2004/12/24 下午 03:16:38
US-CERT在今年六月公布的一個弱點紀錄上公開建議因為IE安全問題,使用者應該更換不同的瀏覽器。隨後國外各大資安媒體包括InfoWorld、CNET、Computer World以及eWEEK等等都報導了此訊息,一些專欄作家也紛紛跳出來說使用者應該更換瀏覽器了。到底使用者應不應該更換瀏覽器?而企業IT人員又應該如何因應?本文要來了解目前IE的安全狀態,以及其安全問題帶來的影響,另外來探討到底需要或是不需要更換瀏覽器?如果不更換的話,企業人員如何保護IE的安全性?
首先我們要簡單介紹一下IE所包含的弱點。因為其弱點數目繁多(Security Focus網站上關於IE的弱點超過兩百個!),所以我們不會一一說明所有弱點,而會先針對不同版本的弱點數目列表做個簡單的觀察,然後依據這些弱點所帶來的影響作分類。這樣可以讓使用者知道使用IE可能帶來的安全問題是什麼。
有多少弱點?
所以IE到底有多少弱點?表1的資料是從微軟與Security Focus網站上搜尋得來。可以看出兩個資料來源所含的資料是有不小的差異。會有這些差異的原因可能有:
1.公告內容定義不同:微軟的公告通常包含多個弱點,常見兩三個或是以上的弱點在同一個公告內。而Security Focus網站上的資料大多是一個弱點一份資料。
2.公告時間點不同:從公告記載的時間點上看來,在IE4.0–5.01版本的弱點,微軟發出公告的時間都比Security Focus早,這可能造成數量認知上的不同。
3.版本影響判斷不同:每個弱點都有影響的版本,微軟的資料與SecurityFocus的資料有可能在版本認知上也有不同。這樣也會影響到查詢到的弱點數目。
4.弱點修補時間:微軟公告的一定是已經修補的,但是Security Focus上面的資料有一些可能是微軟還沒有修補的。
由於針對IE的弱點數目非常多,無法一一介紹,因此採取的方式是將這些漏洞對使用者造成的威脅與損害作一個整理來了解自保之道。
針對瀏覽器的威脅
因為瀏覽器的使用模式是由使用者控制瀏覽的動作。因此絕大多數針對瀏覽器的威脅都需要使用者去瀏覽一個含有惡意內容的網頁或者是打開一封電子郵件,攻擊動作才能開始。目前還沒有看過任何威脅或是攻擊,是可以不在使用者控制瀏覽器的情況下直接針對瀏覽器發生的。而常見的威脅來源有幾種:
惡意的媒體
現今傳遞資料的媒介很多,不管是網站、電子郵件、磁碟片、隨身碟,或是光碟片都可以傳遞資料。而當初瀏覽器設計原理就是可以透過單一的使用者介面來擷取網路上的各種不同格式的媒體或是資料。問題就再於使用者如何判斷某個媒體所含的資料是惡意的呢?光是靠防毒軟體是沒有用的,因為防毒軟體受限於本身所擁有的病毒資料庫,並無法抓到透過瀏覽器瀏覽行為的漏洞來植入後門的程式。也因此,常見包含這些惡意資料的媒體有電子郵件、惡意網站、光碟、磁片與其他媒體,這些媒體包含的共同特點都是透過一個URL連結到一個惡意網站去。
釣魚騙術
圖1是筆者收到的一封釣魚郵件,在這封郵件裡面號稱是從Citibank來的強烈建議,因為最近更新軟體之故要使用者到連結的網站驗證資料。信件裡面有一個連結到Citibank.com的網頁。
但是仔細看一下郵件的內容,會發現其實事情沒有那麼簡單。此郵件是用HTML格式所寫的,所以可以看信件的內容原始碼。在原始碼裡面可以看到其實整封郵件內容是一個可按式圖檔(含有網站連結),也就是說不管讀者按信件的任何一個角落都會連到下列這個網站,而作者還刻意用些編碼方式試圖隱藏行蹤,如圖2:
所以使用者或許以為他所點選的是Citibank.com的網站,但是實際上會連到這個由釣魚者所製作的惡意網站。這個釣魚網站可能是欺騙使用者輸入自己的帳號與密碼,也有可能是利用IE漏洞植入後門。
