西西河

主题:【讨论】纯技术探讨:访问网站导致被黑的可能和难度大小 -- 铁手

共:💬25 🌺52
全看树展主题 · 分页首页 上页
/ 2
下页 末页
家园 【讨论】纯技术探讨:访问网站导致被黑的可能和难度大小

在网上的人越来越多。由于对使用安全方面的一些不了解或者是疏忽,很多人在网上中过招,所使用的计算机被人用各种各样的方式黑了。个人的印象,在国内上网的人似乎很容易被人种木马。

在西西河里,类似的情况也碰到一些,数量不多,大概有两三个。情况大致上都是在和别人争论过后,认为自己的计算机被人黑了,或者说是自己的邮件地址被人攻入了,等等。虽然个例本身不能说明太多问题,但是对其他用户而言,也会导致风声鹤唳,并因此对西西河产生不必要的不信任。

非常希望在这个主题下的讨论可以帮助澄清两个方面的问题。一个是作为用户,怎样学会自我保护,需要注意哪些方面以避免被黑。另外一个是,哪些情况是不可能发生的,以免被谣言惑众。在此基础上,网站服务器需要注意哪些方面。因为本人对这个话题并不熟悉,上面所提到的两个方面可能并不能覆盖所有方面,因此请各位在讨论的时候,不要受限,角度越开阔越好。欢迎跟帖讨论,也欢迎另开内容主题帖专门说明。如果以前有帖讨论过类似的话题,也请帮忙提供一下链接,我好引用一下。

访问西西河有没有可能导致自己的计算机被黑?

如果有,我想大概会有两种可能性吧。一种可能性,是作为不能接触后台的第三方有没有可能攻击某个访问用户?另外一种可能性,是作为能够获得访问用户有限信息的网站本身,有没有可能攻击到某个访问用户?

或者换个角度问这个问题:需要用户的什么信息就有可能攻击到访问用户?有了这些信息,什么样的手段可以攻击到访问用户?

如果排除网站服务器被种木马,从而导致用户在访问的时候不幸下载了木马的情况,第一个可疑对象是用户的IP地址。这里需要说明一下,给他人发送邮件的时候,收件方就可以查看到发送者的IP地址。也就是说,并不需要通过访问网站来被人获得IP地址。

假设某个访问者的IP地址被人通过某种方式拿到了,有多少难度会被人攻入?作为网站服务器而言,人人都可以知道网站的IP地址,每天也都会受到不少攻击,有故意的也有随机探探的。直觉上,网站服务器似乎比用户的计算机更容易受到威胁。虽然说不是不可能,但是知道访问者的IP地址就能轻易攻击到对方的计算机的话,微软是不是早该关门大吉了?到底有多少种方式可以利用访问者的IP地址来黑入?难度到底有多大?

国内用户常发生被种木马的情况,我感觉是和网路下载过多有关系。通过电驴和BT下载的东西很难保证就没有被装了后门。下载后一运行,得,就完了。另外一方面,也和不少网站的安全不到家,被人黑入种了木马也有关系。好在现在很多浏览器都自带了一些防范措施,在被访问网站有危险内容的情况下都会对用户有所提示。

欢迎大家讨论


本帖一共被 1 帖 引用 (帖内工具实现)
家园 先占个沙发

在不进入网站后台的情况下,通过发贴也能实施一些攻击。比如,现在西西河是允许flash的,而flash就可能有漏洞,可能未经用户允许就打开某个外部链接。网页挂马现在也很常见了。

相反,知道用户IP一般没啥用,除非这个用户IP所对应的计算机是开放服务的。用户IP的用处更多体现在“人肉”方面吧。

家园 理论上,访问网站被黑的可能性是很大的。

讨论问题之前,先引用一段

上周在加拿大温哥华举行的全球黑客大赛中,继苹果MacBook Air笔记本被攻破之后,运行Vista的富士通笔记本也在大赛最后一天被攻破,三台分别运行Linux、Mac OS X和Vista的笔记本中,只有运行Linux系统的索尼Vaio完好无损。

大赛第一天,三部笔记本电脑系统完好无损。这一情况也在组织者的意料之中,因为大赛第一天只允许参赛者实施基于网络的攻击手段,并且不能与用户进行互动交流,这种类型的攻击目前还非常少见。但每过一天,奖金将会减半,不过攻击难度也会因放松规则而减少。

大赛第二天,Independent Security Evaluators的查利·米勒利用Safari浏览器的一个漏洞通过一个尚未使用的代码攻破了运行Mac系统的MacBook Air笔记本。米勒获得了1万美金的奖励,外加这台被攻破的MacBook Air。

