精华区文章阅读

发信人: seak (江海客), 信区: Virus
标  题: 第三章网上活动的安全
发信站: 紫丁香 (Fri Nov 12 20:04:25 1999) WWW-POST

第三章网上活动的安全
            文/江海客（seak@163.net）

___________________________________________________________________
声明：
1、您所看到的是《个人网络用户的安全与维护指南》一文的文本稿，本文
已经在《计算机应用文摘》增刊《网络之门》发表，传统媒体如欲转载请同
该杂志社联系，获得许可方可转载。
2、本文作者seak（哈工大紫丁香站ID）许可本文可转载于任何非商业BBS、
新闻组和WEB站点。但严禁改动、删节或添加或局部抄袭、改头换面用于任
何正式出版物。转载必须完整，包括本声明和原文紫丁香BBS信头 (即：发
信人、标题、发信站三行)。
3、由于《计算机应用文摘》编辑同志对本文的修改、和作者对文章的再次
扩充，等因素，你看到的电子版本部分章节与刊发文章并不一致。同时，
作者本人也保留对文章再次扩充修改和网上重新发布的权利。
4、本文是一篇科普文章，是作者考虑到一般网络用户的接受能力而写的，
对本领域的专家本文并无价值。作者力图能给广大用户做准确的描述，但由
于作者时间和水平的限制，作者不能保证本文的涉及的观点、处理方法等绝
对正确。欢迎大家就各种问题与我探讨，seak@163.net。
____________________________________________________________________

