揭秘：网吧被黑案的背后

ITadmin 提交于2007-10-28 15:26:12

标签

10月27日报道今年10月下旬，一名男青年李小强因涉嫌使用“黑客技术”入侵了市区某网吧管理系统，被环翠公安分局北沟派出所依法刑事拘留。
　　在长达一年的时间里，犯罪嫌疑人利用远控类软件秘密充值数千个小时（网吧的会员充值为1元一小时），给该网吧造成万余元的经济损失。
　　据一名办案民警介绍，这也是近年来环翠北沟警方首次受理涉及计算机系统方面的案件。
　　一般来讲，对会员进行现金充值，是坐在管理主机旁边的网吧管理人员所拥有的权限。
　　而这种“权限”一旦被别有用心的人窃取，其后果不言而喻。
　　日前，本报记者就此展开了采访。
　　事件：充值管理系统被“入侵”
　　10月23日下午，记者前往环翠公安分局北沟派出所，采访了侦办此案的相关人员。
　　“这样的案子在我市是很少见的”办案民警说。据介绍，犯罪嫌疑人李小强曾是该网吧的网管员，干了一个多月后就辞职了。
　　由于身为网吧管理，他管理并维护着网吧的整个微机系统，因此对电脑系统里可能或已经存在的一些漏洞，称得上是了如指掌。
　　这些漏洞成为他后来可咨利用的一个秘密渠道，也因为他的老板，本身并不掌握多少电脑知识。
　　在离开这家网吧之后，隔了一段时间，李小强又曾经回到网吧上网，而在这段时间里，他利用自己所掌握的技术知识，在系统中设置了一个“后门”。
　　设置了这个“后门”后，他可以以此启动一种远程控制软件来对网吧主机进行“秘密状态的管理”，可以浏览主机中保存的各种数据，并且在上面做手脚，并且没有被人发现。
　　此后，李小强利用远控工具开始给他的一些朋友的会员卡充值，使后者享受起“免费上网”的待遇，最大的数额甚至超过两千元，最小一笔也有近百元。
　　这种状态持续了近一年之久，他渐渐陶醉在这种不劳而获的“快感”里，而网吧的管理者，尽管有时候会感觉网吧的收入莫名其妙减少了很多，但因不熟悉电脑相关知识，因此对内部微机上悄然发生的异常情况仍毫无察觉。
　　直到今年10月中旬，他的行为被一个知情人举报后，环翠北沟警方经过侦查布控，将李小强抓获归案。
　　经过审讯，李小强供认了自己的违法犯罪事实。
　　揭秘：“黑客”工具来源于互联网
　　根据民警的介绍，犯罪嫌疑人所使用的“入侵”网吧的工具，是从网上下载的。由于其本身具备一定的电脑操作知识，而在网络上下载的工具又捆绑有相关的“教程”，按照步骤操作就可完成入侵。
　　记者在采访中了解到，这些入侵、破解类的工具，基本上都是一些热衷于“黑客技术”的电脑爱好者所制作或改写的，而这在网络界也已经不是什么秘密了。他们将这些经过加工的“作品”放到互联网上，美其名曰“技术共享”，使任何浏览站点的人都能下载和使用。
　　记者通过几个网络引擎查找发现，很多破解类工具来源于一些被冠以“黑客”之名的站点，而且种类五花八门。破解网吧系统之类的软件，只不过是其中的一种。
　　可以想象，这些工具一旦被居心不良者所利用，将会产生怎样的后果。
　　威海网络界一名知情人在接受记者采访时表示，现在的网吧主机操作系统基本上都是win2000/2003等这类服务型操作系统，而系统自身就提供了很多种管理方式。如IPC$、远程桌面等。他们本身是安全的，但是如果管理员帐号没有密码、或从来不打补丁的话……就存在一定的安全风险。
