文章作者:Squall (
squall@hacker.com.cn)
1.开场白
目前的服务器操作系统主要以微软的Windows NT系列和UNIX为主。他们到底谁的安全性更高呢?据称Windows NT的安全性比以往所有的商用操作系统的都要高。为了确定(或是推翻)这点我们做了Windows NT和UNIX系统安全性的简单比较。UNIX被选做参考是因为它具有很高的知名度和被广泛应用。因此,测试系统为(1)连网的Windows NT 4.0和(2)有NFS(网络文件系统)和NIS(网络信息系统)的UNIX。选择NFS和NFS和NIS的原因是让这两个操作系统组成在有相似的网络功能的情况下具有可比性。应当指出的是UNIX有许多不同的版本,所以我们的参考不是完全不含糊的。但是我们相信这点并不会影响我们的研究。比较包括两方面。首先,我们比较这两个操作系统主要的安全特性然后比较我们所知道的对这两个系统真正的入侵所采用的漏洞。这些是从Chalmers科技大学以信息搜集为目的的入侵实验获得[3], [20]或是从我们自己的系统分析中获得的[7]。一些信息是从其他可以公共获取的信息中得到的。为了比较两个系统的漏洞,我们采用了Lindquist and Jonsson [15]建议的入侵技术分类方法。该分类方法在将真实入侵分类上被证明很有用并且涵盖了所有的三个安全属性:隐秘性,完整性和可用性。
注意:在这里我们只对操作系统的安全性能进行比较,不考虑操作系统上安全的各种应用程序。比如UNIX使用的Apache,Windows NT使用IIS做为它们的Web服务器。因为如果考虑到这些应用程序,操作系统的安全性能就没有可比较性了。
在以下内容中,第二部分比较了安全特性,第四部分给出了Windows NT和UNIX系统系统上的缺陷的比较。在第四部分中采用的漏洞分类方法在第三部分中有描述。第五部分是结果和文章的结论。
2.安全特性的比较
2.1背景
Windows NT操作系统是由Microsoft Inc开发的,最初在1992年发布。Windows NT支持进程,线程,对称多进程处理,分布式计算,并使用对象模型来管理它的资源。Windows NT的结构是层次模型和客户机/服务器模型[5]的杂交。前者是在执行程序中使用的,在kernel模式中部分执行,后者是用来(1)给用户提供多操作系统环境,例如。Windows, MS-DOS, OS/2 和 POSIX(2)实现操作系统的一些部分。UNIX操作系统最初是在70年代出在AT&T Bell实验室中开发出来的。它最初是设计来最为一个单一的单片机模块,在kernel模块中运行,而其他的用户程序在用户模式中运行。Kernel含有文件系统,设备驱动的代码以及进程管理的代码[1],[16]。但是,UNIX总是在kernel外,在用户模式进程中管理许多系统功能的大的部分,例如网络功能等。第二部分的以下部分提供了一些UNIX和Windows NT的安全机制。这些机制是从TCSEC [25]中来的并做了一些修改。这些机制代表了安全的不同方面并且涵盖范围比较广。这两个操作系统安全机制的在下面会得到讨论。
2.2标识
2.2.1 Windows NT
对用户的标识是通过映射到内部安全标识符(SID)的用户名进行的。SID是一个在一个域中唯一(也有很大可能在域之间也一样)的数值。当在系统上创建一个新的账号的时候同时也创建一个SID并与该账号一同存储。SID永远不会重复使用所以一个新创建的账号不能获得先前所删除的账号的SID。
2.2.2 UNIX
当用户在系统上登录的时候用户是通过登录所用的用户名进行标识的。内部来说用户是用用户标识(UID)来进行标识的,是在该账号创建的同时由系统管理员创建的。在大多数情况下,为每个用户选择唯一的UID是一个很好的方法[6],但是却并不是严格要求的。用户名向UID的映射是保存在/etc/passwd文件中,但是今天一般来说是由NIS集中管理的。超级用户的UID为0。
每一个用户都属于一个或是多个组。组是用组标识符(GID)标识的。
2.3确认
2.3.1 Windows NT
