消失的信用卡——信息

消失的信用卡——信息

軟件開發人員和網絡管理員的有趣的缺點之一是：他們似乎沒有意識到即便是一個很小的信息漏洞也會導致巨大的安全突破。他們還是無正當理由的在各個位置遺留了信息。

也許是觀念問題。當你瀏覽了使服務器安全的所有步驟，很難想像幾個小的信息的用途。但是黑客們沒有看到你對網絡安全已經做的，只看到你沒有做的。開發者和管理員確切地弄明白什麼信息對黑客是有用的也有一些困難。

例如，幾個Windows管理員採取措施保護他們的IIS日誌文件。一般在IIS機器上，我能發現自從服務器安裝以來每個曾經創建的日誌文件。

黑客怎麼使用日誌文件？

場景1

有一次，我闖進了一家賣高價通信業簡訊公司的Web服務器。公司有五種不同的簡訊，每種簡訊每年的訂價是$1,000。我也注意到訂單包括一個讓公司自動在你訂購結束後再發來讓你信用卡付費賬單的選項。這意味着公司保存着信用卡號。而且不只是一些信用卡號——還有高限額的公司卡。

闖入了Web服務器以後，我認識到它是一個沒有連接到公司網絡的共存的服務器，公司沒有把真實的信用卡信息保存在Web服務器上，所以它證明那兒沒有什麼有用東西。下一步我要弄明白這個公司實際上在Internet的哪個地方，那正是遲早會有用的IIS日誌文件所在的地方。

瀏覽日誌，很清楚，一些IP地址比另外一些IP地址更常出現。我考慮這個公司的員工會比任何別的人更常訪問他們的Web站點，我是正確的。這些IP地址把我帶到了一個不安全的DSL，連接到他們的公司辦公室再連到祕書的PC。就在她的Windows桌面上是一個Excel電子表格，名字叫rebills.xls。

場景2

從前我試圖攻擊一個色情站點。通常，色情站點沒有好的列表，因爲用來訂購的信用卡有一半已經被偷了。但是色情站點確實提供了一個可用在其他攻擊中的很好的信息源。我並不真正進入服務器，但是我通過一些巧妙的猜測來查找地點（管理員保存日誌文件的一個目錄）。

許多Web瀏覽器有一個功能，可以方便地把用戶名和密碼作爲URL的一部分輸入。如果用戶名是joe，密碼是joe99，可以這樣輸入URL：

許多人沒有意識到的是：你瀏覽的每個URL都會把前一個URL顯示爲Web服務器日誌文件的參考字符串。日誌條目看上去是這樣：

我瀏覽日誌並收集了用戶名和密碼的列表。通過我做的一個腳本試了列表中每個用戶名/密碼來訪問幾個流行的Web站點，例如：Hotmail，Yahoo!，eBay，PayPal，E*Trade等等。人們時常爲不同的賬號使用相同的用戶名和密碼。

顯然這就是爲什麼我想要別人的PayPal賬號和Hotmail賬號的原因？答案是當有人標記某事時，他們常常獲得有用戶名/密碼的確認郵件，有時候還有其他的識別信息。這些E-mail總是建議用戶將E-mail保存下來以後參考。我要去的第一個地方是保存的E-mail文件夾，看看我能收集什麼其他的信息。都怪一些色情站點不保留其日誌文件。

場景3

在擁有一個服務器後，我喜歡瀏覽日誌文件來尋找其他入侵者的證據。我首先這樣做是因爲我不想競爭，第二其他黑客們常因不小心而被抓住。如果一個黑客被抓住，就會使公司因害怕而更安全，然後那也成了我的問題。我寧願沒有任何別的人在我的服務器上。所以我搜集日誌文件並打上漏洞補丁。

除了日誌文件還有其他地方可以找到信息。在攻入服務器之後我首先要做的一件事情是檢查最近的文檔歷史、cookies、回收站以及Windows註冊表中許多最近使用過（MRU）的列表。我這樣做是因爲，我認爲如果什麼東西是重要的，那麼管理員很可能在過去的30天之內訪問過。從那兒，我就發現了他們訪問了哪個Web站點，是否安裝了FTP客戶端。這些似乎都不重要，但這是能使我進一步進入到他們網絡的信息。

我收集所發現的全部信息。事實上我要找的就是數字、名字、地址、日期等信息。我每天盯着成千上萬的消費者的名字，但是現在他們看上去對我都一樣了：不過是字符串，數據庫中的字段，線路的字節。我是一個傑出的黑客，我的成功之處就是沒有人知道我真的是這麼好。

我要退出去了。

再見。

我一關閉機器，dis-card就不再存在了。我上牀睡覺，第二天早上醒來就去上班。第二天晚上，我再登錄進來，又開始整個過程，掙錢太容易了。