大多数安全攻击针对终端设备上的少数几个薄弱环节,而这些薄弱环节保护起来不是很困难。如果你遵照本文介绍的这几个简单方法,终端设备会马上安全许多。
在连环漫画书描述的世界里面,每一个坏蛋都是邪恶天才。而在互联网上,黑客、垃圾邮件发送者和网络钓鱼攻击者可能也是邪恶的,但他们未必个个都是天才。不法分子只要利用已知的安全漏洞(许多用户懒得为它们打上补丁),或者只要抓住人性上的这个弱点:成千上万的人倾向于去做一再被告诫不要去做的事情,他们的阴谋诡计就能得逞。
让人看到一丝希望的是:你同样不需要非得是个天才,就能避免这些常见的攻击。你只要采取几个简单的补救方法,就可以避免外面的大多数安全隐患。
第一个方法:为软件打补丁要有针对性。
你是否存在侥幸心理,以为“只要软件没出问题,就用不着补救”,因而关闭了Windows及其他程序的自动更新功能?如果是这样,不妨考虑这一点:你使用的程序可能出了非常严重的问题,只是你不知道罢了。引起轰动的重大病毒向终端设备用户示威,这样的日子一去不复还了。现代的网络犯罪分子更喜欢神不知鬼不觉地控制你的终端设备,而没有打上补丁的软件无疑为他们提供了这样的较好机会。
现在,被劫持的网页(这是现代数字窃贼们的首选攻击目标)会对你的终端设备发起大规模试探性活动,企图寻找可以利用的未打上补丁的安全漏洞,哪怕这样的漏洞只有一个。一旦发现了漏洞,最好希望你的反病毒程序能够发现随之而来的攻击。不然,你可能甚至不会注意到什么异常的东西感染了系统。
幸好,你可以通过及时更新所有程序(而不仅仅是操作系统或者浏览器),完全阻挡绝大部分基于Web的漏洞。否则,攻击性网站会不但会查出Windows和IE浏览器当中的漏洞,还会查出像QuickTime和WinZip这些看起来很安全的应用程序当中的漏洞。所以,只要任何软件具有自动更新功能,就要打开这项功能——这是你获取补丁的最快速、最简单的选择。
第二个方法:找出其他漏洞。
如果每一个程序都使用简易的自动更新功能,而且我们都使用这项功能,那么一派红火的恶意软件行业会遭到重大打击。在那之前,Secunia公司提供的一款免费、简单的安全软件也许有助于扭转局面。
Secunia个人软件探测器(Secunia Personal Software Inspector)可供人们免费下载,可以扫描已安装上去的软件,让你知道哪些版本过时的程序导致终端设备岌岌可危。不过它的功能并非仅限于此——它每找到一个版本过时的程序,还会提供快捷、简单的动作按钮,比如标为“下载解决方案”(Download Solution)的按钮,这样你甚至用不着打开浏览器,它就能下载最新的软件补丁。
这款程序不但让你可以链接到该软件厂商的网站,还可以链接到Secunia的有关系统上某个漏洞的完整报告。你可以选择阻止针对某个程序的将来警告信息(不过你在阻止之前当然要慎重)。
Secunia个人软件探测器并非完美无缺,不安全的程序组件更新起来也不是始终很简单。不过对大多数应用程序而言,它确实提供了一种快捷、而且非常重要的补救方法。
第三个方法:让最新版本的浏览器替你把关。
要查出最居心叵测的被劫持网页,这几乎是不可能的。然而,几个小片段的嵌入代码即便没有出现在网页上,也会发动极具破坏性的幕后攻击。
你试图凭借一己之力来避免这样的网页是自找苦吃,特别是因为不法分子喜欢攻击流行的网站:索尼游戏和迈阿密海豚队的网站遭到攻击就是两个有名的例子。不过,刚刚发布的Firefox 3和Opera 9.5浏览器里面新的网站阻止功能提供了一些屏蔽保护功能。
这两款浏览器增强了各自前一个版本的反网络钓鱼功能,因而还可以阻挡已知的恶意软件网站,无论它们是合法网站上的被劫持网页,还是不法分子专门设计的网站。虽然这两款浏览器都无法完全消除登录到这种网页上的风险,但增加一道防线总是有帮助的。
微软计划为IE 8.0添加一项类似功能,不过这个版本一时半会还出不来。
第四个方法:避开社会工程学伎俩。
最危险的不法分子采用高明的推销手段来诱骗你替他们从事不法勾当、感染你自己的终端设备。好多采用社会工程学伎俩的攻击都原始得很,但这并不是说你对这种威胁就可以置之不理了。精心策划的攻击时而绕过你的防御机制,引诱你打开有害的电子邮件附件或者下载文件。有针对性的攻击甚至还会盗用你准确的名称和商号。
