|
用户访问过的Web站点历史记录、Cookie、在浏览器上输入的搜索关键词及密码,这些都可以一字不差地被盗走。日前出现的一种工具可让您明白完成这种非法行为是何等轻松。 该工具的名称为“IE'en”。这是由提供安全技术信息及相关工具的“SecurityFriday.com”公司于2002年7月1日发布的。 利用IE'en,可以获取在所指定的PC机上运行的IE窗口一览表、在各窗口中正在阅览的Web站点的URL及Cookie,以及在搜索站点上输入的关键词等信息。 其中最令人吃惊的是,该软件可以直接获取本应受到SSL保护的数据。如果使用IE'en,就可以获取加密前和还原后的数据。也就是说,存在可轻松盗取信用卡号码及密码等重要的机密数据的可能性。 该工具所使用的是Windows NT4.0/2000/XP标准配备的分布式对象技术DCOM(分布式组件对象模型)。DCOM就是指通过网络各种应用软件进行协同操作的技术。IE'en则可以利用DCOM来远程操作IE浏览器。 Windows利用135端口提供DCOM服务(TCP的135端口和UDP的135端口为远程调用服务端口)。在默认设置的情况下,该端口处于有效状态。 因此,除了被IE'en设置为对象的IE以外,只要是用DCOM开发的应用软件,全部都有可能利用相同的方法进行操作。问题是DCOM本身并非是安全漏洞,而是Windows系统规格。而Windows本身就是一个COM的集合体。IE'en所验证的是“不管有无安全漏洞,Windows系统永远都面临着危险”。 要想利用IE'en远程操作IE,就必须知道要远程控制的PC的IP地址、注册名称及密码(将这些信息输入到对话框中)。因此,实际上,如果严格管理密码等信息的话,经过因特网而受到第三方攻击的可能性还是很小的。 但是,在公司内部的网络环境下,却可以轻松地了解到别人的IP地址及用户名。而且大多数情况下,密码管理也较为宽松。因此PC的操作极有可能在公司内部受到监视。另外,像网吧及学校等以同样的设置来使用多台PC机的情况,也必须注意这一点。 为了消除DCOM的威胁,并没有什么特别的处理方法。最重要的是在Windows安全设置及适当的密码管理等方面,采取切实可行的基本安全对策。 公布该工具的SecurityFriday.com公司的Daiji Sanai也强调了这一点。他表示之所以公布该工具的目的是“大家已经普遍了解了用于文件共享的TCP协议135端口的危险性。但是却不知道135端口具体存在何种危险。因此,即便发警告,往往也没有实现意义。我们希望利用这个工具来直观地表述135端口的危险性,并告诉大家在默认设置下使用Windows系统的危险程度”。另外,SecurityFriday.com公司的Hidenobu Seki还质疑微软“真的有必要使IE浏览器支持DCOM吗?”。
|
