【IT168专稿】回到先前我们提出的几个看似平常动作,我们来看看危险在哪里:
1.有人在你的博客留言,为了礼尚往来帮他冲人气,你通常也会到对方博客留言。
<危险!>如果这网站有着 iFrame 安全弱点,如前述的意大利逾千个网站遭入侵案例,"只要看一眼"便会触发一连串的恶意程序不请自来。
2.到交友网站浏览超高人气的个人介绍,看看到底他以什么魅力。
<危险!>知名度极高的交友网站 MySpace ,遭到十九岁黑客 Samy Kamkar 放在个人简介资料的同名蠕虫 Samy ,导致上百万人不知不觉中执行该病毒。
3.跟网友"博感情",让他知道个人所有秘密,包含你是姚明的头号粉丝、你喜欢用网络进行股票交易等等。
<危险!>由 International Security Partners 成功模拟并执行的案例发现,黑客可假装到交友网站结识网友,在了解其兴趣后取得信任,比如传送"最喜欢的棒球选手即将被交易至别队!"的运动网站报导链接,并暗中发动 XSRF 攻击。藉以冒用 John 的永久性身份验证,转帐结清他原来的账户余额。
4.是热门网站每日必报到的常客
<危险!>趋势科技4月2日发布警讯,木马病毒TROJ_ANICMOO.AX利用Windows动态光标缺陷(Vulnerability in Windows Animated Cursor Handling)发动零时差攻击,使用者只要点选相关恶意链接就会遭受窃取密码账号等机密数据的木马攻击,但也有可能因为上了遭受植入恶意程序的网站,而被暗中下毒。当时台湾有多家知名企业的官方网站遭植入该病毒,其中包含知名医院、电视台、大学、政府机构、汽车、相机厂商、旅行社等官方网站。
5.对于一直跳出的窗口,虽然搞不清楚,还是会不假思索地按下"确定",以免它一直干扰你的浏览行为。
<危险!>在使用者进入某影片网站时,突然跳出必须下载影片译码程序才能观赏影片的窗口,但事实上使用者下载的并不是译码程序,而是恶意间谍程序防护软件,以及一个播放影片的简单指令。这个被称为Freeloaders恶意安全防护软件,是一种偷偷下载或安装至使用者计算机中的软件,它会反复警告使用者他们已经感染某种形态的恶意程序。这些"免费试用"的软件最终会要求使用者付费升级以获得完整的功能。一旦使用者发现这些在线刷卡购买的软件毫无用处时,他们才恍然大悟信用卡资料已被这些虚设的公司骗走。
合法网站与恶意网站愈来愈难辨网址黑名单等静态网址过滤技术,无法迅速辨识透过 XSS、XSRF、Syndication 的Web威胁。
对在线计算机使用者而言,虽然 Web 2.0 的发展令人相当兴奋且具革命性意义,但却可能使一般消费者与企业组织面临更广泛的 Web威胁。趋势科技表示:以"异步 Javascript 与 XML (AJAX)"的 Web 2.0 技术而言,是为让网页更趋近于应用程序而设计的程序语言。但也同时增加了黑客可利用的安全漏洞,同时 Web 2.0 的互动特性也让使用者更容易遭受社交工程技巧的攻击。Web 2.0 架构正逐渐发展成可能遭利用的动态作业平台,因此新一代的安全防护解决方案必须更加重视保护网站的防御机制。举例来说,Web 信誉评级技术已成为防堵新兴起的 Web 2.0威胁的新防线。
若以 HTML 制作网页,使用者必须重新加载网页才能检查更新的数据集,但 AJAX 能不断与服务器进行数据交换,让使用者的要求能获得更迅速的响应。以 Google Maps 为例,使用 AJAX 可大幅缩短加载时间,并进一步强化与应用程序的互动效果 (例如缩小或放大检视目前的位置)。由于 AJAX 结合了多种不断改良的语言,因此也为黑客创造出更广泛的攻击面。目前 AJAX 已被用于 XSS 与 XSRF 攻击。
然而,静态网址过滤技术 (基本上包含定期更新一份"已知网址黑名单") 并无法迅速辨识可能透过 XSS、XSRF、Syndication 或其它方式散播至一般正常网站的 Web威胁。强大的 AJAX 程序代码加上能发布在任何网站的自由弹性,使得 Web 1.0 时代合法网站与恶意网站之间的区别愈来愈模糊难辨。在这种情况下,唯有针对网站信誉,采取更周全的查核才能有效辨识恶意网站。"网站信誉"检查必须配合网址过滤数据库来进行,然而每天新增将近 5000 个网域意味着必须采取额外的措施来辅助这个重要组件。
先进的网站信誉评级服务,可动态汇集、监视以及评估注册网域清单
由于 Web 攻击手法令人难以察觉,且往往都锁定特定对象,因此一般看似正常的网站可能在不知情的情况下遭恶意程序代码挟持。大多数 URL 过滤与内容筛检解决方案都只能被动防御已知的 Web威胁,先进的网站信誉评级服务并不是假定目前存在固定数量的"有害网站",而是动态汇集、监视以及评估一份完整的注册网域名称清单,这份清单储存在趋势科技的信誉数据库,目前所含的资料已超过 3 亿条。先进的网站信誉检查技术会依据这份网域名称清单,针对检查网域名称注册人信息 (注册 IP 地址时必须提供的公开信息) 作检查,以确认网站的合法性。在监控如网站注册人与网站主机位置等信息一段时间之后,便能产生有关特定网域可靠性的参考信息。
举例来说,经常变换位置可能是网站安全性的重要指标,因为黑客会频频变更 IP 地址的实体位置以躲避侦测。此外,新网站若吸引异常高数量的点击率也会触发红色警戒,因为这可能是病毒产生的流量传输至特定网站的迹象。其它指标如地理位置,也能作为特定网站的可靠性或合法性的参考信息,并且应在评估网站信誉时纳入考虑。当然,确认网站的信誉还包括参考其它已知网络钓鱼、网站嫁接以及其它恶意网址的数据库来检查网站。
为了对付来自Web的新形威胁,趋势科技化被动为主动,不坐等新攻击手法出现,而是主动上网找出可能威胁来源,并以信誉评级方式,依危险程度将网站分为红、黄、绿灯等不同级别,并将可能带有恶意程序的网站透过实时更新的数据库提供用户最新的危险网页名单,让用户没有接触恶意网站的机会。