为了奋力反击,你需要一个使用简单、功能强大的工具:VirusTotal.com。你可以轻松地把任何可疑文件(大小不超过10MB)上传到该网站,然后它会使用多达35种不同的反病毒引擎对文件进行扫描,包括卡巴斯基、迈克菲和赛门铁克的反病毒引擎。报告会显示每个引擎扫描该文件的结果。虽然有些引擎(如Prevx)往往会产生错误警报,但如果你得到多个特定的警报信息(含有某个威胁的名称),那么你几乎可以肯定需要删除这个文件。
没有警报不能保证文件就是安全的,不过这表明系统安全的可能性相当大。使用VirusTotal.com,对自己不能完全有把握的每个电子邮件附件或者下载文件都进行检查,就可以避免居心叵测的社会工程学伎俩了。
如果使用VirusTotal开始成为一种习惯(这不是什么坏事),想要轻轻松松发送文件到VirusTotal进行扫描,就下载免费的VirusTotal Uploader(http://www.virustotal.com/metodos.html)。一旦你安装好了这个实用程序,只要用鼠标右击文件,就会看到一个选项——在“发送到”(Send To)下面,即可把文件上传到VirusTotal网站。
第五个方法:比恶意软件抢先一步。
以前,基于病毒特征的反病毒软件面对突如其来的大批恶意软件时,往往显得无从招架。攻击者往往试图制造出数量众多的变种,那样安全机构来不及逐一分析,从而避免被人发现行踪。所以除了病毒特征外,如今值得使用的任何反病毒程序都采用了主动检测技术,不需要完整的病毒特征就能发现鬼鬼祟祟的恶意软件。
一种大有希望的方法采用行为分析机制,完全根据恶意软件如何对终端设备进行破坏来加以检测。不过单单使用反病毒软件本身可能还不够。安全公司PC Tools提供的流行免费下载件:ThreatFire就添加了这样一层基于行为的保护。在最近几次测试中,该软件单单根据恶意软件的行为,就准确检测出了90%的恶意软件。
《PC World》的ThreatFire评测对该软件进行了全面分析,并提供了快速下载链接(http://www.threatfire.com/download/),还警告不要在一个终端设备上安装太多的安全程序。
请注意:如果你使用AVG Free反病毒程序,暂时别试用ThreatFire,除非PC Tools发布了新版本的ThreatFire。当前的3.5版本与AVG存在冲突,但PC Tools表示它正在想办法来解决。
第六个方法:把收件箱从垃圾邮件中救出来。
垃圾邮件过滤器的性能变得越来越完善,但是有些垃圾邮件还是绕过了最出色的过滤器,进入到你的收件箱。不妨试一试用后即丢弃的电子邮件地址,而不是只好对所有那些介绍热门股和伟哥广告的垃圾邮件点击删除。
这类地址其实大家都遇到过:每当你遇到在线购物网站、论坛或者要求输入电子邮件地址的其他服务,都要创建一个邮件地址。如果这个地址里面塞满了垃圾邮件,就可以停止使用。这是一种比较好的办法;创建一个免费的网络邮箱帐户,只用来购买商品及网站注册登记。由于只有一个不同的帐户,要是收到了太多的垃圾邮件,邮件地址连同垃圾邮件可以一同扔掉,可以取消整个帐户。
雅虎网络邮箱用户可以选择购买每年20美元的增值服务,这包括AddressGuard用后即丢弃的电子邮件服务(另外包括其他优惠服务)。有了这项服务,你只要点击收藏夹,就可以为任何某个网站创建用后即丢弃的新地址,这个过程大概只用10秒钟。
Gmail用户只要在发送邮件之前给普通的电子邮件地址加上“+whatever”;但如果该地址开始收到垃圾邮件,你不能把它关闭了事。你不得不在Gmail里面创建一个过滤器,阻止所有邮件发往该地址。
对其他每个人而言,我们建议使用Spamgourmet.com提供的一项优秀而免费的服务,设置及使用起来既快捷又简单。它让你可以迅速创建用后即丢弃的地址,从而把电子邮件转发到普通邮箱地址。
第七个办法:养成反网络钓鱼的习惯。
通过网络钓鱼窃取个人信息的这种卑劣行径依然很猖獗;你也很难把许多虚假网站与真实网站区别开来。不过有几个简单的方法可以确保你根本不会被网络钓鱼骗子盯上。
最有效也是最直接的办法就是,千万不要点击任何电子邮件当中的链接来访问财务账户。相反,应当始终输入URL,或者使用收藏夹来访问。这样一个习惯就可以保护你避免几乎每一种网络钓鱼攻击。
如果你没有这样的习惯,那么至少要使用最新版本的IE、Firefox或者Opera等浏览器来浏览网络。它们都有阻止网络钓鱼网站的内置功能(第三个方法介绍过,Opera和Firefox如今还可以阻挡已知的恶意软件网站)。避免使用Safari,因为它没有任何内置的反网络钓鱼保护功能。
IE 8会使用一项名为“真实域名高亮显示”(Domain Highlighting)的创新功能,它可以很容易识别网络钓鱼伎俩。不过在该版本浏览器出来之前,你还是要仔细看一看URL。