用户确认是通过使用密码来完成的,Windows NT用安全账号管理器(SAM)子系统处理保存密码以及SID和其他信息的数据库。用两种版本的哈希来保存密码,LM-hash and NT-native,除非告诉系统只使用其中一种。NT-native变体是用MD4存储的,LM-hash使用的是DES的变体。
2.3.2 UNIX
在进行标识以后,UNIX同样需要密码来确认用户的身份。
当用户输入密码以后,它使用修改过的在[6]中描述的DES算法来对密码加密并与/ect/passwd中保存的加了密的密码进行比较。如果两个是相同的话,那么用户就应该是系统的合法用户。文件/ect/passwd对系统中的所有人都是可以读取的所以就对密码攻击敏感。该问题的解决方法是使用众所周知“影子”文件(/ect/shadow)。全部的操作是将加密的密码从/ect/passwd转移到/ect/shadow,并将后者设置为普通用户不可读取。
2.4访问路径(权限)控制
2.4.1 Windows NT
系统中的每个对象都有与之相关的访问控制列表(ACL)。该列表是由一定数量的访问控制入口(ACE)组成的。每个ACE是与一个用户(或是组)的SID以及该用户能够和不能够对该对象进行的操作。不允许的ACE在ACL中是放置在允许的ACE之前的。一个在ACL中没有ACE的用户对该对象完全没有访问路径。
一个对象同样可以有NULL ACL或是一个空ACL。如果对象有一个NULL ACL的话那么该对象就没有限制。一个空的ACL代表任何人都不能以任意方式访问该对象。在默认下新创建的对象一般是由创建者给予ACL。当用户被系统确认的时候,会为该用户创建一个标号。该标号被称为主标号。它包含,除了其他的以外,用户的SID和用户所在组的SID。该标号是与对象的ACL进行比较以给予(或是拒绝)用户对对象的访问路径的。
2.4.2 UNIX
UNIX的访问控制是通过文件系统实现的。每个文件(或是目录)有一定数量的属性,包括文件名,许可位,UID和GID。文件的UID指定该文件的所有者。许可位是用来确定用户,用户的组,以及系统中的其他用户对文件的读(r),写(w)和执行(x)权限的。许可:rwxr-x—x指定所有者可以读,写和执行文件,而组成员可以读和执行,其他所有的用户可以执行该文件。在许可中的划线("-")说明访问方式不被许可。大多数系统目前支持一些形式的ACL。
进一步来说,在UNIX中的每个进程都有有效和真实的UID和有效的和真实的GID与之相关。每当一个进程尝试访问一个文件的时候,kernel会使用进程的有效UID和GID与文件相关的UID和GID进行比较以确定是否许可该请求。
2.5 审查
2.5.1 Windows NT
安全参考监视器(SRM)和本地安全权限(LSA)以及事件记录器一同审查Windows NT。不同类型的事件分为不同的事件分类而审查就是基于这些分类的。有七种事件组。要了解事件组的细节请参考[18]。
2.5.2 UNIX
传统的UNIX kernel,和系统进程,将相关信息存储在日志文件中,该日志通过弹性的可以配置的syslog机制在本地或是由网络服务器集中管理。
许多现代的UNIX系统支持一种更容易理解的叫做C2审查的审查类型。这样命名的原因是因为它完全涵盖了TCSEC C2安全级别[25]中的审查要求。
2.6 Networking
2.6 网络
2.6.1 Windows NT
Windows NT分布式的部分很大程度上取决于服务器消息块(SMB)。这是微软使用来实现许多内容的应用级的协议。这包括确认,RPC和普通Internet文件系统协议(CIFS)[8], [11], [12]的。在Windows NT环境中SMB是在Net-BIOS的最顶层在TCP/IP (NBT)会话层以上[21], [22],包括UDP同样作为NetBIOS的载体。关于CIFS/SMB的安全有许多内容可以说。首先,有可能建立所谓的NULL会话,例如没有用户名的会话。通过命名的管道交换RCP的机器经常这样做。其次,Windows NT中所有的日志记录和其他大多数的检查都是通过计算机名而不是IP地址进行的。这就意味着不能知道一个计算机是从什么地方进行访问的。我们已经知道了IP地址伪造,但是伪造一个计算机名称会更加容易。第三,协议的保密性不强很容易让他人获得很多正在进行的活动的信息。最后,总而言之,有非恶意行为的客户机有太多的信任了。要了解这些CIFS/SMB的缺陷的话,见[10]中的例子。
