美国为何认定朝鲜攻击索尼？早已入侵对方网络|朝鲜|索尼|美国_互联网_新浪科技_新浪网
美国为何认定朝鲜攻击索尼？早已入侵对方网络
美国知道朝鲜攻击索尼 因早已侵入对方网络
　　新浪科技讯 北京时间1月19日上午消息，据《纽约时报》报道，美国官员指控朝鲜是索尼被黑事件幕后黑手时所掌握的线索，可以追溯到2010年。早在那时，美国国家安全局(以下简称“NSA”)就已经入侵了朝鲜的电脑系统。
　　相关官员和电脑专家透露的消息以及最新披露的NSA文件表明，由于担心朝鲜的能力不断提升，美国NSA入侵了朝鲜与外界沟通的网络，搜查了朝鲜黑客偏爱的马来西亚连接，并在韩国和其他盟友的帮助下直接渗透进朝鲜的电脑网络。
　　相关官员表示，这个原本机密的安全项目已经扩充成了一项野心勃勃的计划，以便利用恶意软件追踪朝鲜黑客使用的电脑和网络的内部活动。而根据韩国军方最近披露的数据，朝鲜黑客总数约为6000人，其中多数都由该国主要情报机构侦查总局(Reconnaissance General Bureau)负责领导。
　　美国早知朝鲜攻击索尼
　　相关官员和专家表示，隐藏在朝鲜电脑网络中的软件“预警雷达”搜集的证据，是说服奥巴马指控金正恩政府为索尼被黑事件幕后黑手的关键。奥巴马对朝鲜的这一指控十分反常：美国之前从未明确指控过任何政府对美国目标发起网络攻击。
　　相关官员称，奥巴马根据情报得出明确结论时都非常谨慎。但一位美国高级军事官员表示，这一次，他却“毫不怀疑”。
　　“要确定攻击来源不仅难度巨大，而且过程缓慢。”华盛顿战略和国际研究中心网络战专家詹姆斯·刘易斯(James A. Lewis)说，“美国这一次这么快就指控朝鲜，而且言之凿凿，表明肯定有一些不同寻常之处——他们应该得到了一些内部消息。”
　　最近10年来，美国一直都在利用“灯塔”和监视软件绘制敌对国家的电脑网络地图，有时还会植入破坏性的恶意软件。美国政府为此投入了数十亿美元的技术经费，美国和以色列对伊朗核设施发动的攻击也受益于此。
　　但由于担心这些情报搜集方式被对方知晓，美国官员在认定朝鲜是索尼被黑事件幕后黑手时，拒绝透露技术手段在其中发挥的作用。
　　不过，既然美国已经全面渗透了朝鲜的电脑系统，他们为何没有在攻击开始前通知索尼？要知道，早在《刺杀金正恩》一片去年6月发布时，朝鲜就曾指控索尼此举为“战争行为”。
　　未料到攻击如此严重
　　两名美国官员认为，由于NSA已经成功入侵朝鲜的电脑系统，因此他们应该可以在索尼被黑前看到一些初步迹象，包括利用电子邮件传播恶意代码。
　　但这些攻击看起来似乎没有什么不同寻常。只是在事后看来，调查人员才认定朝鲜已经窃取了索尼系统管理员的“证书”，使之可以在索尼系统内肆意妄为。
　　最近几周，调查人员认定黑客花了两个多月时间(从9月中旬到11月中旬)充分了解了索尼电脑系统的构成，识别出了关键文件，并规划了具体的破坏措施。
　　“他们非常仔细，非常耐心。”一名熟悉调查的人士说。但他也补充说，即便对朝鲜的行动有所了解，美国情报机构仍然未能预判此举的破坏性。
　　事实上，虽然美国国家情报总监小詹姆斯·克莱珀(James R. Clapper Jr。)11月初曾与朝方情报高官在平壤进行了秘密会谈，确保朝方可以释放两名被囚禁的美国人，但他并未提及索尼问题或朝鲜方面不断加强的黑客攻势。
　　克莱珀最近在福特汉姆大学的演讲中承认，他在朝鲜晚宴上遇到的朝鲜侦查总局局长Kim Yong-chol“后来负责了针对索尼的攻击”。
　　在被问及参加朝方的晚宴时对朝鲜攻击索尼事件的了解程度时，克莱珀发言人表示，这位美国国家安全总监并不知道自己将去会见朝方情报官员，他当时前往朝鲜只是为了救回两名被朝鲜关押的美国公民。
