網上銀行安全的評估工具
最近,根據公開的報告,五名竊賊被指控從美國加州卡森市的銀行賬戶中偷竊了45萬美元。 2007年,他們成功地在該市財政局長的筆記本電腦中植入了變種的Talex銀行木馬,并截獲了數字證書和賬戶信息。遺憾的是,這并不是一起孤立事件。許多小企業和市政當局的電腦都正在被復雜的以銀行賬戶和銀行數字證書為目標的惡意軟件感染,如Zeus、Clampi和Silon等木馬。此類銀行木馬大多數是通過修改網頁、插入新的對話框、篡改Cookie等手段感染用戶的瀏覽器,比傳統的中間人(man-in-the-middle)攻擊更有威脅。為了應對這些威脅,許多商業和自由軟件應運而生,確保用戶能方便安全地連接到網上銀行。讓我們來探討一下這些網上銀行安全工具以及它們各自的優缺點。
位于紐約的Trusteer公司的Rapport軟件可能是如今最出名的商業網上銀行安全產品。金融機構在其網站上安裝Rapport系統之后,用戶可以下載并安裝客戶端軟件,以此來保護瀏覽器和通過瀏覽器與金融網站進行的交互。該軟件可在Windows和Mac系統下運行,通過監測應用程序編程接口(API)來確定是否有其他程序正在試圖監控或操縱它們。例如,在Windows系統中,WinInet API被用來建立SSL通信,它經常會遭到銀行類惡意軟件的訪問和修改。通過防止惡意軟件劫持和修改瀏覽器,Rapport能防范Zeus等木馬的最新的瀏覽器中間人(man-in-the-browser)攻擊。此外,Rapport是經常更新的,像殺毒軟件一樣,這使其能夠幫助用戶抵御惡意軟件的最新變種。
使用像Rapport這樣的軟件(或者像英國Prevx公司提供的類似的網上銀行安全方案SafeOnline)的好處在于它們能夠提供針對瀏覽器和終端的基本保護,最小化針對大多數終端的沖擊,以及檢測銀行網站的負載能力。然而,許多銀行并不想讓這個軟件成為強制性的,因為用戶會覺得安全措施是被“強加”給他們的。此外,該軟件需要安裝代理才能使用,并可能需要本地管理員訪問權限和瀏覽器的特權用戶,以網絡安全的實際角度來看這兩者都是不可取的。攻擊者也不會就此而止步——Zeus木馬和其他惡意軟件的新版本已能夠檢測甚至阻止Rapport的某些版本以及其他一些保護性軟件的運行。最后,某些保護軟件還可能與其他程序或解決方案發生沖突,例如流行的共享軟件Sandboxie。
Sandboixe或其他類似的軟件系統,會在系統中創建一個保護性的獨立空間(稱為“沙箱”,sandbox)供所有指定的程序運行。如果瀏覽器是一個孤立的程序,那么即使惡意軟件被執行了,沙箱也能夠防止其感染系統的其余部分。有一些系統用硬件來實現同樣的功能,即運行自帶的瀏覽工具和環境的USB設備。以加密便攜硬盤而著名的IronKey公司,現在推出一款叫做“可信虛擬計算”的產品。該產品提供了直接在USB硬盤運行的虛擬操作系統和瀏覽器。除了獨立的操作系統和瀏覽器外,該設備還具有內置的反惡意軟件掃描和多參數RSA認證功能,以及在線更新以防范最新的威脅。這個工具的優點在于不必在主機上安裝額外的軟件,同時又能在訪問金融網站期間更加有效的隔離瀏覽環境和主機系統。
另一種基于硬件的解決方案是IBM公司的區域信任信息通道(Zone Trusted Information Channel,ZTIC),它首先會與預配置的銀行網站建立一個安全(SSL/TLS)會話,然后允許主機系統通過瀏覽器以類似于銀行代理的方式進行連接。當用戶訪問銀行網站并輸入信息時,它將顯示在USB設備的LED屏上,同時只有在用戶手動點擊設備上的按鈕時,該信息才會傳遞給銀行。這可以阻止瀏覽器中間人(man-in-the-browser)攻擊者任意修改數據或站點信息而不被察覺的現象。不幸的是,這些基于硬件的解決方案需要用戶在物理鍵盤上輸入信息,而這很容易被按鍵記錄功能所截獲。
一個簡單且免費的網銀安全的選擇是使用一個裝有相關操作系統的可引導的CD/DVD光盤,只需運行一個被加載到內存中的只讀操作系統即可。類似的操作系統發行版本有許多(通常包括Knoppix、SLAX和Webconverger),這些光盤有時被稱為“Live CD”。利用Live CD的好處是瀏覽環境與主機操作系統完全隔離,因為用戶需要手動從CD/DVD啟動并引導到只讀環境。該操作環境在與銀行進行會話期間不會被修改,會話完成后也沒有任何信息保存,以防止丟失或者泄露機密數據。這種方案的缺點是需要從光盤啟動到只讀操作環境中,當然也就需要對用戶進行培訓。
隨著越來越多的銀行客戶遭遇到由惡意軟件所造成的金融詐騙,人們對這種網銀安全工具的興趣無疑會繼續增加。這些解決方案各自都有明確的優點和缺點——從“軟件安裝”到“它們是否能真正隔離瀏覽環境與操作系統”。但不管怎樣,成本始終是銀行和終端客戶在選擇時應考慮的因素之一。
【編輯推薦】