2.6.2 UNIX
大多数现代的UNIX机器都是连了网的。初始的网络支持是基于TCP/IP的。并通过一组程序(rlogin, rcp, rsh,等)提供远程终端访问,远程文件传输和远程命令执行。它们被称为'r'命令。网络文件系统(NFS)[23]提供支持让多个注意可以通过网络共享文件,而网络信息系统(NIS)[9],以前被称为Sun的黄页,允许主机通过共享含有用户帐户信息,组成员信息,邮件别名等的系统数据库,来实现对系统的集中管理。’r’命令是不安全的,这和许多因素有关。首先,它们认为所有网络中的主机都是按规定进行操作的,例如。任意从一个TCP/IP端口1024发送的请求都被认为是可信的。其次,它们使用基于地址的确认,例如,发送请求的源地址被使用来决定是否该给予一个服务。第三,它们通过网络来发送明文的密码。
在NFS客户机访问NFS服务器文件系统中的文件时,它需要加载该文件系统。如果加载过程成功的话,那么服务器会回应一个“文件句柄”,该句柄会在后来的对该文件系统的访问中用来确定请求是否来源于一个合法的客户机。只有被服务器信赖的客户机才可以加载一个文件系统。NFS主要的问题在于对加载请求[4]脆弱的确认机制,该机制是基于IP地址的,但是IP地址可以伪造。
NIS可以配置来(1)不进行确认,(2)基于机器标识和UID的传统的UNIX确认,或是(3)DES确认[9],(3)提供的确认的安全十分强大,但是(2)在默认下是由NFS采用的。根据[6],NIS同样支持第四种基于Kerberos [24]的确认手段。客户机和服务器都对攻击敏感,虽然Hess et al. [9]观点认为NIS的安全问题存在于客户端。入侵者可以很容易的伪造从NIS服务器发来的回应。将在4.1.3.2.中对这种入侵做进一步的描述。
2.7 扮演
系统中的用户必须可以执行某些一般是系统管理员所独有的关键的系统函数而不必有与管理员相同的权限。一种给予用户一定数量的受控制的权限让普通用户也可以以其他用户的权限,例如系统权限执行特定的进程。该特殊进程就可以进行应用级的检查来确定进程是否进行了用户并能进行的活动。
这就因此对进程执行的正确性必须要有严格的检查,以免用户可以绕过安全检查,使用系统权限进行任意活动。
2.7.1 Windows NT
每个在系统中执行的线程可能有两个记号。一个叫做主记号,另一个叫做扮演记号。扮演记号是一个线程给予另一个线程以让该线程可以代表它来执行。扮演记号是该主题的主记号的完全受限的变体。
2.7.2 UNIX
在UNIX中有两个独立但是相似的机制来处理扮演,这就是所谓的set-UID(SUID)和set-GID(SGID)机制。每个在系统中执行的文件都可以被标记为SUID/SGID执行。类似的文件是以文件的所有者/组的许可进行执行的。一般来讲某些需要超级用户权限的服务就是包含在SUID-超级用户程序中的,并且系统中的用户也被给予了权限来执行该程序。如果该程序被诱导来进行某些本来并不希望进行的活动的话,就会导致严重的安全问题。
2.8 对安全特性的讨论
两个系统的安全特性存在很多类似的地方。我们认为Windows NT的安全机制比标准的UNIX要更严格一些。这当然是因为Windows NT比UNIX出现要晚。但是,大多数的Windows NT安全特性可以在现代UNIX系统中实现。有意思的是虽然两个系统都有扮演机制,但是UNIX却有几乎不断的安全问题出现,我们对Windows NT是否也会出现同样的问题拭目以待。
最后应当指出的是一个系统并不只是因为有更多更好的安全特性就可以说比另一个系统的安全性要好。并且不幸的是Windows NT和UNIX在默认情况下都为了方便而关闭了这些特性。所以在系统安装的时候应当很好的考虑如何引入安全机制。
3. 对计算机安全缺陷的分类
使用了一种分类学方法来对现象进行分类,这就让系统研究成为可能并且更加容易进行。根据入侵手段进行分类的方法让不同的系统可以进行基于入侵信息的比较。类似的一种策略在[19]由Neumann and Parker所提出,并在[15]中由Lindquist
