如果公司網站因不善加管理而遭到入侵或鑽漏洞上傳資料,進而在網站植入惡意程式碼,對一般網站使用者而言,目前是否有類似郵件黑名單組織的機制,能夠及時阻擋使用者,不讓他們連上這類危險的網站?做法有哪些?
目前有,但是有限。
早期要成立這種網站黑名單機制是比較困難的,因為那時網站收尋與檢測的技術還不成熟。現在則比較好了,加上大家對惡意連結的夾掛方式也比較熟悉了,同時一些網站掃描器(web site scanner)也被研發出來。
先確認IFrame有問題
檢測網站是否被掛上惡意連結的技術五花八門,最簡單的方法就是先篩選出寬度(width)與高度(height)都為 0 的IFrame 網頁HTML標籤。因為寬與高都為0的iframe,使用者並不會察覺,所以很容易被破壞者(cracker)利用,掛入惡意連結。
篩選出來那些可能有問題的IFrame標籤後,再去探究iframe內容到底是好的還是壞的。如果遇到多層的編碼,還是得一層層解開。事實上,我們可以這麼說;網站掃描器是一種特別用途的瀏覽器。
掃描的目標網站也要慎選。因為破壞者通常會選擇多人使用的網站,所以在檢測的時候也必須以它們為優先考量,比較符合經濟效益。通常一些入口網站、政府機關、學校網站與銀行網站都是破壞者的最愛,皆是要列為優先檢測的對象,其次標的才是.com網域。
從電腦的hosts檔著手
關於檢測到的結果,如果你發現某個網站被入侵並且被殖入惡意連結,你可以做好事,寫信給系統管理員,希望他趕快處理。除此之外,現在臺灣還有一個網站可以讓你反應,它叫做「大砲開講」,裡面有一個網站黑名單,這個名單收集了一些已經被入侵的站,可以參考看看,列在名單上的網站就不要去瀏覽,網址是www.rogerspeaking.com。
大砲開講也把黑名單作成hosts檔,供所有能上網的人下載,該站在hosts檔中把那些有問題的網站域名(Domain Name)都指向電腦本機(127.0.0.1),這樣就可以保護本機不會連到那些被入侵的站而遭到傳染。原理是這樣的:眾所皆知網際網路是靠IP Address運作,而網域名稱只是幫助人類用來組織、管理與記憶網路上的節點。當瀏覽器得到一個站的網域名稱的時候,它必須用這個名稱去查出對應的IP Address位址,查詢的順序通常是先從本機的hosts檔開始查起,接著是查詢網路上的DNS伺服器。因此我們可以藉由修改本機的 hosts file,以便先行攔截電腦對網站IP Address的查詢,而把壞站的IP Address位址都指向電腦畚箕,這樣我們就不會連到壞站去了。
Google也來幫忙,警示與阻斷效果大幅提升
除了一些私人所提供的黑名單外,搜尋引擎也在這方面幫了點忙。可能已經有人發現,在Google 的搜尋結果裡,有些網站會被標注為「這個網站可能會損害你的電腦」。當你看到這個標注的時候,除非藝高人膽大,要不然還是別點進去看得好。
對Google來說,它是日搜萬站的,所以能夠幫忙檢測也是好事一樁,因為Google 所能掃描的網站範圍和數量必定比一般機構大得多。
「這個網站可能會損害你的電腦。」的標注,其實是Google 跟 StopBadware合作的結果。StopBadware目前已經對外提供一個查詢的表單讓人查詢某站是不是在它的黑名單裡,網址是:www.stopbadware.org/home/reportsearch
其實不是每個人都知道怎麼改hosts檔,所以如果網管人員可以把黑名單加到 Web Proxy代理伺服器或是防火牆這類閘道設備的攔截清單裡,應該也是滿方便的。只是這麼做的話,網路管理員就會稍微辛苦些,但好處是可以不用每臺電腦逐一改設定。
網站惡意連結的檢測需要比較多的時間,尤其是當遇到需要多層解碼的時候。對於入侵防禦系統(IPS)來說,因為它是線上設備,為了維持效率,它能花在檢查每個網路封包的時間上就有所限制,對於需要多層解碼的網站內容比對與過濾,效率可能就會比較差些。在網站惡意連結的檢測上,它類似一個被動的網站掃描器(所謂的被動,是指只有使用者瀏覽的網站,它才有機會掃),所以同樣可能發現被入侵的網站,並且即時阻止使用者不受感染。
簡單地說,無論是防毒軟體或是IPS/IDS,它們都需要病毒碼/特徵碼。當一個新的病毒/攻擊還沒有被設計出病毒碼/特徵碼的時候,這些防毒軟體或是 IPS/IDS是無法偵測出他們的。
總結來說,網站黑名單是有的,但是不在名單內的站並不保證一定安全。因此使用者為求自保,還是儘可能多更新系統。不過遇到破壞者使用zero-day 的弱點還是沒用。所以最近也流行用虛擬機(virtual machine)上網,個人資料不要放在虛擬機器上,反正被入侵也是虛擬機器遭到入侵,這也一種自保的方式。
「這個網站可能會損害你的電腦。」好像誤判率還滿高的,之前亞洲區ESPN首頁也曾被貼上這個標記,搞得大家都不敢上ESPN的網站了。
畢竟人腦也都會失靈"誤判". 這種誤判多半是因人為疏忽或智能不足引起.
而軟體的"誤判"是不正確地說法. 軟體是"死"的怎會"誤"? 軟體是人為的... 罪魁禍首是"人"!
因此我在電腦安全防護方面是多管齊下,IE & Firefox上都裝上免費的 SiteAdvisor,系統保護除該有的防毒外還使用 Windows Defender.
SiteAdvisor 可與 Google 的 StopBadware 互補. XP 防火牆通常是默不做聲的反應不是我所預期,而 Windows Defender 能很省資源的幫你做即時監控,控管電腦每個程式的運作一目了然地通知你該程式的來龍去向....