你可能聽說過中間人攻擊，瀏覽器遭遇攻擊（MitB）等類型的網(wǎng)絡(luò)破壞行為。這個詞在2005年就出現(xiàn)了，不過當(dāng)時應(yīng)用的并不是很頻繁?，F(xiàn)在，要感謝犯罪軟件被當(dāng)作一種MitB攻擊形式，情況發(fā)生了變化。根據(jù)維基百科的定義，MitB指的是：

“一種可以感染網(wǎng)絡(luò)瀏覽器的木馬，并有能力對頁面進(jìn)行修改，更換交易內(nèi)容或插入其它交易，所有這一切都是在用戶和所有主機(jī)應(yīng)用程序都沒有發(fā)現(xiàn)的隱蔽狀態(tài)下進(jìn)行的。

無論SSL/PKI和或兩種或三種因素認(rèn)證解決方案之類的安全措施是否到位，MitB攻擊都有可能會獲得成功?！?/p>

在一篇文章中，筆者提到了一個實例，在一起近50萬美元的盜竊案中犯罪軟件發(fā)筆者不知道任何金融機(jī)構(gòu)正在使用這種方法。如果你知道揮了作用。在接下來的一篇文章中，筆者會對網(wǎng)銀木馬Zeus和URLZone的情況進(jìn)行了介紹，它們也許就是盜竊案中使用的工具。而在本文中，筆者將對可能的解決方案進(jìn)行全面而深入的介紹。

提高自身安全自己保護(hù)自己

因為錢是自己的，所以我們要主動采取措施保護(hù)它。竭盡所能來保護(hù)我們來之不易的積蓄。一旦我們的個人狀態(tài)調(diào)整到最佳狀態(tài)，就可以在銀行出現(xiàn)錯誤前清除掉它們。

最簡單有效的辦法就是不使用網(wǎng)絡(luò)銀行。這是一個很好的想法，但對于不能去實際銀行的人以及需要個人服務(wù)的情況來說，又應(yīng)該怎么辦？此外，我們不應(yīng)該屈從于網(wǎng)絡(luò)罪犯?？紤]到這一點，讓我們看看一些成員已經(jīng)提出的解決方案。

筆者如果不首先提到這一點就是疏忽了。任何解決方案都不是固若金湯，特別是針對犯罪軟件這種不斷發(fā)展的事物而言。因此，大家需要進(jìn)行討論，以確認(rèn)哪些解決方案適合在網(wǎng)絡(luò)銀行中使用。請告訴筆者你對這些解決方案的看法。它們是：

· 采用專用計算機(jī)，機(jī)器中僅安裝運(yùn)行操作系統(tǒng)（如果可能的話不要選擇Windows）和網(wǎng)絡(luò)瀏覽器，禁止安裝其他應(yīng)用程序（特別是電子郵件）。確保操作系統(tǒng)和網(wǎng)絡(luò)瀏覽器安裝了最新更新補(bǔ)丁。最后，該計算機(jī)只允許訪問必須的金融門戶網(wǎng)站，禁止訪問任何其他網(wǎng)站。

· 在只讀引導(dǎo)區(qū)（LiveCD或鎖定的閃存驅(qū)動器）中安裝僅包含網(wǎng)絡(luò)瀏覽器的Linux系統(tǒng)。采用此設(shè)置進(jìn)行訪問銀行、金融或信用卡交易等操作。

· 采用安裝了最新主機(jī)操作系統(tǒng)的原始計算機(jī)。在計算機(jī)上建立一個普通虛擬機(jī)以及另一個專門用于上面提到過的金融交易的虛擬機(jī)（VM）。采用該虛擬機(jī)進(jìn)行金融交易。

使用蘋果iPhone

筆者最近看到一篇文章，在文章中提到，iPhone可以用來防范現(xiàn)有犯罪軟件的變種。具有諷刺意味的，這是因為大多數(shù)用戶不喜歡的一項功能。iPhone同時只能運(yùn)行一個任務(wù)。因此，犯罪軟件不能在后臺運(yùn)行。

銀行需要做些什么工作

現(xiàn)在我們已經(jīng)在竭盡所能保護(hù)自己，讓我們來看看什么是金融機(jī)構(gòu)必須做的。兩個問題，對驗證和核查過程進(jìn)行改進(jìn)。所有有關(guān)各方不要光說，要行動起來。大家應(yīng)該了解交易的過程是否準(zhǔn)確，一方當(dāng)事人應(yīng)該提出認(rèn)證。

認(rèn)證

處理金融事物、資金轉(zhuǎn)移或信用卡交易的網(wǎng)站需要提供真正的多因素驗證。在美國，筆者沒有看到這種方式。如果筆者錯了，請告訴筆者。你使用的銀行或者信用卡，需要支持下面列出的多種因素：

