谁绑架了Web和浏览器

来源 :中国计算机报 | 被引量 : 0次 | 上传用户:shengyan1205
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  集成的供应链,从产品到推向市场的周期,正在从过去的几个月时间缩短为几个星期,甚至几天。这说明,通过内联网、外联网和互联网接入,Web已将企业内部和企业外部数据传输的速度和效率,提升到难以想象的水平。如今,人们可以在全球进行实时或即时的通信和信息交换。
  
  互联网应用打开潘多拉盒子
  
  当Web 和基于 Web 的应用广泛地与企业业务相结合后,Web应用的系统漏洞也为公司网络打开了一道新的后门。虽然它所创造的连通性为企业与行业联盟共享信息奠定了基础,但同时它也为信息泄露提供了新的契机,它正在为恶意或者无意的未经授权的访问敞开大门。
  员工通过访问或下载不明来源的文件,可能会把企业内网中计算机暴露,并使之成为快速传播病毒或其他恶意、有害代码的工具。
  与过去旨在入侵单个计算机的病毒不同,新一代的病毒充分利用了联网计算机和 互联网快速传播的特点。Melissa、Explore.zip 和 LoveLetter 等病毒已经清楚地向我们展示了它们的能量,这些病毒甚至可以在几分钟之内传遍整个网络。
  最新的全球安全威胁也随之发生着重大变化。通过Web以及Web相关插件传播和注入攻击,已成为2009年最主要的黑客攻击和入侵手段。在2009年全球受到攻击次数最多的前五大漏洞中,其中针对Web浏览器和相关插件的攻击就占了4项。而2008年的统计中,更多的则是针对操作系统和软件的漏洞。
  据微软和赛门铁克发布的报告,被披露的软件漏洞数量正在逐步减少,这迫使网络罪犯更多地转向了对第三方浏览器组件的攻击。如下这组数据可以更清晰地说明问题:2009年Firefox被利用的漏洞数目多达169个,比2008年增长近一倍;Safari为94个,比2008年增长一倍以上。由于Chrome发布时间为2008年9月,因此2009年的数据与2008年的数据比较并没有太大的意义,但仍可以看出其持续增长的态势。
  随着Web应用的发展,Web的可交互性越来越强,可交互性已成为新一代Web应用——Web2.0的显著特点。广大网民不再仅仅是信息的接受者,同时还是信息的发布者。社交网络就是Web2.0中一个非常成功的例子。越来越多的用户加入了社交网络,并享受着它带来的共享信息的便捷。
  然而,非法信息发布者也开始利用社交网络。如钓鱼网站、恶意网站等非法信息,都在利用社交网络平台实现快速扩散。种种迹象表明,随着Web2.0的发展,网络攻击将更容易被扩散。
  
  偷渡式下载暗渡陈仓
  
  “偷渡式下载”是当前最阴险的恶意软件感染方式之一。用户只要浏览网站,可执行的恶意程序就会在用户毫不知情或未经用户许可的情况下,自动下载到用户的计算机上,该过程无需与用户互动。它们所用的手段已经非常专业:
  一、攻击者入侵合法的“好”网站
  攻击会致力于发现一些“好”的网站,这些网站往往用户规模庞大。通过一些攻击手段,攻击者能够将隐藏式IFrame插入到合法网站(常见技术,如 SQL 注入攻击)的一个或多个页面。该链接指向另一个恶意网站,那个网站将会向毫无戒备的用户提供实际恶意代码。
  二、用户访问“好”网站
  虽然用户通过Windows Update不断更新计算机系统(以确保计算机上的基本操作系统和浏览器已安装了所有最新软件补丁程序),但是当用户访问被入侵的“好”网站时,由于其系统中运行的多媒体插件和文档查看器(用于播放音乐、查看文档)已过时,且具有可被远程入侵的漏洞,而用户并不知情,因此在不知不觉中便中了“好”网站的招。
  三、用户在无提示的情况下被重定向至“坏”网站
  来自“好”站点页面的隐藏式IFrame导致用户的浏览器在无提示的情况下,会从“坏”网站提取内容。由于执行了该操作,“坏”站点就能确定用户的计算机上在运行什么样的操作系统、网络浏览器和插件。坏站点能够根据这些信息确定用户在运行系统时,附加于浏览器的易受攻击的多媒体插件。
  四、向用户的计算机下载恶意代码
  坏网站向受害者的计算机发送包含攻击的特制多媒体数据;一旦多媒体播放器播放了该内容,攻击者就会控制该计算机。
  五、在用户的计算机上安装恶意代码
  利用用户的多媒体播放器中的漏洞,在用戶的计算机上安装一个或多个恶意件文件。
  六、恶意软件利用用户的系统
  现在恶意代码会盗窃个人信息(如网上银行信息、电子邮件、游戏密码),并将它发送给攻击者。
  
