|
文檔維護:tombkeeper[Base64Decode("dG9tYmtlZXBlckB4Zm9jdXMub3Jn")]
文檔出處:http://hi.baidu.com/tombkeeper
文檔創(chuàng)建:2007年02月10日
最后更改:2007年02月10日
支付寶漏洞事件出現(xiàn)后����,我看到了很多網(wǎng)友對這件事情的評論�����??戳诉@些評論��,我明白了一件事情:雖然誰都不希望自己
成為病毒木馬的受害者��,誰都不希望自己的QQ號被偷走�����,不希望自己網(wǎng)游里的裝備消失��,不希望自己銀行里的存款消失����,不希望自己的聊天記錄被人竊取,不希望
自己的私生活被別人通過攝像頭窺探甚至公布到互聯(lián)網(wǎng)上成為“真人秀”��,但是���,很多人并不明白上面這些到底是怎么發(fā)生的����,不明白安全漏洞意味著什么�,不知道
安全漏洞和自己有什么關(guān)系。所以我覺得有必要寫這樣一篇科普文章�����,作為《支付寶控件漏洞——到底是誰在撒謊����?》一文的補充。
大多數(shù)人對自己所使用的計算機并不了解——當然��,這并不重要�,大多數(shù)人也不知道是電子躍遷讓燈泡發(fā)光。但是人們都知道電的危險�,都知道如何安全用電。而知道計算機安全知識的人就少而又少了��。
很多人都認為《地心末日》是一部爛片�,不過其中有一段對白的確很有意思:
H:你能說多少種語言?
A:5種�。
H:是嗎?我只會一種���。一����、零、一�����、零�、零。就靠這個��,我可以竊取你的金錢����,你的秘密,你的性取向���,甚至你的一生��。只要我想����,不論何時何地都能做到�����。我們的力量是你所無法想象的。即使我努力���,也無法做到象你那么遲鈍的思考���。
上面說的略顯夸張�,卻基本屬實?����?上Ш芏嗳瞬⒉恢肋@種危險���,就像很多人都不知道牛皮癬和白癜風其實都不傳染一樣��。
我是學醫(yī)出身���,以前經(jīng)常給病人家屬發(fā)健康宣傳冊。也希望自己寫的這些文章能起到健康宣傳冊的作用�。
1、安全漏洞是怎么回事��?木馬是怎么回事?
從理論上說�,安全漏洞就是軟件中存在的意外功能分枝,通過安全漏洞���,可以讓軟件做軟件設(shè)計人員意想不到的事情�����。譬如Windows 2000里的mrinfo程序��,原本是一個網(wǎng)絡小工具��,但是由于存在溢出�����,所以我們可以利用它來鎖屏�,或者其它任何事:
http://blog./index.php?op=ViewArticle&articleId=1772&blogId=9
支付寶控件原本的設(shè)計功能是加密通信���,保護用戶的通信安全����,但是由于存在安全漏洞,也可以被利用來執(zhí)行任何功能���,譬如運行一個盜取銀行賬號的木馬��。
“木馬”是特洛伊木馬的簡稱����,英文是Trojan Horse����。有興趣可以翻翻希臘神話中特洛伊戰(zhàn)爭這一段。現(xiàn)在我們通常用“木馬”這個詞來指那些不懷好意的軟件�����。譬如那些盜號程序���、后門程序等等。
木馬要想在用戶的計算機上運行��,一個主要的手段就是利用安全漏洞���。
通俗地說�,有安全漏洞的軟件就好比窗戶上沒插銷的房子,而木馬就好比小偷���。如果你裝了一扇沒有插銷的窗戶�����,小偷就很容易進來��。
2��、支付寶控件現(xiàn)在到底有沒有漏洞�,安不安全����?
1.0.0.7版,也就是2007年2月8日之前安裝的支付寶控件是有漏洞的�,不安全的,可以被人利用來控制你的系統(tǒng)的�。
而2007年2月8日支付寶升級了控件,修復了上述漏洞�。如果你不能確定自己的支付寶是否升級到了最新,請下載安裝這個最新版本:
http://img.alipay.com/download/1009/aliedit.exe
3�、支付寶控件漏洞對我有什么影響?是不是用支付寶有危險��?
