随着病毒、蠕虫、木马、后门和混合威胁的泛滥,当前针对新漏洞的攻击产生速度比以前要快得多,而社会工程(social engineering)陷阱也成为新型攻击的一大重点。带有社会工程陷阱元素的攻击包括间谍软件、网络欺诈、基于邮件的攻击和恶意Web站点等。这些攻击往往伪装为合法应用程序和邮件信息,设计为欺骗用户暴露敏感信息、下载和安装恶意程序,传统的安全设备很难加以阻挡,往往需要先进的检测和安全技术。本文着重介绍灰色软件的特征和防护方法。
一、什么是灰色软件
灰色软件是一个概括性词汇,它是指安装在计算机上跟踪或向某目标汇报特定信息的一类软件。这些软件通常是在没有得到允许的情况下安装和执行的。很多灰色软件是在需要下载和运行应用时,就能悄然地完成工作,比如跟踪计算机使用,窃取隐私等。在大量的邮件病毒成为每月新闻头条的时候,用户可能会意识到如果打开不确定的邮件会带来什么风险。但是对于灰色软件,用户根本就不需要打开附件或执行被感染的程序,仅仅访问使用该技术的网站,就会变成灰色软件的牺牲品。很多灰色软件只产生垃圾信息,比如说弹出式窗口。诚然,在"无害"的灰色软件和盗取信用卡账号、密码和身份证号这些有价值信息的攻击之间,还是有着明确的区分标准的。
灰色软件常常来源于以下行为:(1)下载共享软件,免费软件或其他形式共享文件;(2)打开被感染过的邮件;(3)点击弹出广告;(4)访问不负责任或欺骗网站;(5)安装木马程序。
灰色软件不一定是恶意软件。很多灰色软件的最终目标是跟踪网站访问者来获得搜索结果,以达到某个商业目的。灰色软件的典型症状是系统缓慢、弹出广告、主页定向到别的网站等,从而造成骚扰。不过,黑客常会把灰色软件技术用作其他目的,例如利用浏览器来加载和运行某些程序。这些程序可以公开访问系统,收集信息,跟踪键盘输入,修改设置,或者制造某些破坏。
灰色软件大体可以分为以下几类:
(1)广告软件
广告软件通常是嵌入到用户免费下载和安装的软件中。安装以后会不时地弹出浏览器窗口来传播广告, 干扰用户正常使用。
(2)间谍软件
间谍软件通常嵌入在免费软件中。它可以跟踪和分析用户的行为,比如说用户的浏览网页的习惯。跟踪信息会返回到编写人员的网站,在那里进行记录和分析。它会引起计算机性能的改变。
(3)拨号软件
拨号软件是控制计算机的Modem的灰色软件。这些程序通常是拨打长途电话或者呼叫昂贵的电话号码来为窃取者创收。
(4)玩笑软件
玩笑软件修改系统的设置,但是并不摧毁系统。例如将系统鼠标或者Windows背景图片加以修改,还有些游戏软件通常是开些小玩笑或者恶作剧。
(5)点对点软件
点对点软件(P2P)可以完成文件交换。用它完成商业目标也许是合法的,而用它来交换非法音乐、电影和其他文件的时候,往往是非法的。
(6)键盘记录软件
键盘记录也许是最危险的灰色软件之一。这些程序可以捕捉键盘的输入,由此获得用户名和密码、信用卡号,用于Email、聊天、即时通讯等。
(7)劫持者软件
它可以修改浏览器的一些设置,来改变用户的爱好,如首页、收藏夹或菜单等。甚至可以修改DNS设置,将DNS重定向到恶意DNS服务器。
(8)插件
插件向已有程序添加代码或新功能,来控制、记录和发送浏览的喜好或其他信息会,发送给外部地址。
(9)网络管理软件
它是出于恶意目的设计的灰色软件,可以改变网络设置,毁坏网络安全,或者造成其他网络破坏。远程管理工具是让外部用户来远程控制,改变和监视网络中的计算机。
(10)BHO
BHO是作为普通软件的DLL文件安装的,可以控制Internet Explorer的行为。并不是所有的BHO都是恶意的,但是它有跟踪浏览偏好和收集其他信息的功能。
(11)工具栏