　　该发言人表示，由于当时那次行动的敏感性，克莱珀的所有精力都放在执行任务上，并不想因为讨论其他问题而拖延进程。但他表示，克莱珀显然已经了解朝鲜网络攻击能力正在加强。
　　2007年叛逃的前朝鲜军方程序员Jang Sae-yul说：“他们已经拥有强大的黑客能力。他们花了大约30年来做准备，一直都在学习如何攻击某些国家。”
　　不过，很多安全专家还是认为，索尼被黑过程中使用的技术超出了朝鲜的能力范围。他们认为，此事是对索尼不满的前员工，或其他模仿朝鲜黑客的外部组织所为。而美国联邦调查局(FBI)局长詹姆斯·康米(James B. Comey)披露的美方证据也并不令人信服。
　　康米在福特汉姆大学的演讲中表示，朝鲜黑客隐藏踪迹时“疏忽大意”，这些黑客“定期联系，我们可以看到他们”。
　　“我们发现，用于收发电子邮件的IP是朝鲜专用的IP。”他说。但质疑者仍然认为，黑客很容易伪装成朝鲜人。而康米回应称，他们还有其他不能透露的证据。NSA局长迈克尔·罗杰斯(Michael Rogers)也表示，在查看了机密数据后，他坚信朝鲜是索尼被黑案的幕后黑手。
　　朝鲜黑客技术的发展
　　朝鲜1965年开发了首台真空管电脑，当时的工程师都在法国接受了培训。一段时间内，朝鲜的计算机技术似乎领先于韩国和中国，但后两个国家不仅后来居上，其经济之所以得以腾飞，很大程度上也得益于软硬件的发展。
　　脱北者表示，朝鲜领导人起初将互联网视为一大威胁，担心其国民会被外界思想污染。
　　但自称帮助朝鲜训练了首批网络间谍的脱北者Kim Heung-kawng回忆说，1990年代初期，一群从国外归来的朝鲜电脑专家带来了一个“非常古怪的新想法”：使用互联网攻击政府的敌人，并窃取机密。
　　脱北者表示，朝鲜军方对此很感兴趣，朝鲜劳动党同样如此，并在1994年派遣15名朝鲜人前往海外的一所军事院校学习黑客技术。当他们学成归来后，便成为朝鲜外来信息情报办公室的核心成员，该组织专门攻击网站，渗透防火墙，窃取海外信息。由于朝鲜通往国外的网络线路不多，所以该国的很多黑客行动都要通过邻国展开。
　　据Kim Heung-kawng透露，朝鲜军方最早在1996年开始培训电脑“战士”，2年后成立了“121局”，这目前已经成为该国的主要网络攻击部队。该部门的成员前往朝鲜邻邦接受了两年的培训。由于可以获得旅行自由，因此参与该项目的人都备受羡慕。
　　2007年叛逃的前朝鲜军方程序员Jang Sae-yul说：“他们经常带回国外的衣服，以及电饭锅和相机等昂贵的电子产品。” Jang Sae-yul的朋友对他说，“121局”被分成了不同部门，每一个部门针对不同的国家或地区，不仅包括与美国和韩国，还包括它的一个盟国。
　　“那两年时间，他们并没有攻击，只是在了解目标国家的互联网。”Jang Sae-yul说。随着时间的推移，朝鲜开始吸收一些数学成绩最好的学生进入顶尖大学，包括以电脑战见长的军事院校Mirim University。
　　其他人则被派往邻国的一处“攻击基地”，那里有很多朝资酒店和餐馆。与朝鲜核设施和弹道导弹项目不同，网络部队既可以扰乱韩国和美国，又不会引发毁灭性的报复。
　　“网络战只是朝鲜长期面临的不对等战争的最新篇章。”一位安全研究人员在去年8月发布的报告中说。(书聿)
文章关键词：
&&|&&&&|&&&&|&&
您可通过新浪首页顶部 “”， 查看所有收藏过的文章。
，推荐效果更好！
看过本文的人还看过ZDNet中国[其他]
ZDNet成员：
ZDNet有如下版本:
当前位置：
看看您电脑里哪些端口会被入侵?