和Jonsson进行了完善。在我们的比较中我们采取了第二种。这种策略包括三个部分:绕过有意设置的控制(NP5),主动的资源滥用(NP6),被动的资源滥用(NP7),见表1。
表 1. 入侵技术手段的分类
分类
绕过有意设置的控制(NP5)
密码攻击
捕获
猜测
伪装特权程序
利用脆弱的确认
主动的资源滥用(NP6)
未做充分考虑的写许可
资源耗尽
被动的资源滥用(NP7)
手工浏览
自动搜索
使用个人工具
使用公共工具
Bypass of Intended Controls (NP5). 绕过有意设置的控制(NP5)。就是绕过系统中放置来让用户不能进行未经许可的活动的机制的行为。
Active Misuse of Resources (NP6). 主动的资源滥用(NP6)就是对用户以外获得的资源或是许可的恶意使用。
Passive Misuse of Resources (NP7). 被动的资源滥用(NP7)是对系统中存在的薄弱或是错误的配置进行搜索而没有进行操作的许可的行为。对于分类中的每一个子类会在第四部分做进一步的描述。其他的分类方法同样存在,但是包括上面所说的两种在内都不是完美的。关于以往在这个领域所做的研究工作的调查可以在[15]中找到。
4. 从系统出发的缺陷比较
在这个部分我们会给出Windows NT系统和UNIX系统中的安全漏洞的例子。不同的攻击方式根据第三部分的分类方法来进行分类的。同一类的漏洞进行比较。在这些案例里面这些攻击都是比较典型的,所以只会就一个例子进行讨论。
4.1 绕过有意设置的控制(NP5)
4.1.1 密码攻击
要知道某个账号的密码,攻击者可以获取明文的密码或是对哈希加密的密码进行解密。后一种情况中攻击者可以尝试暴力破解密码,例如,尝试所有的组合,或是通过尝试可能的密码,例如用户大写的反序的姓名来快速的获取密码。
4.1.1.1 Windows NT中的密码获取攻击
Windows NT支持八种不同的为了可以回溯的原因设计的确认手段。使用哪种是与SMB_C_NEGOTIATE消息中的客户端有关的。老一些的手段是通过网络传输明文的密码。服务器一般来讲总会尝试和建议更安全的手段,但是一般是由客户机,除非存在共享级别和用户级别的不兼容的情况,来这是安全的级别。服务器在默认的情况下一般是接受明文密码作为有效确认的。由David Loudon建议的一种攻击就是基于服务器总是可以接受明文的密码这一事实,并且可以欺骗客户机使用不安全的确认协议,操作步骤如下:扫描网络寻找协商请求消息。当获取该请求后,伪装成接受消息的服务器发送回复,并声明只能读取明文密码的确认手段。然后截取当客户机稍后发送的建立会话的消息中的明文密码。被攻击的双方都不会知道已经受到了攻击,这是因为客户机用户不会知道安全已经被降低了,并且不会认为客户机发送明文密码有什么不对的地方,虽然最初它是建议采用加密的传输的。
4.1.1.2 在UNIX中的密码获取攻击
某些协议,例如,telnet和ftp,还有UNIX环境中的‘r’命令发送明文的密码信息。这样攻击者所做的就是对网络中的这些活动进行嗅探并从线上获得密码。
4.1.1.3 对密码获取攻击的比较
以上所介绍的缺陷可以归类为由于历史问题。Windows NT因为要保持对以前版本的兼容性所以出现了这样的问题,使用以上所形容的协议的UNIX环境也是因为同样的问题而存在缺陷。如果兼容性不再是要求的话,那么Windows NT服务器或者是客户机就可以配置来不接受老的SMB协议。在UNIX环境中,更加安全的协议有着同样的功能,例如可以采用SSH[26]。
4.1.1.4 Windows NT中的密码猜测攻击
在Windows NT中,密码是保存在Lan-Manager-哈希或是叫做LM-哈希格式和NT本地格式中的。LM格式的加密算法比本地格式的要脆弱得多,例如,在Lan Manager中只是允许大写字符并且在不够14个字符的长度的时候用NULL填充。并且由于其所使用的加密算法在密码不足8位的时候其格式很容易被认出。公共维护的程序L0phtCrack就可以用来进行暴力破解以及字典攻击。要获得加密了的密码来进行破解可以通过找到一个SAM数据库的拷贝或是对网络嗅探来成功实现。并且有相关程序存在。
4.1.1.5 UNIX中的密码猜测攻击