　　由于网吧管理人员的安全意识淡薄，有的机器甚至没有设置应有的管理员密码，有的从来或很少升级安全补丁，导致系统中“破绽百出”，这些安全漏洞给别有用心者以趁之机，后者才能够秘密下载并运行木马程序，来达到远控、盗取或其他目的。
　　据我市一名网络技术爱好者透露，目前所流行的入侵网吧主机的方法很多。举个简单的例子，比如利用“IPC$”， “IPC$”本身是系统里用来管理的一个命令行管道，而入侵者只要通过非法技术手段掌握了管理员的帐号、密码。通过这个管道，就可以直接拿到“权限””，从而达到不可告人的目的。所以，如果你的主机上根本没有设置管理密码，那的确是很危险的。
　　此外他认为，这样利用别人编写的工具来做违法乱纪的人，不能被称之为黑客，业界用“黑黑客”这个词汇来形容那些胡作非为的人。而对黑客的真正历史定义，是指专门研究、发现网络和计算机漏洞的计算机爱好者，黑客的存在是源于计算机网络技术的不健全。
　　而无论黑客的职业操守究竟如何，那些用以漏洞扫描，渗透入侵，破解加密及秘密远控的软件工具在互联网上的泛滥，如今已是一个不争的事实。
　　暗访：系统中存在漏洞
　　从10月24日起，记者分别来到市区的多家网吧进行暗访。目的只有一个，做一个简单的“测试”，找找电脑里病毒的存在情况。
　　10月24日上午，市区文化中路附近，一家可容纳几十人同时上网的网吧，记者在收银台刷了卡，随便找了台机器打开。
　　机器上使用WINDOWSXP系统，上网速度倒是挺快，但接下来无论在桌面图标，还是系统分区磁盘上，记者也没有找到一款可以用来扫描和查杀木马病毒的安全软件。
　　几分钟后，记者从国内某正规网站上，下载了一个知名的免费查毒软件，安装之后开启实时保护，该杀软窗口的提示为：“您的电脑中从未进行过木马扫描”，接下来执行对分区磁盘的扫描。
　　很短的时间内，记者看到扫毒软件相继从系统中扫描出多个木马和病毒，在使用网络引擎查找木马种类来源时，发现这是用来盗取客户机上一款流行的网络游戏账号的木马程序。根据相关的介绍，该木马程序随着WINDOWS的启动而运行，潜伏在电脑里，并注入到进程中，通过内存读取的方式获取帐号和密码，然后根据木马种植者的指令发送到指定的地址。
　　还有的木马程序通过名字，直接就可以判断出来，如XXQQ大盗之类的中文名称的木马，经常使用QQ通讯工具的网民，都知道这是用来盗取QQ账号和密码的。
　　用杀软功能清除了这些潜在的隐患之后，记者又通过安全工具查了一下系统漏洞，这台机器显然是很长时间没打补丁了。
　　只需要一个简单的检测工具就能扫描出来，在机器上显示出多处尚未修复的系统漏洞，这些被忽略的漏洞，可以被他人利用执行远程代码，从而容易遭受攻击。随后，记者又换了一台机器，如法炮制，仍然检测到机器里存在着各种各样的木马病毒。
　　据了解，这些潜在的木马病毒，有的是网民在浏览一些恶意网页时，不知不觉被嵌入到电脑上的，有的是远程接收带毒文件时受到感染的，更有甚者，属于“本地下载”，被别有用心的上网者植入系统。
　　10月25日下午，记者来到市区的一家大型网吧，根据安全界人士的说法，任何一款单一的杀软，都不能够查找和清除所有的病毒，于是记者分别在网上下载了两种扫毒软件，进行简单的检测，结果发现分别查出不同的几种木马病毒，如木马加壳器、Trojan-psw.win32.lmir.bcl之类的盗号程序。
　　记者在采访中了解到，一般网民上网根本不会去关心机器里有没有安装什么病毒防御软件，他们要么上网聊天，要么玩游戏。所以在网吧的单机中，鲜有安装杀毒或清除木马的查杀工具。
