觀點

你的上網行為安全嗎?

2011 / 05 / 03
CRANE
你的上網行為安全嗎?

上網安全這是個很大的議題,尤其在電子郵件的用戶端程式Web化後,網友只要以瀏覽器就能完成所有事情,不過還是有部分網友習慣使用特定的收信軟體,如Outlook等,主要原因還是用於同步周邊裝置,如早期的PDA、智慧型手機等。但,大部分的網友,多半只要有瀏覽器就可以完成上網作業以及所需工作。

 

當使用者對瀏覽器的依賴持續加深,成為不可或缺的工具,相對的,對瀏覽器的操作使用就必須更加深入了解才行,善用工具、正確使用、建立防護觀念,將會是網友持續努力的一個課題。以下將針對SSL(Secure Sockets Layer)Active XCookie/Session身份管控、短網址部分做說明。

 

SSL加密  不等於安全

SSL是一種加密技術,主要功能為網路的傳輸加密,指瀏覽器與網站會使用加密技術傳遞資料,避免他人在中間竊取網路封包,窺探網友所瀏覽網頁內容的相關資訊;一般實作多為https方式,也就是說瀏覽網站的網址開頭會是https://xxx.xxx/,但要注意的是並非https開頭,就表示有加密,必須要多識別一個安全鎖圖示。

 

安全鎖圖案在各瀏覽器呈現的位置會不太一樣,且一定要出現在該出現的位置才正確。不過,問題又來了,誰知道這個圖案應該出現在哪裡?很抱歉這是網路生存的基本技巧,只要網路使用者,你就必須了解,就跟吃飯一樣。

 

很多網站會把https與網站安全劃上等號,這是網路誤解。這不能怪網友,很多網站是刻意把等號劃上,詳細原因就不多說,但是,網路使用者一定要知道, https只保障瀏覽器與網站之間的網路傳輸安全;另外還有端點的問題,也就是說,網站主機或瀏覽器主機還是可能遭駭客植入惡意程式,進而遭受攻擊。

 

回到先前話題,如何知道HTTPS的加密功能正在運作呢?不同瀏覽器「安全鎖」的圖案該出現在哪裡呢?你可以試著以瀏覽器連結下列網址:https://encrypted.google.com/,找到安全鎖的圖案。

 

在了解安全鎖圖案的位置之後,接下來就是要確定這些安全鎖經得起考驗,這也是驗證圖示正確性的方式,只要點擊這些安全鎖圖案,去查詢所謂憑證的內容就可以。

 

憑證內容包含許多資訊,其中詳細資訊一欄,包含加密使用的相關技術,這關係著駭客是否有機會破密的可能性,至於發給的網域(有些的瀏覽器會用網站),則須與瀏覽器瀏覽的網域(或稱網址名稱)要契合,且這個網站的網址是沒有問題的(確實是你要瀏覽的網站)。在瀏覽過程中,看到安全鎖圖案正常的運作,就表示網路通訊處於加密保護的狀態。

 

了解以上資訊後,接下來就是了解其應用,你必須了解何謂全程加密與登入加密,簡單的說,全程加密是自帳號登入開始,到帳號登出的過程都是在加密的狀態;而登入加密只有在帳號登入的動作進行加密。所以登入加密只保護了使用者帳號密碼,全程加密保護了更多資料內容。

 

 

你認為,使用網路銀行時,應該是全程加密還是登入加密?另外,在使用網頁存取電子郵件時,是全程加密還是登入加密?Gmail2010年初就已經使用全程加密,Hotmail201011月出也推出全程加密功能,不過,還需要使用者手動開啟才可以;Yahoo信箱目前只有登入加密的功能。對於瀏覽者經常使用的電子郵件信箱,提供哪些保護,也是網友應該去加以了解的。

 

小心!Active X暗藏惡意程式

Active XIE瀏覽器上很特別的一個功能,也僅能在IE瀏覽器上使用,其他瀏覽器如FireFoxChrome等,並未支援Active X功能。

 