  社会工程学攻击李代桃僵
  
   “社会工程”其实是“骗局”的现代叫法。它描述了这样一种状况:受害者被骗去做他们本不会做的事情。在本部分我们将介绍一些较常见的社会工程技术,它们会让被骗用户在自己计算机上下载和安装恶意件。
  一、假冒编码解码器
  网络上存在数十种不同的多媒体文件格式,很多格式需要使用特殊软件才能查看或聆听。同样,网络用户知道,有时他们需要下载和安装新的媒体播放器或浏览器插件模块,方可查看自己所访问站点上的内容。现在,如果在访问新站点时被提示,“您需要下载最新版本的新播放器或插件”,或许我们并不会感到有什么异样。
  恶意软件制作者正是利用了人们这种熟视无睹的心理。他们建立起富有诱惑力内容(如成人内容或音频、视频文件存储库)的网站,用户一旦访问该内容,就会收到这样的提示:需要安装新的编码解码器,方可访问本站点的内容。可执行内容其实不是编码解码器,而是恶意软件,用户只要授权,就会完成下载并在计算机上安装该恶意软件。
  二、假冒的P2P文件下载
  P2P文件共享系统已成为合法和非法数字内容的常见共享方式。它们为恶意软件提供了另一个通过网络进入用户计算机的途径。
  恶意软件制作者将其恶意内容绑定到流行应用程序中。为了让用户感兴趣,他们会以极富创意的方式为文件命名,例如使用名人的名字或流行品牌的名称。然后他们将文件上载到流行的文件共享站点上,在那里等待毫无戒备的用户。当用户搜索自己选择的应用程序或电影时,网站会向他们提供已被恶意件入侵的版本。
  研究中,我们还发现了以开放形式提供的、介绍此类伪装恶意件应用程序创建过程的在线教程资料,其中包括如何向 P2P 站点发布此类应用程序的操作指南,应使用哪些站点,如何使用代理服务器来提供文件和如何防止因误用而被关闭的建议等等。
  面向Web应用及浏览器的攻击,已经成为最普遍和常见的入侵行为。企业员工在享受互联网及Web应用带来的便捷的同时,Web也已成为企业的安全风险的入口。如何有效解决面向客户端的入侵和攻击,将是企业IT管理员和CIO在未来2~3年持续关注的新趋势和焦点问题。
其他文献
今天,移动上网本、智能商务手机已经成为动态远程办公及多媒体应用的基础设备。伴随物联网技术的广泛应用,远程操作家用电器也逐渐成为现实,更多对无线网络应用的需求正在改变我们的生活。据IDC预测,到2014年全球将有5亿移动终端,50%的人员会选择移动办公。为满足当前乃至未来的应用,无线网络厂商Aruba也将无线网络从1代、2代带入到基于802.11n协议的第3代技术。  回顾历史,无线网络1.0时代的
想开始BI,却总觉得数据不够完美,因此实施BI的日程一拖再拖……尽管“数据是实施BI的最大障碍”是一种普遍看法,但获取正确的数据并不是企业在利用分析技术时所面临的首要挑战。  这个结论来自IBM全球企業咨询服务部(GBS)近日公布的《分析:实现价值的新途径——智慧的企业如何利用分析技术将洞察力转化为行动》白皮书。白皮书由麻省理工学院斯隆管理评论与IBM商业价值研究院合作完成,共调查了来自100多个
与3年前的一体化相比,如今已不再是爱数和EMC分别在国内外市场唱独角戏的时代,而是你方唱罢我登场。每个厂商都有自己以“一体化”为主题的一出戏。各个厂商关于一体化的呈现也是争奇斗妍。到底什么才是真正的一体化?  一体化作为一种产品创新方式,其特性需要多维度的保证,主要体现在产品形态、功能应用、方案集成、技术集成和需求集成五个方面。当有了这五味真火,一体化的产品自然是真金不怕火炼,越炼越有谱。  软硬