大赛第三天,去年该大赛的获胜者之一、沙恩·马考勒在VMware的研究人员亚里山大·索蒂洛夫等人的协助下攻破了运行Vista的富士通笔记本电脑。

根据大赛的规定,在上述发现的漏洞被修补之前,马考勒和米勒不能透露漏洞的具体细节。但马考勒透露,他发现并利用的是一个跨平台漏洞,通过Java绕过了Vista的安全防护。

这篇报道说明了两个问题:

1.基于网络的攻击(俺称之为主动攻击),就是在知晓对方IP的前提下,利用各种手段探测,分析攻击目标的弱点,然后自动向攻击目标发出攻击“数据包”而攻击得手变得越来越困难。

2.基于OS,特别是浏览器的漏洞(BUG)采用钓鱼的方法(俺称之为被动攻击)成为攻击(被黑)的主要手段。实际上,俺已经在本栏目的多个帖子中或多或少的谈及了这个问题。

老铁,俺要喝水去了。

通宝推:高子山,
家园 大赛链接

cansecwest

家园 基本上是网站先被黑,然后是用户遭殃

如太守所说的,现在直接攻击某个用户的计算机是越来越难了。盖因现在的操作系统经过那么多年的爬摸滚打,低级错误已经很少了。同时作为客户端不需要考虑对外服务的机器,保护起来也比较简单。

而网络服务器目前还是一个大问题。主要原因是服务程序还是由水平参差的程序员写的,大多没经过严格的测试,开发人员也未经过相应的训练。所以攻击这些服务器的难度相对较低。

常见的网站攻击是利用网站对用户输入检查不严格,在输入数据的时候插入特殊的代码进行的。比如SQL注入、缓冲区溢出等等。对于论坛、Blog这类的网站还有一种方式比较常用的就是CSS攻击(或叫XSS攻击)——Cross Site Script。简单说就是在文章中加入一段脚本,当用户打开这篇文章的时候就会在用户的计算机上执行这段脚本,这样就可以把用户当前登录信息转发到其它网站。如果用户的浏览器有漏洞的话,甚至可以种下木马。

预防措施也不太复杂,就是要严格检查用户提交内容中的特殊字符,如尖括号等等。这个检查必须在服务器端完成,不能依赖客户端的脚本自己检查。另外,还需要防止用户通过其它方式绕过页面直接向服务器提交内容。一句话,我们要像防贼一样防着用户。

一般用户则需要注意浏览器的安全设置,尤其要注意跨站访问的警告。IE有这个设置,可以太烦人了,绝大多数人都关掉了。

家园 赞同的几句话

基于OS,特别是浏览器的漏洞(BUG)采用钓鱼的方法(俺称之为被动攻击)成为攻击(被黑)的主要手段。

其实基于OS的攻击,对个人用户来讲,更为普遍。

当然这是就铁手的这个帖子说话的话,那说穿了其实太简单了:任何网站不会提供给个人用户那么危险的服务啊。

再就是代码的话了:基本上这种方式,是网站先被黑,然后呢,就是用户遭殃。

当然这两段话,背离了铁手的主题:访问网站导致被黑的可能和难度大小。

代码兄其实说的已经很清楚了:基本上是网站先被黑。

唉,这个问题,改天真的应该好好讨论一下,若兰先收藏。

家园 社会工程很强大

有很多种方法可以实现对具体用户的精确打击,操作系统本身的漏洞虽然越来越少,但有个必要的前提是用户能够及时更新,但国内绝大多数用户没有这样的意识或是手段。单纯指望某个防火墙的缺省设置可以抵御外界的恶意渗透是不太现实的,防火墙可以主动抵御一些明显的恶意攻击,但遇到无法判断的时候还是要提交用户处理,对于系统运作不太了解的用户面对天书一般的术语基本没有多少判断能力,导致的后果也不言而喻。

其实我想案例中的受害人认为所受到的攻击和其在论坛发表的言论有关的看法有待商榷,除非有比较确实的证据,比如攻击者留言之类,而且有时候这样的留言也是被当作转移注意力的手段来使用。

密码被修改有两种情况需要注意:一种是植入木马截获键盘输入,一种是联网时候攻击者取得受害人的身份凭证直接设定新密码。在这种情况下你的密码有多复杂其实没有意义。尤其是后一种,对方根本不需要知道你的密码是什么。

家园 数字触目惊心。

From Wiki

XSS surpassed buffer overflows to become the most common of all publicly reported security vulnerabilities in recent years, [5] and at least 68% of websites are likely open to XSS attacks on their users.[6] Cross-site scripting holes in general can be seen as vulnerabilities which allow attackers to bypass security mechanisms.

