网络安全 频道

专访:怎样保护密码 抵制网络窃密

网上密码安全问题已经成为目前最大的网络安全隐患。近期陆续有用户报告发生网上银行用户密码被盗的事件。2006年5月10日,浙江金华一李姓市民用于网上购物支付的银行卡内余额不翼而飞;2006年4月来,北京地区使用某银行网上银行的客户,陆续有人发现自己账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等;而至于网络游戏账号密码被盗案例更是不胜枚举。据江民科技开展的一项关于网上密码信息安全状况调查显示,39.43%的网民有过密码被盗的经历,34.50%的网民没有对自己的密码采取任何保护措施,13.61%网民表示采取过密码保护措施但仍然被盗,59.34%的网民认为造成密码丢失的原因是因为中了木马病毒, 24.19%的网民认为密码被盗主要原因是自我保护意识差被网络钓鱼,14.27%的网民认为主要原因是密码太简单被暴力破解。

2006年5月23日,赛迪网编辑采访了江民公司副总经理,研发部总经理黄晓润先生,就江民科技最新发布的密码保护产品“江民密保”的功能、技术原理等,以及普通用户怎样才能做到密码安全展开讨论。以下是访谈实录。

Q:首先请您给我们介绍一下开发“江民密保”的背景,也就是说,为什么要开发这样一款产品?

A:我们首先可以来看一些案例。在今年的5月10日,浙江金华一李姓市民用于网上购物支付的银行卡内余额不翼而飞,而从2006年4月来,北京地区使用某银行网上银行的客户,陆续有人发现自己账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等;而至于网络游戏账号密码被盗案例更是不胜枚举。

并且我们做过一项关于网上密码信息安全状况的调查,调查结果显示:39.43%的用户有过密码被盗的经历,34.50%的用户没有对自己的密码采取任何保护措施,13.61%网民表示采取过密码保护措施但仍然被盗,59.34%的用户认为造成密码丢失的原因是因为中了木马病毒, 24.19%的网民认为密码被盗主要原因是自我保护意识差被网络钓鱼,14.27%的网民认为主要原因是密码太简单被暴力破解。

在这种情况下,开发这样一款密码保护的工具,是非常有必要的。

Q:据我了解,KV2005中就可以设置隐私保护来防范证券大盗,请问为什么又推出了专用的“江民密保”新品?跟前者相比,后者在哪些方面做了升级?

A:在KV2005中确实是有隐私保护功能的,但那只是一个模块,功能也比较单一。我们新推出的“江民密保”跟前者相比,增加了许多功能,主要针对网络游戏和网银交易的特点设计开发,可以对网游和网银的账号、密码进行有效保护。此外,用户可以灵活利用,也可以配置保护QQ密码等。

Q:“江民密保”是基于前面提到的KV2005中的技术进行开发的吗?

A:是的,用到了KV2005中密码保护模块的技术。并且江民公司为所有江民杀毒软件用免费升级提供“江民密保”产品,可以大大增进我国网上交易系统的安全指数。

Q:“江民密保”保护用户的密码,成功率有多高?只能针对现有的木马病毒钓鱼程序,还是对未知的窃取密码的攻击行为都有防范能力?从技术上来讲,是基于什么原理实现的?

A:从目前测试的情况看,“江民密保”保护用户密码的成功率是100%。对于现有的木马病毒、钓鱼程序,我们采用的是黑名单技术,也就是说,利用我们江民公司多年来在技术上的积累,把已经出现过的木马列在黑名单中,如果用户遇到黑名单中的恶意程序,就可以马上识别出来。对于新的恶意程序,我们采用行为判断技术,总结已有的恶意行为的特征,将可能的恶意程序行为和这些特征进行比照,从而做到防患于未然。当然这种防范可能不能取得100%的效果,但这只是第一道防线,即时黑客侥幸过了这道关,后续的防范措施还是会把它杀死,成功保护用的利益。

Q:在一些案例中,很多都是利用用户的疏忽,比如经典的“shoufang”和“shoufan”,以及“lenovo”和“1enovo”;还有一些是用户贪图小便宜;这些人为的因素,“江民密保”有涉及到吗?从技术上来讲有没有什么好的解决办法?还是只能通过提醒用户、普及知识、加强用户的防范意识来防范?