舉個例子,就在剛才��,就在我寫這篇文章的過程中�,一個朋友找到我,說他的網(wǎng)站被“掛馬”了���,讓我?guī)椭宄?/p>
所謂“掛馬”����,就是入侵網(wǎng)站�����,修改網(wǎng)站的頁面����,在頁面里放置惡意代碼�����。凡是訪問了該網(wǎng)站的用戶�����,就可能被安裝上木馬。這種可以入侵網(wǎng)站訪問者的惡意代碼通常就是利用了某種漏洞�����。譬如����,剛才清除的這個“掛馬”利用的就是微軟新出的VML控件漏洞��。漏洞類型和支付寶控件漏洞是一樣的�����。如果你的機器存在這個VML漏洞�,那么就會被這個“掛馬”裝上灰鴿子后門、網(wǎng)游盜號工具等等一堆的木馬����。
只要你的機器有VML控件漏洞,那么只要訪問了這種“掛馬”的網(wǎng)站就被被入侵��,而不論這個“掛馬”的網(wǎng)站是微軟的���,還是新浪的�����。
同樣道理�,只要安裝了有漏洞的控件�����,不管你用不用支付寶���,是否登陸支付寶���,都會受到漏洞的威脅。因為任何網(wǎng)頁都可以通過放置特殊的代碼來調(diào)用這個控件�。但是用支付寶服務本身反而并不會有危險——因為我相信支付寶網(wǎng)站本身并不會包含這種惡意代碼����。
4��、支付寶出了這么嚴重的安全漏洞����,我還應該繼續(xù)用它么?
每個軟件都會有安全漏洞���,上面提到的VML漏洞就是Windows的漏洞���,你是否會因此而不用Windows呢?我也是支付寶用戶����,我會繼續(xù)用下去。
5���、最新版本的支付寶控件是不是就沒有漏洞了���?
可以肯定地說:最新版本的支付寶控件沒有上面提到的這個漏洞���。如果你升級到最新版本的支付寶控件���,就不受這個漏洞的影響。但是任何人都不可能保證某個軟件完全沒有任何漏洞�。不管是軟件作者�����,還是某個權(quán)威機構(gòu)�。
我在《支付寶控件漏洞——到底是誰在撒謊�?》提到最新版本支付寶控件仍然存在問題,不過那個只能引起IE崩潰�,不能利用來入侵用戶的電腦。
6���、既然每個軟件都可能有漏洞����,那怎么防止中木馬和病毒呢�?
說實話,這不是幾句話能說清楚的���,甚至我把這篇文章所有的篇幅都用來說這個問題也不行����。
不過有個簡單而又有效的建議:盡量不用IE瀏覽器����,改用firefox或者opera(聲明:我不是firefox或者opera的托兒)。只在必須用IE的時候才用����。譬如登陸網(wǎng)上銀行。還有一點:盡可能不要從國內(nèi)的軟件下載站點下載軟件�����。
7����、病毒木馬我都不怕,裝殺毒軟件不就行了么�?
目前所有殺毒軟件主要的工作原理都是基于特征識別。什么叫特征識別呢��?通俗來說����,就是掌握一份壞人的花名冊,根據(jù)花名冊去找���。如果這個病毒或者木馬剛剛被寫出來��,還沒有“案底”��,不在花名冊上��,殺毒軟件就識別不出來�����。
某些殺毒軟件雖然也有些不依賴于花名冊的高級識別功能�����,但是這種功能并不百分之百可靠����。更何況,現(xiàn)在的病毒木馬作者�,在寫完程序后,都會先用殺毒軟件測試一下��,確認不會被檢測出來才放出去����。
那么殺毒軟件豈不是沒用了么?不是��。各種殺毒軟件就像各種避孕措施一樣,能幫你解決大多數(shù)的麻煩��,但不能指望它百分之百可靠�。
8、那些人為什么要寫木馬�?為什么要利用漏洞“掛馬”��?
是為了錢��。這一點��,我在“木秀于林��,風必摧之”一文中說的很清楚�����,大家看看里面那張圖就明白了:
http://hi.baidu.com/tombkeeper/blog/item/f6576a31e20f0319ebc4af94.htm
9����、你是不是騰訊的托兒?
我在《支付寶控件漏洞——到底是誰在撒謊����?》中
提到“除了騰訊,國內(nèi)的公司我還沒見到幾家愿意誠實地發(fā)布自己產(chǎn)品安全公告的”,于是有人就認為我是騰訊的托兒���。記得魯迅先生當年曾被人誣陷“拿盧布”�,
今天如果有人說我“拿Q幣”其實還真是件挺榮幸的事情�����?��?上也坏珱]有拿�����,而且每個月還給騰訊貢獻10塊錢的會員費�。由于中國人“家丑不可外揚”的傳統(tǒng)���,
能做到“誠實地發(fā)布自己產(chǎn)品安全公告”的企業(yè)在國內(nèi)就真的是鳳毛鱗角����,而騰訊是其中之一�����,這個事實是無法否認的:
http://security.qq.com/affiche/
10、漏洞這么有害�����,為什么要公布�,為什么要發(fā)公告?這不是害人么�����?
