你可能聽(tīng)說(shuō)過(guò)中間人攻擊，瀏覽器遭遇攻擊（MitB）等類(lèi)型的網(wǎng)絡(luò)破壞行為。這個(gè)詞在2005年就出現(xiàn)了，不過(guò)當(dāng)時(shí)應(yīng)用的并不是很頻繁?，F(xiàn)在，要感謝犯罪軟件被當(dāng)作一種MitB攻擊形式，情況發(fā)生了變化。根據(jù)維基百科的定義，MitB指的是：

“一種可以感染網(wǎng)絡(luò)瀏覽器的木馬，并有能力對(duì)頁(yè)面進(jìn)行修改，更換交易內(nèi)容或插入其它交易，所有這一切都是在用戶(hù)和所有主機(jī)應(yīng)用程序都沒(méi)有發(fā)現(xiàn)的隱蔽狀態(tài)下進(jìn)行的。

無(wú)論SSL/PKI和或兩種或三種因素認(rèn)證解決方案之類(lèi)的安全措施是否到位，MitB攻擊都有可能會(huì)獲得成功?！?/p>

在一篇文章中，筆者提到了一個(gè)實(shí)例，在一起近50萬(wàn)美元的盜竊案中犯罪軟件發(fā)筆者不知道任何金融機(jī)構(gòu)正在使用這種方法。如果你知道揮了作用。在接下來(lái)的一篇文章中，筆者會(huì)對(duì)網(wǎng)銀木馬Zeus和URLZone的情況進(jìn)行了介紹，它們也許就是盜竊案中使用的工具。而在本文中，筆者將對(duì)可能的解決方案進(jìn)行全面而深入的介紹。

提高自身安全自己保護(hù)自己

因?yàn)殄X(qián)是自己的，所以我們要主動(dòng)采取措施保護(hù)它。竭盡所能來(lái)保護(hù)我們來(lái)之不易的積蓄。一旦我們的個(gè)人狀態(tài)調(diào)整到最佳狀態(tài)，就可以在銀行出現(xiàn)錯(cuò)誤前清除掉它們。

最簡(jiǎn)單有效的辦法就是不使用網(wǎng)絡(luò)銀行。這是一個(gè)很好的想法，但對(duì)于不能去實(shí)際銀行的人以及需要個(gè)人服務(wù)的情況來(lái)說(shuō)，又應(yīng)該怎么辦？此外，我們不應(yīng)該屈從于網(wǎng)絡(luò)罪犯?？紤]到這一點(diǎn)，讓我們看看一些成員已經(jīng)提出的解決方案。

筆者如果不首先提到這一點(diǎn)就是疏忽了。任何解決方案都不是固若金湯，特別是針對(duì)犯罪軟件這種不斷發(fā)展的事物而言。因此，大家需要進(jìn)行討論，以確認(rèn)哪些解決方案適合在網(wǎng)絡(luò)銀行中使用。請(qǐng)告訴筆者你對(duì)這些解決方案的看法。它們是：

· 采用專(zhuān)用計(jì)算機(jī)，機(jī)器中僅安裝運(yùn)行操作系統(tǒng)（如果可能的話不要選擇Windows）和網(wǎng)絡(luò)瀏覽器，禁止安裝其他應(yīng)用程序（特別是電子郵件）。確保操作系統(tǒng)和網(wǎng)絡(luò)瀏覽器安裝了最新更新補(bǔ)丁。最后，該計(jì)算機(jī)只允許訪問(wèn)必須的金融門(mén)戶(hù)網(wǎng)站，禁止訪問(wèn)任何其他網(wǎng)站。

· 在只讀引導(dǎo)區(qū)（LiveCD或鎖定的閃存驅(qū)動(dòng)器）中安裝僅包含網(wǎng)絡(luò)瀏覽器的Linux系統(tǒng)。采用此設(shè)置進(jìn)行訪問(wèn)銀行、金融或信用卡交易等操作。

· 采用安裝了最新主機(jī)操作系統(tǒng)的原始計(jì)算機(jī)。在計(jì)算機(jī)上建立一個(gè)普通虛擬機(jī)以及另一個(gè)專(zhuān)門(mén)用于上面提到過(guò)的金融交易的虛擬機(jī)（VM）。采用該虛擬機(jī)進(jìn)行金融交易。

