揭秘網絡犯罪:我們又應當如何應對
你可能聽說過中間人攻擊,瀏覽器遭遇攻擊(MitB)等類型的網絡破壞行為。這個詞在2005年就出現了,不過當時應用的并不是很頻繁。現在,要感謝犯罪軟件被當作一種MitB攻擊形式,情況發生了變化。根據維基百科的定義,MitB指的是:
“一種可以感染網絡瀏覽器的木馬,并有能力對頁面進行修改,更換交易內容或插入其它交易,所有這一切都是在用戶和所有主機應用程序都沒有發現的隱蔽狀態下進行的。
無論SSL/PKI和或兩種或三種因素認證解決方案之類的安全措施是否到位,MitB攻擊都有可能會獲得成功。”
在一篇文章中,筆者提到了一個實例,在一起近50萬美元的盜竊案中犯罪軟件發筆者不知道任何金融機構正在使用這種方法。如果你知道揮了作用。在接下來的一篇文章中,筆者會對網銀木馬Zeus和URLZone的情況進行了介紹,它們也許就是盜竊案中使用的工具。而在本文中,筆者將對可能的解決方案進行全面而深入的介紹。
提高自身安全自己保護自己
因為錢是自己的,所以我們要主動采取措施保護它。竭盡所能來保護我們來之不易的積蓄。一旦我們的個人狀態調整到最佳狀態,就可以在銀行出現錯誤前清除掉它們。
最簡單有效的辦法就是不使用網絡銀行。這是一個很好的想法,但對于不能去實際銀行的人以及需要個人服務的情況來說,又應該怎么辦?此外,我們不應該屈從于網絡罪犯。考慮到這一點,讓我們看看一些成員已經提出的解決方案。
筆者如果不首先提到這一點就是疏忽了。任何解決方案都不是固若金湯,特別是針對犯罪軟件這種不斷發展的事物而言。因此,大家需要進行討論,以確認哪些解決方案適合在網絡銀行中使用。請告訴筆者你對這些解決方案的看法。它們是:
· 采用專用計算機,機器中僅安裝運行操作系統(如果可能的話不要選擇Windows)和網絡瀏覽器,禁止安裝其他應用程序(特別是電子郵件)。確保操作系統和網絡瀏覽器安裝了最新更新補丁。最后,該計算機只允許訪問必須的金融門戶網站,禁止訪問任何其他網站。
· 在只讀引導區(LiveCD或鎖定的閃存驅動器)中安裝僅包含網絡瀏覽器的Linux系統。采用此設置進行訪問銀行、金融或信用卡交易等操作。
· 采用安裝了最新主機操作系統的原始計算機。在計算機上建立一個普通虛擬機以及另一個專門用于上面提到過的金融交易的虛擬機(VM)。采用該虛擬機進行金融交易。
使用蘋果iPhone
筆者最近看到一篇文章,在文章中提到,iPhone可以用來防范現有犯罪軟件的變種。具有諷刺意味的,這是因為大多數用戶不喜歡的一項功能。iPhone同時只能運行一個任務。因此,犯罪軟件不能在后臺運行。
銀行需要做些什么工作
現在我們已經在竭盡所能保護自己,讓我們來看看什么是金融機構必須做的。兩個問題,對驗證和核查過程進行改進。所有有關各方不要光說,要行動起來。大家應該了解交易的過程是否準確,一方當事人應該提出認證。
認證
處理金融事物、資金轉移或信用卡交易的網站需要提供真正的多因素驗證。在美國,筆者沒有看到這種方式。如果筆者錯了,請告訴筆者。你使用的銀行或者信用卡,需要支持下面列出的多種因素:
1、你知道的事情:舉例來說密碼、圖片或問題的答案。
2、你擁有的設備:舉例來說一次性密碼令牌(SecureID)、計算機硬件或智能鑰匙卡。
3、你自身的特征:舉例來說指紋、視網膜、DNA或可驗證的照片。
這三個因素是按效果從低到高排列的。筆者的銀行采用的就是單因素認證。首先,他們會提出安全問題:
在筆者和銀行都知道的所有三種因素中,它僅僅使用了一種,并且整個模式的安全性也很低。因此,筆者認為,在這種情況下,Zeus或URLZone可以成功地創建非法交易。
交易驗證
看起來,世界各地的金融機構似乎都比美國的更關注交易驗證過程。舉例來說,一些歐洲用戶就提到他們使用網絡銀行的時間就需要輸入一個一次性密碼,以核實每筆交易。
對于大多數犯罪軟件的防范來說,這是一個不錯的主意,但Zeus和URLZone并沒有被包括在內。它們都有一種繞過機制。Zeus和URLZone都能夠破譯驗證碼,并利用它來核實自己創建的交易。
因此,現在所需要的是?