在UNIX中,加密的文件一般是存储在/etc/passwd文件中的。该文件对系统中的所有合法用户都是可以读的。在某些UNIX版本中加密的密码是存储在影子文件中的,该文件只能由超级用户读取。由于NIS的引入就可以在安装UNIX的网络中获得密码。NIS对防止主机获得系统加密文件的访问路径的保护不足。当获取了这些密码以后,攻击者就可以自由的使用例如Crack [17]一类的程序进行破解。
4.1.1.6 密码猜测攻击的比较
Windows NT和UNIX都可能被密码攻击所影响。并不是因为脆弱的加密手段,而是由于它们都允许过短或是很容易猜测到的密码。另一方面是由于他们允许长时间的密码猜测直到获得成功。但是并不是说如果用户可以选择更加安全,例如更加难于猜到的密码的话,那么该问题也就不存在了。也不是说自动产生的密码就是这个问题的最终解决方法。
4.1.2 伪装特权程序
如果对一个以上的用户所信任的程序被诱使来代表有更大权限的用户进行某些活动的话。该程序可能被欺骗来提供信息,改变信息或是造成拒绝服务攻击。这一类的利用例子很多,包括GetAdmin [7]和X终端彷真程序日志漏洞[14]。以下我们举出了这两个系统中典型的漏洞。
4.1.2.1 在Windows NT和UNIX中伪装特权程序
当IP包句柄收到一个大得不能装入一个包中的消息时它一般是将消息分成许多片并将每一个片都放在一个单独的IP包内。除了最后一个以外的包都在头文件中有一个More Fragments (MF)位。包同样有一个偏移记数器告诉对方这片对应原始消息中的哪一部分。泪滴就是利用IP堆栈中没有采用分片处理检查的攻击。其实现方式是发送两个IP包;一个是正常的但是设置了MF标志,另一个有在第一个中的片偏移量,但是总的大小小于第一个包。但是这一次却没有设置MF标志,所以系统就会将第二个包作为分片的最后一个。当系统尝试校整这些包的时候会发现一个比结尾标识大的偏移量。从包缓冲读取数据的函数会通过将结尾计数器减去偏移量计数器来计算要读取的字节的大小。这样它就会得到一个负的字节大小而读取大量的信息来造成系统的崩溃。
总而言之这是一个典型的缓冲溢出错误。Windows NT和许多UNIX版本以及路由器都对泪滴攻击敏感。这是因为在所以的系统中都使用了相同的TCP/IP栈实现。
4.1.3 利用脆弱的确认
利用脆弱的确认意味着利用系统对某个请求的来源不能正确的确认这一特性进行攻击。以下我们会通过两个man-in-the-middle攻击来对这一类攻击进行介绍。
4.1.3.1 利用Windows NT中的脆弱确认
在Windows NT中通常的远程登录如下发生:
1. 客户机尝试建立远程计算机上外部服务的SMB连接。
2. 服务器会发送给客户机一个校验
3.客户机会使用该校验和LM以及NT密码来产生一个24位的字符串,并将其放置在一个SMB消息中发送给一个远程计算机。在此之后该用户就被认为是被确认的了。
但是该协议可能被利用,从以下的例子可以看出。这是Dominique Brezinski在[2]中进行描述的,基于攻击者可以伪装成服务器这个事实。Brezinski是这样描述攻击的(Mallory是攻击者Alice是用户):
1. Mallory向主机发送一个连接请求。
2. 主机返回一个随即字符串
3. Mallory等待Alice向主机发送一个连接请求
4. 当Alice向主机发送一个连接请求的时候,Mallory伪造一个含有主机发送给Mallory的随机字符串的回应给Alice
5. Alice使用她自己密码的哈希来做为密匙来对随机字符串加密并发送给主机。
6. Mallory截获(或只是从线上拷贝)Alice的回应并将其重新打包作为步骤一所做的连接请求的回应发送给主机声称这是Alice的回应包
7.主机在安全数据库中查找Alice密码的哈希并对发送给Mallory的随机字符串进行加密进行比较,这样的话Mallory就可以被允许以Alice的证书进入系统了。
4.1.3.2 利用UNIX中的脆弱确认
当NIS安装在UNIX的基本操作系统中的时候,同样的攻击在UNIX中也成为了可能。David K. Hess et al.在[9]中对其中的一个做了描述。