一、CHAT的安全

一般的来说，我们习惯的把聊天分为两种，一种是页面的，象四
通的聊天室就属于这种，另一种是借助某种客户端程序，最著名的客
户端程序就是Khaled Mardam-Bey所写的那个MIRC。
一般的来说，页面聊天室一般是运行在服务器上的CGI或ASP或
ISAPI程序，由于它无须用户安装任何程序，简单方便，有不少网友
对他情有独钟，当然其无法完成象MIRC、那样强大的功能。一些聊
天室是不屏蔽HTML语法的，这就使一些喜欢搞点恶作剧的虫虫可
以搞一些小把戏，比较常见的是在CHAT中输入一小段JAVA或VB
脚本，通过ONCLICK，ONMOUSEOVER一类的事件触发，造成网友
的机器出现不停打开窗口等情况耗尽系统资源死机，只能重新启动。
对付这种情况的有效办法是你在聊天时把你internet选项中的脚本支
持关闭。而另外一种手段就是，连接一个很大的资源，比如一个恶作
剧者发送一条HTML语法，把网络上的一个图片以巨大的尺寸显示，
应付这种情况，你可以把自己浏览器显示图片的选项关闭。不过，只
要支持HTML，那么总能找到一些攻击聊天室的新花样，单存靠用户
自己去防范，会非常不方便，如果你因为速度等原因非常偏爱某处聊
天室，而这个聊天室由于支持HTML捣乱分子比较多的话，你不必
总是委屈自己，CHAT之前这也关了，那也关了，应当向这里的网管
建议屏蔽HTML语言。其实，做出一套好的emote要比支持HTML
更有吸引力。
页面聊天室的另外一个问题是，可能被“穿墙”，也就是有人可以
冒充你，这我没有任何办法帮你，因为这是聊天室的程序质量问题。
一个严谨的WEB开发者有充分的把握避免这种事情发生。再者，你
要注意的是我特别建议你为每个网络资源设定一个密码，至少象
CHAT中的密码不要与你重要的密码，比如资金帐户、拨号密码等相
同，我暗访过一些聊天室的SERVER，发现很多CHAT程序的用户名
和密码都是明文放置在一个文本文件之中，甚至这个文本就在聊天室
的框架页面目录中，可以被猜到文件名的人下载，危险不言而喻。另
外一点，一些聊天室（也包括其他一些CGI程序）登陆过后，你的
用户名和密码会被记录在Temporary Internet Files（internet的catch）
目录下，当然想的比较周全的WEB开发者，会避免这一情况，不过
并不是每个开发者都做到如此周全，所以如果你的机器不止你一个人
使用，或者你就是在外面上网，走之前不妨把临时文件清空。
无论是页面CHAT还是利用客户端聊天，带来的另外一个问题是
可能会暴露你的IP地址，一旦你的地址暴露，可能你就会遭到我们
前面所介绍的OOB等攻击，不过OOB攻击只能威胁没有补丁或防护
的95/NT用户。如果你希望捕获攻击者的地址的话，你也可以用
NUKENABER等工具。另外，如果你是网管的话，你可以在路由上
设置包过滤，禁止类似访问端口为139 这样的包进来。很多人来信
问我如何隐藏IP，说句实话，对于页面CHAT来说，我认为除了使
用PROXY以外，没有任何办法。从机理上讲，希望通过本机运行一
个程序就能隐藏IP对internet用户来说是不现实的，这是在ISP路
由、IP分配等存在极不合理的重大漏洞的情况下才可能出现的一个
极小概率事件。当你设定了通过PROXY访问聊天室时，即使你的访
问的聊天室是显示用户IP的，它所显示的将是proxy的IP，同样，
MIRC也可以使用PROXY,但是，普通的HTTP PROXY是不可以的，
MIRC一定要采用支持SOCKS的代理，一般默认的端口是1080。另
外，有人介绍过，把你机器的名称，改成一个象IP地址的名字，可
以在MIRC中隐藏自己的真实IP，感兴趣的朋友可以尝试一下，反
正就我实验是无效的。
对MIRC的另外一种攻击被称为flood,会造成你不断打开窗口，
这是非常老的一种攻击方式了，很早就有网友提供了一个叫
mirc777.exe的组件用以防范这种攻击。你如果到yahoo去搜索mirc777
你会得到不少地址。
MIRC的另外一个不安全的是别人可以向你传送文件，你接受的
DCC的文件很可能是一个特络绎木马或者后门工具。运行之，可能
会有一些比较严重的后果。当然对于页面聊天，也许会有人建议你到
某地址下载一个文件，这很可能是一个陷阱。网络用户必须有
给大家一个重要的建议就是，注意更新你的MIRC版本可能是对
付攻击异常有效的方式，因为新版本尽管可能会带来一些新的漏洞，
但是弥补了一些旧的漏洞，在我们周围，有很多人会利用已经流传开
来的BUG，但很少有人有能力发现新漏洞，在笔者写稿时， MIRC
的最新版本是5.6。另外，一些个人计算机防火墙可能有助你的抵御
攻击，比如著名的Conseal PC Firewall，如果你需要下载的话，你可
以搜索CPCW。
关于MIRC的技巧和安全，coolboy的主页，
http://grwy.online.ha.cn/coolboy 中有比较详细的介绍，大家可以去
看一下。
二、EMAIL
一般基于9X平台的网络用户使用MAIL一般是两种选择，使用
foxmail、outlook这样的客户端软件通过POP3收信，或者是页面读
信。这两者都有不安全之处，如果你的客户端软件的密码是填写到客
户端软件中的，很容易被非法使用你机器的人用VIEW之类的软件看
到，而在页面登录的时候，如果网站做的不是很科学，你的用户和密
码信息会被记录在CACHE中，也会泄露出来。从安全的角度考虑，
我还是倾向于POP3方式收信，目前几个主要MAIL安全性问题一般
都是利用页面读信的BUG完成的。页面读信过程是非常脆弱的。我
无意说明这些漏洞，我建议有“专机”的用户，正常方式下选择POP3
收信，并看好你的爱机。同时我建议，大家注意MAIL信箱密码的“强
度”，可以参考第二章的论述。
另外一点，为了保证你自己的信息安全，你应当选择一些安全可
靠的服务商，有的免费MAIL靠输对生日或者身份证号码，就可以改
变或者查询密码，无疑是太危险了。而有的服务商的SERVER今天
开了，明天关了。也会给你带来很大不便。
MAIL的另外一个安全问题是垃圾邮件的骚扰和邮件炸弹的轰
炸，如果有人给你发一千封信怎么办。为此我提出一些参考建议，第
一是充分利用免费的信箱的转信功能，不要暴露你在付费ISP上的邮
件地址，按照中国电信的结算原则，如果你是163或169的付费用户，
如果有人给你扔了一个几十兆的东西，你又几天没收邮件，你就等待
破产吧。你可以在比较可靠的免费邮件服务商处申请几个免费信箱（最
好POP3、页面收信、转发等功能都有），其中一个作为你的公众信
箱，出现在你的网页和对外联络中，而另外选一个作为你和朋友之间
的私人信箱，如果你参加讨论组、订阅新闻杂志的话，我建议你也专
用一个或每个讨论组专用一个免费信箱。一般的来说，我从不使用ISP
的付费邮件信箱。如果比较可靠的免费服务信箱速度都比较慢，你可
以把他们转到比较近比较快的免费邮箱中（我的感觉是比较可靠的都
慢，速度快的一般都是新开的都不太稳定。）这样一般的说你用做私
人的那个信箱会比较清净。
如果你的任何一个信箱真的被炸了，或者垃圾太多，你不必害怕，
最简单的方式就是页面读信方式进去，把没有用的信都删除掉。另外，
多数mail的客户端都支持远程删信，实在不行了，你可以用Bomb
Squad之类的工具对付他们，据说一秒种可以砍一万封信。
另外一些用户关心的是MAIL加密的问题，关于PGP的介绍网上
有很多了，你可以在很多BBS站的精华区中找到他们。
三、ICQ
关于ICQ的漏洞应该说比较多，但澄清一点，目前还没有发现哪
一个漏洞会使ICQ用户直接受到本地数据一级的损失。ICQ用户为
了避免一些骚扰，应该把自己的安全级别设的高一些。这个设置在
ICQ/Security &Pravacy中，你可以设定只有你自己同意别人才能添
加你（Change ContactList Authorization设定为My  authorization is
req）设定不让别人看到自己的ＩＰ（Do not allow others to see my IP
address）等等。ＩＣＱ难以防范的一个进攻是通过ＩＦＱ之类的工
具发送的轰炸信息难以防范，因为他是作为一个系统信息而不是ＭＥ
ＳＳＡＧＥ。另外，就是即使你设定不让别人看你的ＩＰ，你仍然可
能被sniffer工具查到。
另外，针对ＩＣＱ的木马也有，这种木马取代你正常的ＩＣＱ程序，
自身启动后再启动正常的ＩＣＱ程序，对方就可以对你进行控制了。
这并不是一个常见的木马程序但你必须小心。

___________________________________________________________________
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
)|)             ●   |江海客     seak@163.net
\-----/               |之天涯看台 http://seak.163.net(163)
ぺべぺべぺべぺ                    http://personal.yn.cninfo.net/seak(169)
        问人间沧桑几许；看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

※ 来源:·紫丁香 bbs.hit.edu.cn·[FROM: 202.97.232.107]

Virus 版 (精华区)