看看您电脑里哪些端口会被入侵?
来源： zdnet整理 日
　21端口是默认的FTP端口，利用方式：弱口令探测/溢出.
　　常用的端口入侵
　　21端口是默认的FTP端口，利用方式：弱口令探测/溢出.
　　目前还没看到远程溢出的，SERU的本地溢出漏洞风靡一时，曾经很多服务器就在沦丧于这个漏洞。
　　22端口是SSH远程登录协议，利用方式：弱口令探测.
　　23端口是TLENET的默认端口，利用方式：弱口令探测/溢出.
　　一般大家用弱口令探测得比较多，但是成功率比较低，还是溢出来得快，毕竟权限高，想做什么都可以!
　　25端口是SMTP协议的默认端口，邮件接收服务器。利用方式：溢出.
　　53端口是DNS服务的默认端口，提供域名服务器，
　　利用方式：溢出。
　　79端口Finger服务的默认端口(查询远程主机在线用户等信息)，可以在辅助入侵中获取更多的主机信息。
　　利用FINGER服务可以查询到主机很多敏感的信息，在入侵的时候常常可以起到意想不到的作用。
　　80端口是IIS的默认端口，全球信息网超文本传输协议(www)。利用方式：IIS溢出/SQL注入/旁注/跨站。
　　不过一部分路由器的远程管理端口也是80。
　　IIS溢出也只存在那些很老的机器上，看运气了。
　　110端口提供 Pop3 服务。邮件发送服务器。利用方式：溢出。
　　135端口提供查询服务。利用方式：IPC$(Internet Process Connection)入侵。
　　137端口统共NetBIOS 数据报(UDP)服务。
　　139端口提供共享资源服务(NetBios-SSN)，用在IPC$入侵中。上面这三个端口可以综合利用。
　　161端口是远程管理设备(SNMP)的默认端口。
　　SNMP是简单网络管理协议，很多小菜扫描出来了SNMP的弱口令，比如private,public等等，但是不知道怎么利用，这里介绍两款工具：IP NetWork browse 和 LANguard NetWork Scnaner,这两个工具都可以扫描SNMP，而且可以扫描到，磁盘，服务，进程，用户，端口等等， 功能强大，大家自己发挥。
　　445端口是NT的共享资源新端口(139)和139的用法一样。共享入侵，不多说了。
　　1433端口是MSSQL的默认端口。利用方式：溢出/弱口令扫描。
　　弱口令的也很多，这里同时利用这两中方式。
　　2969端口是诺顿杀毒软件开放的端口，利用方式：溢出。
　　3306端口是MYSQL的默认端口，利用方式：弱口令扫描。
　　3389端口是Telminal Servcie的默认端口，利用方式：弱口令探测/溢出。
　　4899端口是R-admin的默认端口，利用方式：弱口令扫描。
　　这个就用空口令过滤器了
　　电脑系统安全之端口防范
　　端口分为源端口和目的端口，源端口是本机打开的，目的端口是正在和本机通信的另一台计算机的端口。
　　在Internet中，你访问一个网站时就是在本机开个端口去连网站服务器的一个端口，别人访问你时也是如此。也就是说计算机的通讯就像我们互相串门一样，从这个门走进哪个门。
　　端口的查看方法：
　　开始----运行----CMD----输入 netstat -an
　　当你上网时就是本机和其它机器传递数据的过程，要传递数据必须要用到端口，即使是有些非常高明的木马利用正常的端口传送数据也不是了无痕迹的，数据在开始传输、正在传输和结束传输的不同阶段都有各自的状态
　　服务端口的状态变化：
　　1.LISTENING状态：
　　State显示是LISTENING时表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接。
　　2.ESTABLISHED状态：
　　ESTABLISHED的意思是建立连接。表示两台机器正在通信。
　　3.TIME_WAIT状态：
　　TIME_WAIT的意思是结束了这次连接
　　客户端口的状态变化：
　　1.SYN_SENT状态：
　　SYN_SENT状态表示请求连接，当你要访问其它的计算机的服务时首先要发个同步信号给该端口，此时状态为SYN_SENT.
