 如果你在網絡上搜索Cookiejacking這一詞,你會發現一系列的安全警告:微軟的IE存在安全漏洞,網絡犯罪分子可能利用這個漏洞竊取用戶的登陸名和密碼。我在上周五就注意到這一新聞,並查看了有關專家的詳細解釋,我並在我的窗口中試着驗證這一漏洞,這的確是一個值得重視的安全隱患,雖然微軟目前低調評論這種威脅,但我估計微軟正在積極研究和開發對策。這一安全漏洞影響到IE6-9,專家評論說對於微軟來說這是一個十分棘手的問題,因為IE的用戶成千上萬,其中涉及即將停止支持的Windows XP。
 什麼是Cookie?
Cookie是網頁中在用戶端存儲數據的最常用的方法,這些Cookie是一種文字文件,文件內容存有關鍵字和數據的內容,文件本身是無法執行的,這些文件是存在特定的文件夾里。一般來說只有網頁的擁有者才能夠用知道的關鍵字讀取Cookie的內容。這些數據不僅可以送回網頁服務器,而且在網頁里的JS編碼也可以讀取。比如說谷歌的Gmail網頁就有許多Cookie,谷歌的Gmail負責讀寫在用戶端的Cookie,這些數據可能含有用戶名和密碼。如果你在登陸時會自動填充內容或選擇內容,很大可能這些數據都是來自Cookie。
網絡安全專家發現IE的安全漏洞 一般來說,按照微軟IE的安全結構,從第三者網頁中是無法得到用戶端硬盤上的文件內容,因為網頁等級是禁止讀取用戶端硬盤的內容。可是網絡安全專家發現在網頁 HTML中有一特殊tag,如果通過這個tag可以讀取用戶端的Cookie。
竊取用戶的私人信息尤其是有關銀行和信用卡的信息是網絡犯罪分子的最感興趣的內容,偷竊Cookie是他們最為關心的一個目標。因此許多網絡專家早就警告微軟這是一個十分嚴重的漏洞,但微軟遲遲沒有行動,結果最近在一些網絡安全會議和公開場合,這些專家積極呼籲,並用實例證明網絡犯罪分子完全可以利用此漏洞來竊取用戶的私人數據。
利用社交工程技巧騙取用戶數據
最近我常常聽到 Social Engineering一詞,百度按字面解釋為 社會工程。我個人認為這是一個非常有趣的詞,科技發展的今天,人類利用科技發明和知識達到了許多過去無法達到的目的,典型的例子是科學家利用生物工程利用基因來改變或創建新的生物。在網絡上,網絡犯罪分子利用高科技方式利用網絡社交來進行詐騙的行為,這也是一種利用科學工程的方式對付和誘騙用戶在社交過程中竊取私人數據。
微軟聲稱這個漏洞需要用戶配合才能竊取數據,因此它的安全等級很低。可是,網絡專家用實例證明,達到騙取的手段可以十分巧妙,利用這個漏洞完全可以竊取私人數據。
根據我的理解,下面是專家提出利用這個漏洞的途徑:
- 上面提到,在用戶硬盤上Cookie的地址是特定的,其中與Windows的版本和用戶名有關。因此要想確定Cookie的文件夾,首先需要這兩個信息。而得到用戶Windows的版本和用戶名十分容易的,比如在某一網站插入第三者的圖像,這樣通過特定第三者的網頁服務器,通過網頁請求就可以得到這些信息。
- 第二步是通過一些網上的遊戲和文字誘惑,引誘用戶點擊和拉動網頁的一內容。比如一個很簡單的美女拼圖,標題為“你想看這個美女的裸體圖像嗎?”。這個顯而易見的遊戲可能勾引用戶玩這個遊戲。而在拉動的背後,有特定的JS編碼請求特定的網頁送來根據用戶Winows和用戶名的信息插入上面提到的特定HTML的tag。這個tag則可以利用IE的安全漏洞竊取用戶的Cookie信息。
- 然後繼續利用遊戲或點擊將讀取的數據送至犯罪分子指定的網站。
- 整個過程是用戶完全沒有察覺的過程中進行的,犯罪分子完全可以控制自己的網頁,動態地改變網址進行攻擊和停止攻擊,這樣就使得網絡安全防護幾乎完全失效。
專家用實例演示IE的安全漏洞
專家為了說明IE安全漏洞的可能危害性,用實例表演示範了這種攻擊。下面是一個網頁用美女和誘人的文字誘惑網絡用戶玩這個簡單的網頁遊戲:
 模擬用戶用鼠標拉動圖片,但這個拉動的背後在索取用戶的信息和插入新的網頁tag:  竊取成功,但用戶無法察覺!
 這裡是竊取其它網頁的Cookie數據和關鍵字,這裡是twitter, Facebook 和 google.it 的數據!  這只是一個演示例子,實際上利用網頁和社交活動服務,可以想象黑客完全可以利用各種遊戲免費服務等形式通過其隱蔽性竊取網絡用戶的私人數據。
這是一場長期和精巧的無形戰爭
在許多社交網站中有許多所謂的免費軟件或遊戲,有誰能夠知道這些網站和遊戲中有黑客正秘密跟蹤你的行為和竊取你的私人數據呢?網絡和手機中有許多免費的軟件、防毒軟件和遊戲,要知道這些可能是打着免費或公開的名義正在進行着罪惡的勾當呢?
社交工程是最新發展迅速的一種有組織的網絡犯罪活動,其巧妙的方式幾乎是防不勝防,電腦和瀏覽器的安全漏洞會使得你無法抵禦。除非你完全與網絡隔離,否則被黑客攻擊的可能性是所有網絡用戶所面臨的現實。我們不可能因為車禍而放棄開車,網絡犯罪將是一種長期的無形戰爭。
還是俗話說的好,世上沒有免費的早餐,天上不會自動掉下不要錢的餡餅。也許使用蘋果電腦會大大降低這種被攻擊的概率,但這只是我個人的見解。
下面是有關的參考:
我的RSS |
