在茫茫网络中,搜索引擎正扮演着日益重要的向导角色。不过,随着间谍软件、垃圾邮件、病毒和在线诈骗的日益增加,加上普通用户对搜索引擎的盲目信任,网络搜索的安全问题也日益突出。例如,在网络钓鱼中,黑客常常通过伪造电子邮件或虚假网站等形式来诱骗用户提交与自己相关的个人信息;在P2P网络搜索过程中,用户常常会无意识地下载了包含在文件里的间谍软件和恶意移动代码,恶意软件通常会绕开传统的安全控制进入本地电脑。
相对而言,传统的安全公司擅长处理技术威胁,比如计算机病毒等,但却无法有效防止新的利用社会工程学的网络诈骗,如间谍软件感染等。为了解决这项难题,自动测试程序系统应运而生,它能持续巡视互联网来浏览站点、下载文件和在注册表单中输入的信息。McAfee SiteAdvisor就是这样一款优秀的Web安全工具,它能够主动地提醒用户在浏览、搜索和即时通信或收发电子邮件时所遇到的危险站点,避免遭到网络钓鱼、间谍软件等恶意程序的攻击。通过直观的红色(危险)、黄色(可疑)和绿色(安全)评级,可以帮助用户在搜索、浏览和交易时保持安全状态,从而更安全地使用互联网。
使用SiteAdvisor浏览安全站点
浏览一个页面或者下载一个软件之前,用户的安全风险是未知的。当人们打开某一款软件或某一封邮件时,间谍软件就悄悄的来到用户的电脑了。在神不知鬼不觉的时候,这些软件悄悄的向外部发送用户的机密信息,电脑安全性让人担忧不已。即使我们安装了防火墙软件,但品种繁多的间谍软件依然可能构成威胁。比如,在浏览网页的过程中,很多网站都会给用户提出许多附加要求:如更改默认搜索页、更改默认主页按钮、更改工具栏或加载项。这类威胁通常包括“广告插件”和“间谍插件”,前者显示未经用户请求的广告,后者秘密地追踪用户击键序列和其他行为,盗取用户的私人信息,给用户安全浏览或安全搜索带来了很大威胁。
McAfee SiteAdvisor能够在用户与危险网站交互之前,对现有的安全软件提供补充,并增强其功能。软件安装十分简单,完成后即可在工具栏右上角看到一个McAfee SiteAdvisor的按钮。现在,打开百度网站,在搜索栏中输入关键词如“网络银行”。然后,在搜索结果页面的每个搜索结果标题右侧都会有一个球形标志。
如果标志显示为绿色,则说明它链接的网站目前是安全的,可以放心浏览;如果标志显示为黄色,表示存在一些轻微的安全或干扰问题;如果标志显示为红色,则说明链接的网站内可能包含广告软件、间谍软件、木马程序等恶意程序的安装下载,或是有可能会链接到网页木马等其他恶意网站;如果标志显示为黑色,则表示尚未对该网站进行测试。
在日常浏览网站的过程中,SiteAdvisor会随时弹出一个泡泡提示窗口,详细显示该网页链接上有多少个软件的下载安链接,每个软件的安全性如何,有多少个网页弹出窗口等。如果用户非常了解这个网站,可以点击SiteAdvisor按钮旁边的下拉菜单,选择其中的“不警告列表”选项,然后在弹出的配置窗口将信任的网站添加到该列表即可。如果要临时停止SiteAdvisor的检测服务,可以点击SiteAdvisor按钮旁边的下拉菜单,选择其中的“禁用SiteAdvisor”命令即可。
当然,用户也可以登录SiteAdvisor分析站点,直接通过网站进行安全评估。地址为:http://www.siteadvisor.com/analysis/。在网页中间的文本框中,输入需要分析的网站地址,点击“开始”按钮,网站即可列出详细的站点测试结果。比如,在网络钓鱼攻击的过程中,诈骗者通常会将自己伪装成知名银行、在线零售商和信用卡公司等可信的品牌,利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。现在,通过这个站点分析工具,用户就很容易看出网址链接状况,从而提高警惕性,避免登录不熟悉的网站和打开恶意的电子邮件链接,从而保证在线搜索、浏览、认证等日常操作的安全。
使用SiteAdvisor识别恶意搜索攻击
在搜索的过程中,也存在很多安全隐患。例如,黑客可以将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能;在Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。以Sogou网站为例,在搜索的过程中即面临着各方面的威胁,如跨站攻击XSS,这是一种经常出现在Web应用中的计算机安全漏洞,通过利用Web页面编写不完善的问题,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。这样,在<TITLE>标签的过滤时可能会存在问题。测试代码如下:
</TITLE>"><script>alert(/XSS测试/)</script><"TITLE>
采用类似的方法,还可以暴露cookies参数,测试代码如下:
</TITLE>"><script>alert(document.cookie)</script><"TITLE>
为了识别并防范这些潜在的脚本威胁,把握恶意软件潜在攻击的详细情况,需要在把握技术分析的基础上,配合软件进行更加有针对性的保护。下面以“网址之家(http://www.hao123.com)”为例,在浏览器中输入该网站地址,右侧的SiteAdvisor按钮显示该网站存在潜在的浏览风险。点击该按钮,即可进入SiteAdvisor的官方分析站点。在“下载测试”部分,可以看到针对该站点的详细分析,包括BaiduToolBar、hao123homepage、PPStream等。
在结果中,列出了详细的“名称”、“浏览器模式”和“干扰计量器”等项目。如果需要了解这些潜在的浏览威胁,单击该名称,如“BaiduToolBar.exe”,网页就会列出该程序的安装路径。在这里,用户可以了解该软件的潜在风险,如可能会对系统注册表、硬盘驱动器、浏览器的按钮和工具栏进行修改等。这样,就可以将恶意网站直接拒绝在浏览之前,从而避免接触到恶意内容。
上述功能对更改默认搜索页、默认主页按钮、工具栏或加载项等攻击十分有效。如果该网站具有更改默认主页的风险,在“浏览器模式”一栏中将会有相应的图标提示,使用十分方便。
需要指出的是,软件偏重于网络搜索或浏览之前的防范与探测。实际应用过程中,还需要了解恶意攻击的来龙去脉,通过多种措施降低网络搜索的风险。用户还可以通过常用的杀毒软件、专业的间谍软件清理工具如Ad-aware等,多管齐下以彻底清除恶意程序。因此,要充分发挥SiteAdvisor的预报和检测作用,在把握恶意搜索攻击的基础上,对潜在的浏览风险进行分析。这样,我们才能准确发现和防御各类网络攻击行为,真正做到知己知彼,“防范于未然”。