A:除了上面提到的黑名单外,我们还有一个白名单,里面记录着合法的、用户经常访问的站点,比如各大银行等。这样在用户进行网上交易时,通过和白名单的比照,如果所访问的站点不在白名单中,“江民密保”会给出用户提示,用户可以选择通过或禁止。

Q:一般对待像“证券大盗”这样的典型的以盗取账号和密码为目的的木马病毒,反病毒厂商开出的方子都是安装防病毒软件,并更新具有查杀“证券大盗”的病毒代码库。这是一个被动防御的权益之计,治标不治本。因为这样是先有矛,后有盾。杀毒软件的更新有一个滞后期,等杀毒软件能查杀该病毒,已经有用户因为密码泄密而损失惨重了。请问你们在主动防御方面有没有好的方法和比较成熟的产品?

A:前面我们提到的行为判断技术,就是主动防御的实例。可以在用户还没有损失的情况下就展开保护,这比事后的亡羊补牢当然要好得多。

Q:“证券大盗”实质上是利用键盘钩子技术进行做案的,他们最关心的是键盘消息“钩子”(WH_KEYBOARD Hook)。对付此类病毒的有效措施是以毒攻毒,以键盘钩子对付键盘监视:即在应用程序中需要键盘输入的时候,应用程序自己创建并安装一个键盘监视钩子,并使其处于钩子链的顶端,这样键盘输入的消息将被自己的钩子处理程序截获。只要在钩子处理程序中不再调用CallNextHookEx函数,即不把消息传递给下面的钩子,“证券大盗”这类木马病毒就对你的输入信息望洋兴叹了。这里我想知道两个问题,一是“江民密保”中是否用到了这一点?二是有没有针对其它操作系统,比如Linux等的防范措施?另外,防范了键盘钩子之后,黑客还会通过屏幕快照将用户的登录界面连续保存为两张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。怎样防范这一点?

A:“江民密保”主要针对两个领域:网络游戏和网银。对于网银方面,首先我们打开“江民密保”的网银保护,在登录某交易银行的网站时,会弹出一个小窗口,用户不需要敲击键盘,也不必通过软键盘输入以免被拍了快照,从这个弹出的小窗口中点击用户名,我们的软件会通过一些网页技术自动输入密码。这样即时被拍了快照也是没有用的,因为拍到的只是一些没有意义的小圆点。

Q:那是不是要事先把这用户名、密码对输入到“江民密保”中去?

A:是这样的,首先需要输入一次。以后就可以永远使用了。

Q:这样的话,黑客是不是可以搜索我们保存下来的密码,从而达到目的?

A:我们最新研究的“江民密保”具有三大密保绝技:第一,该款产品融入了最新研发的内存级密码防护技术。其次,江民密保开辟了网银和网游安全专区。第三,专门增设了木马隔离墙,为密码安全设定最后防线,对于不明程序通过网页、邮件等形式向外发送数据的,系统会发出报警并拦截。这里所提到的第一个特性,内存级密码防护技术,对内存读入的数据实施保护,可以防止木马从内存搜索密码并向外发送。

Q:好,谢谢您对网银方面的解释。在网游保护方面,是怎样绕开键盘钩子的呢?

A:网游用户在登录的时候,我们采用的是您前面提到的“以毒攻毒”的技术。因为网络游戏每一款都有不同的特点,难以统一对待,不像网银交易,都是通过访问网站。  

Q:对于网游,只是在登录的时候进行保护,还是后续也会有相应的保护措施?

A:在后续的过程中,比如,交易网游商品的时候和其他交互的时候,都会有保护。

Q:我们都知道,网络游戏对响应速度的要求是很高的,不知道“江民密保”这样每一次交易都进行保护会不会降低网游的响应速度?

A:占用资源方面我们进行过非常大的努力,现在占用的资源是非常少的,“密保”比江民的杀毒程序占用的资源都要少,一般网游用户的机器配置都比较高,基本感觉不出响应上的任何滞后。

Q:我觉得要想彻底解决网络窃密,从技术上防护是必要的,但用户自我保持警觉更是必不可少。在谈完了技术措施外,您能给用户一些建议吗?

