黑客組織Anonymous組織采用了一系列簡(jiǎn)單的技術(shù)方法和社會(huì)工程學(xué)來攻擊安全技術(shù)公司HBGary Federal公司的網(wǎng)絡(luò)，這其中涵蓋的很多網(wǎng)絡(luò)技術(shù)問題都值得其他網(wǎng)絡(luò)安全專家借鑒。

最重要的教訓(xùn)就是：認(rèn)真遵循企業(yè)防御基本的最佳做法。另外還可以從HBGary Federal被攻擊事故中學(xué)到其他很多教訓(xùn)。

在傳出HBGary Federal公司的首席執(zhí)行官Aaron Barr掌握這個(gè)秘密國(guó)際組織的成員資料，并已經(jīng)開始致力于揭露他們的身份進(jìn)入與聯(lián)邦調(diào)查局的調(diào)查合作的階段，這隨即激怒了Anonymous組織，他們開始鎖定HBGary Federal公司進(jìn)行攻擊。Anonymous組織曾針對(duì)撤銷提供維基解密服務(wù)的業(yè)者展開攻擊。

HBGary Federal公司遭受了成千上萬封公司電子郵件被公諸于眾以及網(wǎng)站和首席執(zhí)行官的Twitter頁面被丑化的打擊，并且其公司名譽(yù)受到嚴(yán)重影響。

以下是避免Anonymous攻擊的七個(gè)方法：

1.不要假設(shè)你將受到的攻擊類型。Barr認(rèn)為Anonymous只是對(duì)該公司的網(wǎng)站發(fā)動(dòng)了DdoS攻擊，正如該組織對(duì)攻擊其他公司的攻擊方法一樣，然而事實(shí)卻并非如此。

2. 使用測(cè)試過的并且具有更新、補(bǔ)丁修復(fù)和支持的內(nèi)容管理體系。HBGary Federal公司為其網(wǎng)站使用的是自定義CMS，而這種體系很容易受到SQL注入攻擊，這也是讓Anonymous成功訪問HBGary Federal數(shù)據(jù)庫使用的伎倆。

3.對(duì)存儲(chǔ)在數(shù)據(jù)庫中的密碼進(jìn)行完全的hash或者rehash(重新創(chuàng)建hash機(jī)制使用的內(nèi)部表格)。HBGary公司確實(shí)對(duì)其密碼進(jìn)行了hash操作，但是他們沒有增加額外的字符(被用來移除以顯示真正的密碼)，也沒有rehash已經(jīng)散列的密碼來增加復(fù)雜性來破解散列中的密碼。這些密碼仍將容易受到暴力攻擊，不過攻擊者將需要花費(fèi)更長(zhǎng)的時(shí)間。

4.使用高強(qiáng)度密碼。使用了計(jì)算機(jī)鍵盤上各種類型字符的長(zhǎng)密碼將更難被攻破，因?yàn)檫@樣的話彩虹表(彩虹表就是一個(gè)龐大的、針對(duì)各種可能的字母組合預(yù)先計(jì)算好的哈希值的集合，不一定是針對(duì)MD5算法的，各種算法的都有，有了它可以快速的破解各類密碼)密碼攻破工具將很難成功攻破密碼。如果密碼是由長(zhǎng)串字符和計(jì)算機(jī)鍵盤上所有類型的符號(hào)(不只是字母和數(shù)字)組成的話，密碼哈希將會(huì)變得非常復(fù)雜，很難對(duì)這種密碼創(chuàng)建彩虹表。然而HBGary公司的管理人員使用的是簡(jiǎn)單的八位字符密碼，兩個(gè)數(shù)字和六個(gè)字母，彩虹表很快就能破解這種密碼。

5. 不要重復(fù)使用的密碼，有些HBGary公司管理人員使用相同的密碼來訪問公司的CRM系統(tǒng)和他們的網(wǎng)絡(luò)電子郵件，甚至還有Twitter，SSH驗(yàn)證和企業(yè)存儲(chǔ)服務(wù)器。攻擊者破解的密碼之一就是該公司電子郵件管理員的谷歌賬戶，由于他為多個(gè)賬戶使用相同密碼，這最終導(dǎo)致該公司的所有電子郵件被攻破。

6.保持系統(tǒng)更新，HBGary公司關(guān)鍵服務(wù)器存在一個(gè)已知的關(guān)于特權(quán)升降級(jí)的漏洞，而修復(fù)補(bǔ)丁也已經(jīng)發(fā)布，Anonymous利用了這個(gè)漏洞。

7.提高用戶對(duì)于社會(huì)工程學(xué)的意識(shí)。Anonymous從HBGary公司創(chuàng)始人Greg Hoglund被攻破的賬戶向網(wǎng)絡(luò)管理員發(fā)送電子郵件，要求他提供機(jī)密信息，就像Hoglund本人在詢問一樣。在回復(fù)郵件中，管理員打開防火墻端口，提供了Hoglund的服務(wù)器(該公司的rootkit.com網(wǎng)站的服務(wù)器)用戶名和密碼。

【編輯推薦】

1. 解讀黑客入侵?jǐn)?shù)據(jù)庫的六種途徑
2. 黑客揭秘：數(shù)據(jù)如何不翼而飛
3. 2010年揚(yáng)名的十大WEB黑客技術(shù)
4. 黑客開始利用蜜罐系統(tǒng)誘捕安全研究人員？