如果把一封信鎖在保險柜中,把保險柜藏在紐約的某個地方……,然后告訴你去看這封信,這并不是安全,而是隱藏。相反,如果把一封信鎖在保險柜中,然后把保險柜及其設計規范和許多同樣的保險柜給你,以便你和世界上最好的開保險柜的專家能夠研究鎖的裝置,而你還是無法打開保險柜去讀這封信,這才是安全的概念。
— Burce Schneier(《應用密碼學:協議、算法與C源程序》作者)
伴隨著計算機和互聯網的普及,越來越多的人習慣于把他們的私密數據保存在他們的個人電腦中。于是,越來越多的網絡罪犯開始把他們的目光落在了采用計算機技術從網絡中的計算機系統中獲取他們感興趣的私密數據。這些私密數據的涵蓋面很廣,比如私人(商業)電子信函、各類金融系統的帳號和密碼、私人照片、商業合同等。只要是能夠引起網絡罪犯的興趣或給他們帶來經濟利益的私密數據,都有可能會成為他們竊取的對象。
根據多年對網絡犯罪行為的研究顯示,目前至少有3種不同的方法被網絡罪犯用于從一臺計算機上盜取私密數據。要想讀到一個人保險箱中的私密信件,最快捷也是最直接的辦法當然是找到這個人,然后使用各種手段讓他說出他的信件內容或者保險箱的密碼。于是,有了第一種盜取私密數據的方法。計算機用戶會通過各種渠道(郵件、即時通訊工具等)收到一些仿冒的(貌似真的)提示,這些提示要求他們告知某些私密信息,于是一些計算機用戶便自愿地將這些信息說了出來。比如說,收到一封郵件,郵件正文中寫著“我們是XX銀行。您在我銀行辦理的信用卡有效期將至,為保證您能夠繼續使用該信用卡,請登陸我們的網上銀行進行有效期延長。”接下來,就是那個銀行的網上銀行鏈接。在用戶點擊鏈接后,就會登陸到一個與某真實銀行的網站風格非常相似(甚至是完全一樣)的網站,在這個網站上要求用戶輸入信用卡帳號和密碼以進行延期。——這就是非常典型的一個例子。采用這種方法騙取用戶私密數據的網絡罪犯,都是利用了人們對大公司、知名企業的強烈信任,假冒這些企業的名義進行詐騙。我們把這種方法叫做“網絡釣魚”。
第二種盜取私密數據的方法,是通過跟蹤和記錄用戶在計算機上的操作來進行的。這一類方法都是通過木馬程序來實現的,卡巴斯基將使用這種方法盜取私密數據的木馬程序命名為:Trojan-Spy。這一類木馬程序的典型代表就是“鍵盤記錄器” ——隨時監控用戶的操作,一旦發現用戶準備輸入某些私密數據時,就開始記錄用戶通過鍵盤輸入的每一個字符(甚至還配合截屏),并將這些字符和圖片保存起來,定期發送給網絡罪犯。
第三種盜取私密數據的方法,是通過搜索用戶計算機上的私密數據來實現的。正像我們在前面講到過的一樣,當前有越來越多的用戶喜歡在計算機上保存他們的私密數據(包括各種帳號、密碼、私人信件和照片、商業信函與合同等)。第三種方法就是搜索這一類私密數據,然后將它們保存、加密,并定期發送給網絡罪犯。微軟的Windows操作系統中有一個“Windows 保護存儲區”,用戶通過選擇使用,可以將很多人為私密的數據保存在這個區域中。如下圖:
 |
| 圖1 |
如果用戶選擇了讓Windows記住密碼,那么Windows將會把帳號和密碼保存在“Windows 保護存儲區”中。本來這個設計的初衷是好的,能夠省去很多用戶記憶、輸入密碼的麻煩,方便了用戶使用。但是,這樣一來,也方便了網絡罪犯,他們能夠很輕易地從這個區域中獲取大量的用戶私密數據。
俗話說,魔高一尺,道高一丈。既然網絡罪犯有很多的方法來盜取用戶的私密數據,那么反病毒軟件(或者說信息安全)廠商又有什么好的方法來防御這些非法的盜取行為呢?
目前,有不少的信息安全廠商都有了私密數據保護的功能,該功能一般被稱作“隱私控制”,所使用的方法主要有兩種。一種方法,就是讓用戶先將需要保密的私密數據輸入程序中的一個表格,由程序將其保存下來。然后程序會實時分析用戶的網絡流量,一旦在網絡流量中發現了跟用戶之前輸入的私密數據相匹配的數據時,就會提示用戶。這種方法看似簡單可行,但是它一個致命的缺陷。那就是,現在越來越多的網絡罪犯在傳輸他們收集到的私密數據時,都是以加密的形式進行的,并且也有越來越多的網站開始使用SSL加密傳輸技術。對于這種經過加密的網絡數據流,反病毒程序是沒有辦法對其進行分析的,更不要說從其中發現用戶預先輸入的私密數據。
另一種方法,就是對系統內的程序行為進行分析,一旦發現它們有搜索特定文件、或是訪問“Windows 保護存儲區”并試圖從其中竊取數據或者試圖以靜默方式發送數據(為了繞過用戶本地安裝的防火墻,很多網絡罪犯會使用互聯網瀏覽器的COM, OLE, DDE等接口對瀏覽器的進程進行調用,從而實現躲避防火墻監控,將私密數據傳送出去的目的。)時,就給用戶以提示。這種從行為上對試圖盜取私密數據的網絡犯罪行為進行防范的方法,更為可行。目前,在卡巴斯基的7.0單機版產品中,就是使用的這一種方法。如下圖所示,
 |
| 圖2 |
總的說來,要保護用戶的私密數據不被盜取,一方面要靠信息安全廠商提供更好的安全保護功能。另一方面,也要用戶自身提高警惕,管理好自己的私密數據。