首先,你一定得要看看微軟對Active X的說明:「在電腦上安裝 ActiveX 控制項是否安全?」說明網址為:http://www.microsoft.com/taiwan/protect/yourself/downloads/activex.mspx

 

Active X 翻譯成中文,很多人用附加元件的名稱,但要注意,FireFox也有所謂的附加元件,不過英文是Add-on,其兩者在功能與作用上很類似,但實際上是不一樣的,所以,還是以英文來稱呼,比較不容易搞混。至於Chrome也有類似的功能,稱為Google Chrome ExtensionsGoogle瀏覽器擴充功能)

 

這些所謂的套件或元件並不能跨瀏覽器使用,目前FireFoxChrome的附加元件或擴充功能,有進行一些控管機制,但是也要注意,若使用到惡意的附加元件或擴充功能,很可能導致瀏覽器異常。建議由下列網址抓取附加元件或擴充功能會比較安全,FireFoxhttps://addons.mozilla.org/Chromehttps://chrome.google.com/extensions,至於Active X就沒有統一的管控機制,因此也比較容易被利用,這也是對此特別說明的原因。

 

IE版本不同,Active X出現畫面也不同,舊IE版本可能出現的畫面,容易令很多瀏覽者有誤解,以為可以提高瀏覽的安全性,所以閉著眼睛點擊,這是不對的;話又說回來,這畫面跟Active X看起來一點關係也沒有,難怪使用者會誤會。若出現Active X畫面,它代表「目前瀏覽的網站,要在瀏覽器(IE)上安裝附加元件,你是否同意?」小心,這個動作有相當程度的危險性。

 

早期很多惡意程式都會利用Active X方式,安裝到使用者的電腦中,導致首頁被綁架或不斷跳出廣告視窗等,都是因為這個原因。究竟,何時該點「是」?何時又該點「否」?一個很重要的觀念是,你是否信任目前瀏覽的網站,如果有疑慮就應該避免點擊是或同意的選項。

 

以目前來說,瀏覽網際網路很多時候取決於你是否信任該網站,很多端點防護軟體或資安設備都類似這樣的觀念在運作,像網站信譽評等軟體(WRS, Web Reputation Services)的運作就幾乎一模一樣,而這將會是你在建立上網警覺性上,很重要的一個基礎觀念。

 

 

假設,你目前正在瀏覽網路銀行或WebATM網頁,這些網站的運作也都會使用到Active X元件,在確認你瀏覽的網站確實是銀行的網址,並非釣魚網頁,及安裝Active X元件後,就能正常使用網路銀行或WebATM功能。

 

但若你正在瀏覽賭博或色情網站,網頁出現需要安裝Active X元件的訊息,這時若還要進行安裝動作,你的風險相對會增加很多,很可能因此安裝到惡意的元件,導致瀏覽器的異常發生。

 

對於各瀏覽器的附加元件,網友都要小心安裝使用,這就跟目前很流行的APP概念類似,像是iPhoneAPPFackbookAPP,倘若不小心使用遭惡意利用的APP就麻煩了。

 

忽略Cookie/Session  身份冒用/濫用風險高

這個議題很嚴重,但卻沒人注意問題的嚴重性。目前主流的瀏覽器都有所謂Tab功能,IE稱為索引標籤、Chrome & FireFox稱為分頁、Safari還用到兩個名稱索引標籤與標籤頁。

 

要特別注意,目前這些新版瀏覽器,只要是同類瀏覽器,不管你開啟幾個視窗或幾個Tab,預設來說都會擁有相同的Cookie/Session身份,因為對於系統來說,預設它們都處於一個相同的Process上。這跟早期的瀏覽器運作很不一樣,早期一個瀏覽器視窗會有獨立的Process,因此,Cookie/Session身份很容易切割,而這會帶來甚麼問題?