這些惡意網站基本上就是架設來「駭」人的!攻擊者可能是採取入侵已知網站並且埋入後門的手法(例如今年年初爆發的大陸網軍入侵台灣網站事件),或者是像上述的「釣魚攻擊」一樣設置假網站模擬真實銀行或企業,結合其他的手法(電子郵件或是其他媒體)來吸引使用者上勾。使用者上勾後此惡意網站會在使用者瀏覽時利用IE可執行程式的漏洞植入後門程式,達到入侵的目的。最近國內外都有發生過的範例,就是有人入侵一些企業的網站,在網站上放入程式,當使用者無意間瀏覽到這些企業的網站(已經被入侵),就會隨著原本的網站內容下載這種惡意程式,然後透過瀏覽器漏洞在使用者機器上植入後門或木馬。之後攻擊者就可以利用遠端操控的方式遙控這些被植入後門的機器來執行分散式阻絕服務式攻擊等。這時候連本來好像可以信任的企業網站都需要再考慮了。網路上也可以找到公開資訊教你怎麼樣做個惡意網站來攻擊瀏覽者的IE,圖3就是一個範例。
同樣的,如果你在公司廁所內看到一張光碟上面寫著「第三季公司裁員名單」,千萬不要以為挖到寶然後馬上放進電腦內閱讀內容。這類東西的內容通常也都是惡意的。
弱點影響
每一個弱點遭受到威脅的攻擊之後可能會產生不同的結果。大體上來說,IE上的弱點遭受威脅攻擊後,對使用者端可能產生的影響主要包括:可執行任意程式碼、資料可能遭受竊取或是損毀、服務受到阻斷。這些影響在個人使用的環境下所造成的傷害通常僅限於單一機器,但是若在企業環境裡面因為使用IE的數量可能較多,便有可能相對造成企業內部網路使用效能影響,以及因為解決問題而導致的生產力降低。
執行任意程式碼
IE眾多弱點中,大概有三分之二都是容許攻擊者執行任意程式碼。需要注意的是,程式碼執行時所擁有的權限是執行IE的使用者權限。目前為止還沒發現有任何IE漏洞,可以達到權限提升的目的。也因此,你用越低權限的使用者身分來執行IE,你受到威脅時所產生的風險也相對降低。早期最為人詬病的就是ActiveX所造成的諸多緩衝區溢位漏洞、另外還有許多IE所支援的不同協定例如file、shell以及mht等等也有出過同類的問題。此外所謂的Cross-Zone Scripting也讓IE的安全性蒙上一層陰影。基本上IE可以將網站區分為不同的安全領域(Security Zone),每個安全領域可以有不同的設定。但是一些弱點使得攻擊者可以從不安全的領域跨領域執行在安全領域才能執行的腳本程式,這就造成了可以執行任意程式碼的攻擊。不過這樣的攻擊還是限制於IE執行者在系統上所擁有的權限。
如果攻擊者要在目標機器上執行程式,基本上都會以後門程式為優先,以達到成功入侵後再控制的目的。而這些後門程式除了單純滿足攻擊者窺視目標隱私或是偷竊資料的目的外,也有可能被控制成為執行分散式阻絕服務攻擊的犯罪行為之一。國外已經有範例:網路黑幫勒贖企業幾十萬美金,不服從者則以分散式阻絕服務攻擊的方法讓目標的網路或網站停擺而造成商業上的損失,這些攻擊的方法之一就是利用無辜民眾家用電腦的頻寬。當然,偷竊資料或是損毀資料也是攻擊者的其中一項選擇。
竊取資料
只要攻擊者能夠在受害者機器上執行任意程式,當然就可以竊取資料或是造成資料損毀。不過除此之外,我們另外在這個段落談的就是最近流行的「釣魚騙術」話題。釣魚騙術基本上就是以幾種不同的方式欺騙使用者的機密資料,例如線上銀行的帳號與密碼或是其他的東西。執行釣魚騙術的方法有幾種,其中的必要條件是電子郵件與一個假網站。
首先攻擊者必須先成立一個假網站。在以往的案例看來,攻擊者都會試著去申請一個包含有企業名稱的網域,例如hkhsbc.net、hkdbs.com等等,但是現在這個條件已非必要。並且架設一個網站上面包含惡意的內容與幾可亂真的網頁內容(有些案例裡面用來騙人的網站做的比實際的銀行網站還要吸引人!),然後就是散發電子郵件等待魚兒上勾。這個攻擊跟IE有關的地方在於電子郵件裡面顯現出來的URL要如何讓使用者上勾。除了利用URL定義時的一個漏洞以外,還有一些跟IE相關的漏洞也一併被利用來隱藏攻擊者網站的真正URL。