1.入侵者观察NIS客户机和NIS服务器之间的连接来搜索一个特定用户的NIS/RPC/UDP yp_match查询请求。该命令是使用来从一个NIS服务器获得确认信息的。其回应是一个特定的用户/etc/passwd文件入口字符串。
2. 当该查询传递给入侵者的时候它迅速的产生一个假冒的回应并在服务器向客户机发出回应之前抢先将其发出。由于使用了UDP并且服务器的回应在入侵者的之后到达,所以后到达的哪个消息就被丢弃了。该攻击导致的结果是用户是由入侵者确认的而不是正常的NIS服务器。
4.1.3.3 比较
这两种攻击能够成功是因为对信任的错误放置。在两个案例中客户机都盲目的相信服务器因此就可能被欺骗。所造成结果的差异很小。在Window NT的案例中入侵者只是以他进行拦截的用户的身份被系统所确认。在UNIX案例中入侵者是访问自己所选定的用户。
4.2 主动的资源滥用(NP6)
4.2.1 资源耗尽
资源耗尽一般被采用来造成拒绝服务。该思想是将一种或是多种资源尽可能的分配。一般来说造成系统的缓慢或者是崩溃。
4.2.1.1 Windows NT中资源耗尽
一般来说,在Windows NT中的线程的优先级为1到15,1为最低的优先级。一般程序都不会有太高的优先级(>10)。进一步来讲Windows NT采用失效机制但是不会对优先级14以上的有效。CpuHog是一个小的程序运用优先级机制来挂起系统。CpuHog所做的是将自己的优先级设置为15并进行无限循环。这就可以将系统挂起并且让所有的程序都不能启动,包括任务管理器。奇怪的事情在于你不需要什么特别的权限来做这件事情。微软在一个服务包中修正了该漏洞允许优先级15以上,这意味着CpuHog只会相应的减慢系统的速度。
4.2.1.2UNIX中的资源耗尽
可能在UNIX环境中最知名的拒绝服务攻击是while(1)fork();程序。这行C代码在循环的每一步产生一个新的进程。导致的结果是系统范围内的所有进程表的入口都被消耗掉了,意味着没有新的进程可以启动。许多厂商目前通过限制一个用户可以启动的进程来解决此问题。
4.2.1.3 比较
在两个系统中资源耗尽攻击都是可能的,这是由于它们都允许用户分配不合理数量的系统资源。有意思的是这两种攻击使用的机制不相同,但是结果一样。
4.3 被动的资源滥用(NP7)
被动的资源滥用是未许可的用户寻找弱点而不去使用它们。而发现的东西可以在稍后的主动攻击中使用。所采用的方法有手工或是使用特殊的工具进行自动搜索。
4.3.1 手工搜索
在手工搜索中,攻击者不使用任意工具来查找缺陷。手工搜索所获得的关于缺陷的信息在后来可以被用到自动搜索工具中去。很难说这两个系统中哪一个更容易被手工搜索所攻击。关键在于对系统的很好的理解,例如,知道要找的是什么。现今很容易找到关于UNIX系统的很有深度的描述。
4.3.2 自动搜索
自动搜索被分为了使用个人工具和使用可以公共获取的工具。这样区分的原因是使用可以公共获取的工具会被较容易检测到。在一些情况下这些工具有相同的名字并且和对于系统特定的漏洞有相同之处。这类的程序中有Internet Scanner (IS),是著名的Inter-net
Security Scanner (ISS)的商用版本。其他在UNIX中使用很久的常用程序并会移植或是正在移植到Windows NT中,SATAN就是这样的一个程序。总而言之,系统对这类攻击相当敏感。
5. 讨论与得出的结论
这篇文章说明Windows NT的安全机制比UNIX的稍微好一些。虽然两个系统都相似的一类漏洞。这说明Windows NT在理论上比“标准”的UNIX要更安全一些。但是根据现今对系统的安装和使用情况来看,这两个操作系统在安全级别上没有明显的区别。虽然事实上目前对UNIX系统的入侵要多一些,但是我们相信这是由于历史原因所造成的,假如上述系统的发展与市场是处于同一阶段的话那就不成立了。因此UNIX的入侵更多的唯一原因在于该系统更老而且更有名,并且我们应当注意到对Windows NT入侵的数量开始上升,这也是目前开始的一个趋势。很明显这两个系统的弱点都在于网络。由于两个系统都采用同样的底端的协议,例如IP,TCP和UDP,和相关可以进行比较的高端协议。这可以进一步说明两个操作系统的在安全行为上的相似之处,但是并不是对安全行为相似性的完整解释。但是,只要网络互连这个弱点仍然存在的话,那么其他安全机制的有用性也将会大大减弱。
