黑客行动主义(Hacktivism)简单而言就是黑客技术(hacking techniques)与行动主义(activism)的结合,是一个正在成长中的趋势,涉及了网络安全及全球政治关系。
Hacktivism黑客行动主义(Hacktivism),泛指因政治或社团目的而产生的黑客行为,或者是入侵计算机系统。独立完成这种行为的个人被称为黑客行动主义者(hacktivist)。
hacktivist与黑客采用同样的技术及手段,但与黑客不同,他们只是想借助黑客行动到网上宣泄思想,以一种激进的手段发表他们的观点。比如说,这些人可能会在网站的主页上留下醒目的留言,引起网络拥塞,或者在网页中嵌入某些激烈的反对观点。甚至可能在网站上加载“拒绝服务攻击”来造成站点瘫痪。
最近的一次黑客行为发生在2001年四月,中国飞行员王伟与美国飞机相撞并牺牲之后。中美两国的hacktivist互相攻击对方的网站,并进行留言,发布自己的言论。
黑客行为是否是一种犯罪还尚待定论。反对者称黑客行为在本已混乱不堪的自由论坛上又添了一把火。而支持者声称正是黑客行为才能有效的保证论坛的言论自由性质。
从共和党网站被黑到黑客行动主义者编辑本段回目录
美国大选前夜,一群网上骑士们闯进共和党全国委员会网站,英勇的将一张拥护戈尔的帖子贴到了共和党的大门口;同时,共和党也称,他们的网站同样遭到了黑客不断的攻击。而就在上个月,一群激进的黑客又将巴勒斯坦和以色列之间的战火燃到网上。
Hacktivism这里有一群黑客,他们闯入别人的网站,不是为了窃取机密,不是为了盗窃钱财,他们只是想借助黑客行动到网上宣泄思想,以一种激进的手段发表他们的观点。对于这种黑客,我们暂时将他们称做黑客行动主义者(hacktivist)
目前,这种带有更高目标的黑客行为,正在吸引着越来越多的黑客新手们。
在一次电子邮件采访中,两名巴基斯坦黑客说:“我们的黑客生涯有两年了。但直到最近两个月我们才开始通过黑客行为带有目的的进行言论攻击。这种感觉真好,你不是无目的的攻击网站,现在,你是有目标的。”
出于对其穆斯林兄弟姐妹的关心,这两名分别叫m0r0n和夜行者的黑客,先后攻击了许多与以色列有关的网站,包括菩提树系统(Banyan Systems) ,自动交换系统,Shenkar学院网站等等。另外一个叫做“鲁克博士”的巴基斯坦黑客行动主义者刚刚在上周袭击了一个美国以色列事务协会网站。
在过去6个星期里,战火纷飞的中东战场吞噬了180多个人的生命。而在网上,另一场巴以战争在进行着。巴勒斯坦和以色列的支持者们在分别对对方的网站大黑特黑。不过,他们的黑客行为仅限于互相诋毁和拒绝服务。他们的手段多种多样,从语言上的诋毁到丑化的对方领导人的肖像。甚至在做完这一切以后还不忘彬彬有礼的致歉。
两个巴基斯坦黑客在攻破以色列菩提树系统网站以后留下如下一段留言:
“对不起,先生,你们的网站被m0r0n和夜行者攻击了。...不管你是不是穆斯林,请不要认为我们的做法是邪恶和不道德的。我们的信条很简单,那就是让全世界人知道,全世界的穆斯林正在遭受的暴行。”
黑客行动主义者:恶棍还是英雄
早在1994年,墨西哥恰帕斯的萨巴特克游击队就以攻击敌对方网站,并在其网站上发布言论的方式来为印地安人赢得更多的民主和权利,还有人利用这种方式来赢得揭露巴尔干半岛上的暴力事件。几个月前,一个叫“Pimpshiz”的黑客袭击了数百个网站以声援倍受指责的音乐交换公司Napster。
一名国际商业风险咨询公司的数字安全专家说:“将有更多的黑客行动主义者把矛头指向公司。今后,我们将密切关注他们,包括那些激进的动物保护主义者和其它激进的人群。”
曾被袭击过的美国以色列实物委员会网站发言人肯.瑞克尔说:“我们理解,采取这种行为的都是对某事有强烈的意见,而手中的工具有限,权利也有限的人。但,他们采取这种行为同时也是软弱的表现。”
