|
可能很多人都觉得,黑客是个很牛逼的职业,常常看到的美国大片里面,一个某某公司的小程序员或者贫民区里的一个黑胖子,坐在电脑面前,噼噼啪啪一整乱敲,就进去了CIA的服务器,然后获取出了自己想要的各种机密文件。 不过,这个在现实中其实是无法实现的,至少,要实现起来不是那么简单的。 对于黑客技术我并不是很熟,所以这里我仅仅是以我对信息安全的角度来描述一下吧。 我们一般攻破服务器有两种办法: 一种是暴力破解: 什么意思呢,我们都知道,不管是电脑,还是网站,我们要进入,就需要输入用户名和密码,那不知道用户名和密码怎么办? 那就通过计算机,来演算出各种可能性,然后一个一个的放到这个网站或者电脑上去试。那这种方式就是暴力破解了。 但是,计算机的演算能力是有限的,想要通过这种办法来演算出正确的用户名和密码,简直需要愚公移山的精神。 而且,就不要说我们还有很多防范的措施了。 我们最常见的防范措施,大家应该都熟悉,一个就是输入密码前,还要输入一个验证码,要我知道你是人,不是机器,但是,这个也是可以被模拟的。 所以我们就有第二个防范措施,也就是和银行卡一样,输入密码错误5次,今天你的账号就被锁了。 基本上,要演算出来正确的密码,那是以亿为单位的计算次数,一天如果我只有5次机会,那我这辈子都不可能完成了。 OK,这样说来,暴力破解没有意义嘛,基本没有傻子会犯这样低级的安全性错误。 但,有一个鼎鼎大名的公司,他的服务器就被暴力破解了。 那个公司的名字叫“苹果”。他的iCloud服务器就曾经被黑客暴力破解了,导致很多好莱坞明星的私密照片流到了网络上。 具体原因就不多说了,不然就说不完了。 那第二种是啥?其实就是通过漏洞攻击了。 任何的系统,都不可能说自己完全没有bug,所以,只要有bug,就可能会被发现,最后被加以利用。 可能这个bug不一定是windows系统的,我们的电脑上会安装各种各样的软件,某些软件其实会和互联网随时保持连接,那需要连接,就会开启一些端口,我们可以通过端口扫描的方式,发现某些端口是否被打开,然后在通过这些软件的漏洞,进入到这个计算机。 所以,如果是重要的服务器的话,你在安装任何的软件时,都会提醒你,是否信任并且要安装。 而且对于服务器来说,一般不用的端口,我们都会设置防火墙,将该端口给禁用,以免被黑客所利用。 如果又能攻破防火墙,又能攻破系统漏洞的黑客出现的话(这样的黑客很少),一般的大型网站还会有一种职位,叫白帽子,他们也是黑客,但是是友军,平时的责任就是发现漏洞,然后通知开发修复漏洞,或者封堵一些系统级的漏洞。 所以,我们还是有一定的防守手段的。 攻击的方式简单说了,我们再说说改数据的难度。 一般来说,系统的数据并不是放在一个服务器上的,好像支付宝的数据,至少有上百个服务器来存储吧。 黑客首先需要确定,他需要修改的数据到底在哪个服务器,他才能说进行攻击吧。 这个工程就十分的浩大。 黑客花了大力气,确定了服务器,然后找到了漏洞,然后攻破了(这个时候,他已经被发现了,白帽子已经开始锁定他的位置了,如果他动作慢了就会被找到)。 然后他还需要确定,数据库的那么多字段中,那个是他的余额。 如果有人预先将这些信息泄露给黑客了,让他能够轻易的找到余额的位置,然后他进行了修改。 Good,他成功了,他的余额变成了10亿。 然后呢?要知道,金融的数据都是一环扣一环的,任何的余额数据前,都包括了流入和流出,然后还记录了流入的对象和流出的对象,在流入和流出对象那里,同样有着这样的流入和流出数据。 OK,由于他没有流入,数据是无端的变成10亿的,所以,被系统认为是被污染的数据,最终被修改过来了。 于是,他不死心,还想要来流入流出的数据。 这些数据可能在另一台服务器上,那他就还需要再去进行一次上诉的流程。找服务器,找漏洞,然后攻进去。(这个时候,他可能已经被警察抓了,假设没有被抓) 然后,改自己的流入数据,流入了10亿,来源是哪里,恩,某某人的建行卡。 OK,完了吗?支付宝这里,干完了,但是支付宝连通了银行数据,和银行一对账,完了,对不上,就去找谁错了,发现日志里面没有记录这笔流入,它是凭空出现的。 OK,他的余额又回去了。 如果他想完美怎么办?把建行服务器攻破了,然后找到那个账户,做10亿流出,在做10亿流入,怎流入的呢?柜台存的。 到这里,基本就完美了,如果要发现,就需要查手工帐还有视频监控了。 但如果系统不报警,基本不大有人会查。 但是,完成上面所有的工作大概需要多少时间呢?5天?10天? 如果让你干完这些事情,警察还没到你家的话,那应该是中国警察都被开除了。 |
|
|
