揭秘网络犯罪(2)：我们如何应对

ZDNet安全频道原创翻译 转载请注明作者以及出处

【相关阅读：揭秘网络犯罪(1)：他们如何入侵】

对于网络安全领域来说，犯罪软件是一个坏消息。现在我们需要做的，就是找到阻止它的方法。笔者已经看到了一些已露端倪的解决方案，但这是足够的么?
-------------------------------------------------------------------------------------------

　　你可能听说过中间人攻击，浏览器遭遇攻击(MitB)等类型的网络破坏行为。这个词在2005年就出现了，不过当时应用的并不是很频繁。现在，要感谢犯罪软件被当作一种MitB攻击形式，情况发生了变化。根据维基百科的定义，MitB指的是：

　　“一种可以感染网络浏览器的木马，并有能力对页面进行修改，更换交易内容或插入其它交易，所有这一切都是在用户和所有主机应用程序都没有发现的隐蔽状态下进行的。

　　无论SSL/PKI和或两种或三种因素认证解决方案之类的安全措施是否到位，MitB攻击都有可能会获得成功。”

　　在一篇文章中，笔者提到了一个实例，在一起近50万美元的盗窃案中犯罪软件发挥了作用。在接下来的一篇文章中，笔者会对网银木马Zeus和URLZone的情况进行了介绍，它们也许就是盗窃案中使用的工具。而在本文中，笔者将对可能的解决方案进行全面而深入的介绍。

　　提高自身安全自己保护自己

　　因为钱是自己的，所以我们要主动采取措施保护它。竭尽所能来保护我们来之不易的积蓄。一旦我们的个人状态调整到最佳状态，就可以在银行出现错误前清除掉它们。

　　最简单有效的办法就是不使用网络银行。这是一个很好的想法，但对于不能去实际银行的人以及需要个人服务的情况来说，又应该怎么办?此外，我们不应该屈从于网络罪犯。考虑到这一点，让我们看看一些成员已经提出的解决方案。

　　笔者如果不首先提到这一点就是疏忽了。任何解决方案都不是固若金汤，特别是针对犯罪软件这种不断发展的事物而言。因此，大家需要进行讨论，以确认哪些解决方案适合在网络银行中使用。请告诉笔者你对这些解决方案的看法。它们是：

　　· 采用专用计算机，机器中仅安装运行操作系统(如果可能的话不要选择Windows)和网络浏览器，禁止安装其他应用程序(特别是电子邮件)。确保操作系统和网络浏览器安装了最新更新补丁。最后，该计算机只允许访问必须的金融门户网站，禁止访问任何其他网站。

　　· 在只读引导区(LiveCD或锁定的闪存驱动器)中安装仅包含网络浏览器的Linux系统。采用此设置进行访问银行、金融或信用卡交易等操作。

　　· 采用安装了最新主机操作系统的原始计算机。在计算机上建立一个普通虚拟机以及另一个专门用于上面提到过的金融交易的虚拟机(VM)。采用该虚拟机进行金融交易。

　　使用苹果iPhone

　　笔者最近看到一篇文章，在文章中提到，iPhone可以用来防范现有犯罪软件的变种。具有讽刺意味的，这是因为大多数用户不喜欢的一项功能。iPhone同时只能运行一个任务。因此，犯罪软件不能在后台运行。

　　银行需要做些什么工作

　　现在我们已经在竭尽所能保护自己，让我们来看看什么是金融机构必须做的。两个问题，对验证和核查过程进行改进。所有有关各方不要光说，要行动起来。大家应该了解交易的过程是否准确，一方当事人应该提出认证。

　　认证

　　处理金融事物、资金转移或信用卡交易的网站需要提供真正的多因素验证。在美国，笔者没有看到这种方式。如果笔者错了，请告诉笔者。你使用的银行或者信用卡，需要支持下面列出的多种因素：

　　1、你知道的事情：举例来说密码、图片或问题的答案。

　　2、你拥有的设备：举例来说一次性密码令牌(SecureID)、计算机硬件或智能钥匙卡。

　　3、你自身的特征：举例来说指纹、视网膜、DNA或可验证的照片。

　　这三个因素是按效果从低到高排列的。笔者的银行采用的就是单因素认证。首先，他们会提出安全问题：

　　接下来，他们会显示出告诉笔者在注册时挑选的照片，这时笔者就需要输入自己的密码了：

　　在笔者和银行都知道的所有三种因素中，它仅仅使用了一种，并且整个模式的安全性也很低。因此，笔者认为，在这种情况下，Zeus或URLZone可以成功地创建非法交易。

　　交易验证

　　看起来，世界各地的金融机构似乎都比美国的更关注交易验证过程。举例来说，一些欧洲用户就提到他们使用网络银行的时间就需要输入一个一次性密码，以核实每笔交易。

　　对于大多数犯罪软件的防范来说，这是一个不错的主意，但Zeus和URLZone并没有被包括在内。它们都有一种绕过机制。Zeus和URLZone都能够破译验证码，并利用它来核实自己创建的交易。

　　因此，现在所需要的是?