使用蘋(píng)果iPhone

筆者最近看到一篇文章，在文章中提到，iPhone可以用來(lái)防范現(xiàn)有犯罪軟件的變種。具有諷刺意味的，這是因?yàn)榇蠖鄶?shù)用戶(hù)不喜歡的一項(xiàng)功能。iPhone同時(shí)只能運(yùn)行一個(gè)任務(wù)。因此，犯罪軟件不能在后臺(tái)運(yùn)行。

銀行需要做些什么工作

現(xiàn)在我們已經(jīng)在竭盡所能保護(hù)自己，讓我們來(lái)看看什么是金融機(jī)構(gòu)必須做的。兩個(gè)問(wèn)題，對(duì)驗(yàn)證和核查過(guò)程進(jìn)行改進(jìn)。所有有關(guān)各方不要光說(shuō)，要行動(dòng)起來(lái)。大家應(yīng)該了解交易的過(guò)程是否準(zhǔn)確，一方當(dāng)事人應(yīng)該提出認(rèn)證。

認(rèn)證

處理金融事物、資金轉(zhuǎn)移或信用卡交易的網(wǎng)站需要提供真正的多因素驗(yàn)證。在美國(guó)，筆者沒(méi)有看到這種方式。如果筆者錯(cuò)了，請(qǐng)告訴筆者。你使用的銀行或者信用卡，需要支持下面列出的多種因素：

1、你知道的事情：舉例來(lái)說(shuō)密碼、圖片或問(wèn)題的答案。

2、你擁有的設(shè)備：舉例來(lái)說(shuō)一次性密碼令牌（SecureID）、計(jì)算機(jī)硬件或智能鑰匙卡。

3、你自身的特征：舉例來(lái)說(shuō)指紋、視網(wǎng)膜、DNA或可驗(yàn)證的照片。

這三個(gè)因素是按效果從低到高排列的。筆者的銀行采用的就是單因素認(rèn)證。首先，他們會(huì)提出安全問(wèn)題：

在筆者和銀行都知道的所有三種因素中，它僅僅使用了一種，并且整個(gè)模式的安全性也很低。因此，筆者認(rèn)為，在這種情況下，Zeus或URLZone可以成功地創(chuàng)建非法交易。

交易驗(yàn)證

看起來(lái)，世界各地的金融機(jī)構(gòu)似乎都比美國(guó)的更關(guān)注交易驗(yàn)證過(guò)程。舉例來(lái)說(shuō)，一些歐洲用戶(hù)就提到他們使用網(wǎng)絡(luò)銀行的時(shí)間就需要輸入一個(gè)一次性密碼，以核實(shí)每筆交易。

對(duì)于大多數(shù)犯罪軟件的防范來(lái)說(shuō)，這是一個(gè)不錯(cuò)的主意，但Zeus和URLZone并沒(méi)有被包括在內(nèi)。它們都有一種繞過(guò)機(jī)制。Zeus和URLZone都能夠破譯驗(yàn)證碼，并利用它來(lái)核實(shí)自己創(chuàng)建的交易。

因此，現(xiàn)在所需要的是？

現(xiàn)在我們需要的是官方交易驗(yàn)證。維基百科提供了其定義：

“為保證安全性，交易驗(yàn)證必須使用帶外技術(shù)（包含了兩個(gè)獨(dú)立的部分）或者一臺(tái)獨(dú)立的數(shù)字簽名設(shè)備，舉例來(lái)說(shuō)，一臺(tái)可編程的讀卡器，以便對(duì)交易信息進(jìn)行處理，通過(guò)加密方式進(jìn)行細(xì)節(jié)的傳輸?！?/p> #p#

筆者不知道任何金融機(jī)構(gòu)正在使用這種方法。如果你知道這樣做的銀行，請(qǐng)告訴筆者。這將是一個(gè)逐步建立的過(guò)程。

TechRepublic成員Jkameleon和筆者關(guān)于如何可以解決這一問(wèn)題有一次有趣的交談。Jkameleon描述了一種裝置，可以阻止Zeus和URLZone的攻擊。令人驚訝的是，在現(xiàn)實(shí)中，筆者也能找到這樣的設(shè)備。

IBM的ZTIC

IBM正在開(kāi)發(fā)一種叫做值得信賴(lài)的信息頻道區(qū)（ZTIC）的硬件設(shè)備。關(guān)于其工作原理，IBM是這樣說(shuō)明的：

