网上银行安全的评估工具

日期: 2010-07-07 作者:Dave Shackleford翻译:Sean 来源:TechTarget中国 英文

最近,根据公开的报告,五名窃贼被指控从美国加州卡森市的银行账户中偷窃了45万美元。 2007年,他们成功地在该市财政局长的笔记本电脑中植入了变种的Talex银行木马,并截获了数字证书和账户信息。遗憾的是,这并不是一起孤立事件。许多小企业和市政当局的电脑都正在被复杂的以银行账户和银行数字证书为目标的恶意软件感染,如Zeus、Clampi和Silon等木马。

此类银行木马大多数是通过修改网页、插入新的对话框、篡改Cookie等手段感染用户的浏览器,比传统的中间人(man-in-the-middle)攻击更有威胁。为了应对这些威胁,许多商业和自由软件应运而生,确保用户能方便安全地连接到网上银行。让我们……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

最近,根据公开的报告,五名窃贼被指控从美国加州卡森市的银行账户中偷窃了45万美元。 2007年,他们成功地在该市财政局长的笔记本电脑中植入了变种的Talex银行木马,并截获了数字证书和账户信息。遗憾的是,这并不是一起孤立事件。许多小企业和市政当局的电脑都正在被复杂的以银行账户和银行数字证书为目标的恶意软件感染,如Zeus、Clampi和Silon等木马。此类银行木马大多数是通过修改网页、插入新的对话框、篡改Cookie等手段感染用户的浏览器,比传统的中间人(man-in-the-middle)攻击更有威胁。为了应对这些威胁,许多商业和自由软件应运而生,确保用户能方便安全地连接到网上银行。让我们来探讨一下这些网上银行安全工具以及它们各自的优缺点。

  位于纽约的Trusteer公司的Rapport软件可能是如今最出名的商业网上银行安全产品。金融机构在其网站上安装Rapport系统之后,用户可以下载并安装客户端软件,以此来保护浏览器和通过浏览器与金融网站进行的交互。该软件可在Windows和Mac系统下运行,通过监测应用程序编程接口(API)来确定是否有其他程序正在试图监控或操纵它们。例如,在Windows系统中,WinInet API被用来建立SSL通信,它经常会遭到银行类恶意软件的访问和修改。通过防止恶意软件劫持和修改浏览器,Rapport能防范Zeus等木马的最新的浏览器中间人(man-in-the-browser)攻击。此外,Rapport是经常更新的,像杀毒软件一样,这使其能够帮助用户抵御恶意软件的最新变种。

  使用像Rapport这样的软件(或者像英国Prevx公司提供的类似的网上银行安全方案SafeOnline)的好处在于它们能够提供针对浏览器和终端的基本保护,最小化针对大多数终端的冲击,以及检测银行网站的负载能力。然而,许多银行并不想让这个软件成为强制性的,因为用户会觉得安全措施是被“强加”给他们的。此外,该软件需要安装代理才能使用,并可能需要本地管理员访问权限和浏览器的特权用户,以网络安全的实际角度来看这两者都是不可取的。攻击者也不会就此而止步——Zeus木马和其他恶意软件的新版本已能够检测甚至阻止Rapport的某些版本以及其他一些保护性软件的运行。最后,某些保护软件还可能与其他程序或解决方案发生冲突,例如流行的共享软件Sandboxie。

  Sandboixe或其他类似的软件系统,会在系统中创建一个保护性的独立空间(称为“沙箱”,sandbox)供所有指定的程序运行。如果浏览器是一个孤立的程序,那么即使恶意软件被执行了,沙箱也能够防止其感染系统的其余部分。有一些系统用硬件来实现同样的功能,即运行自带的浏览工具和环境的USB设备。以加密便携硬盘而著名的IronKey公司,现在推出一款叫做“可信虚拟计算”的产品。该产品提供了直接在USB硬盘运行的虚拟操作系统和浏览器。除了独立的操作系统和浏览器外,该设备还具有内置的反恶意软件扫描和多参数RSA认证功能,以及在线更新以防范最新的威胁。这个工具的优点在于不必在主机上安装额外的软件,同时又能在访问金融网站期间更加有效的隔离浏览环境和主机系统。

  另一种基于硬件的解决方案是IBM公司的区域信任信息通道(Zone Trusted Information Channel,ZTIC),它首先会与预配置的银行网站建立一个安全(SSL/TLS)会话,然后允许主机系统通过浏览器以类似于银行代理的方式进行连接。当用户访问银行网站并输入信息时,它将显示在USB设备的LED屏上,同时只有在用户手动点击设备上的按钮时,该信息才会传递给银行。这可以阻止浏览器中间人(man-in-the-browser)攻击者任意修改数据或站点信息而不被察觉的现象。不幸的是,这些基于硬件的解决方案需要用户在物理键盘上输入信息,而这很容易被按键记录功能所截获。

  一个简单且免费的网银安全的选择是使用一个装有相关操作系统的可引导的CD/DVD光盘,只需运行一个被加载到内存中的只读操作系统即可。类似的操作系统发行版本有许多(通常包括Knoppix、SLAX和Webconverger),这些光盘有时被称为“Live CD”。利用Live CD的好处是浏览环境与主机操作系统完全隔离,因为用户需要手动从CD/DVD启动并引导到只读环境。该操作环境在与银行进行会话期间不会被修改,会话完成后也没有任何信息保存,以防止丢失或者泄露机密数据。这种方案的缺点是需要从光盘启动到只读操作环境中,当然也就需要对用户进行培训。

  随着越来越多的银行客户遭遇到由恶意软件所造成的金融诈骗,人们对这种网银安全工具的兴趣无疑会继续增加。这些解决方案各自都有明确的优点和缺点——从“软件安装”到“它们是否能真正隔离浏览环境与操作系统”。但不管怎样,成本始终是银行和终端客户在选择时应考虑的因素之一。

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

翻译

Sean
Sean

相关推荐

  • 山石网科发布网上银行安全解决方案

    网上银行得到越来越广泛的应用,同时也面临更多的网络安全威胁。山石网科发布网上银行安全解决方案,为网上银行提供分级分域的保护。

  • 确保网上银行安全的多重身份认证方案

    随着网上金融交易的增长,网上银行欺诈也逐渐增多,让我们来看看几种银行已经实施的、较常用的多身份认证系统,以及一些确保网上银行安全的新型解决方案……

  • IBM USB银行设备可阻止恶意软件

    IBM正在测试新的USB设备。据称,该设备可以阻止keylogger和恶意软件获取银行密码和敏感帐户信息。启动ZTIC设备不需要任何软件或者驱动,用户可以打开Web浏览器进行安全……