2011年11月28日 星期一
2011年11月22日 星期二
2011年11月21日 星期一
釣魚網站
釣魚式攻擊(Phishing,與釣魚的英語fishing發音一樣,又名「網釣法」或「網路網釣」,以下簡稱網釣)是一種企圖從電子通訊中,透過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感資訊的犯罪詐騙過程。這些通訊都聲稱(自己)來自於風行的社交網站(YouTube、Facebook、MySpace)、拍賣網站(eBay)、網路銀行、電子支付網站(PayPal)、或網路管理者(雅虎、網際網路服務提供者、公司機關),以此來誘騙受害人的輕信。網釣通常是透過e-mail或者即時通訊進行。它常常導引用戶到URL與介面外觀與真正網站幾無二致的假冒網站輸入個人資料。就算使用強式加密的SSL伺服器認證,要偵測網站是否仿冒實際上仍很困難。網釣是一種利用社會工程技術來愚弄用戶的實例。它憑恃的是現行網路安全技術的低親和度。種種對抗日漸增多網釣案例的嘗試涵蓋立法層面、用戶培訓層面、宣傳層面、與技術保全措施層面。
網釣技術:
鏈接操控:
大多數的網釣方法使用某種形式的技術欺騙,旨在使一個位於一封電子郵件中的鏈接(和其連到的欺騙性網站)似乎屬於真正合法的組織。拼寫錯誤的網址或使用子網域是網釣所使用的常見伎倆。另一種常見的伎倆是使錨文字鏈接似乎是合法的,實際上連結導引到網釣攻擊站點。
過濾器規避
網釣者使用圖像代替文字,使反網釣過濾器更難偵測網釣電子郵件中常用的文字。
網站偽造:
一旦受害者訪問網釣網站,欺騙並沒有到此結束。一些網釣詐騙使用JavaScript命令以改變位址欄。這由放一個合法網址的網址欄圖片以蓋住位址欄,或者關閉原來的網址欄並重開一個新的合法的URL達成。
攻擊者甚至可以利用在信譽卓著網站自己的腳本漏洞對付受害者。這一類型攻擊(也稱為跨網站指令碼)的問題尤其特別嚴重,因為它們導參照戶直接在他們自己的銀行或服務的網頁登入,在這裡從網路位址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。
電話網釣:
並非所有的網釣攻擊都需要個假網站。聲稱是從銀行打來的訊息告訴用戶撥打某支電話號碼以解決其銀行帳戶的問題。一旦電話號碼(網釣者擁有這支電話,並由IP電話服務提供)被撥通,該系統便提示用戶鍵入他們的賬號和密碼。話釣 (Vishing,得名自英文Voice Phishing,亦即語音網釣)有時使用假冒來電ID顯示,使外觀類似於來自一個值得信賴的組織。
防火牆
在電腦運算領域中,防火牆(英文:firewall)是一項協助確保資訊安全的裝置,會依照特定的規則,允許或是限制傳輸的資料通過。防火牆可能是一台專屬的硬體或是架設在一般硬體上的一套軟體。
功能:
防火牆最基本的功能就是隔離網路,透過將網路劃分成不同的區域(通常情況下稱為ZONE),制定出不同區域之間的存取控制策略來控制不同任程度區域間傳送的資料流。例如網際網路是不可信任的區域,而企業網路絡是高度信任的區域。以避免安全策略中禁止的一些通訊。它有控制資訊基本的任務在不同信任的區域。 典型信任的區域包括網際網路(一個沒有信任的區域) 和一個企業網路絡(一個高信任的區域) 。 最終標的是提供受控連通性在不同水平的信任區域透過安全政策的執行和連通性模型之間根據最少特權原則。
防火牆類型:
網路層防火牆
網路層防火牆可視為一種 IP 封包過濾器,運作在底層的TCP/IP協定堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改,不過某些防火牆設備可能只能套用內建的規則。