A:好的。我们可以把网络窃密分为以下几种。我们可以逐一分析一下,一起来看看普通用户平常应该注意些什么。

第一是暴力破解。比较原始的窃密技术是暴力破解,也叫密码穷举。如果黑客事先知道了账户号码,如网上银行账号,而恰巧你的密码又十分简单,比如用简单的数字组合,黑客使用暴力破解工具很快就可以破释出密码来。比较典型的案例是QQ密码破解工具,2004年底,江民反病毒中心监测到,QQ本地密码验证的加密算法已被破解,获得QQ本地密码验证加密算法后,像“800612”这样的6位生日数字密码,可以在1分钟之内被破解出来。不过,江民的专家介绍,如果网络用户把密码设的较长一些而且没有明显规律特征(如用一些特殊字符和数字字母组合),这种破解工具的破解过程则仍“非常困难”。因此,为了保护自己的密码,首先应确保所设的密码“够乱”,其次尽量不要使用QQ或WINDOWS“记住密码”的功能。用户应该把自己的账户号码与密码放在同等重要的位置进行保护,特别注意不要在公用的电脑上使用网上交易系统,不要在与好友通过QQ、MSN等即时聊天工具聊天时透露你的账号密码。

第二是我们上面提到的击键记录与软键盘输入。在大部分用户意识到简单的密码在黑客面前形同虚设后,人们开始把密码设置的尽可能复杂一些,这就使得暴力破解工具开始无计可施。这时候,黑客开始在木马病毒身上做文章,他们在木马程序里设计了勾子程序,一旦用户的电脑感染了这种特制的病毒,系统就被种下了“勾子”,黑客通过“勾子”程序监听和记录用户的击键动作,然后通过自身的邮件发送模块把记录下的密码发送到黑客的指定邮箱。比较典型的案例如“密码大盗”。2005年1月26,江民反病毒中心率先截获特洛伊木马“密码大盗”(TrojanSpy.MimaThief.10),该木马伪装成QQ升等级的挂机工具,通过安装windows钩子和子类化 IE 服务器窗口(Internet Explorer_Server)来盗取用户在网页上输入的敏感信息。

“密码大盗”病毒运行后,在感染计算机上释放下列四个文件:用来记录病毒原始目录的文件mmdat.dat ;病毒主程序intrenat.exe,以及钩子模块ntdll32.dll和记录用户输入数据的文件wdata32.dll。病毒运行后安装钩子模块,子类化IE服务器窗口(Internet Explorer_Server),当发现网页上有“ Password”“密码”“Submit”等字符时开始记录用户输入信息,并将记录的用户信息发往指定邮箱。

对付击键记录,目前有一种比较普遍的方法就是通过软键盘输入。软键盘也叫虚拟键盘,用户在输入密码时,先打开软键盘,然后用鼠标选择相应的字母输入,这样就可以避免木马记录击键,另外,为了更进一步保护密码,用户还可以打乱输入密码的顺序,这样就进一步增加了黑客破解密码的难度。

第三是屏幕快照突破软键盘输入技术。软键盘输入使得使用击键记录技术的木马失去了作用,这时候,黑客仍不甘心,又开始琢磨出通过屏幕快照的方法来破解软键盘输入。2004年江民反病毒中心截获“证券大盗”病毒,该病毒作者已考虑到软键盘输入这种密码保护技术,病毒在运行后,会通过屏幕快照将用户的登陆界面连续保存为两张黑白图片,然后通过自带的发信模块发向指定的邮件接受者。黑客通过对照图片中鼠标的点击位置,就很有可能破译出用户的登陆账号和密码,从而突破软键盘密码保护技术,严重威胁股民网上证券交易安全。

第四就是花样不断翻新的网络钓鱼。除了通过木马技术进行窃秘外,网络钓鱼也是黑客进行网络窃秘的主要手段。近年来,江民反病毒研究中心监测到各种花样翻新的网络钓鱼事件。2004年7月19日,一个恶意网站伪装成联想主页,通过恶意脚本程序,利用多种IE漏洞种植木马病毒,并散布“联想集团和腾讯公司联合赠送QQ币”的虚假消息,诱使更多用户访问该网站造成感染。该恶意网站的利用数字1和小写字母l的相似性,令钓鱼网站域名看起来竟然与联想官方网站没有任何差别!

2005年2月16日,一种新型“网络钓鱼”企图诱骗美邦银行(Smith Barney)用户的账号和密码。与以往的“钓鱼”邮件相比,该邮件不仅利用了IE浏览器的地址欺骗漏洞,还精心设计了脚本程序,遮挡IE浏览器的地址栏,令用户很难发觉被骗。随后,假工商银行网站、假中国银行网站、假政府网站相继出现,网络骗子利用这些假网站,盗取登陆者账号、密码,给相关部门和行业带来巨大损失,使人们对于网上交易行为的安全性产生更大的质疑,严重阻碍了电子商务行业的发展。

在这种情况下,建议用户安装保护工具,借助保护工具的提示再详细判断。我想,有了我们安全厂商和用户的共同努力,我国网上交易系统的安全指数一定会大大提高。 http://www.hack58.net/Article/60/61/2006/9303.htm

0
相关文章