在RFC1738裡面定義了URL的用法,對於FTP協定,使用者可以在URL加入帳號名稱與密碼,HTTP協定則是沒有硬性要求支援此寫法。但是當初IE為了一些方便性而把這樣的支援加入,如此就衍生出很多變種的做法。
這些URL乍看之下好像是連到www.hsbc.com,可是實際上會帶領你的瀏覽器連到www.hkhsbc.com去,而www.hkhsbc.com是攻擊者申請的假網域名稱。因此如果使用者不察,就會直接連過去了。也因為釣魚攻擊造成的問題,微軟於今年稍早推出IE的補丁將此問題修復,以後IE不會預設支援此種格式(但還是可以透過更改registrykey來支援),減少造成問題的機會。
阻絕服務
針對瀏覽器的阻絕服務攻擊,目前還沒有聽說有任何大規模的事件。主要原因是,這樣攻擊所獲得的利益實在比不上前面提到的兩種影響。但是IE還是有不少漏洞可以導致使用者的瀏覽器無法繼續執行。
自保之道
看完IE所擁有的漏洞數目與這些漏洞可能造成的影響,很多IT人員大概都要呱呱叫!那麼使用者一定會問到怎麼辦呢?目前還沒有一定的定見,有人說換瀏覽器,有人說靠使用者教育,有人說乾脆把WWW廢了。本文不打算提出終極必殺手段,但是提出一些建議供個人使用者與企業IT人員參考。
IE有問題,那我們就換瀏覽器吧。這大概是最常聽到的說法,也有不少從業人員是抱持著下一個瀏覽器會更好的想法。基本上來說,可供更換的瀏覽器大概就屬Opera和Mozilla(FireFox)兩者了。針對個人使用者來說要換瀏覽器是相當簡單的事情,但是對企業IT來說,可能是另一個管理上的夢靨。更何況,別的瀏覽器就鐵定比較安全嗎?筆者對此持保留態度。原因很簡單,IE很多漏洞被發現主因是微軟目標大,大家喜歡針對他找漏洞,同時IE支援的功能多,也的確藏有不少漏洞。但問題是,別的瀏覽器是否也有同樣的人力、同樣的技術,花了同樣的時間來尋找他們的漏洞?筆者的保守答案是沒有任何文件可以讓人肯定,現在漏洞數目是少一些,但是難保在經過仔細評估或者是安全檢測之後也爆出相同的漏洞。因此與其治標更換另一個瀏覽器,倒不如分析一下問題是否有其他的解決之道。
降低權限
從目前IE所擁有的漏洞看來,會被植入後門程式或是竊取資料,主因是Windows的使用者安裝機器後,都是使用管理者權限的帳號來執行一切的動作。這可以說是Windows帶給使用者方便卻也容易被忽略的安全管理機制。如果說使用者執行IE所用的是普通的權限,那麼即使逛到惡意網站也不會被植入木馬,因為此時執行木馬安裝程式的使用者,並沒有管理者權限得以在本機上安裝軟體。竊取資料的情況還是會發生,因為最少可以讀的到本機使用者容許讀取的資料。但是「最小權限」這個原則一直是資安界提倡的安全原則之一,但是一直沒有在使用者端執行。
其實這個原則在執行上的確是會碰到一些困難,需要其他的工具與環境來配合,即使在微軟內部也是一個有待推動的觀念。筆者個人認為Mac OS X在這個部分目前倒是做的比Windows方便,當使用者以普通權限進入電腦,如果碰到需要管理者權限才能執行的工作,系統會有一個小鎖讓使用者輸入有管理權限的帳號和密碼,就可以用管理者權限來執行此工作。
在Windows上面如果要切實執行的話,基本上需要配合一些工具包括Run As、Make Me Admin或甚至Fast User Switch等等。整個過程可以再寫一篇文章。讀者可以先行參考微軟員工Aaron Margosis在MSDN上的blog。企業若要落實推行,需要先準備好測試的環境,確保能夠應付平常員工工作所需。
小心使用