　　现在我们需要的是官方交易验证。维基百科提供了其定义：

　　“为保证安全性，交易验证必须使用带外技术(包含了两个独立的部分)或者一台独立的数字签名设备，举例来说，一台可编程的读卡器，以便对交易信息进行处理，通过加密方式进行细节的传输。”

　　笔者不知道任何金融机构正在使用这种方法。如果你知道这样做的银行，请告诉笔者。这将是一个逐步建立的过程。

　　TechRepublic成员Jkameleon和笔者关于如何可以解决这一问题有一次有趣的交谈。Jkameleon描述了一种装置，可以阻止Zeus和URLZone的攻击。令人惊讶的是，在现实中，笔者也能找到这样的设备。

　　IBM的ZTIC

　　IBM正在开发一种叫做值得信赖的信息频道区(ZTIC)的硬件设备。关于其工作原理，IBM是这样说明的：

　　“在启动ZTIC代理后，用户就可以打开一个网络浏览器通过ZTIC网站与银行建立连接。从这一时刻起，浏览器和服务器之间所有的数据传输都是通过ZTIC进行的;SSL会话受到ZTIC中的密钥保护，因此，计算机上恶意软件无法获取相应的信息。”

　　这非常重要，但对于防范Zeus和URLZone来说，还不是稳妥的。了解ZTIC是如何对每笔交易进行验证的是非常有帮助的：

　　“此外，包含目标帐户号码在内的重要交易信息，在浏览器和ZTIC之间进行传输的时间，将自动受到保护。关键信息在经过ZTIC时，需要得到用户的明确确认：只有在按下“确定”按钮后，TLS/SSL连接才会继续。如果计算机上的任何恶意软件企图在浏览器中插入不正确的交易数据的话，用户在这一时刻很容易发现。”

　　下面的图片(IBM公司提供)显示了ZTIC的外观：

　　看起来ZTIC提供的就是官方交易验证。下面就是相关步骤的说明：

　　1、网络浏览器和ZTIC之间和交易信息和帐号相关的传输流量被发现。

　　2、ZTIC显示相关信息，要求用户确认。

　　3、用户选择同意以便进行数据传输。

　　ZTIC的优点和缺点

　　这种方法可以避免URLZone创建隐藏的交易。也可以防止Zeus的行动。所有信息都显示在单独的设备中，可以防止恶意软件通过屏幕捕捉和记录获取信息。　IBM已经在YouTube上放置了一段视频，来演示设备是如何进行工作的。在看完视频后，笔者发现了两个问题：

　　· 该设备没有使用带外(第2种)通信方法来验证交易。

　　· 由于每比交易都需要ZTIC进行认证，所以这种方法要求每家金融机构都配备该设备。

　　不过，不管怎么说，使用ZTIC都将大大提高网上银行的安全性。笔者还有更多的好消息告诉大家。这里将有另外一个新概念。

　　马斯康安全

　　笔者还发现了另一家致力于消除该问题的公司。为了了解更多的信息，笔者和马斯康安全的首席执行官沙拉姆·卡利文进行了几次交流。最初，笔者以为马斯康安全仅仅是ZTIC的软件版本而已。在于卡利文先生交流后，笔者发现了它们之间的区别，下面就是笔者对该技术的认识：

　　马斯康安全采用的是他们称之为非线性认证的技术。这是一项新概念，可以用来提高用户登陆的安全性，并为网上金融交易验证提供帮助。卡利文先生解释了线性和非线性认证的区别在于：

　　· 线性认证：就是用户通过门户网站直接进行身份验证。

　　· 非线性验证：就是用户和门户网站通过第三方认证和验证过程进行身份验证，具体过程如下图所示：

　　笔者认为马斯康安全模式是结合OpenID技术和ZTIC的最佳做法。

　　马斯康数字标识

　　该数字标识属于个性化软件，包含了一个序列号和网络IP地址。该网络IP地址可以直接与马斯康认证服务器进行连接。数字标识则用来验证用户身份以及确认交易。卡利文先生对整个工作过程进行了说明：

　　1、用户打开该网站并登录，这时认证服务器会进行重定向操作。

　　2、验证服务器会发出一个包含一次性序列号和网站登录用户名的Cookie(有效时间为2分钟)。

　　3、网站的名称将显示在数字标识的“签名”部分，如果是一次交易的话，交易量和交易对象将显示在签名部分。

马斯康数字标识

　　4、数字标识将读取cookie的一次性序列号，通过哈希运算将计算机指纹(处理器序列号、硬盘序列号、MAC地址和计算机名)和它放在一起，采用SHA　256　(资金传输的话使用SHA　512)进行两次处理。

　　5、通过SSL会话将该信息直接返回认证服务器，而不是网络站点。

　　如果所有信息被证明是正确的话，认证服务器将通知网站，允许进行访问。如果是交易数据传输的话，认证服务器会向网站发送相关的所有交易信息。

　　马斯康模式的优点和缺点

　　不象ZTIC，更类似OpenID，在启用了马斯康安全功能后，数字标识可以用来对任何网站进行认证。包括网络钓鱼在内的各种攻击都可以被阻止。笔者特别喜欢的一点，就是阻止网络钓鱼攻击。马斯康的认证服务器将不允许任何资料被转交给官方以外的任何其他网站。

　　关于马斯康安全的数字标识，笔者也有一些顾虑：

　　· 类似ZTIC，马斯康数字标识也没有使用带外(第2种)通信方法来验证交易。

　　· 马斯康模式完全依赖于一个联络点，即验证服务器。为了防止出现时间延迟，笔者还希望提供一些额外的保障。

　　结 论

　　为了更好得保护自己，我们可以改变自己的上网习惯。但所有改变的效果都是暂时的。坏分子总是可以想出另一种方法。因此，我们的目标应该是促使金融机构和网络商家开始实施如笔者在上文所述的真正解决方案。

　　“虽然每一项行动计划中都存在着风险和代价，但相比轻轻松松的不作为带来的长期风险和代价，它要小的多。”

——约翰·F·肯尼迪(1917——1963)