2006年05月21日 黑客篡改超市收银记录侵占397万余元

事件回放:
据中国青年报报道,上海一电脑高手设计非法软件程序,培训“特别”收银员,每天将超市销售记录的20%自动删除,并将其装入自己的腰包。这伙成员达43人的超市内部高智商犯罪团伙,通过分工合作,在短短一年多的时间内侵占了超市营业款397万余元。

原因解秘:
据了解,主犯方元今年25岁,学的是计算机专业,曾是某超市分店资讯组组长,方元在工作中发现了超市收银系统存在漏洞,于是便设计了攻击性的补丁程序,可将超市销售记录的20%自动删除。2004年6月至2005年8月期间,方元等人修改非法程序,于琪等人利用收银员的工作便利,截留侵吞超市3家门店营业款共计397万余元,上述赃款由收银员上交后,再按比例分成,涉案人员各得赃款数千元至数十万元不等。

互联安全网(Sec120.com)专家深度盘点:
这本不是2006年第一宗黑客事件,但是它非常有代表性。软件不安全,有bug本来不是什么大事,因为这是很正常的,因为在编程领域来说,容易使用和安全是对立的,就是说越容易使用,越可能不安全。所以,正规的软件提供商会尽量修补随着软件使用过程中发现的漏洞,以保证用户的利益。但是超市这种领域,与网络隔绝,与现实更紧密。进行上述犯罪行为,实在防不胜防。由此,可见,信息安全问题不仅仅是存在于互联网络,不要认为没有联接互联网就会安全,最大的安全极有可能来自于公司内部。


员工信息安全知识淡漠,安全培训势在必行

2006年8月17日 17岁黑客发威,腾讯QQ网站被黑

事件回放:
据警方介绍,今年7月31日开始,湖北某市17岁黑客利用腾讯公司的系统漏洞,非法侵入该公司的80余台计算机系统,并通过这些电脑分析数据后逐步取得该公司的域密码及其他重要资料,进而取得多个系统数据库的超级用户权限,在13台服务器中植入木马程序。在获得大量网络虚拟财产后,鄢某通过打电话和发短信的方式,称已获取该公司的网络管理漏洞,向腾讯公司及其总裁进行敲诈勒索。事后,警方以涉嫌破坏计算机信息系统罪,将该黑客刑拘。

原因解秘:
此黑客在腾讯官方论坛发布一贴子,声称发现该公司系统漏洞,并制作一木马压缩后上传至论坛,后被腾讯论坛管理人员下载后并在本地执行,随之木马被运行,黑客得到该机控制权……
其实道理很简单,在黑客工具流行泛滥的今日,入侵可能随时都会发生,也许就在你浏览某个明星图片的瞬间已经被黑客侵入。本次入侵其本质原因在于腾讯工作人员安全防范意识不够,在面对狡猾的犯罪分子的时候缺乏应有的警惕性,同时对于安全防范技能上面也是急需提示。

互联安全网(Sec120.com)专家深度盘点:
在各家企业公司寻找安全服务供应商时不应该只关注于网络本身的安全,在解决对外网络安全的同时,也应该加大力度对内部网络管理的规划。对于内部人员的安全防范意识及防范技能也是必修之课,公司内部安全也是整个安全体系中的的热点和重点,即使外部防御做得再好,内部安全疏于管理后果仍然相当严重,所以,加强员工信息安全防范意识以及提高安全技能培训,成为紧迫任务!

转载请注意出处:互联安全网(www.sec120.com)


嫉富仇强心理现身黑客网络战场,再揭中国社会层次分化问题

2006年9月21日 黑客搞乱了互联网大会

事件回放:
2006年09月21日,一年一度的中国互联网大会,在黑客话题的佐餐和配料下,终于结束了。那些得知新网被黑而自家网站业已无法登录的消息后,一直如坐针毡盼着会议早点结束的人们,也终于可以匆匆打道回府,去收拾一下无法预料的乱摊子了。可想而知,明知家里网站被黑,却又不得不有板有眼地端坐在那里,是不是身在曹营心在汉、满腹依依归乡情,就只有这些人自己心里最清楚了。从时间上看,这似乎是巧合。因为21日,是“2006中国互联网大会”的开幕日。正是这一天,新网从下午3时许持续被黑了8个小时,超过30%的中国网站因为攻击同时陷入了瘫痪。
从效应上看,这似乎又是一次预谋,谁都知道新网是国内最大的CN域名注册服务商之一,号称有500万用户。逢此会议召开之时对其攻击,黑客们难免有存心添乱的恶搞嫌疑。因为,在这些受影响的网站中,百度旗下的天空下载、中国网库、落伍者论坛和在重庆颇有名气的重大社区等等,无一幸免。而其他较小规模的网站,更是不计其数。

原因解秘:
部分黑客为了给自己正名。据部分黑客言论中说“说穿了,在他们那些站长眼里,黑客就是黑客,是永远也上不了正式台面的。尽管他们也承认黑客有着相当过硬的技术本领,但充其量只能算是地下工作者。比无间道里梁朝伟扮演的卧底警探都不如,人家至少还有个露脸的机会呢!就可褒可贬的黑客而言,我们倒真希望有一个准确的定义区分,把黑客都送上领奖台,那显然失当。但要把黑客统统视为煞神,又未必科学。或许,大家都认为该黑的,恰恰被黑客给黑掉了,那这黑客,才是真正的黑客,即使被称之为网络侠客,也都不过分了。”

互联安全网(Sec120.com)专家深度盘点:
可以肯定的是黑客中绝大多数都是正义的黑客,真正的黑客,我们呼吁网络应该善对黑客。曾经的黑客大战,热烈的追捧,而今将黑客一词越抹越黑,部分正义的黑客技术爱好者自然有所不满。其中部分心地善良但是年少冲动的黑客是有可能做出上述攻击行为的主流人员,同时,我们也呼吁广大热爱计算机技术,黑客安全技术的朋友,不要太过冲动,研究技术,是造福人民,而是给大家造成损失。


家贼难防,加强内网安全,提防恶意员工,您准备好了吗?