他还说:“被攻击的网站通常被人们当作受害人,当然,在公众的眼里,黑客们就成了恶棍,这与他们的初衷是事与愿违的。”
一个安全信息网站的成员马丁说:“许多行动主义黑客都还是孩子。我理解他们的行为。但是,难道他们认为通过攻击一个个网站就真能改变世界吗?如果他们这样想的话,那只是自欺欺人罢了。”(竹子编译)
黑客帝国被黑,谁是幕后?编辑本段回目录
来源:来源:文森特•迪亚曼特(Vincent Diamante)/ Flickr
“我们是军团,我们不会忘记,我们不会原谅。请期待我们的行动。”
跟随“匿名”(Anonymous)的卡通反派人物式标语,这个无组织的集体性实体开始了其作为“互联网巨魔”(Internet trolls)和“恶作剧使者”(pranksters)的即时性特定身份。尤其是去年,他们已成为一个日益政治化的网络动乱和数码“黑客行动主义”(Hacktivism)的引擎。
5月份早些时候,“匿名”组织遇到了至今最具挑战性的对手,他自己。该组织的小部分阵营控制了关键的通信中心,并发布了可以用来追查这个秘密组织中其他成员的信息。这一事件显示,在幕后窥探看看有什么,或者更重要的谁才是真正的“匿名”有多困难。
通过自身不断升级的黑客行动主义行为,“匿名”已占据了扩大社会和政治重要性的原因。自去年9月开始,就已有了行动回报,它针对美国电影协会(Motion Picture Association of America)和其他反互联网盗版的网站发动了数周的分布式阻断服务(DDoS)攻击。接下来是复仇阿桑奇行动(Operation Avenge Assange)。阿桑奇在Visa和PayPal中断对被围困的维基解密(Wikileaks)的捐赠后,暂时性地攻击过这两家公司的网站。紧随其后的是突尼斯行动(OpTunisia)和埃及行动(OpEgypt),以及其他旨在帮助阿拉伯抗议者推翻其镇压型政府的活动。
大部分行动的协调工作都是在名为AnonOps的多人在线聊天网络(Relay Chat network)里完成的。正是这个中心上5月中旬末遭到劫持,网络随后突然关闭,管理员称之为“政变”。不过运行中断并未持续很久,几天后,AnonOps的拥护者已开始将网络迁移至一个新的域名,并发布了重要的反击传言:一个渗透了80万电脑的僵尸网络和恶意团体(似乎由愤愤不平的19岁AnonOps管理员瑞恩和他的一两位伙伴组成)威胁要令任何一个新的“匿名”网站都受到DDoS攻击。或许更严重的是,瑞恩发布的数百位AnonOps注册用户的IP地址,一点都没违反匿名性——这既是“匿名”的战术资产,在某些方面,又是它存在的理由。
如果“匿名”遭受任何持久混战造成的损害,这或许也是它身份的一个基本方面:它珍爱的形象是完全分散且无领导力的,(好似)蜂群思维,没有固定的控制位置,也没有某个个体比其他人更有权威。
事实上,正是对于AnonOps和理想的认知分歧,驱使小部分阵营对它发起了攻击。在和英国科技新闻网站thinq_的访谈中,瑞恩和朋友驳回了任何认为该网站功能无领袖化的观点。瑞恩说:“它是有等级制度的。”他声称会挑选出由10个版主伙伴组成的核心群组定期在私人聊天频道开会,有效决定哪些网站和原因可令小组将其确定为下一个被攻击目标。“所有权力都在这个频道中。”瑞恩说道,并进一步强调,只有通过破坏“匿名”对于作为交流场所的AnonOps的依赖来打破那种权力,才是他关闭网络的唯一意图。
AnonOps的经营者迅速回应说他们不存在这样的事。“瑞恩似乎误解了领导阶层和真正做事的员工的概念。”他之前的管理员伙伴在新网站上写道。对于“做事”,thinq_网站的后续报道似乎阐释得更加清晰,它指的是维持网站运转的日常事务,如网络维护、服务器问题、访客洪流、遭受攻击以及如何应对等,而不是像瑞恩所谴责的幕后操纵。一位常客表示,任何一个人都可以在AnonOps上发起一个活动,这只需创建一个新的频道并引起大家的兴趣。如果“匿名”组织真正想做些什么,没有人可以阻止他们。没人能够控制蜂巢。
