黑客組織Anonymous組織采用了一系列簡單的技術方法和社會工程學來攻擊安全技術公司HBGary Federal公司的網(wǎng)絡，這其中涵蓋的很多網(wǎng)絡技術問題都值得其他網(wǎng)絡安全專家借鑒。

最重要的教訓就是：認真遵循企業(yè)防御基本的最佳做法。另外還可以從HBGary Federal被攻擊事故中學到其他很多教訓。

在傳出HBGary Federal公司的首席執(zhí)行官Aaron Barr掌握這個秘密國際組織的成員資料，并已經(jīng)開始致力于揭露他們的身份進入與聯(lián)邦調查局的調查合作的階段，這隨即激怒了Anonymous組織，他們開始鎖定HBGary Federal公司進行攻擊。Anonymous組織曾針對撤銷提供維基解密服務的業(yè)者展開攻擊。

HBGary Federal公司遭受了成千上萬封公司電子郵件被公諸于眾以及網(wǎng)站和首席執(zhí)行官的Twitter頁面被丑化的打擊，并且其公司名譽受到嚴重影響。

以下是避免Anonymous攻擊的七個方法：

1.不要假設你將受到的攻擊類型。Barr認為Anonymous只是對該公司的網(wǎng)站發(fā)動了DdoS攻擊，正如該組織對攻擊其他公司的攻擊方法一樣，然而事實卻并非如此。

2. 使用測試過的并且具有更新、補丁修復和支持的內容管理體系。HBGary Federal公司為其網(wǎng)站使用的是自定義CMS，而這種體系很容易受到SQL注入攻擊，這也是讓Anonymous成功訪問HBGary Federal數(shù)據(jù)庫使用的伎倆。

3.對存儲在數(shù)據(jù)庫中的密碼進行完全的hash或者rehash(重新創(chuàng)建hash機制使用的內部表格)。HBGary公司確實對其密碼進行了hash操作，但是他們沒有增加額外的字符(被用來移除以顯示真正的密碼)，也沒有rehash已經(jīng)散列的密碼來增加復雜性來破解散列中的密碼。這些密碼仍將容易受到暴力攻擊，不過攻擊者將需要花費更長的時間。

4.使用高強度密碼。使用了計算機鍵盤上各種類型字符的長密碼將更難被攻破，因為這樣的話彩虹表(彩虹表就是一個龐大的、針對各種可能的字母組合預先計算好的哈希值的集合，不一定是針對MD5算法的，各種算法的都有，有了它可以快速的破解各類密碼)密碼攻破工具將很難成功攻破密碼。如果密碼是由長串字符和計算機鍵盤上所有類型的符號(不只是字母和數(shù)字)組成的話，密碼哈希將會變得非常復雜，很難對這種密碼創(chuàng)建彩虹表。然而HBGary公司的管理人員使用的是簡單的八位字符密碼，兩個數(shù)字和六個字母，彩虹表很快就能破解這種密碼。

5. 不要重復使用的密碼，有些HBGary公司管理人員使用相同的密碼來訪問公司的CRM系統(tǒng)和他們的網(wǎng)絡電子郵件，甚至還有Twitter，SSH驗證和企業(yè)存儲服務器。攻擊者破解的密碼之一就是該公司電子郵件管理員的谷歌賬戶，由于他為多個賬戶使用相同密碼，這最終導致該公司的所有電子郵件被攻破。

6.保持系統(tǒng)更新，HBGary公司關鍵服務器存在一個已知的關于特權升降級的漏洞，而修復補丁也已經(jīng)發(fā)布，Anonymous利用了這個漏洞。

7.提高用戶對于社會工程學的意識。Anonymous從HBGary公司創(chuàng)始人Greg Hoglund被攻破的賬戶向網(wǎng)絡管理員發(fā)送電子郵件，要求他提供機密信息，就像Hoglund本人在詢問一樣。在回復郵件中，管理員打開防火墻端口，提供了Hoglund的服務器(該公司的rootkit.com網(wǎng)站的服務器)用戶名和密碼。

【編輯推薦】

1. 解讀黑客入侵數(shù)據(jù)庫的六種途徑
2. 黑客揭秘：數(shù)據(jù)如何不翼而飛
3. 2010年揚名的十大WEB黑客技術
4. 黑客開始利用蜜罐系統(tǒng)誘捕安全研究人員？