9月21日,在全球股市都受到欧元区债务危机影响而大跌的时候,苹果股价逆势上扬,创下了历史新高——422.86美元。按收盘价计算,苹果的市值超过了3800亿美元。  虽然苹果现在富可敌国,但是它对供应商的管理却没有体现出大厂应有的负责任的态度。近日,公众环境研究中心、达尔文、自然之友、环友科技、南京绿石等5家民间环保组织再次联合发布了第二份苹果公司供应商环境污染调查报告——《苹果的另一面2—— 污染
无论是在云计算领域,还是在数据中心领域,所有相关厂商组成了一个生态链,可以共同生存和发展。数字化生存也要依赖一个数字生态环境。所谓数字生态环境,就是在一个自发形成的数字结构的基础上,不同的企业可以通过对知识的分享、开发和应用来实现企业自身的变革。导致数字生态环境变化的原因正是整个IT市场的变化以及用户业务需求的变化。  如今,IT消费化已经是一个不争的事实。从以前的PC到现在的智能手机、平板电脑以
国内的山寨电脑市场也曾风生水起,但现在山寨电脑已几乎难以立足。历史总是惊人地相似,无论手机市场还是电脑市场,山寨者始终是在模仿和打法律的擦边球。  —— 专栏作者李易    进入5月,天气一天比一天热。然而对于绝大多数山寨手机从业人员来说,这个春天并不温暖,甚至比他们想象的更冷。  深圳华强北商圈依然繁华,但各大电子商城里“柜台转让”的牌子却十分扎眼——这在以前是无法想象的。据不完全统计,截至4月
301医院的膳食系统基于HL7与HIS进行膳食医嘱的传递,广州基于HL7的区域卫生信息平台覆盖700万人口……  尽管HL7在美国已经得到广泛应用,尽管多年来国内的HL7应用依然星星点点,但是它正在逐渐地获得更多人的认可。毕竟,标准是区域医疗、双向转诊等一系列需要医疗信息交互落地的关键。  9月,HL7国际委员会(Health Level Seven International)宣布决定免费开放H
随着计算机技术的飞速发展,人机交互的方式发生了极大变化。对此,中国长城计算机深圳股份有限公司电脑事业部销售中心总经理杨荣生认为:“未来计算机的发展将出现四大趋势,即移动化、平板化、智能化、3D化,未来的产品甚至可以通过感应人眼的聚焦、思维来进行人机交互。这些变化渐渐被人们感知,并变成了实实在在的消费需求,激发工业设计不断创新,以满足消费者的需求。”  工业设计是将技术转化为产品并且实现商业价值的有
开设1000多家商用体验中心,新建1000家售后服务店,成都的第二运营中心要投入运营,继续推进服务转型。戴尔的2011年计划让人实实在在地感受到了与以往的不同。  面对记者的采访,戴尔全球副总裁兼大中华区总裁杨超一如既往地显得非常沉稳,但表面的沉稳之下却难掩他心中的喜悦之情。  “大家都看到我们发布的业绩了,它说明我们一年前开始的战略转型非常成功,我们已经回到了快速增长的路上。”杨超感慨地表示,“
“会员糖***旗舰店因参加活动后无法履行发货承诺,已被列入黑名单;会员淘宝小超市,因报名聚划算商品严重违反‘货不对板’规则,被永久列入聚划算黑名单,聚划算不再与其进行任何合作……”近日,淘宝网旗下的团购平台聚划算发布了一长串违反聚划算相关规则的商户名单,备受关注。淘宝网用户纷纷跟帖,或表示支持,或投诉商家,或提出建议。    一长串黑名单    “那些违反淘宝网及聚划算规则,违反商家诚信原则的商户