2006年11月16日 研究生侵入财务系统盗窃70万元

事件回放:
内蒙古一高校电子信息硕士毕业生刘涛,网上应聘自降身份为大专生,用假身份证、假学历证化名进入朝阳电子(深圳)有限公司上班,每月工资要求仅仅2000元。然而刘涛是“项庄舞剑、意在沛公”,他进厂17天后,侵入公司财务部电脑系统,划走300余员工70余万工资。

原因解秘:
据警方介绍,7月6日早晨7点50分左右,朝阳公司财务部职员将员工工资表做好,看了一遍后没错便去倒水喝,刘涛见状,立即用自己电脑侵入财务部职员电脑,将自己制作的模板覆盖公司员工工资模板。大约8点20分,财务部职员并未发现异样,将工资表交给财务主管交去银行。这时,刘涛已经成功将300余名员工共70余万工资划入事先开好的2个账户中,再由女友闫美廷先后两次从银行取出共42万现金。 

互联安全网(sec120.com)专家深度盘点:
这是一个经过精心准备的高科技盗窃案。据警方介绍,刘涛是一个电脑高手,当他从曾经在财务部工作的女友那里掌握了工资表的制作程序一级工资发放系统的漏洞后,就开始了他的犯罪历程。试想您公司是否有健全的网络安全管理策略及监督机制呢? 现代公司大量使用电脑办公,员工一般不会是电脑高手,如果没有保密措施,没有一定的安全操作管理制度,很容易被别有用心的员工窃取工资表、帐单、设计图纸等等机密信息。解决方法,就是找一家极富经验的网络安全服务供应商,为您量身定制安全管理制度,评估安全策略,加强对公司的信息安全管理和监控。

转载请注意出处:互联安全网(www.sec120.com)



安全编程人员供不应求,安全检测渐成热点

2006年12月31日 中国工商银行被黑

事件回放:
06年的最后一天,很多网友都收到一些号称“工行要倒闭,所有存款均没收”之类的新闻链接,地址都是正牌的icbc.com.cn,而不是盗版的1cbc.com.cn。原来工商被黑客入侵,截止当天晚上11点,发现此漏洞已经修改好。

原因解秘:
其实,在工行的网站上随便点几个连接,就能发现出现类似的问题的地方很多,不光是大家广为流传的hotspot.jsp那个页面,index.jsp也有类似效果,欺骗性还是相当强的。究其原因,其实很简单,为了让页面模版变的灵活,程序员决定在模版页面上加一个参数:column,这个参数的用途,是用来在页面上写出来栏目的名字。这样一来,“工行简介”这个页面,只要在地址里面写上“column=工行简介”,就ok了。其他栏目以此类推。灵活当然是很灵活了,但是,输入的内容竟然没有做任何校验,就直接显示在了页面上。实乃兵家大忌。正因为如此,黑客才利用这个程序本身的缺陷而带来一种被黑的假象,事实本次攻击对于银行本身没有多大威胁,但对于一个银行来讲对声誉造成了极大的破坏。

互联安全网(sec120.com)专家深度盘点:
这是web程序的漏洞,是由于程序员的疏乎所造成。这次仅仅是被人换成个“工行倒闭”,然后发给别人看,这算不了什么大不了的,也就是好玩而已。但是这个地方竟然可以嵌入html代码,这可就太糟糕了。一旦可以用html代码,就不是修改一点点文字,而是可以改变页面的功能了。比如说,我们在另外一个站点放一个输入用户名密码的对话框,然后用 iframe把这个页面嵌入到工行的网站上,然后用“新年礼品”之类的方式骗别人输入网上银行的账号密码,有多少人会上当?其实问题很容易解决,一是,广大公司能请一些精通安全编程的高级程序员来为自己量身打造web程序,二是请安全检测公司对上线前的web程序进行安全检测,以确保安全。

转载请注意出处:互联安全网(www.sec120.com)

 

======全球免费中心版权声明(本站从09-4-29开始加强免费资源版权管理)=========
不管出于何目的转载本文,请注明版权信息(包括来源和作者),否则一经发现将逐个处理。
若本站转了您的信息而未标明或标错或未找到出处而没标明的,请联系我们,2天内处理。

网友评论

 

因为目前没有时间可以管理评论,所以暂停评论功能!2009.12.19

 

随机推荐

专题与标签

本分类排行榜:

本分类好评榜:

全站随机推荐

© 2005-2020 free789免费中心 | Power by Free789 v18 | 联系我们 | 关于本站
如何访问 | 广告服务 | 免责声明 | 版权声明 闽公网安备 35052402000110号
GMT +8, 2024-03-28 17:22:15, Processed in 17.3ms 闽ICP备12008353号-2
本站程序和风格皆由站长飕飕然100%原创制作,谢绝模仿,违者必究。
本站页面兼容几乎所有主流浏览器,您可根据自己的喜好选择浏览器。
原名『全球免费中心』,于2013年6月16日改名为『free789免费中心』