Archive for July, 2007

[转贴]口令攻击的主要方法及防护手段

July 16, 2007

口令攻击的主要方法

  1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。

  2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。

  3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到
成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破
译出来。

  4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。

  5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。

  避免以上四类攻击的对策是加强口令策略。

  6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。

  7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。

  8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。

  9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。

  避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。

  口令攻击的防护手段

  要有效防范口令攻击,我们要选择一个好口令,并且要注意保护口令的安全。

  1、好口令是防范口令攻击的最基本、最有效的方法。最好采用字母、数字、还有标点符号、特殊字符的组合,同时有大小写字母,长度最好达到8个以上,最好容易记忆,不必把口令写下来,绝对不要用自己或亲友的生日、手机号码等易于被他人获知的信息作密码。

  2、注意保护口令安全。不要将口令记在纸上或存储于计算机文件中;最好不要告诉别人你的口令;不要在不同的系统中使用相同的口令;在输入口令时应确保
无人在身边窥视;在公共上网场所如网吧等处最好先确认系统是否安全;定期更改口令,至少六个月更改一次,这会使自己遭受口令攻击的风险降到最低,要永远不
要对自己的口令过于自信。

[转贴]常见的网络钓鱼的攻击方式

July 16, 2007

 1、网上拍卖不给商品

  美国联邦贸易委员会最新公布的《扫荡网络诈骗》报告中,列举了全球十大最流行、最猖獗的网上欺诈手法,其中以网上拍卖名列榜首,受害人大多数是中标付
款后却收不到商品。据2002美国全国消费者协会调查,去年一年,美国有41%的网上拍卖交易买方投诉被骗,人均损失326美元。而据IFCC调查,网上
拍卖活动中发生的诈骗案件占全部网上诈骗案件的43% 。

  这种最直白的行谝手法居然在我国也大行其道。山东泰安的王先生,他在雅宝拍卖网上通过网上竞价的方式购买了一部Nokia8810手机。汇款给卖主
后,王先生就和这位名叫“kiss590069”的物主失去了联系。后经调查发现:这位“kiss590069”还通过类似的方法,骗取了另外四位网友的
钱。在警方的介入下,才得以挽回了损失。类似的案例在网上比比皆是。

  2、发送电子邮件以虚假信息引诱用户中圈套

  如去年2月份发现的一种骗取美邦银行(Smith
Barney)用户帐号和密码的“网络钓鱼”电子邮件,该邮件利用了IE的图片映射地址欺骗漏洞,并精心设计脚本程序,用一个显示假地址的弹出窗口遮挡住
了IE浏览器的地址栏,使用户无法看到此网站的真实地址。当用户使用未打补丁的Outlook打开此邮件时,状态栏显示的链接是虚假的。

  当用户点击链接时,实际连接的是钓鱼网站http://**.41.155.60:87/s。该网站页面酷似Smith Barney银行网站的登陆界面, 用户一旦输入了自己的帐号密码,这些信息就会被黑客窃取。

  3、建立假冒网站骗取用户帐号密码实施盗窃

  犯罪分子建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站,引诱用户输入账号密码等信息,进而通过真正的网上银行、网上
证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金;还有的利用跨站脚本,即利用合法网站服务器程序上的漏洞,在站点的某些网页中插入恶意Html代码,屏
蔽住一些可以用来辨别网站真假的重要信息,来窃取用户的真实信息。

  例如,曾出现过的某假冒银行网站,网址为1cbc.com.cn。而真正银行网站是icbc.com.cn,犯罪分子利用数字1和字母i非常相近的特点企图蒙蔽粗心的用户。

  又如2004年7月发现的某假网站(网址为1enovo.com)而真网站的网址为lenovo.com,诈骗者利用了小写字母l和数字1很相近的障眼法。通过QQ散布“XX集团和XX公司联合赠送QQ币”的虚假消息,引诱用户访问该假网站。

  用户一旦访问该网站,首先生成一个弹出窗口,上面显示“免费赠送QQ币”的虚假消息。而就在该弹出窗口出现的同时,恶意网站的主页面就会在后台通过多
种IE漏洞下载病毒程序lenovo.exe(TrojanDownloader.Rlay),并在2秒钟后自动转回到真正的网站主页,使用户在毫无觉察
中就感染了病毒。

  病毒程序执行后,将下载该网站上的另一个病毒程序bbs5.exe,用来窃取用户的传奇帐号、密码和游戏装备。当用户通过QQ聊天时,还会自动发送包含恶意网址的消息。

  4、利用虚假的电子商务进行诈骗

  从事这类网络诈骗活动的不法分子,大都采用在知名电子商务网站如“易趣”、“淘宝”、“阿里巴巴”等,发布虚假信息,以所谓“超低价”、“免税”、“走私货”、“慈善义卖”的名义出售各种商品。很多人在他们低价的诱惑下上当受骗。

  由于网上交易多是异地交易,通常需要汇款。不法分子一般要求消费者先付部分款,再以各种理由诱骗消费者付余款或者其他各种名目的款项,等到钱款或他们的伎俩被识破时,就立即切断与消费者的联系。

  5、利用木马和黑客技术窃取用户信息后实施盗窃

  木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金必然受到严重威胁。

  去年网上出现的、盗取某银行个人网上银行帐号和密码的木马Troj_HidWebmon及其变种,它甚至可以盗取用户数字证书。又如去年出现的木马
“证券大盗”,它可以通过屏幕快照将用户的网页登录界面保存为图片,并发送给指定邮箱。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的账号和
密码,从而突破软键盘密码保护技术,严重威胁网上证券交易安全。

