黑客揭秘：你的数据如何不翼而飞（上）

　　大多数人都认为应该防止黑客的入侵，但是一旦黑客进入了你们内部，他们又是如何将数据弄到外面的?Trustwave公司SpiderLabs的研究向我们揭示的答案往往非常简单。

　　网络犯罪分子在攻击的方法上变得越来越复杂。我们也往往将此等同于数据潜回的方法。尽管移动设备或物理盗贼也可以利用，但是数据的潜回或输出通常都是在网络渠道的系统上复制数据过程中发生的。

　　SpiderLabs 2009年对24个不同国家的200起数据违规事件进行了调查。虽然网络犯罪分子从违规环境中获取数据的方法多种多样，但是他们入侵某个环境的方法往往都是通过远程访问那些被目标企业使用的应用程序。在SpiderLabs的调查中，45%的违规事件是因为远程访问应用而使系统遭到违规的。并且不是零日漏洞攻击或复杂的应用程序漏洞，攻击现象看起来与IT员工和CEO在外出过程中远程连接网络并无太大差异。攻击者也不需要通过蛮力获得账户。SpiderLabs发现，90%的攻击事件得以成功因为供应商违约或易被猜透的密码，例如"temp:temp"或"admin:nimda" 。

　　一旦确立一个立足点，攻击者往往使用网络列举工具。网络列举工具往往被攻击者用来挖掘同一环境中的其他目标或检索系统信息用，例如用户名、组权限、网络共享和可用服务。如果列举工具收集到了噪音就可以排除受到攻击的可能。糟糕的是，我们发现多数机构都没有适当地对自己的系统进行监测，因此无法觉察到这些现象。

　　作为一种工具，它可以让攻击者通过可信的私人电路进入别的酒店物业系统。不法分子随后利用内部连接，最终导致那些物理分布比较分散的站点的数据被违规。

　　一旦攻击者获得目标企业的访问权限，他们就会使用手动或者自动的方法获取数据。使用手动方法可以盗取有漏洞的数据库和文件，使用特定的关键字进一步确定数据就可进行操作系统的搜索。

　　自动的方法主要是编写专门的恶意软件，利用处理机密信息的应用程序的安全控件中的漏洞来达到目的。一般来说，许多应用的安全设计并不适用于别的控件，数据处理组件的报警功能也不明确。虽然数据是由目标系统处理的，但可接收、储存加密数据并将数据传输到上游主机的目标系统易受到数据违规。这是因为系统处理数据必须被解密为RAM，以便应用程序可以使用。在这一过程中，2009年网络犯罪分子多次使用RAM解析器。67%的SpiderLabs调查与恶意软件有关，说明自动工具被用来获取非RAM的数据。