使用者若無法實行降低權限避免風險的做法,則需要在使用上更加小心。所謂的小心指的是不要打開來路不明的電子郵件,不要隨意相信提供好康的網站,並且詳細閱讀瀏覽器所彈出的訊息。另外每當有新的修補程式出現時請盡可能盡快補強。更有興趣的讀者也可以看看網路上一個提供「Unpatched IE Bugs」的網站。
妥善管理
對於企業IT人員來說,不管用哪個瀏覽器,以能夠統一管理與配置是最好的也最方便。以各家瀏覽器相比,IE在這一個部分還是獨領風騷。有了IE Resource Kit,企業IT人員可以客製化瀏覽器,事先做好安全設定,把各個安全區域的設定定義好,相關的群組政策也定義好,甚至於連要信任的內部公司網站都可以先建立好資料,作好這些設定後就打包讓大多使用者下載安裝然後定期更新。加上環境裡面關於Proxy、IDS、IDP、Firewall、VM等資安環境的建置,這樣才能讓企業IT人員完善管理整個企業的網路環境。
後記
IE絕對是漏洞很多的瀏覽器,而微軟也為此傷透腦筋,但是同時也針對不少安全問題作出改進。使用者當然可以因為安全問題而更換瀏覽器,但是須認知到更換瀏覽器僅為治標不為治本的方法。唯有了解問題根源並且推廣正確的資安管理做法才能夠治標也治本。文⊙陳彥銘
專家小檔案
Foundstone 亞太總監
陳彥銘
曾任 Foundstone 資深顧問
卡內基美隆大學 Cyber Security Center 研究員
認證與訓練
CISSP,MCSE,Foundstone Ultimate Hacking 系列課程專任講師
學歷
國立中央大學數學系畢業
卡內基美隆大學資訊網路碩士
著作
貢獻作者:《Hacking Exposed 3rd ed》、《Hacking Exposed for Web Application》、《Windows XP Professional Security》、《Hacknote:Web Security Reference》文章見於 Security Focus、Dev X、SysAdmin、Unix Review、CNET Taiwan、iThome、網路通訊、PCWeek等國內外媒體。
專長
軟體產品與應用程式安全評估、風險評估與管理、無線網路安全評估、密碼學、存活分析研究及其他資安相關領域。
首先我們要簡單介紹一下IE所包含的弱點。因為其弱點數目繁多(Security Focus網站上關於IE的弱點超過兩百個!),所以我們不會一一說明所有弱點,而會先針對不同版本的弱點數目列表做個簡單的觀察,然後依據這些弱點所帶來的影響作分類。這樣可以讓使用者知道使用IE可能帶來的安全問題是什麼。
有多少弱點?
所以IE到底有多少弱點?表1的資料是從微軟與Security Focus網站上搜尋得來。可以看出兩個資料來源所含的資料是有不小的差異。會有這些差異的原因可能有:
1.公告內容定義不同:微軟的公告通常包含多個弱點,常見兩三個或是以上的弱點在同一個公告內。而Security Focus網站上的資料大多是一個弱點一份資料。
2.公告時間點不同:從公告記載的時間點上看來,在IE4.0–5.01版本的弱點,微軟發出公告的時間都比Security Focus早,這可能造成數量認知上的不同。
3.版本影響判斷不同:每個弱點都有影響的版本,微軟的資料與SecurityFocus的資料有可能在版本認知上也有不同。這樣也會影響到查詢到的弱點數目。
4.弱點修補時間:微軟公告的一定是已經修補的,但是Security Focus上面的資料有一些可能是微軟還沒有修補的。
由於針對IE的弱點數目非常多,無法一一介紹,因此採取的方式是將這些漏洞對使用者造成的威脅與損害作一個整理來了解自保之道。
針對瀏覽器的威脅