 

如果我們先在一個Tab登入MSN,又另外開啟一個Tab登入 FB,之後再點擊FB的尋友工具,會有甚麼結果呢?答案是,FB會自動到把MSN的好友清單,匯出到FB的邀請朋友清單中,進行邀請朋友的動作,過程中並不需要輸入MSN的帳號密碼。問題就來了,你知道你目前正以哪一個身份瀏覽該網站嗎?這也是網友該了解的一個基本觀念,否則,無法確保身份遭到冒用或濫用。

 

如果要在同一瀏覽器下切割視窗或Tab使用不同身份,只要在Google搜尋關鍵字:多重帳號同時登入,就可以找到一些方法,已經有很多網友提供意見,其中最方便使用的是FireFoxCookiePie套件,可以用Tab來切割;在此分享自身對FireFoxCookiePie套件使用經驗。

 

此套件在部分網站上會導致驗證不過的問題,或導致一些瀏覽瑕疵。所以筆者是倒過來使用的,也就是說看到 CookiePie運作時,該瀏覽過程是沒有Cookie/Session身份在瀏覽器的Tab中,如下圖7,先開啟空白的Tab,再開啟CookiePie運作,使該Tab沒有Cookie/Session身份在其中。

 

另外一個比較簡單的方法是,在IE的啟動捷徑上加入參數"-nomerge ",這樣Cookie/Session身份可以限制在同一個IE視窗,還有一個更簡單的方式,就是在不改預設狀況下,使用不同瀏覽器來切割,但筆者相信這方式應該無法滿足絕大多數的網友。現今來說,瀏覽器一開,登入五、六個帳號以上大概是基本動作了,而這兩年社群網站的興起,提供推、讚、噗、分享等互動機制,更增加許多網站的彼此互動性,這些動作都與Cookie/Session身份有莫大的關係。當然,大部分的網站是不會惡意利用,但,遇到釣魚網站或惡意網站,可能結果就不會如網友預期的結果。

 

 

邪惡的短網址

如果不知道短網址是什麼意思的讀者,可以先到Google網站搜尋關鍵字:短網址」,或者查詢維基百科(Wiki)也可以,目前,常見短網址服務的網域有:http://tinyurl.com/http://0rz.tw/http://0rz.com/http://ppt.cc/http://goo.gl/http://bit.ly/

 

短網址在網路上使用越來越廣泛,就連Google也加入短網址服務,這類短網址還有很多並沒有在清單中。絕大部分的短網址有個特色,域名很短且域名之後由一串固定長度的英數字組成,對於短網址必須具有基本識別能力。對於網站中出現的短網址也必須加以注意,因為,它很容易被利用,做為隱藏惡意連結或惡意網域之用。

 

筆者矛盾的是OWASP Top 10 for 2010中,A10: Unvalidated Redirects and Forwards(未驗證的轉址與轉送),與短網址不是有異曲同工之妙。連短網址都大刺刺地提供服務了,相較之下,Unvalidated Redirects and Forwards的問題實在沒啥大不了的。話說回來,把這兩個搭在一起再做點變形,其實還蠻好玩的,可以更隱密的隱藏惡意連結。

 

對於網站上短網址的出現,需加以留意。若出現在即時通訊,如:MSNYahoo MessengerGoogle TalkSkype等,那就該更加小心。因為,你不知它會連結到哪個網頁上。

 

結論

對於企業用戶而言,日常運作裡一定少不了瀏覽器,然而,無論是存取內部網站或外部網頁,端點安全一直都是企業難以健全防護的地方。很多時候不需要高深的技術,只需要一個完美策劃的劇本,就能對企業造成威脅,如何避免惡意網頁的滲透,著實考驗企業用戶的智慧,也因此,如何修正使用者上網觀念成為企業資安重要課題,希望此篇文章,可以為IT人員在推廣使用者教育訓練上,提供一些參考方向與觀念內容,強化使用者上網的觀念。

 

附表、其他常見網路攻擊手法:

n          網頁掛馬手法

n          魚叉式網路釣魚

n          關鍵字查詢利用(SEO Poison)

n          惡意程式的下載與執行

n          網路個人資料外洩

n          金融交易資料外洩

n          網路交易詐騙

n          詐騙網站、郵件

n          偽防毒網站(流氓軟體)

n          人肉搜尋

n          社群網站的個資

n          不當網路留言、不當上傳影音照片

n          內部機敏資料的外洩