黑客和病毒-PPT教学课件_00005.pptVIP

黑客攻击与防范 第13章 攻击因特网用户 　　“攻击因特网用户”已经发展成为一个日益壮大的“新兴行业”。全世界的黑客软件作者、垃圾邮件制造者以及不同动机的“时髦软件”传播者把人类古老的欺骗技术和复杂先进的IT技术结合在一起向网络社会的居民们发动了一波又一波的攻击，而相当一部分网民根本没有意识到自己心爱的浏览器、电子邮件和个人通信软件正是网络恶棍闯进自己家庭和办公室的大门和窗户。这一章简要介绍最近发现的一些因特网客户软件的重大安防漏洞，然后再讨论网络欺诈、间谍软件和Windows rootkit等问题。 13.1 因特网客户软件常见安防漏洞 在针对因特网最终用户的各类攻击技术中，软件安防漏洞是最危险的，只是因为他们通常可以让攻击者在受害者毫无察觉的情况下完成他们的罪恶勾当。 13.1.1 因特网客户软件攻击技术简史 因特网最初只是一种静态的文档媒体，而现如今的网上到处都是动态的多媒体内容。在技术领域有这样一句名言：一种技术提供的功能越多或是复杂性越高，它的安全性就越差，这句话正是因特网的真实写照。几年来针对因特网客户端口软件的重大攻事件以及遭到攻击最多，最明显的IT技术如下： Microsoft ActiveX 　　ActiveX是微软公司为了开发可移植性强、可远程调用的软件应用程序而提出的一种程序设计模型。ActiveX程序被称为“控件”，不同的控件可以完成不同的功能。可以把ActiveX控件嵌入一个网页以提供相应的功能，就像我们可以利用OLE技术把Excel电子表格嵌入到Word文档里那样。 　　ActiveX控件的文件后缀名为.ocx最为多见。可以用OBJECT标记把它们嵌入到网页里，当浏览到一个嵌有ActiveX控件的网页时，Internet Explorer浏览器会通过本地系统的注册表去检查你的机器是否已下载过这些控件。如果是，IE将显示这个网页，把制定的ActiveX控件加载到浏览器的内存空间并执行其代码。如果某个ActiveX控件还没有被安装到你的本地机器里，IE将按照OBJECT标记给出的地址去下载和安装ActiveX控件代码，然后检查这段代码的Authenticode（防伪代码）已确定其编写者或来源并执行之。 ActiveX的安全模型：Authenticode 　　按照上面介绍的这个模型，别有用心的程序员可以编写出能在最终用户的机器上按照他们的想法作任何事情的ActiveX控件。Authenticode验证机制可以在一定程度上阻止这种事情的发生。Authenticode机制允许程序员用几种加密算法来给他们的代码加上“签名”，这个签名可以在有关代码被执行之前由IE和某个第三方加以验证。 　　在1996年，一位名叫Fred McLain的程序员编写出了一个能够让最终用户的系统自动关机的ActiveX控件。并为它申请了一个合法的VeriSign签名，然后把它发布在自己的网站上。展示了上述机制的安防漏洞。 ActiveX机制中的“可安全地用来编写脚本”漏洞 　　ActiveX重大安全挑战是被人们称为“可安全地编写脚本”的问题。例：只要他们的控件里对“Safe-for-scripting”标志进行置位，程序员就可以绕过正常的Authenticode签名检查步骤。在IE4和它之前的版本里就有两个这样的不安全控件，他们的文件名是Scriptlet.typelib和Eyedog.OCX，它们都对“Safe-for-scripting”标志进行了置位，所以IE在执行他们时根本不会向用户给出任何警告。 Java 　　类似于ActiveX的情况，Sun Microsystem公司的Java编程模型也是为了开发出可移植性强、可远程调用的软件应用程序而创建的。Java与ActiveX的主要差异是它使用了一个安全的“沙箱”环境来防止犯错误的程序导致诸如缓冲区溢出之类的安防漏洞。理论上讲，恶意代码要想绕过Java语言中的这些安防检查机制是非常困难的。 　　2004年11月，因特网安全问题研究员Jouko Pynnonen在Sun公司的Java插件里发现了一个严重的安防漏洞，攻击者可以利用这个漏洞通过浏览器运行Java插件程序。这个漏洞允许恶意网页关闭Java的安防限制并冲出Java“沙箱”，这等于是完全摧毁了Java平台的安防机制，这意味着攻击者可以通过一个Web浏览器发动跨平台的攻击。 13.1.2　JavaScript和ActiveScriping 　　JavaScript最早叫做“LiveScripting”，他实际上却是由Netscape Communications公司在20世纪90年代中期推出的与Java毫无关系的脚本语言。JavaScript目前仍是当今最为流行的Web客户端脚本设计语言之一。