2010-07-29 17:54:38 来源:TechTarget中国
最近,根据公开的报告,五名窃贼被指控从美国加州卡森市的银行账户中偷窃了45万美元。 2007年,他们成功地在该市财政局长的笔记本电脑中植入了变种的Talex银行木马,并截获了数字证书和账户信息。遗憾的是,这并不是一起孤立事件。许多小企业和市政当局的电脑都正在被复杂的以银行账户和银行数字证书为目标的恶意软件感染,如Zeus、Clampi和Silon等木马。此类银行木马大多数是通过修改网页、插入新的对话框、篡改Cookie等手段感染用户的浏览器,比传统的中间人(man-in-the-middle)攻击更有威胁。为了应对这些威胁,许多商业和自由软件应运而生,确保用户能方便安全地连接到网上银行。让我们来探讨一下这些网上银行安全工具以及它们各自的优缺点。
位于纽约的Trusteer公司的Rapport软件可能是如今最出名的商业网上银行安全产品。金融机构在其网站上安装Rapport系统之后,用户可以下载并安装客户端软件,以此来保护浏览器和通过浏览器与金融网站进行的交互。该软件可在Windows和Mac系统下运行,通过监测应用程序编程接口(API)来确定是否有其他程序正在试图监控或操纵它们。例如,在Windows系统中,WinInet API被用来建立SSL通信,它经常会遭到银行类恶意软件的访问和修改。通过防止恶意软件劫持和修改浏览器,Rapport能防范Zeus等木马的最新的浏览器中间人(man-in-the-browser)攻击。此外,Rapport是经常更新的,像杀毒软件一样,这使其能够帮助用户抵御恶意软件的最新变种。
使用像Rapport这样的软件(或者像英国Prevx公司提供的类似的网上银行安全方案SafeOnline)的好处在于它们能够提供针对浏览器和终端的基本保护,最小化针对大多数终端的冲击,以及检测银行网站的负载能力。然而,许多银行并不想让这个软件成为强制性的,因为用户会觉得安全措施是被“强加”给他们的。此外,该软件需要安装代理才能使用,并可能需要本地管理员访问权限和浏览器的特权用户,以网络安全的实际角度来看这两者都是不可取的。攻击者也不会就此而止步——Zeus木马和其他恶意软件的新版本已能够检测甚至阻止Rapport的某些版本以及其他一些保护性软件的运行。最后,某些保护软件还可能与其他程序或解决方案发生冲突,例如流行的共享软件Sandboxie。
Sandboixe或其他类似的软件系统,会在系统中创建一个保护性的独立空间(称为“沙箱”,sandbox)供所有指定的程序运行。如果浏览器是一个孤立的程序,那么即使恶意软件被执行了,沙箱也能够防止其感染系统的其余部分。有一些系统用硬件来实现同样的功能,即运行自带的浏览工具和环境的USB设备。以加密便携硬盘而著名的IronKey公司,现在推出一款叫做“可信虚拟计算”的产品。该产品提供了直接在USB硬盘运行的虚拟操作系统和浏览器。除了独立的操作系统和浏览器外,该设备还具有内置的反恶意软件扫描和多参数RSA认证功能,以及在线更新以防范最新的威胁。这个工具的优点在于不必在主机上安装额外的软件,同时又能在访问金融网站期间更加有效的隔离浏览环境和主机系统。
另一种基于硬件的解决方案是IBM公司的区域信任信息通道(Zone Trusted Information Channel,ZTIC),它首先会与预配置的银行网站建立一个安全(SSL/TLS)会话,然后允许主机系统通过浏览器以类似于银行代理的方式进行连接。当用户访问银行网站并输入信息时,它将显示在USB设备的LED屏上,同时只有在用户手动点击设备上的按钮时,该信息才会传递给银行。这可以阻止浏览器中间人(man-in-the-browser)攻击者任意修改数据或站点信息而不被察觉的现象。不幸的是,这些基于硬件的解决方案需要用户在物理键盘上输入信息,而这很容易被按键记录功能所截获。
一个简单且免费的网银安全的选择是使用一个装有相关操作系统的可引导的CD/DVD光盘,只需运行一个被加载到内存中的只读操作系统即可。类似的操作系统发行版本有许多(通常包括Knoppix、SLAX和Webconverger),这些光盘有时被称为“Live CD”。利用Live CD的好处是浏览环境与主机操作系统完全隔离,因为用户需要手动从CD/DVD启动并引导到只读环境。该操作环境在与银行进行会话期间不会被修改,会话完成后也没有任何信息保存,以防止丢失或者泄露机密数据。这种方案的缺点是需要从光盘启动到只读操作环境中,当然也就需要对用户进行培训。
随着越来越多的银行客户遭遇到由恶意软件所造成的金融诈骗,人们对这种网银安全工具的兴趣无疑会继续增加。这些解决方案各自都有明确的优点和缺点——从“软件安装”到“它们是否能真正隔离浏览环境与操作系统”。但不管怎样,成本始终是银行和终端客户在选择时应考虑的因素之一。
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。