当然,对于局外人来说,要求和反对要求的交流无助于解决争论中的问题:“匿名”实际上真是像其声称的那样纯粹无序吗?或者无序只是一个谎言,用来掩饰任何协调群组的常见的内部权力结构?真实的答案似乎比问题更微妙。纽约大学人类学教授加布里埃尔·科尔曼(Gabriella Coleman)研究“匿名”组织已近两年,她发现真理的基础存在于论点的两面。的确,她指出,“匿名”已从(初始的)“互联网巨魔”演变为更持续的政治行为,对于AnonOps等组织资源的需要(在群组内)给了那些控制资源的人一定程度的过大的影响。她提到,AnonOps的管理员可以不仅违背网络的完整性而且还采用管理员偶然反对的特别战术来禁止用户,例如通过DDoS攻击媒体机构。
不过,这仅仅是科尔曼描述的不平常的流动组织动态中,所集中的权力中微小的一块。她说,“在‘匿名’内部,权力的汇集和分散不断发生。”大部分的权力分散由猛烈执行的亚文化群道德“lulz”所驱使,即在其他被标记为无情、嘲笑的事情中,任何一个群组成员都被捕捉到表现得足够严肃像个领导。她补充道,其结果是,任何试图找出“匿名”组织权力核心(有的人已经尝试过了)的人最有可能进行伏击。“匿名”也许不处于完美的无序状态,但他的核心权力圈足够众多而且分散,即使最热忱的成员也不能全部看到。因此当戏剧性的事件本月在AnonOps内部和周围展开时,或许已打开破解“匿名”内部运作方式的一扇珍贵的窗,但不可能任何人都能了解“匿名”如何甚至为什么在做着它在做的事。
这也许是即使“匿名”自己也难以打倒“匿名”组织的主要原因。科尔曼说:“我们无法真正了解他们发生了什么事,这是他们权力的一部分。”
拒绝服务攻击(DDOS)现状分析 编辑本段回目录
技术
拒绝服务技术的创新已经基本尘埃落定,而上个世纪最后十年的发明也逐渐遥远。然而,随着宽带接入、自动化和如今家庭计算机功能的日益强大,使得对拒绝服务攻击的研究有些多余。尤其是当我们发现一些本已在90年代末销声匿迹的古老的攻击方式,(例如land ,其使用类似的源和目标 IP 地址和端口发送 UDP 信息包)这些攻击技术 现在又卷土重来时,这个结论就更加显而易见。在这一方面唯一的进步就是可以发起并行任务,从而可以通过简单的 486 处理器所无法实现的方式来显著提高攻击强度。
另一个要考虑的重点是事实上IP堆栈似乎并未正确地安装补丁程序。计算机不再会因为单一的信息包而崩溃;但是,CPU操作会为了处理这种信息包而保持高速运行。因为补丁失效期间生成的信息包是有限的,所以要实现有效的攻击并不容易。可能是技术提高得太快。不管是什么原因,这些陈旧过时的攻击方式现在又卷土重来,而且还非常有效。
使用拒绝服务
Hacktivism威胁网络安全拒绝服务攻击开始可能只是为了“取乐”,对系统操作员进行某种报复或是实现各种复杂的攻击,例如对远程服务的隐形欺骗。某人因在某一信道上遭到侮辱后也经常会将IRC服务器作为攻击目标。这种情况下的网络和因特网使用是“保密的”,这些攻击对其造成的影响微乎其微。
随着时间的流逝,因特网逐渐成为一种通信渠道,hacktivism(网络激进主义)越来越流行。地理政治形势、战争、宗教问题、生态等任何动机都可能成为对公司、政治组织或甚至国家的IT基础架构发动进攻的动机。
最近的拒绝服务攻击更多的是与联机游戏有关。某些玩家对在游戏中被人杀死或丢失他们喜爱的武器不满意,因此发动拒绝服务攻击,许多服务器已经成为这种攻击的牺牲品。