“在啟動(dòng)ZTIC代理后，用戶(hù)就可以打開(kāi)一個(gè)網(wǎng)絡(luò)瀏覽器通過(guò)ZTIC網(wǎng)站與銀行建立連接。從這一時(shí)刻起，瀏覽器和服務(wù)器之間所有的數(shù)據(jù)傳輸都是通過(guò)ZTIC進(jìn)行的；SSL會(huì)話受到ZTIC中的密鑰保護(hù)，因此，計(jì)算機(jī)上惡意軟件無(wú)法獲取相應(yīng)的信息?！?/p>

這非常重要，但對(duì)于防范Zeus和URLZone來(lái)說(shuō)，還不是穩(wěn)妥的。了解ZTIC是如何對(duì)每筆交易進(jìn)行驗(yàn)證的是非常有幫助的：

“此外，包含目標(biāo)帳戶(hù)號(hào)碼在內(nèi)的重要交易信息，在瀏覽器和ZTIC之間進(jìn)行傳輸?shù)臅r(shí)間，將自動(dòng)受到保護(hù)。關(guān)鍵信息在經(jīng)過(guò)ZTIC時(shí)，需要得到用戶(hù)的明確確認(rèn)：只有在按下“確定”按鈕后，TLS/SSL連接才會(huì)繼續(xù)。如果計(jì)算機(jī)上的任何惡意軟件企圖在瀏覽器中插入不正確的交易數(shù)據(jù)的話，用戶(hù)在這一時(shí)刻很容易發(fā)現(xiàn)?！?/p>

看起來(lái)ZTIC提供的就是官方交易驗(yàn)證。下面就是相關(guān)步驟的說(shuō)明：

1、網(wǎng)絡(luò)瀏覽器和ZTIC之間和交易信息和帳號(hào)相關(guān)的傳輸流量被發(fā)現(xiàn)。

2、ZTIC顯示相關(guān)信息，要求用戶(hù)確認(rèn)。

3、用戶(hù)選擇同意以便進(jìn)行數(shù)據(jù)傳輸。

ZTIC的優(yōu)點(diǎn)和缺點(diǎn)

這種方法可以避免URLZone創(chuàng)建隱藏的交易。也可以防止Zeus的行動(dòng)。所有信息都顯示在單獨(dú)的設(shè)備中，可以防止惡意軟件通過(guò)屏幕捕捉和記錄獲取信息?！BM已經(jīng)在YouTube上放置了一段視頻，來(lái)演示設(shè)備是如何進(jìn)行工作的。在看完視頻后，筆者發(fā)現(xiàn)了兩個(gè)問(wèn)題：

· 該設(shè)備沒(méi)有使用帶外（第2種）通信方法來(lái)驗(yàn)證交易。

· 由于每比交易都需要ZTIC進(jìn)行認(rèn)證，所以這種方法要求每家金融機(jī)構(gòu)都配備該設(shè)備。

不過(guò)，不管怎么說(shuō)，使用ZTIC都將大大提高網(wǎng)上銀行的安全性。筆者還有更多的好消息告訴大家。這里將有另外一個(gè)新概念。

馬斯康安全

筆者還發(fā)現(xiàn)了另一家致力于消除該問(wèn)題的公司。為了了解更多的信息，筆者和馬斯康安全的首席執(zhí)行官沙拉姆·卡利文進(jìn)行了幾次交流。最初，筆者以為馬斯康安全僅僅是ZTIC的軟件版本而已。在于卡利文先生交流后，筆者發(fā)現(xiàn)了它們之間的區(qū)別，下面就是筆者對(duì)該技術(shù)的認(rèn)識(shí)：

馬斯康安全采用的是他們稱(chēng)之為非線性認(rèn)證的技術(shù)。這是一項(xiàng)新概念，可以用來(lái)提高用戶(hù)登陸的安全性，并為網(wǎng)上金融交易驗(yàn)證提供幫助?？ɡ南壬忉屃司€性和非線性認(rèn)證的區(qū)別在于：

· 線性認(rèn)證：就是用戶(hù)通過(guò)門(mén)戶(hù)網(wǎng)站直接進(jìn)行身份驗(yàn)證。

· 非線性驗(yàn)證：就是用戶(hù)和門(mén)戶(hù)網(wǎng)站通過(guò)第三方認(rèn)證和驗(yàn)證過(guò)程進(jìn)行身份驗(yàn)證

筆者認(rèn)為馬斯康安全模式是結(jié)合OpenID技術(shù)和ZTIC的最佳做法。

馬斯康數(shù)字標(biāo)識(shí)