1、你知道的事情：舉例來說密碼、圖片或問題的答案。

2、你擁有的設(shè)備：舉例來說一次性密碼令牌（SecureID）、計算機(jī)硬件或智能鑰匙卡。

3、你自身的特征：舉例來說指紋、視網(wǎng)膜、DNA或可驗證的照片。

這三個因素是按效果從低到高排列的。筆者的銀行采用的就是單因素認(rèn)證。首先，他們會提出安全問題：

在筆者和銀行都知道的所有三種因素中，它僅僅使用了一種，并且整個模式的安全性也很低。因此，筆者認(rèn)為，在這種情況下，Zeus或URLZone可以成功地創(chuàng)建非法交易。

交易驗證

看起來，世界各地的金融機(jī)構(gòu)似乎都比美國的更關(guān)注交易驗證過程。舉例來說，一些歐洲用戶就提到他們使用網(wǎng)絡(luò)銀行的時間就需要輸入一個一次性密碼，以核實每筆交易。

對于大多數(shù)犯罪軟件的防范來說，這是一個不錯的主意，但Zeus和URLZone并沒有被包括在內(nèi)。它們都有一種繞過機(jī)制。Zeus和URLZone都能夠破譯驗證碼，并利用它來核實自己創(chuàng)建的交易。

因此，現(xiàn)在所需要的是？

現(xiàn)在我們需要的是官方交易驗證。維基百科提供了其定義：

“為保證安全性，交易驗證必須使用帶外技術(shù)（包含了兩個獨(dú)立的部分）或者一臺獨(dú)立的數(shù)字簽名設(shè)備，舉例來說，一臺可編程的讀卡器，以便對交易信息進(jìn)行處理，通過加密方式進(jìn)行細(xì)節(jié)的傳輸。”

筆者不知道任何金融機(jī)構(gòu)正在使用這種方法。如果你知道這樣做的銀行，請告訴筆者。這將是一個逐步建立的過程。

TechRepublic成員Jkameleon和筆者關(guān)于如何可以解決這一問題有一次有趣的交談。Jkameleon描述了一種裝置，可以阻止Zeus和URLZone的攻擊。令人驚訝的是，在現(xiàn)實中，筆者也能找到這樣的設(shè)備。

IBM的ZTIC

IBM正在開發(fā)一種叫做值得信賴的信息頻道區(qū)（ZTIC）的硬件設(shè)備。關(guān)于其工作原理，IBM是這樣說明的：

“在啟動ZTIC代理后，用戶就可以打開一個網(wǎng)絡(luò)瀏覽器通過ZTIC網(wǎng)站與銀行建立連接。從這一時刻起，瀏覽器和服務(wù)器之間所有的數(shù)據(jù)傳輸都是通過ZTIC進(jìn)行的；SSL會話受到ZTIC中的密鑰保護(hù)，因此，計算機(jī)上惡意軟件無法獲取相應(yīng)的信息?！?/p>

這非常重要，但對于防范Zeus和URLZone來說，還不是穩(wěn)妥的。了解ZTIC是如何對每筆交易進(jìn)行驗證的是非常有幫助的：

“此外，包含目標(biāo)帳戶號碼在內(nèi)的重要交易信息，在瀏覽器和ZTIC之間進(jìn)行傳輸?shù)臅r間，將自動受到保護(hù)。關(guān)鍵信息在經(jīng)過ZTIC時，需要得到用戶的明確確認(rèn)：只有在按下“確定”按鈕后，TLS/SSL連接才會繼續(xù)。如果計算機(jī)上的任何惡意軟件企圖在瀏覽器中插入不正確的交易數(shù)據(jù)的話，用戶在這一時刻很容易發(fā)現(xiàn)?！?/p>

看起來ZTIC提供的就是官方交易驗證。下面就是相關(guān)步驟的說明：

1、網(wǎng)絡(luò)瀏覽器和ZTIC之間和交易信息和帳號相關(guān)的傳輸流量被發(fā)現(xiàn)。

2、ZTIC顯示相關(guān)信息，要求用戶確認(rèn)。

3、用戶選擇同意以便進(jìn)行數(shù)據(jù)傳輸。

ZTIC的優(yōu)點和缺點

這種方法可以避免URLZone創(chuàng)建隱藏的交易。也可以防止Zeus的行動。所有信息都顯示在單獨(dú)的設(shè)備中，可以防止惡意軟件通過屏幕捕捉和記錄獲取信息?！BM已經(jīng)在YouTube上放置了一段視頻，來演示設(shè)備是如何進(jìn)行工作的。在看完視頻后，筆者發(fā)現(xiàn)了兩個問題：