但是如今使用拒绝服务的目的大多数是纯粹的敲诈勒索。越来越多的企业开始依赖他们的IT基础架构。邮件、关键数据、甚至电话都通过网络来处理。如果没有这些主要的通信渠道,大多数公司都难以在竞争中幸存。而且,因特网还是一种生产工具。例如,搜索引擎和博彩web 站点都完全依赖网络连接。
因此,随着公司直接或间接地依赖因特网,原有的敲诈信逐渐转变成数字形式。首先在短暂而非紧要的时间段内发动攻击。然后受害者就不得不支付“保护费”。
网络协议攻击
这些攻击瞄准传输信道,并因此以IP堆栈作为攻击目标,IP堆栈是内存和 CPU 之类关键资源的进入点。
SYN洪水
SYN洪水是典型的基于概念的拒绝服务攻击,因为这种攻击完全依赖于TCP连接的建立方式。在最初的 3 向握手期间,服务器填写保存内存中会话信息的 TCB(传输控制块)表。当服务器收到来自客户机的初始 SYN 信息包时,向客户机发送回一个 SYN-ACK 信息包并在 TCB 中创建一个入口。只要服务器在等待来自客户机的最终 ACK 信息包,该连接便处于 TIME_WAIT 状态。如果最终没有收到 ACK 信息包,则将另一个 SYN-ACK 发送到客户机。最后,如果经多次重试后,客户机没有认可任何 SYN-ACK 信息包,则关闭会话并从 TCB 中刷新会话。从传输第一个 SYN-ACK 到会话关闭这段时间通常大约为 30 秒。
在这段时间内,可能会将数十万个SYN信息包发送到开放的端口且绝不会认可服务器的SYN-ACK 信息包。TCB 很快就会超过负荷,且堆栈无法再接受任何新的连接并将现有的连接断开。因为攻击者不用接收来自服务器的 SYN-ACK 信息包,所以他们可以伪造初始 SYN 信息包的源地址。这就使得跟踪攻击的真实来源更加困难。此外,因为 SYN-ACK 信息包没有发送到攻击者,所以这样还为攻击者节省了带宽。
生成这种攻击很容易,只要在命令行输入一条命令就足够了。
#hping3--rand-source–S –L 0 –p
存在的变体也很少,通常为了增加CPU的使用率会将某些异常添加到SYN 信息包。这些可能是序列号或源端口0等合法的异常。
SYN-ACK洪水
HacktivismSYN-ACK洪水的作用基础是令CPU资源枯竭。从理论上讲,这种信息包是 TCP 3 向握手的第二步,而且在 TCB 中应该有对应的入口。浏览 TCB 将会使用 CPU 资源,尤其 TCB 很大时会耗用更多的 CPU 资源。因此,负荷较重时,这种对资源的使用会影响系统性能。
这也就是SYN-ACK攻击所仰仗的利器。向系统发送一个巨荷的SYN-ACK 信息包会显著增加系统 CPU 的使用率。因此,用于组织 TCB 的哈希算法和哈希表大小之选择会影响攻击的效率(请参阅“概念”和“逻辑缺陷”)。而且,因为这些 SYN-ACK 信息包不属于现有的连接,所以目标机器不得不将 RST 信息包发送到源机器,从而增加了链路上的带宽占用率。对于 SYN 洪水,攻击者为了避免接收到 RST,当然可以伪造源机器的 IP 地址,这样还可以提高攻击者的可用带宽。
这也只需要一条简单的命令就可以进行这种攻击。
一个重要因子是由第三方服务器基于反射机制而生成SYN-ACK信息包的能力。在将SYN 信息包发送到服务器的开放端口时,该服务器将 SYN-ACK 信息包发送回源机器。此时任何服务器都可能为这种攻击充当中继。发送到服务器的简单 SYN 信息包带有伪造的源,其发送到目标时生成 SYN-ACK 返回目标。这种技术让跟踪更加困难。而且,在某些情况下,还可以绕过某些防伪机制。尤其当目标和攻击者属于同一干道而且部署的 uRPF (参阅“防伪”) 距离目标机器和攻击者足够远时,更有可能避开防伪机制。
通过与SYN洪水联结还可以提高此种攻击的强度。SYN洪水在TCB 中创建入口,而TCB因此变得越来越大。由于此时浏览 TCB 所需的时间更长,所以 SYN-ACK 洪水的功效大大增加。