它可以修改计算机的工具栏特性,可以监视浏览网页的习惯,发送信息给开发者,或者改变主机的功能。
(12)下载灰色软件
它在用户不知情的情况下偷偷地下载和安装其他的软件。这些程序通常是在启动过程中运行,可以安装广告软件,拨号软件和其他恶意代码。
「无防火墙」
无防火墙给予完全访问权并不做任何安全检查。安全检查是对某些服务的禁用。建议你只有在一个可信任的网络(非互联网)中运行时,或者你想稍后再进行详细的防火墙配置时才选此项。
选择 「定制」 来添加信任的设备或允许其它的进入接口。
「信任的设备」
选择「信任的设备」中的任何一个将会允许你的系统接受来自这一设备的全部交通;它不受防火墙规则的限制。例如,如果你在运行一个局域网,但是通过PPP拨号连接到了互联网上,你可以选择「eth0」,而后所有来自你的局域网的交通将会被允许。把「eth0」选为"信任的"意味着所有这个以太网内的交通都是被允许的,但是ppp0接口仍旧有防火墙限制。如果你想限制某一接口上的交通,不要选择它。
建议你不要将连接到互联网之类的公共网络上的设备定为 「信任的设备」 。
「允许进入」
启用这些选项将允许具体指定的服务穿过防火墙。注意:在工作站类型安装中,大多数这类服务在系统内没有被安装。
「DHCP」
如果你允许进入的 DHCP 查询和回应,你将会允许任何使用 DHCP 来判定其IP地址的网络接口。DHCP通常是启用的。如果DHCP没有被启用,你的计算机就不能够获取 IP 地址。
「SSH」
Secure(安全)SHell(SSH)是用来在远程机器上登录及执行命令的一组工具。如果你打算使用SSH工具通过防火墙来访问你的机器,启用该选项。你需要安装openssh-server 软件包以便使用 SSH 工具来远程访问你的机器。
「Telnet」
Telnet是用来在远程机器上登录的协议。Telnet通信是不加密的,几乎没有提供任何防止来自网络刺探之类的安全措施。建议你不要允许进入的Telnet访问。如果你想允许进入的 Telnet 访问,你需要安装 telnet-server 软件包。
「WWW (HTTP)」
HTTP协议被Apache(以及其它万维网服务器)用来进行网页服务。如果你打算向公众开放你的万维网服务器,请启用该选项。你不需要启用该选项来查看本地网页或开发网页。如果你打算提供网页服务的话,你需要安装 httpd 软件包。
启用 「WWW (HTTP)」 将不会为 HTTPS 打开一个端口。要启用 HTTPS,在 「其它端口」 字段内注明。
「邮件 (SMTP)」
如果你需要允许远程主机直接连接到你的机器来发送邮件,启用该选项。如果你想从你的ISP服务器中收取POP3或IMAP邮件,或者你使用的是 fetchmail之类的工具,不要启用该选项。请注意,不正确配置的 SMTP 服务器会允许远程机器使用你的服务器发送垃圾邮件。
「FTP」
FTP 协议是用于在网络机器间传输文件的协议。如果你打算使你的 FTP 服务器可被公开利用,启用该选项。你需要安装 vsftpd 软件包才能利用该选项。
「其它端口」
你可以允许到这里没有列出的其它端口的访问,方法是在 「其它端口」 字段内把它们列出。格式为: 端口:协议 。例如,如果你想允许 IMAP 通过你的防火墙,你可以指定 imap:tcp 。你还可以具体指定端口号码,要允许 UDP 包在端口 1234 通过防火墙,输入 1234:udp 。要指定多个端口,用逗号将它们隔开。
窍门:要在安装完毕后改变你的安全级别配置,使用 安全级别配置工具 。 在 shell 提示下键入 redhat-config-securitylevel 命令来启动 安全级别配置工具 。如果你不是根用户,它会提示你输入根口令后再继续。