第八个方法:让你自己的网站确保安全。
现在不是运营网站的大好时期。万维网看上去像是个奇妙的数字世界,实际上是个混乱的交战地带。好多把枪都对准了你的网站。
不法分子会使用自动化工具来搜索网站,查找最常见的一些漏洞。一旦他们发现了漏洞,就会把这个漏洞撑得大一点,以便植入恶意代码,从而攻击你网站的忠诚访客。
为了帮助确保你的网站安全,不妨首先使用一些快捷而免费的扫描服务,查出最明显的问题。
首先,在Qualys.com网站上填写申请免费扫描某个IP地址服务的一张表格(http://www.qualys.com/forms/trials/qualysguard_free_scan/?lsid=7038)。接下来,从惠普公司下载同样是免费的Scrawlr工具(https://download.spidynamics.com/Products/scrawlr/)。快速安装后,使用Scrawlr来扫描你的网站,查找有没有SQL注入攻击漏洞(最近就有人利用这种漏洞黑掉了索尼网站)。
两次扫描后确认没有安全漏洞,这还不能保证你的网站就是安全的。比方说,它们都发现不了自定义JavaScript代码存在的问题,这是另一种常见的攻击。虽然申请及运行每项扫描服务很简单,但补救某个报告的漏洞可能需要一番工作。不过与你的网站被劫持后、修复网站及名誉相比,这项工作所花的时间少得多。
第九个方法:确保密码安全,并且容易记住。
如今,网上密码的安全性开始如同用一张薄纸来保护银行金库一样不可靠。据安全研究人士声称,现在被窃取的登录信息供应量非常大,以至于不法分子单单兜售密码基本赚不到什么钱,除非搭售其他偷来的数据,比如地址或者社会保障号码。但窃贼们不会停止窃取财务账户的登录信息——不法分子还经常窃取网络邮箱帐户的登录信息。最近就有这么一个案例:一个骗子闯入了多个网络邮箱帐户,然后发邮件给受害者的朋友要钱。
专家们表示,我们应当对所有帐户都使用独特的强密码。不过他们没有告诉我们应当如何记住这些密码,所以大多数人最后为所有帐户使用了同一个不太安全的密码。
有一个简单的办法让你只要记住一个密码,同时还拥有独特的强密码用于你所访问的每个网站。面向Firefox和IE的Password Hash(即PwdHash)插件拿来你输入的那个简单密码后,会对它运行一种算法,使用该网站的域名为作为算法的一部分。这个实用程序在你把密码输入到该网站之前把所得强密码代入。你在安装了Password Hash之后要做的就是,在输入密码之前,点击密码框里面的F2密钥。
Password Hash下载:http://www.pcworld.com/downloads/file/fid,64436-order,4-page,2/reviews.html
第十个方法:面对顽固恶意软件,寻求其他帮助。
有时候,连最优秀的反病毒程序也查不出恶意软件。而一旦病毒或者特洛伊木马潜入进来,清除起来就极其麻烦。如果你怀疑某个病毒或者木马绕过了防御机制,那么这时候就要寻求其他渠道的帮助。
许多反病毒软件生产商通过你的Web浏览器提供免费、简单的在线扫描服务。扫描要花时间,因为扫描服务需要安装比较大的Java或者ActiveX组件,才能够开始扫描,不过它们很容易上手。除了已经安装的反病毒程序外,你还可以运行这类服务,作为另一个选择。下面这些是供你选择的一部分免费服务。
趋势科技HouseCall:可以检测及清除恶意软件;与IE和Firefox兼容。
链接:http://housecall.trendmicro.com/apac/
BitDefender Online Scanner:可以检测及清除恶意软件;需要IE。
链接:http://www.bitdefender.com/scan8/ie.html
卡巴斯基Online Scanner:可以检测恶意软件,但无法清除;与IE和Firefox兼容。
链接:http://www.kaspersky.com/virusscanner
F-Secure Online Virus Scanner:可以检测及清除恶意软件;需要IE。
链接:http://support.f-secure.com/enu/home/ols.shtml
ESET Online Scanner:可以检测及清除恶意软件;需要IE。
链接:http://www.eset.com/onlinescan/cac4.php?page=details