　　而根据知情人士的透露，目前网吧都有硬件的“还原卡”或一些“还原软件”，不管通过软件还是硬件，系统里都保存了一个固定时候保存下来的系统镜像，只要电脑一重启，就会自动重新变回开机时的状态，这就是说，即使被人为下载了病毒程序，一旦系统重新启动，将自动被清除掉，所以通常不需要执行单机的杀毒，否则这样管理起来会很费劲。
　　对于记者在个别网吧所发现的，开机后查出病毒的存在，而系统重新启动之后仍能够发现病毒存在的疑问，他解释说，还原卡一般是提供全盘保护的，如果说重启系统后，还有病毒存在，那就说明在系统备份之前，机器里可能就已经被人种植了木马。
　　而网吧的机器之所以一般都不打补丁，是因为普遍认为即使感染了病毒，一重启机器就被“还原”掉了，安全风险仍然存在但并不高。但是网吧主机因为储存有大量关键数据，而不可能配置还原保护的，所以其他机器不打补丁是可以理解的，但主机不及时打上漏洞补丁的话，就变得脆弱和易受攻击了。
　　解析：系统的漏洞终究是人的漏洞
　　国内安全业一个著名的黑客“蓝轩星坤”曾对记者表示：“在安全缺陷日益凸显的今天，攻击与防御的对立空前激烈。系统安全首先是要有安全意识，可惜这种意识往往被很多管理者忽略。所以说，网络安全最薄弱的环节并不是系统漏洞，而是人的漏洞，”
　　系统的漏洞，归根结底是人的漏洞。
　　网管员，顾名思义，首先要有相应的网络管理操作知识。
　　但遗憾的是，记者在采访中发现，个别网吧的“网管员”，几乎就等同于收银员，除了开机关机，充值收费，其他技术问题“不清楚”，“不了解”……
　　10月25日中午，在市区的一家网吧，记者在下机结帐时，对坐在柜台后面的年轻漂亮的女网管，随意聊了些电脑方面的话题，她脸上呈现出茫然之色。
　　个别网吧的管理者似乎患上了“软件倚赖症”，认为安装了一个保护软件就“万事大吉”，因而忽略了各类系统漏洞的修复。
　　可是，仅仅有硬件的保护，就能保证“权限”始终掌握在你手中吗？
　　举个简单的例子，即使机器配置了常用的还原保护，但是被别有用心的人，利用工具卸载，或是破解了还原的默认管理密码，然后下载木马……，诸如此类的方法在“信息发达”的互联网上也是“公开的秘密”了。而根据威海市公安局公共信息网络监察支队有关人士的介绍，根据国家计算机管理法规中的相关规定，破解网管软件是一种违法行为。
　　记者在采访中发现，市区一些大型网吧还是比较注重安全管理的。位于繁华路段的一家网吧，为了约束上网者擅自退出网管软件，随意下载运行不明文件的行为，为此在吧台上方挂起了红色警示牌，提醒人们做到安全上网。
　　根据业内人士的介绍，一个称职的，合格的网管人员，除了要维护好内部上网秩序之外，最起码要有“居安思危”的安全意识，网络发展到今天，技术的更新速度是非常之快的，硬件和软件可以因为成本问题而滞后，如果安全意识再上不去，出现损失将后悔莫及。
　　单从技术角度来讲，应该给网吧路由器设置好密码、网吧主机设置复杂一些的密码、打全安全补丁、安装并定时更新防火墙、杀毒软件，定时为主机做扫漏检查。
　　而这些简单的小手术，对有经验的网管人员来说，很容易便可做好。
　　引用黑客“蓝轩星坤”对网络安全管理的理解：“只要付出1%的努力，就可以让99%的入侵者束手无策。”（文中人物为化名）
【点击进入链接 http://www.itadmin.com.cn/news/view.asp?id=104