最近，根據(jù)公開的報告，五名竊賊被指控從美國加州卡森市的銀行賬戶中偷竊了45萬美元。 2007年，他們成功地在該市財政局長的筆記本電腦中植入了變種的Talex銀行木馬，并截獲了數(shù)字證書和賬戶信息。遺憾的是，這并不是一起孤立事件。許多小企業(yè)和市政當局的電腦都正在被復(fù)雜的以銀行賬戶和銀行數(shù)字證書為目標的惡意軟件感染，如Zeus、Clampi和Silon等木馬。此類銀行木馬大多數(shù)是通過修改網(wǎng)頁、插入新的對話框、篡改Cookie等手段感染用戶的瀏覽器，比傳統(tǒng)的中間人（man-in-the-middle）攻擊更有威脅。為了應(yīng)對這些威脅，許多商業(yè)和自由軟件應(yīng)運而生，確保用戶能方便安全地連接到網(wǎng)上銀行。讓我們來探討一下這些網(wǎng)上銀行安全工具以及它們各自的優(yōu)缺點。

位于紐約的Trusteer公司的Rapport軟件可能是如今最出名的商業(yè)網(wǎng)上銀行安全產(chǎn)品。金融機構(gòu)在其網(wǎng)站上安裝Rapport系統(tǒng)之后，用戶可以下載并安裝客戶端軟件，以此來保護瀏覽器和通過瀏覽器與金融網(wǎng)站進行的交互。該軟件可在Windows和Mac系統(tǒng)下運行，通過監(jiān)測應(yīng)用程序編程接口（API）來確定是否有其他程序正在試圖監(jiān)控或操縱它們。例如，在Windows系統(tǒng)中，WinInet API被用來建立SSL通信，它經(jīng)常會遭到銀行類惡意軟件的訪問和修改。通過防止惡意軟件劫持和修改瀏覽器，Rapport能防范Zeus等木馬的最新的瀏覽器中間人（man-in-the-browser）攻擊。此外，Rapport是經(jīng)常更新的，像殺毒軟件一樣，這使其能夠幫助用戶抵御惡意軟件的最新變種。

使用像Rapport這樣的軟件（或者像英國Prevx公司提供的類似的網(wǎng)上銀行安全方案SafeOnline）的好處在于它們能夠提供針對瀏覽器和終端的基本保護，最小化針對大多數(shù)終端的沖擊，以及檢測銀行網(wǎng)站的負載能力。然而，許多銀行并不想讓這個軟件成為強制性的，因為用戶會覺得安全措施是被“強加”給他們的。此外，該軟件需要安裝代理才能使用，并可能需要本地管理員訪問權(quán)限和瀏覽器的特權(quán)用戶，以網(wǎng)絡(luò)安全的實際角度來看這兩者都是不可取的。攻擊者也不會就此而止步——Zeus木馬和其他惡意軟件的新版本已能夠檢測甚至阻止Rapport的某些版本以及其他一些保護性軟件的運行。最后，某些保護軟件還可能與其他程序或解決方案發(fā)生沖突，例如流行的共享軟件Sandboxie。

Sandboixe或其他類似的軟件系統(tǒng)，會在系統(tǒng)中創(chuàng)建一個保護性的獨立空間（稱為“沙箱”，sandbox）供所有指定的程序運行。如果瀏覽器是一個孤立的程序，那么即使惡意軟件被執(zhí)行了，沙箱也能夠防止其感染系統(tǒng)的其余部分。有一些系統(tǒng)用硬件來實現(xiàn)同樣的功能，即運行自帶的瀏覽工具和環(huán)境的USB設(shè)備。以加密便攜硬盤而著名的IronKey公司，現(xiàn)在推出一款叫做“可信虛擬計算”的產(chǎn)品。該產(chǎn)品提供了直接在USB硬盤運行的虛擬操作系統(tǒng)和瀏覽器。除了獨立的操作系統(tǒng)和瀏覽器外，該設(shè)備還具有內(nèi)置的反惡意軟件掃描和多參數(shù)RSA認證功能，以及在線更新以防范最新的威脅。這個工具的優(yōu)點在于不必在主機上安裝額外的軟件，同時又能在訪問金融網(wǎng)站期間更加有效的隔離瀏覽環(huán)境和主機系統(tǒng)。

另一種基于硬件的解決方案是IBM公司的區(qū)域信任信息通道（Zone Trusted Information Channel，ZTIC），它首先會與預(yù)配置的銀行網(wǎng)站建立一個安全（SSL/TLS）會話，然后允許主機系統(tǒng)通過瀏覽器以類似于銀行代理的方式進行連接。當用戶訪問銀行網(wǎng)站并輸入信息時，它將顯示在USB設(shè)備的LED屏上，同時只有在用戶手動點擊設(shè)備上的按鈕時，該信息才會傳遞給銀行。這可以阻止瀏覽器中間人（man-in-the-browser）攻擊者任意修改數(shù)據(jù)或站點信息而不被察覺的現(xiàn)象。不幸的是，這些基于硬件的解決方案需要用戶在物理鍵盤上輸入信息，而這很容易被按鍵記錄功能所截獲。

一個簡單且免費的網(wǎng)銀安全的選擇是使用一個裝有相關(guān)操作系統(tǒng)的可引導(dǎo)的CD/DVD光盤，只需運行一個被加載到內(nèi)存中的只讀操作系統(tǒng)即可。類似的操作系統(tǒng)發(fā)行版本有許多（通常包括Knoppix、SLAX和Webconverger），這些光盤有時被稱為“Live CD”。利用Live CD的好處是瀏覽環(huán)境與主機操作系統(tǒng)完全隔離，因為用戶需要手動從CD/DVD啟動并引導(dǎo)到只讀環(huán)境。該操作環(huán)境在與銀行進行會話期間不會被修改，會話完成后也沒有任何信息保存，以防止丟失或者泄露機密數(shù)據(jù)。這種方案的缺點是需要從光盤啟動到只讀操作環(huán)境中，當然也就需要對用戶進行培訓(xùn)。

隨著越來越多的銀行客戶遭遇到由惡意軟件所造成的金融詐騙，人們對這種網(wǎng)銀安全工具的興趣無疑會繼續(xù)增加。這些解決方案各自都有明確的優(yōu)點和缺點——從“軟件安裝”到“它們是否能真正隔離瀏覽環(huán)境與操作系統(tǒng)”。但不管怎樣，成本始終是銀行和終端客戶在選擇時應(yīng)考慮的因素之一。

【編輯推薦】

1. 網(wǎng)上銀行犯罪及網(wǎng)絡(luò)安全偵查對策
2. 新版ZeuS僵尸網(wǎng)絡(luò)給網(wǎng)銀安全敲響警鐘