　　2.ESTABLISHED状态：
　　正在连接通信中。
　　3.TIME_WAIT状态：
　　常用端口：
　　21 ----FTP服务 上传下载
　　23----终端仿真协议telnet 命令 远程登陆
　　25----简单邮件发送协议
　　80 ----WEB服务器 浏览网站
　　110---- POP3用于客户端访问服务器端的邮件服务
　　1433 ---mssql服务 数据库
　　3899 ----远程登录
　　4899 -----radmin远程控制软件
　　8000--灰鸽子默认端口
　　木马基础知识
　　木马----远程控制你的电脑。
　　1.有服务端口木马：
　　常见的一些后门程序，这类木马都要开个服务端口的后门，这个端口可以是固定也可以变化的。
　　2.反弹型木马：
　　反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机。是目前最流行的远程控制软件。
　　目前流行的灰鸽子，上兴远程控制软件，都是反弹型木马。
　　简单安全知识
　　一。关闭危害性端口：
　　1.关闭137、138、139、445端口
　　下面说一下常见的漏洞的端口如何关闭：
　　1.关闭139端口：右击网上邻居--属性--右击本地连接--属性--internet协议/(TCP/IP)--属性--高级--WINS--禁用TCP/IP上的NETBIOS--确定。
　　2.右击-网上邻居-属性/本地连接-属性，在microsoft网络客户端前的小勾去掉。接着也把microsoft网络的文件和打印机共享的小勾也去掉。
　　3.关闭445端口：打开注册表编辑器，在[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetBTParameters]下增加一个dword键项，命名为"SmbDeviceEnabled"(不包含引号)，将值设为0。
　　4。关闭3389端口：右击我的电脑，点属性--远程，把允许从这台计算机发送远程协助邀请前的勾去掉。
　　5。关闭135端口：
　　如何关闭135端口
　　Windows XP系统运行dcomcnfg，展开“组件服务”→“计算机”，在“我的电脑”上点右键选“属性”，切换到“默认属性”，取消“启用分布式COM”;然后切换到“默认协议”，删除“面向连接的TCP/IP”。
　　以上选项有对应的注册表键值，因此也可通过注册表来修改：
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftOleEnableDCOM的值改为“N”
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftRpcDCOM Protocols 中删除“ncacn_ip_tcp”
　　此外，还需要停用“Distributed Transaction Coordinator”服务。
　　重启之后， 135端口就没有了。
　　关闭不必须用的服务：
　　在控制面板中，找到管理工具，在其下面打开服务。将下列的项目开闭：
　　Server(先禁用，然后再停止掉。)
　　Telnet(先禁用，然后再停止掉。)
　　为了您的系统安全，最好将以上两个危险服务给关闭掉。
　　方法：右键我的电脑---属性-- 硬件-& 设备管理器-& 查看-& 显示隐藏的设备-& 非即插即用驱动程序-& Netbios over Tcpip。
　　禁用该设备重新启动后即可。
本文关键词：
黑客相关文章
网络攻击相关文章
(没有帐户？)
使用第三方帐号登录:
微软公司如期发布了新一轮月度安全补丁包，这次更新涵盖了IE浏览器、Office套件、Windows等自家内容;除此之
黑客相关随笔
黑客相关博客
黑客相关讨论组
黑客相关投票
黑客相关用户
Copyright& 1997-
CNET Networks 版权所有。
ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号：京ICP证010391号 京ICP备号-159
京公网安备：计算机网络入侵与攻击_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
文档贡献者
评价文档：
&&¥2.00
&&¥3.00
&&¥0.50
&&¥3.00
喜欢此文档的还喜欢
计算机网络入侵与攻击
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
大小：393.00KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
仅本地测试，证明可行性，未花时间找实例。
详细说明：
问题出现在迅雷最新的业务-远程下载上。
1、假设某用户下载了最新版的迅雷7.9（其他版本也可以），并且注册了一个迅雷帐号，为了方便控制，他开启了远程下载。（值得庆幸的是，目前远程下载还需要用户手工开启，一定程度上缓解了这个漏洞的危害。）
2、黑客通过其他途径知道了此用户的迅雷帐号和密码。
3、他打开了/，输入帐号密码登录了。
4、接下来，新建一个远程任务吧，下载链接填上准备好的木马地址。存储目录下载启动项的路径，/Documents and Settings/Administrator/「开始」菜单/程序/启动/（这里是写启动项，还是dll劫持，还是替换shift后门（同名文件是否覆盖不明）就看个人喜好了，系统版本不知的情况下就都多建几个不同保存路径的任务吧，相信这个不难）
新建远程任务之前。迅雷里面是这样的。
启动项是这样的
任务创建后呢。本机迅雷创建任务啦
启动项目录变成这样了
重启之后发生神马大家应该都懂啦。
漏洞证明：
重启啦，木马上线啦。（免杀神马的自己做好啊）
修复方案：
远程下载做好目录限制吧，别自定义了，写死吧。太不安全了。
如果不想写死，就各种过滤吧。
相信随着智能电视，智能路由，手机，pc三屏，四屏，多屏任务数据同步情况越来越多，安全也变的更加复杂。一个密码就可能导致用户所有设备的沦陷啦。
版权声明：转载请注明来源 @
厂商回应：
危害等级：中
漏洞Rank：5
确认时间： 12:32
厂商回复：
感谢反馈。从用户逻辑角度上来说，自由选择下载路径是用户的权利，但从安全角度来说，在不影响用户正常使用的前提下应该尽量帮助用户杜绝此类问题，目前产品经理已经采纳此意见，在后续的迭代版本中，我们会认真权衡好相关问题！感谢对迅雷安全的关注。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
虽说有门槛，但是思路巧妙
看不见啊看不见
忽略或者提前开放如何
那你看到我昵称,我岂不是也危险了...好怕...
还好不用迅雷
洞主是黑客 我看出来了 看出来了 能不能私底下交流下怎么做的嘿嘿 入侵看看我女神的电脑嘿嘿
利用离线吗？
是不是共享一个VIP帐号，然后路径设置一个c:\windows\system32\cmd.exe之类的？路径？
@U神 这似乎有点神奇，难道路径的设置会同步服务器。。那如果我电脑有G盘，别人的电脑没有。。那么下载的地方就神奇了。。
@小怿 上次看了一个腾讯TM，启动TM的时候路径没有正确判断，比如program.exe目录，同目录下有这个“program.exe”exe应用程序那就会启动这个程序
@U神 这种漏洞感觉有点YY啊
我擦，才给5rank。这么有创意，都不给点精神鼓励啊！
@Allmylife （虽然有门槛）是挺有创新的，努努力冲击每月的最佳漏洞榜，会有更多wb奖励。
@疯狗 你是负责奖励的啊？
各种YY，各种猥琐，NB!
2、黑客通过其他途径知道了此用户的迅雷帐号和密码。
要不是手动开启
直接共享VIP 然后那些人 嘿嘿 hei'xiu 嘿咻
登录后才能发表评论，请先