参考书目
[1] Maurice J. Bach, The Design of The UNIX Operating System. Prentice-Hall Inc,
1986.
[2] Dominique Brezinski, A Weakness in CIFS Authentication. February, 1997.
[3] Sarah Brocklehurst, Bev Littlewood, Tomas Olovsson and Erland Jonsson, On
Measurement of Operational Security. In COMPASS 94, 9th Annual IEEE Con-ference
on Computer Assurance, Gaithersburg, pp.257-66, IEEE Computer Soci-ety,
1994.
[4] D. Brent Chapman and Elizabeth D. Zwicky, Building Internet Firewalls. O’Reilly
& Associates, Inc., November 1995.
[5] Helen Custer, Inside Windows NT. Microsoft Press, 1993.
[6] Simson Garfinkel and Gene Spafford, Practical UNIX and Internet Security, 2nd
edition, O’Reilly & Associates, Inc., 1996.
[7] Hans Hedbom, Stefan Lindskog, Stefan Axelsson and Erland Jonsson, Analysis of
the Security of Windows NT. Chalmers University of Technology, June, 1998.
[8] I. Heizer, P. Leach and D. Perry, Common Internet File System Protocol (CIFS
1.0). Internet Draft, 1996.
[9] David K. Hess, David R. Safford and Udo W. Pooch, A UNIX Network Protocol
Security Study: Network Information Service. Texas A&M University.
[10] Hobbit, CIFS: Common Insecurities Fail Scrutiny. Avian Research, January,
1997.
[11] Paul J. Leach, CIFS Authentication Protocols Specification. Microsoft, Prelimi-nary
Draft, Author’s draft: 4.
[12] Paul J. Leach and Dilip C. Naik, CIFS Logon and Pass Through Authentication.
Internet Draft, 1997.
[13] LeFebvre-W, Simply syslog. Unix-Review, vol. 15, no. 12, November 1997.
[14] Ulf Lindqvist, Ulf Gustafson and Erland Jonsson, Analysis of Selected Computer
Security Intrusions: In Search of the Vulnerability. Technical Report 275, Depart-ment
of Computer Engineering, Chalmers University of Technology, G
