黑客破解Email帳號常用的三種方法

[psac]

電子郵件並不是安全的，在郵件的傳送、傳送和接收整個程序中的每個環節都可能存在薄弱環節，惡意用戶如果利用其漏洞，就能夠輕易的破解出帳號，獲得郵件內容。

　　一、利用郵件伺服器操作系統的漏洞

　　郵件伺服器軟體是執行在特定的操作系統上的，如Linux、Windows NT/2000等。這些操作系統的預設安裝和組態都是不安全的，黑客可以輕易入侵系統，獲得所有用戶名和密碼。

　　1 Windows伺服器

　　如果是關於Windows2000的Exchange Mail Server，系統本身未做任何安全組態，開放了若干服務。入侵者可以利用終端伺服器結合中文輸入法漏洞或者IIS的Buffer Overflow程序獲得Administrator權限，用pwdump3匯出Hash過的密碼，再用L0pht掛接字典或者Brute Force就能破解出用戶密碼。根據經驗，如果密碼簡單，幾分鍾之內就能破解出，長度在8位及以下的用Brute Force方式在一天內就能解出。

　　2 Linux/UNIX伺服器

　　UNIX類系統一般採用Sendmail作為郵件系統，在獲得了系統的控制權之後，用John等軟體就能從/etc/passwd或者/etc/shadow中破解出密碼。如果採用了資料庫方式來儲存用戶訊息和密碼，也是很容易被匯出。

　　二、利用郵件伺服器軟體本身的漏洞

　　最一般的郵件伺服器程序有Sendmail，Qmail等，在不同程度在都存在安全缺陷。以Sendmail為例，再以前的老版本中，telnet到25連接阜，輸入wiz，然後接著輸入shell，就能獲得一個rootshell，還有debug指令，也能獲得root權限。Qmail相對Sendmail安全，但是Qpoper存在Buffer Overflow缺陷，能夠遠端得到rootshell，進而控制系統。

　　即使郵件伺服器是安全的，但是入侵者還能獲得更多的訊息，比如用戶名。telnet到25連接阜，輸入expn tom或者vrfy tom就能查詢系統是否有tom用戶。最新版本的Sendmail雖然禁用了這兩個指令，但是可以通過偽造發信人然後用rcpt to來判斷該用戶是否存在。

　　得到了用戶名，可以telnet到110連接阜，嘗試簡單密碼的連接，或者套用字典破解。

　　所以，必須禁止非本域的中繼利用（relay），或者採用現在很多ISP都採用的給SMTP加上發信認證的模組，這樣能夠增強郵件伺服器的安全。

　　除了POP3方式收信之外，比較流行的是在WEB界面上處理郵件。這種方式也不無弱點，一般是通過CGI來接受用戶傳送的表單FORM參數，包括username和password，如果正確，就可以進入處理郵件的頁面。破解已知用戶的密碼，有很多套用字典或者暴力組合的軟體可用，比較著名的是小榕的《溯雪》，在密碼簡單的情況下，很快就有結果。

　　WEB郵件系統都有「忘記密碼」的選項，如果能破解寄回密碼的另外一個郵信箱或者猜出提示問題的答案，也能成功。

　　三、在郵件的傳輸程序中竊聽

　　在網路中安裝Sniffer，指定監聽往外部伺服器110連接阜傳送的資料包，從收集下來的訊息中檢視user和pass後的字元串就能看到用戶名和相應的密碼。

[psac]

關於黑客入侵網路的證據收集與分析

如果有未經使用權的入侵者入侵了你的網路，且破壞了資料，除了從制作備份系統中恢複數據之外，還需要做什麼呢?

　　從事網路安全工作的人都知道，黑客在入侵之後都會想方設法抹去自己在受害系統上的活動記錄。目的是逃脫法律的制裁。

　　而許多企業也不上報網路犯罪，其原因在於害怕這樣做會對業務運作或企業商譽造成負面影響。他們擔心這樣做會讓業務運作因此失序。更重要的是收集犯罪證據有一定困難。因此，CIO們應該在應急回應系統的建立中加入電腦犯罪證據的收集與分析環節。

　　什麼是「電腦犯罪取證」?