当然,数字准不准可以以后考证。

家园 铁手大概是针对WebOS是否更安全这个题目来说的

其实,未必更安全,可能还更危险

家园 deleted
家园 【原创】前半句,浏览用户要像防贼一样防网站;

后半句?后半句要等下一篇。

起这样一个题目并非是危言耸听,更不是对类似西西河这样的网站有什么看法。第一,上网永远是不安全的,不上网永远是安全的(主动运行带毒软件除外),因此上网被黑大部分的责任是应该上网者自己的事情。第二,如同ABC所言,许多网站的站长在设计网站时并没有把网站的安全放在一个适当的位置来考虑,或者说站长的安全知识已经相对落后。安全和入侵永远是道高一尺魔高一丈的问题,短期内不可能解决。第三,没有没虫(BUG)的软件,无论是服务器还是客户端(这里主要谈浏览器和其插件)。

为了简化问题,俺在这里就不搞什么威胁模型之类的东东了。分两个方面排一下安全因素重要性的高低,防护成本和防护策略。不过这种东西难免挂一漏万,考虑不到的地方尽管拍砖。

1.OS及网络管理方面。

A.安全更新。定期检查并保证OS处于最新更新状态。

B.安全策略。为管理员设置一定强度的用户口令,坚持用低级别用户帐号处理日常事务,比如上网。家庭用机,坚决关闭远程桌面等“后门”。

C.多重防火墙。网络防火墙(一般的家庭路由器都带)和桌面防火墙最好同时使用。当与网络小白使用同一个内部网络时,可考虑再加一内部防火墙与之隔离。

D.虚拟机。可以考虑使用各种虚拟机,比如VMWARE,搭载GUEST OS专门处理上网等“危险行为”。

E.OS选择。如可能,选择LINUX而非WINDOWS。

2.浏览器安全因素。

A.Active X。除非绝对必要,不可使用下载的Active X。Active X是IE威力强大的浏览器扩展手段。正因为威力强大,也是黑客之头号爱将。处理措施:除OS UPDATE和网银之外,不使用IE浏览器,特别是低版本的IE浏览器。俺自己浏览器的安全性排序:CHROME > IE8 > OPERA > SAFARI > FIREFOX > IE7 > IE6.

B.浏览器插件,这个主要是真对非IE浏览器。慎重使用小公司的插件。理论上,使用的插件愈多,被黑的可能性越大。

C.对不经常访问的网站要慎重处理,特别是有可能包含CSS攻击的BBS网站和社交网站。理论上,一个图片解码的溢出虫都可能导致一个类似CSS攻击行动。比如俺发现了一个图片解码的溢出虫,然后俺用BBS上的外接图片功能链接一个俺放置在第三方服务器上的溢出图片就可以导致这个用户机器浏览器的栈或者堆的溢出,然后,还需要俺说然后吗?

D.重要事宜,如网上银行,采用专门浏览器或者CHROME的Incognito mode (private browsing)甚至专门的机器(可以是个虚拟机)处理。如用一般浏览器处理完此类事物,一定在退出前清空“缓冲区”的一切内容。

E.“客户端欺骗”。使用这个主要是迷惑恶意网站。比如告知网站你使用的是MAC OS的Safari,实际上你使用的是Windows的Opera。有些浏览器支持这样做,但这样做能导致网页兼容性问题。

就是你采取了所有以上措施,你的机器依然有可能被黑。俺上面说的一切只是降低了你上网被黑的可能性,但你一定不要因噎废食。

“妹妹”你大胆地往前走,莫回头,因为,因为天边可能有彩虹。

祝上网冲浪安全,快乐!

家园 Safari的libtiff。。。

第一代iPhone就是safari用了可做溢出攻击的libtiff。。。

把safari排在firefox前面不妥当吧。。。

家园 答YUEYU兼前半句的一点说明。

俺那个排序是按这样的方式排列的:

1.浏览器的架构,即浏览器的设计中是否把安全放在比较优先的次序考虑。

2.该浏览器的市场份额,理论上使用越少的浏览器越安全。因为市场份额越小,黑客们越少考虑如何黑之。黑客难道就不考虑投入产出比?同样的道理可以推广到OS。但是,诸如傲游之类的浏览器应该归类到采用相应内核的浏览器,傲游 = TRIDENT = IE.

url的设计之初主要考虑了便利性(或者说体验),这也是WEB(HTML)能引领IT风潮之关键。但是没有考虑安全因素是它的一个缺陷,恰如SMTP协议的缺陷导致垃圾邮件泛滥。所以点击网页上的链接是要慎重的 --- 斗兽场边上的两扇门里分别是野兽和美女,至于你打开后得到的是什么就看你的RP了。

家园 对,俺喜欢社会工程

花在某个变节者身上的钱比花在高技术黑客身上的回报要高得多。找人绑架、威胁、恐吓、折磨某人获取密码的方法不需要什么高技术。

家园 为什么IE8的安全性排名会这么高?

还是仅仅因为他出来得新的缘故?

全看树展主题 · 分页首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河