該數(shù)字標(biāo)識(shí)屬于個(gè)性化軟件，包含了一個(gè)序列號(hào)和網(wǎng)絡(luò)IP地址。該網(wǎng)絡(luò)IP地址可以直接與馬斯康認(rèn)證服務(wù)器進(jìn)行連接。數(shù)字標(biāo)識(shí)則用來(lái)驗(yàn)證用戶(hù)身份以及確認(rèn)交易?？ɡ南壬鷮?duì)整個(gè)工作過(guò)程進(jìn)行了說(shuō)明：

1、用戶(hù)打開(kāi)該網(wǎng)站并登錄，這時(shí)認(rèn)證服務(wù)器會(huì)進(jìn)行重定向操作。

2、驗(yàn)證服務(wù)器會(huì)發(fā)出一個(gè)包含一次性序列號(hào)和網(wǎng)站登錄用戶(hù)名的Cookie（有效時(shí)間為2分鐘）。

3、網(wǎng)站的名稱(chēng)將顯示在數(shù)字標(biāo)識(shí)的“簽名”部分，如果是一次交易的話，交易量和交易對(duì)象將顯示在簽名部分。

4、數(shù)字標(biāo)識(shí)將讀取cookie的一次性序列號(hào)，通過(guò)哈希運(yùn)算將計(jì)算機(jī)指紋（處理器序列號(hào)、硬盤(pán)序列號(hào)、MAC地址和計(jì)算機(jī)名）和它放在一起，采用SHA　256?。ㄙY金傳輸?shù)脑捠褂肧HA　512）進(jìn)行兩次處理。

5、通過(guò)SSL會(huì)話將該信息直接返回認(rèn)證服務(wù)器，而不是網(wǎng)絡(luò)站點(diǎn)。

如果所有信息被證明是正確的話，認(rèn)證服務(wù)器將通知網(wǎng)站，允許進(jìn)行訪問(wèn)。如果是交易數(shù)據(jù)傳輸?shù)脑?，認(rèn)證服務(wù)器會(huì)向網(wǎng)站發(fā)送相關(guān)的所有交易信息。

馬斯康模式的優(yōu)點(diǎn)和缺點(diǎn)

不象ZTIC，更類(lèi)似OpenID，在啟用了馬斯康安全功能后，數(shù)字標(biāo)識(shí)可以用來(lái)對(duì)任何網(wǎng)站進(jìn)行認(rèn)證。包括網(wǎng)絡(luò)釣魚(yú)在內(nèi)的各種攻擊都可以被阻止。筆者特別喜歡的一點(diǎn)，就是阻止網(wǎng)絡(luò)釣魚(yú)攻擊。馬斯康的認(rèn)證服務(wù)器將不允許任何資料被轉(zhuǎn)交給官方以外的任何其他網(wǎng)站。

關(guān)于馬斯康安全的數(shù)字標(biāo)識(shí)，筆者也有一些顧慮：

· 類(lèi)似ZTIC，馬斯康數(shù)字標(biāo)識(shí)也沒(méi)有使用帶外（第2種）通信方法來(lái)驗(yàn)證交易。

· 馬斯康模式完全依賴(lài)于一個(gè)聯(lián)絡(luò)點(diǎn)，即驗(yàn)證服務(wù)器。為了防止出現(xiàn)時(shí)間延遲，筆者還希望提供一些額外的保障。

結(jié) 論

為了更好得保護(hù)自己，我們可以改變自己的上網(wǎng)習(xí)慣。但所有改變的效果都是暫時(shí)的。壞分子總是可以想出另一種方法。因此，我們的目標(biāo)應(yīng)該是促使金融機(jī)構(gòu)和網(wǎng)絡(luò)商家開(kāi)始實(shí)施如筆者在上文所述的真正解決方案。

“雖然每一項(xiàng)行動(dòng)計(jì)劃中都存在著風(fēng)險(xiǎn)和代價(jià)，但相比輕輕松松的不作為帶來(lái)的長(zhǎng)期風(fēng)險(xiǎn)和代價(jià)，它要小的多。”

——約翰·F·肯尼迪（1917——1963）

【編輯推薦】

1. 網(wǎng)絡(luò)犯罪幕后黑手：數(shù)據(jù)竊取型惡意軟件
2. 澳門(mén)積極采取措施打擊網(wǎng)絡(luò)犯罪
3. 內(nèi)容共享站點(diǎn)成網(wǎng)絡(luò)犯罪高發(fā)場(chǎng)所