 如果你在网络上搜索Cookiejacking这一词,你会发现一系列的安全警告:微软的IE存在安全漏洞,网络犯罪分子可能利用这个漏洞窃取用户的登陆名和密码。我在上周五就注意到这一新闻,并查看了有关专家的详细解释,我并在我的窗口中试着验证这一漏洞,这的确是一个值得重视的安全隐患,虽然微软目前低调评论这种威胁,但我估计微软正在积极研究和开发对策。这一安全漏洞影响到IE6-9,专家评论说对于微软来说这是一个十分棘手的问题,因为IE的用户成千上万,其中涉及即将停止支持的Windows XP。
 什么是Cookie?
Cookie是网页中在用户端存储数据的最常用的方法,这些Cookie是一种文字文件,文件内容存有关键字和数据的内容,文件本身是无法执行的,这些文件是存在特定的文件夹里。一般来说只有网页的拥有者才能够用知道的关键字读取Cookie的内容。这些数据不仅可以送回网页服务器,而且在网页里的JS编码也可以读取。比如说谷歌的Gmail网页就有许多Cookie,谷歌的Gmail负责读写在用户端的Cookie,这些数据可能含有用户名和密码。如果你在登陆时会自动填充内容或选择内容,很大可能这些数据都是来自Cookie。
网络安全专家发现IE的安全漏洞 一般来说,按照微软IE的安全结构,从第三者网页中是无法得到用户端硬盘上的文件内容,因为网页等级是禁止读取用户端硬盘的内容。可是网络安全专家发现在网页 HTML中有一特殊tag,如果通过这个tag可以读取用户端的Cookie。
窃取用户的私人信息尤其是有关银行和信用卡的信息是网络犯罪分子的最感兴趣的内容,偷窃Cookie是他们最为关心的一个目标。因此许多网络专家早就警告微软这是一个十分严重的漏洞,但微软迟迟没有行动,结果最近在一些网络安全会议和公开场合,这些专家积极呼吁,并用实例证明网络犯罪分子完全可以利用此漏洞来窃取用户的私人数据。
利用社交工程技巧骗取用户数据
最近我常常听到 Social Engineering一词,百度按字面解释为 社会工程。我个人认为这是一个非常有趣的词,科技发展的今天,人类利用科技发明和知识达到了许多过去无法达到的目的,典型的例子是科学家利用生物工程利用基因来改变或创建新的生物。在网络上,网络犯罪分子利用高科技方式利用网络社交来进行诈骗的行为,这也是一种利用科学工程的方式对付和诱骗用户在社交过程中窃取私人数据。
微软声称这个漏洞需要用户配合才能窃取数据,因此它的安全等级很低。可是,网络专家用实例证明,达到骗取的手段可以十分巧妙,利用这个漏洞完全可以窃取私人数据。
根据我的理解,下面是专家提出利用这个漏洞的途径:
- 上面提到,在用户硬盘上Cookie的地址是特定的,其中与Windows的版本和用户名有关。因此要想确定Cookie的文件夹,首先需要这两个信息。而得到用户Windows的版本和用户名十分容易的,比如在某一网站插入第三者的图像,这样通过特定第三者的网页服务器,通过网页请求就可以得到这些信息。
- 第二步是通过一些网上的游戏和文字诱惑,引诱用户点击和拉动网页的一内容。比如一个很简单的美女拼图,标题为“你想看这个美女的裸体图像吗?”。这个显而易见的游戏可能勾引用户玩这个游戏。而在拉动的背后,有特定的JS编码请求特定的网页送来根据用户Winows和用户名的信息插入上面提到的特定HTML的tag。这个tag则可以利用IE的安全漏洞窃取用户的Cookie信息。
- 然后继续利用游戏或点击将读取的数据送至犯罪分子指定的网站。
- 整个过程是用户完全没有察觉的过程中进行的,犯罪分子完全可以控制自己的网页,动态地改变网址进行攻击和停止攻击,这样就使得网络安全防护几乎完全失效。
专家用实例演示IE的安全漏洞
专家为了说明IE安全漏洞的可能危害性,用实例表演示范了这种攻击。下面是一个网页用美女和诱人的文字诱惑网络用户玩这个简单的网页游戏:
 模拟用户用鼠标拉动图片,但这个拉动的背后在索取用户的信息和插入新的网页tag:  窃取成功,但用户无法察觉!
 这里是窃取其它网页的Cookie数据和关键字,这里是twitter, Facebook 和 google.it 的数据!  这只是一个演示例子,实际上利用网页和社交活动服务,可以想象黑客完全可以利用各种游戏免费服务等形式通过其隐蔽性窃取网络用户的私人数据。
这是一场长期和精巧的无形战争
在许多社交网站中有许多所谓的免费软件或游戏,有谁能够知道这些网站和游戏中有黑客正秘密跟踪你的行为和窃取你的私人数据呢?网络和手机中有许多免费的软件、防毒软件和游戏,要知道这些可能是打着免费或公开的名义正在进行着罪恶的勾当呢?
社交工程是最新发展迅速的一种有组织的网络犯罪活动,其巧妙的方式几乎是防不胜防,电脑和浏览器的安全漏洞会使得你无法抵御。除非你完全与网络隔离,否则被黑客攻击的可能性是所有网络用户所面临的现实。我们不可能因为车祸而放弃开车,网络犯罪将是一种长期的无形战争。
还是俗话说的好,世上没有免费的早餐,天上不会自动掉下不要钱的馅饼。也许使用苹果电脑会大大降低这种被攻击的概率,但这只是我个人的见解。
下面是有关的参考:
我的RSS |