現在我們需要的是官方交易驗證。維基百科提供了其定義:
“為保證安全性,交易驗證必須使用帶外技術(包含了兩個獨立的部分)或者一臺獨立的數字簽名設備,舉例來說,一臺可編程的讀卡器,以便對交易信息進行處理,通過加密方式進行細節的傳輸。”
#p#筆者不知道任何金融機構正在使用這種方法。如果你知道這樣做的銀行,請告訴筆者。這將是一個逐步建立的過程。
TechRepublic成員Jkameleon和筆者關于如何可以解決這一問題有一次有趣的交談。Jkameleon描述了一種裝置,可以阻止Zeus和URLZone的攻擊。令人驚訝的是,在現實中,筆者也能找到這樣的設備。
IBM的ZTIC
IBM正在開發一種叫做值得信賴的信息頻道區(ZTIC)的硬件設備。關于其工作原理,IBM是這樣說明的:
“在啟動ZTIC代理后,用戶就可以打開一個網絡瀏覽器通過ZTIC網站與銀行建立連接。從這一時刻起,瀏覽器和服務器之間所有的數據傳輸都是通過ZTIC進行的;SSL會話受到ZTIC中的密鑰保護,因此,計算機上惡意軟件無法獲取相應的信息。”
這非常重要,但對于防范Zeus和URLZone來說,還不是穩妥的。了解ZTIC是如何對每筆交易進行驗證的是非常有幫助的:
“此外,包含目標帳戶號碼在內的重要交易信息,在瀏覽器和ZTIC之間進行傳輸的時間,將自動受到保護。關鍵信息在經過ZTIC時,需要得到用戶的明確確認:只有在按下“確定”按鈕后,TLS/SSL連接才會繼續。如果計算機上的任何惡意軟件企圖在瀏覽器中插入不正確的交易數據的話,用戶在這一時刻很容易發現。”
看起來ZTIC提供的就是官方交易驗證。下面就是相關步驟的說明:
1、網絡瀏覽器和ZTIC之間和交易信息和帳號相關的傳輸流量被發現。
2、ZTIC顯示相關信息,要求用戶確認。
3、用戶選擇同意以便進行數據傳輸。
ZTIC的優點和缺點
這種方法可以避免URLZone創建隱藏的交易。也可以防止Zeus的行動。所有信息都顯示在單獨的設備中,可以防止惡意軟件通過屏幕捕捉和記錄獲取信息。 IBM已經在YouTube上放置了一段視頻,來演示設備是如何進行工作的。在看完視頻后,筆者發現了兩個問題:
· 該設備沒有使用帶外(第2種)通信方法來驗證交易。
· 由于每比交易都需要ZTIC進行認證,所以這種方法要求每家金融機構都配備該設備。
不過,不管怎么說,使用ZTIC都將大大提高網上銀行的安全性。筆者還有更多的好消息告訴大家。這里將有另外一個新概念。
馬斯康安全
筆者還發現了另一家致力于消除該問題的公司。為了了解更多的信息,筆者和馬斯康安全的首席執行官沙拉姆·卡利文進行了幾次交流。最初,筆者以為馬斯康安全僅僅是ZTIC的軟件版本而已。在于卡利文先生交流后,筆者發現了它們之間的區別,下面就是筆者對該技術的認識:
馬斯康安全采用的是他們稱之為非線性認證的技術。這是一項新概念,可以用來提高用戶登陸的安全性,并為網上金融交易驗證提供幫助。卡利文先生解釋了線性和非線性認證的區別在于:
· 線性認證:就是用戶通過門戶網站直接進行身份驗證。
· 非線性驗證:就是用戶和門戶網站通過第三方認證和驗證過程進行身份驗證
筆者認為馬斯康安全模式是結合OpenID技術和ZTIC的最佳做法。
馬斯康數字標識
該數字標識屬于個性化軟件,包含了一個序列號和網絡IP地址。該網絡IP地址可以直接與馬斯康認證服務器進行連接。數字標識則用來驗證用戶身份以及確認交易。卡利文先生對整個工作過程進行了說明:
1、用戶打開該網站并登錄,這時認證服務器會進行重定向操作。
2、驗證服務器會發出一個包含一次性序列號和網站登錄用戶名的Cookie(有效時間為2分鐘)。
3、網站的名稱將顯示在數字標識的“簽名”部分,如果是一次交易的話,交易量和交易對象將顯示在簽名部分。
4、數字標識將讀取cookie的一次性序列號,通過哈希運算將計算機指紋(處理器序列號、硬盤序列號、MAC地址和計算機名)和它放在一起,采用SHA 256 (資金傳輸的話使用SHA 512)進行兩次處理。
5、通過SSL會話將該信息直接返回認證服務器,而不是網絡站點。
如果所有信息被證明是正確的話,認證服務器將通知網站,允許進行訪問。如果是交易數據傳輸的話,認證服務器會向網站發送相關的所有交易信息。
馬斯康模式的優點和缺點
不象ZTIC,更類似OpenID,在啟用了馬斯康安全功能后,數字標識可以用來對任何網站進行認證。包括網絡釣魚在內的各種攻擊都可以被阻止。筆者特別喜歡的一點,就是阻止網絡釣魚攻擊。馬斯康的認證服務器將不允許任何資料被轉交給官方以外的任何其他網站。
關于馬斯康安全的數字標識,筆者也有一些顧慮:
· 類似ZTIC,馬斯康數字標識也沒有使用帶外(第2種)通信方法來驗證交易。
· 馬斯康模式完全依賴于一個聯絡點,即驗證服務器。為了防止出現時間延遲,筆者還希望提供一些額外的保障。
結 論
為了更好得保護自己,我們可以改變自己的上網習慣。但所有改變的效果都是暫時的。壞分子總是可以想出另一種方法。因此,我們的目標應該是促使金融機構和網絡商家開始實施如筆者在上文所述的真正解決方案。
“雖然每一項行動計劃中都存在著風險和代價,但相比輕輕松松的不作為帶來的長期風險和代價,它要小的多。”
——約翰·F·肯尼迪(1917——1963)
【編輯推薦】