　　電腦取證又稱為數位取證或電子取證，是指對電腦入侵、破壞、欺詐、攻擊等犯罪行為利用電腦軟硬體技術，按照符合法律規範的方式進行證據獲取、儲存、分析和出示的程序。從技術上，電腦取證是一個對受侵電腦系統進行掃瞄和破解，以及對整個入侵事件進行重建的程序。

　　電腦取證包括物理證據獲取和訊息發現兩個階段。物理證據獲取是指調查人員到電腦犯罪或入侵的現場，尋找並扣留相關的電腦硬體;訊息發現是指從原始資料(包括文件，日誌等)中尋找可以用來證明或者反駁的證據，即電子證據。

　　除了那些剛入門的「毛小子」之外，電腦犯罪分子也會在作案前周密佈署、作案後消除蛛絲馬跡。他們更改、移除目標主機的日誌文件，清理自己的工具軟體，或利用反取證工具來破壞偵察人員的取證。這就要求我們在反入侵的程序中，首先要清楚我們要做什麼?然後才是怎麼做的問題。

　　物理取證是核心工作

　　物理證據的獲取是全部取證工作的基礎。獲取物理證據是最重要的工作，保證原始資料不受任何破壞。無論在任何情況下，調查者都應牢記5點1)不要改變原始記錄;(2)不要在作為證據的電腦上執行無關的操作;(3)不要給犯罪者銷毀證據的機會;(4)詳細記錄所有的取證活動;(5)妥善儲存得到的物證。如果被入侵的電腦處於工作狀態，取證人員應該設法儲存盡可能多的犯罪訊息。

　　要做到這5點可以說困難重重，首先可能出現的問題就是無法保證業務的連續性。由於入侵者的證據可能存在於系統日誌、資料檔案、暫存器、交換區、隱藏文件、空閒的磁牒空間、列印機快取、網路資料區和計數器、用戶工作儲存於器、文件快取區等不同的位置。由此看見，物理取證不但是基礎，而且是技術難點。

　　通常的做法是將要獲取的資料包括從記憶體裡獲取易滅失資料和從硬碟獲取等相對穩定資料，保證獲取的順序為先記憶體後硬碟。案件發生後，立即對目標機和網路設備進行記憶體檢查並做好記錄，根據所用操作系統的不同可以使用的記憶體檢查指令對記憶體裡易滅失資料獲取，力求不要對硬碟進行任何讀寫操作，以免更改資料原始性。利用專門的工具對硬碟進行逐扇區的讀取，將硬碟資料完整地複製出來，便於今後在專門電腦上對原始硬碟的映射文件進行分析。

　　「電腦法醫」要看的現場是什麼?(日誌)

　　有的時候，電腦取證(Computer Forensics)也可以稱為電腦法醫學，它是指把電腦看作是犯罪現場，運用先進的辨析技術，對電腦犯罪行為進行法醫式的解剖，搜尋驗證罪犯及其犯罪證據，並據此提起訴訟。好比飛機失事後，事故現場和當時發生的任何事都需要從飛機的「黑匣子」中獲取。說到這裡您可能就猜到了，電腦的黑匣子就是自身的日誌記錄系統。從理論上講，電腦取證人員能否找到犯罪證據取決於:有關犯罪證據必須沒有被覆蓋;取證軟體必須能找到這些資料;取證人員能知道這些文件，並且能證明它們與犯罪有關。但從海量的資料裡面尋找蛛絲馬跡是一件非常費時費力的工作，解決這一難題方法的就是切入點，所以說從日誌入手才是最直接有效的手段。

　　這裡還需要指出，不同的操作系統都可以在「Event Viewer Security」(安全事件觀察器)中能夠檢查到各種活動和日誌訊息，但是自身的防護效能都是非常低，一旦遭受到入侵，很容易就被清除掉。從中我們可以看到，專業的日誌防護與分析軟體在整個安全產品市場中的地位之重，無需置疑。