應用層防火牆
防火牆的視察軟體介面範例,紀錄IP進出情況與對應事件
應用層防火牆是在TCP/IP堆疊的「應用層」上運作,使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
代理服務
代理服務(Proxy)設備(可能是一台專屬的硬體,或只是普通電腦上的一套軟體)也能像應用程式一樣回應輸入封包(例如連線要求),同時封鎖其他的封包,達到類似於防火牆的效果。
缺點:
正常狀況下,所有網際網路的封包軟體都應經過防火牆的過濾,這將造成網路交通的瓶頸,例如在攻擊性封包出現時,攻擊者會不時寄出封包,讓防火牆疲於過濾封包,而使一些合法封包軟體,亦無法正常進出防火牆。
防火牆雖然可以過濾網際網路的封包,但卻無法過濾內部網路的封包,因此若有人從內部網路攻擊時,防火牆是毫無用武之地的。而電腦本身作業系統,亦可能一些系統漏洞,使入侵者可以利用這些系統漏洞來繞過防火牆的過濾,進而入侵電腦。防火牆無法有效阻擋病毒的攻擊,尤其是隱藏在資料中的病毒。
電子郵件
電子郵件(E-mail,又稱電子函件)是指透過網際網路進行書寫、發送和接收的信件。電子郵件是網際網路上最受歡迎且最常用到的功能之一。
早期的電子郵件大多是文字格式,其他檔案只能以附件的方式發送。隨著技術的發展,電子郵件中已經可以包含各種照片,視訊等多媒體檔案。郵件的發送可以是個人之間的通訊,也可以是個人到電腦或電腦到個人,甚至電腦程式之間也可以通訊。
安全:
安全考量包括傳輸安全、儲存安全、發送者身份確認、接收者已收到確認、拒絕服務攻擊等。
傳輸安全:
電郵軟體(範例Balsa)一個電郵軟體至少必須包含撰寫收件者位址和內容的功能,並能在選項中紀錄發件者位址與要用的郵件伺服。
傳輸過程可能被竊聽。為了應付這情況,有兩種解決方法:
使用SSL連線,當前的兩種郵件接受協議和一種郵件發送協議都支援安全的伺服器連線。在大多數流行的電子郵件用戶端程式裡面都整合了對SSL的支援。
將郵件加密之後,用普通連線傳輸。比如由GnuPG等加密軟體在寄送前加密,Outlook也可以。
儲存安全:
對已加密的郵件,可以選擇不保存解密後的郵件。已加密的郵件是指發送者在發送之前對郵件本身進行加密,不是指加密傳輸。如果郵件本身已加密,則沒有必要進行加密傳輸。對非加密的郵件(指發送者在發送之前沒有對郵件本身進行加密,至於是否使用加密傳輸是另一回事),郵件的儲存安全就如同於其他檔案的儲存安全一樣,重點在於防範非授權使用。當然,就如同可以對一般檔案進行加密一樣,也可以對這些非加密的郵件在收到後進行加密。
接收者已收到確認:
接收者可能抵賴說他/她沒有收到電子郵件。為了應付這情況,出現了不同的解決方法,但是目前還沒有一套普遍被採納的方案。微軟公司的Microsoft Exchange Server就提供Delivery Receipt。因為是機器發的「接收者已收到確認」,所以接收者可能有意或無意地刪除了郵件。
拒絕服務攻擊:
為了妨礙某一使用者使用電子郵件(比如不讓她/他收到電子郵件),拒絕服務攻擊指往被攻擊的使用者的郵箱發送大量的垃圾郵件,將郵箱塞滿。這樣被攻擊的使用者就無法收到那些有用的電子郵件了。這種安全顧慮目前相當程度已被解決。一是郵箱不斷增大,另一原因是郵件服務提供商都提供了一些的過濾措施。過濾措施有時也會把有用的電子郵件當成垃圾郵件。現已有一部分郵件服務供應商使用替身郵,防止外界對郵件帳戶進行跟蹤。
訂閱:
意見 (Atom)