· 該設(shè)備沒有使用帶外（第2種）通信方法來驗證交易。

· 由于每比交易都需要ZTIC進(jìn)行認(rèn)證，所以這種方法要求每家金融機(jī)構(gòu)都配備該設(shè)備。

不過，不管怎么說，使用ZTIC都將大大提高網(wǎng)上銀行的安全性。筆者還有更多的好消息告訴大家。這里將有另外一個新概念。

馬斯康安全

筆者還發(fā)現(xiàn)了另一家致力于消除該問題的公司。為了了解更多的信息，筆者和馬斯康安全的首席執(zhí)行官沙拉姆·卡利文進(jìn)行了幾次交流。最初，筆者以為馬斯康安全僅僅是ZTIC的軟件版本而已。在于卡利文先生交流后，筆者發(fā)現(xiàn)了它們之間的區(qū)別，下面就是筆者對該技術(shù)的認(rèn)識：

馬斯康安全采用的是他們稱之為非線性認(rèn)證的技術(shù)。這是一項新概念，可以用來提高用戶登陸的安全性，并為網(wǎng)上金融交易驗證提供幫助?？ɡ南壬忉屃司€性和非線性認(rèn)證的區(qū)別在于：

· 線性認(rèn)證：就是用戶通過門戶網(wǎng)站直接進(jìn)行身份驗證。

· 非線性驗證：就是用戶和門戶網(wǎng)站通過第三方認(rèn)證和驗證過程進(jìn)行身份驗證

筆者認(rèn)為馬斯康安全模式是結(jié)合OpenID技術(shù)和ZTIC的最佳做法。

馬斯康數(shù)字標(biāo)識

該數(shù)字標(biāo)識屬于個性化軟件，包含了一個序列號和網(wǎng)絡(luò)IP地址。該網(wǎng)絡(luò)IP地址可以直接與馬斯康認(rèn)證服務(wù)器進(jìn)行連接。數(shù)字標(biāo)識則用來驗證用戶身份以及確認(rèn)交易?？ɡ南壬鷮φ麄€工作過程進(jìn)行了說明：

1、用戶打開該網(wǎng)站并登錄，這時認(rèn)證服務(wù)器會進(jìn)行重定向操作。

2、驗證服務(wù)器會發(fā)出一個包含一次性序列號和網(wǎng)站登錄用戶名的Cookie（有效時間為2分鐘）。

3、網(wǎng)站的名稱將顯示在數(shù)字標(biāo)識的“簽名”部分，如果是一次交易的話，交易量和交易對象將顯示在簽名部分。

4、數(shù)字標(biāo)識將讀取cookie的一次性序列號，通過哈希運(yùn)算將計算機(jī)指紋（處理器序列號、硬盤序列號、MAC地址和計算機(jī)名）和它放在一起，采用SHA　256　（資金傳輸?shù)脑捠褂肧HA　512）進(jìn)行兩次處理。

5、通過SSL會話將該信息直接返回認(rèn)證服務(wù)器，而不是網(wǎng)絡(luò)站點。

如果所有信息被證明是正確的話，認(rèn)證服務(wù)器將通知網(wǎng)站，允許進(jìn)行訪問。如果是交易數(shù)據(jù)傳輸?shù)脑挘J(rèn)證服務(wù)器會向網(wǎng)站發(fā)送相關(guān)的所有交易信息。

馬斯康模式的優(yōu)點和缺點

不象ZTIC，更類似OpenID，在啟用了馬斯康安全功能后，數(shù)字標(biāo)識可以用來對任何網(wǎng)站進(jìn)行認(rèn)證。包括網(wǎng)絡(luò)釣魚在內(nèi)的各種攻擊都可以被阻止。筆者特別喜歡的一點，就是阻止網(wǎng)絡(luò)釣魚攻擊。馬斯康的認(rèn)證服務(wù)器將不允許任何資料被轉(zhuǎn)交給官方以外的任何其他網(wǎng)站。

關(guān)于馬斯康安全的數(shù)字標(biāo)識，筆者也有一些顧慮：

· 類似ZTIC，馬斯康數(shù)字標(biāo)識也沒有使用帶外（第2種）通信方法來驗證交易。

· 馬斯康模式完全依賴于一個聯(lián)絡(luò)點，即驗證服務(wù)器。為了防止出現(xiàn)時間延遲，筆者還希望提供一些額外的保障。

結(jié) 論

為了更好得保護(hù)自己，我們可以改變自己的上網(wǎng)習(xí)慣。但所有改變的效果都是暫時的。壞分子總是可以想出另一種方法。因此，我們的目標(biāo)應(yīng)該是促使金融機(jī)構(gòu)和網(wǎng)絡(luò)商家開始實施如筆者在上文所述的真正解決方案。

“雖然每一項行動計劃中都存在著風(fēng)險和代價，但相比輕輕松松的不作為帶來的長期風(fēng)險和代價，它要小的多?！?/p>

——約翰·F·肯尼迪（1917——1963）

【編輯推薦】

1. 網(wǎng)絡(luò)犯罪幕后黑手：數(shù)據(jù)竊取型惡意軟件
2. 澳門積極采取措施打擊網(wǎng)絡(luò)犯罪
3. 內(nèi)容共享站點成網(wǎng)絡(luò)犯罪高發(fā)場所