  6、网址欺骗

  网址欺骗是网络骗子利用人们很难记住众多网址的特点,采用以假乱真的手法进行的又一种
“网络钓鱼”诈骗活动,中国一名捐款者用搜索引擎查找到一个名为“中华慈善总会”的网站chinacharity.cn.net,结果却发现真网址应该为
chinacharity.cn。前者比后者只多了个net,已经完全到了以假乱真的地步。

  7、利用用户弱口令等漏洞破解猜测用户帐号和密码

  不法分子利用部分用户贪图方便的特点,在一些网站设置弱口令的漏洞,对银行卡密码进行破解。如2004年10月,三名犯罪分子从网上搜寻到某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解了弱口令,并屡屡得手。

  8、利用手机短信进行诈骗

  手机的普及使犯罪分子觉得利用手机短信进行诈骗,十分方便而又快捷。于是,近年来利用手机短信进行诈骗的活动猖獗起来。 由一部储存着手机号码的电脑控制的“群发器”,平均3秒就发出一条短信息。

  而更令人震惊的是,被视为高度机密、连警方办案都提取不到的各省市移动电话号码分段表,在犯罪分子的电脑里居然可以查到。不仅如此,作案者的电脑里的
控制软件还有自动识别功能。尾数为“8888
”等吉利数字的手机,给它发出的短信“中奖奖品”起码是一辆汽车。软件设计者显然知道,用数字吉利的电话号码者多是有钱人。而这些犯罪嫌疑人利用自制的手
机短信群发器,在1分钟内就可以向全国各地发出一万条诈骗信息,如果一万个人中有几个人上当,他们的收入就很可观了。

Transformers——电影、游戏及回忆

July 15, 2007

最近RP大爆发,网速下载峰值可达240+K/s,平均也有100+K/s的速度,完全可以过着边下载边看在线的幸福生活。

PPStream上的枪版弄得还可以,只要不认真听几乎就听不到里面的观众交流的声音,不过听到笑声再所难免,就当是又被某些情景喜剧恶心了一回吧。

血腥、暴力、蛮横、无理,狂派和博派们的大碰撞终于在大银幕上演。让战斗更加纯粹,让热血再次沸腾,每一次变形都把曾经的记忆又拉近了一些,直到儿时的梦中景象与眼前的镜花水月重合。抛开那些抱怨吧,例如造型不符合审美观、故事结构单调且无趣……我知道自己并不是冲着故事情节来的,之所以看不习惯造型完全是因为最近又重温了一遍变形金刚动画版的缘故,于是,刨去Sam被抓后打瞌睡的20分钟,其余时间真的是在享受《变形金刚》给我带来的回忆、震撼和快乐。

该片在有限的时间内,既要将变形金刚的来历讲清楚,又要安排一小段故事情节,甚至还要将反派头子干掉,实在是不容易,因此也给我很匆忙的感觉。总算几段战斗场面比较过瘾,就是年龄大了跟不上战斗节奏……

在Autoblog上早已看过各机体的图片,因此这年头想得到惊喜确实挺难的。

BTW,昨晚玩了一会儿《变形金刚》的游戏,感觉头晕。选择博派的前两个任务是控制大黄蜂来完成的,击毁敌方即可。其中的第二个任务是拯救Sam(当时还不知道Sam是干什么的呢~),救了5次未遂,遂放弃改玩狂派。想不到一上来就要操纵直升飞机状Robot对某空军基地进行破坏(莫非是卡塔尔的基地?),开车还马马虎虎,飞到天上就完全不行了,在空中几乎无法攻击到人类的直升机,所以只好降到地上当成高射炮来用。看来自己的破坏欲亟待提高,玩了三遍才将完成度提高到100%。头晕眼花中……

校园最后一瞥

July 13, 2007

最后一次在越看越便宜的校园食堂吃饭。
最后一次在贵得要死的教育超市挨宰。
最后一次在活动中心门口眺望教学楼。

那一刻,百感交集……

SH聚会

July 12, 2007

七月八日,我与这些一直在SH读大学的高中同学们终于有了相聚一堂的机会。
M这次要去SZ工作,途中转道SH与大家相聚。
下午四点二十五分,我在火车站接站,M风尘仆仆拎个皮箱背个书包从车站里走了出来。在闷热的三号线站台闲谈,话题围绕着还留在FS的我想了解的人们一直延续到FD东门,此次聚会的集合地。“日月光华,旦复旦兮”,上次匆匆地在这座典雅的、飘荡着浓郁怀古气息的校园内穿过没有仔细领略她的风采。这次,在夕阳映照下的午后观赏XX楼和YY湖别有一番风情。
S和他的GF先到了。本校直研,没见瘦。上次M来SH的时候与S有一面之缘,只是两年内再未联系过。
W站在我们身边10秒后才被人发觉。头发变色了,脸上痘多了。看上去风采依然,果然是从“爱在HSD”里出来的。据说四年没碰足球了,班里有限的雄性除他之外似乎都是篮球爱好者。
等了大概一刻钟,Z终于出现在我们的视野内。今天她搬家,从SH的东北角把东西一股脑地转移到偏南一隅的JD闵H校区。迟到是Lady的天职,况且人家又是东道……晚上饭后走在FD校园中还在Z的多次提示下观赏了FD的应届毕业生名单一览,那气势……此是后话。