這一點是安全研究人員最容易被人誤解的地方��。
漏洞并不因為不公布就不存在�。如果漏洞沒有被一個正直的安全研究人員發(fā)現(xiàn)�,而是被那些“掛馬”的人發(fā)現(xiàn),他們的確不會公布��,他們會偷偷用來往用戶的機器上安裝木馬�����,盜取賬號����。如果真的發(fā)生這種事,無論對支付寶用戶,還是對阿里巴巴�,都是災難性的。
而如果軟件提供者不發(fā)布安全公告而只是偷偷升級����,那么會有很多用戶不知道自己正在用的軟件有問題,而并不去注意自己是否升級了��。
大家可以想象一下如果微軟從不發(fā)布安全公告會是怎樣的情況�����。
這次支付寶控件的漏洞并不是什么太難發(fā)現(xiàn)的問題���,而是非常容易被找出來的���。居然在接近一年的時間里沒有被壞人首先發(fā)現(xiàn)并利用(這一點我并不確定),實在是不幸中的萬幸�。
11、你為什么要寫這些文章���?你和阿里巴巴有仇么�����?是為了出名么��?
完全沒有�。我既是騰訊的用戶,也是支付寶的用戶����。我對阿里巴巴取得的成功十分敬仰,對馬云先生的智慧和商業(yè)才能十分敬佩�。
雖然我是一個民族主義者,但實事求是地說�����,日本人有一大優(yōu)點�,就是人人都有很強的職業(yè)榮譽感���。即使只是一個看鍋爐的��,也會努力做最好的鍋爐工���,并且因為自己的工作讓大家得到了溫暖,會很自豪��。并且不容這種職業(yè)尊嚴受到冒犯。
作為安全研究人員����,我們也有自己的榮譽和尊嚴。這一點��,并不指望所有人都能理解�����。但是我們既沒有去黑站掛馬���,也沒有寫病毒偷賬號�,而是用無數(shù)個不眠
之夜去探索未知���,去幫助完善這個未來大家都會生活在其中CyberSpace���,我們不怕孤獨和默默無聞,但所得到的至少不應該是誣蔑和責難���。雖然阿里巴巴
在這件事情的處理上一直采取不正確的態(tài)度�����,但是如果沒有搞出“專家檢測結(jié)果顯示支付寶安全”那一套�,赤裸裸地向安全研究社區(qū)挑釁,我也許不會用這種激烈的
方式來表達我的態(tài)度�����。
以前看X檔案�,F(xiàn)ox Mulder說的“The truth is out there.”這句話給我留下了十分深刻的印象。也成為我的一個重要
處世原則�。我想,既然我們這些人湊巧懂點技術(shù)�����,那么揭穿那些謊言和偽裝��,讓不明就里的人們看到事實真相���,就是我們的責任和義務,這也是hacker精神中
很重要的一部分�。
所以早在2004年7月20日,我曾經(jīng)署名“2f4f587a80c2dbbd870a46481b2b1882”�����,寫了“誰控制了我們的瀏覽器?”一文(這篇文章流傳甚廣���,用google搜上面這串值就能找到)�����,揭露當時剛剛出現(xiàn)的運營商級別的瀏覽器劫持行為����。(文章末尾有5個MD5�,第一個對應的MyName是hellokitty,MyCount是1999�。)如果為了出名,當時就不會匿名了����。
安全研究的圈子很小,大伙基本上互相都認識��,不存在出名不出名這回事���。如果要在安全圈子之外出名�,最好的辦法是在長安街裸奔����,搞行為藝術(shù)���,保證上新浪首頁。寫這種文章是出不了名的�。
12、什么是黑客�?你說的hacker精神是什么?
就像天主教和洪秀全的“拜上帝會”一樣�����,很多東西到了中國之后都會變味兒����。所以我寧可認為hacker和黑客是兩個意義完全不同的詞,就像我認為Expert和“專家”是兩個完全不同的詞一樣�。
在中國媒體和老百姓的概念里,黑客這個詞指的是那些修改別人主頁的人��,是偷QQ號的人����,是“少年黑客”��,“天才少年黑客”,“17歲天才少年黑客”�����,“碩士黑客”等等這些可笑的�����,充滿噱頭的東西��。
本來“小姐”是個挺好的詞兒���,譬如說“鶯鶯小姐”��、“香港小姐”���,這些都是很美好的事物。后來人們把一些跟“小姐”兩個字完全扯不上關(guān)系的的人也稱
為“小姐”�,漸漸小姐就變味了。以前我們?nèi)ワ埖瓿燥?���,吃完了,就喊“服務員,結(jié)帳”���,后來喊“小姐�,買單”���,而現(xiàn)在又變回了喊“服務員”�。為什么不喊“小
姐”了呢����,因為小姐的詞義變化了。要尊重別人�,不能喊“小姐”。
所以��,要尊重別人�,不能亂喊人黑客。
如果你想知道什么是hacker�,想了解hacker的歷史,我推薦這三份文檔:
http://www./Docs/hacker-howto_2001.html
http://www./docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-sgs-ov.html
http://www./docs/manuals/enterprise/RHEL-4-Manual/zh_cn/security-guide/ch-risk.html
(再次聲明:我不是redhat的托兒��,沒有推銷Red Hat Enterprise Linux的意思�。)
|