因為瀏覽器的使用模式是由使用者控制瀏覽的動作。因此絕大多數針對瀏覽器的威脅都需要使用者去瀏覽一個含有惡意內容的網頁或者是打開一封電子郵件,攻擊動作才能開始。目前還沒有看過任何威脅或是攻擊,是可以不在使用者控制瀏覽器的情況下直接針對瀏覽器發生的。而常見的威脅來源有幾種:
惡意的媒體
現今傳遞資料的媒介很多,不管是網站、電子郵件、磁碟片、隨身碟,或是光碟片都可以傳遞資料。而當初瀏覽器設計原理就是可以透過單一的使用者介面來擷取網路上的各種不同格式的媒體或是資料。問題就再於使用者如何判斷某個媒體所含的資料是惡意的呢?光是靠防毒軟體是沒有用的,因為防毒軟體受限於本身所擁有的病毒資料庫,並無法抓到透過瀏覽器瀏覽行為的漏洞來植入後門的程式。也因此,常見包含這些惡意資料的媒體有電子郵件、惡意網站、光碟、磁片與其他媒體,這些媒體包含的共同特點都是透過一個URL連結到一個惡意網站去。
釣魚騙術
圖1是筆者收到的一封釣魚郵件,在這封郵件裡面號稱是從Citibank來的強烈建議,因為最近更新軟體之故要使用者到連結的網站驗證資料。信件裡面有一個連結到Citibank.com的網頁。
但是仔細看一下郵件的內容,會發現其實事情沒有那麼簡單。此郵件是用HTML格式所寫的,所以可以看信件的內容原始碼。在原始碼裡面可以看到其實整封郵件內容是一個可按式圖檔(含有網站連結),也就是說不管讀者按信件的任何一個角落都會連到下列這個網站,而作者還刻意用些編碼方式試圖隱藏行蹤,如圖2:
所以使用者或許以為他所點選的是Citibank.com的網站,但是實際上會連到這個由釣魚者所製作的惡意網站。這個釣魚網站可能是欺騙使用者輸入自己的帳號與密碼,也有可能是利用IE漏洞植入後門。
這些惡意網站基本上就是架設來「駭」人的!攻擊者可能是採取入侵已知網站並且埋入後門的手法(例如今年年初爆發的大陸網軍入侵台灣網站事件),或者是像上述的「釣魚攻擊」一樣設置假網站模擬真實銀行或企業,結合其他的手法(電子郵件或是其他媒體)來吸引使用者上勾。使用者上勾後此惡意網站會在使用者瀏覽時利用IE可執行程式的漏洞植入後門程式,達到入侵的目的。最近國內外都有發生過的範例,就是有人入侵一些企業的網站,在網站上放入程式,當使用者無意間瀏覽到這些企業的網站(已經被入侵),就會隨著原本的網站內容下載這種惡意程式,然後透過瀏覽器漏洞在使用者機器上植入後門或木馬。之後攻擊者就可以利用遠端操控的方式遙控這些被植入後門的機器來執行分散式阻絕服務式攻擊等。這時候連本來好像可以信任的企業網站都需要再考慮了。網路上也可以找到公開資訊教你怎麼樣做個惡意網站來攻擊瀏覽者的IE,圖3就是一個範例。
同樣的,如果你在公司廁所內看到一張光碟上面寫著「第三季公司裁員名單」,千萬不要以為挖到寶然後馬上放進電腦內閱讀內容。這類東西的內容通常也都是惡意的。
弱點影響
每一個弱點遭受到威脅的攻擊之後可能會產生不同的結果。大體上來說,IE上的弱點遭受威脅攻擊後,對使用者端可能產生的影響主要包括:可執行任意程式碼、資料可能遭受竊取或是損毀、服務受到阻斷。這些影響在個人使用的環境下所造成的傷害通常僅限於單一機器,但是若在企業環境裡面因為使用IE的數量可能較多,便有可能相對造成企業內部網路使用效能影響,以及因為解決問題而導致的生產力降低。
執行任意程式碼
IE眾多弱點中,大概有三分之二都是容許攻擊者執行任意程式碼。需要注意的是,程式碼執行時所擁有的權限是執行IE的使用者權限。目前為止還沒發現有任何IE漏洞,可以達到權限提升的目的。也因此,你用越低權限的使用者身分來執行IE,你受到威脅時所產生的風險也相對降低。早期最為人詬病的就是ActiveX所造成的諸多緩衝區溢位漏洞、另外還有許多IE所支援的不同協定例如file、shell以及mht等等也有出過同類的問題。此外所謂的Cross-Zone Scripting也讓IE的安全性蒙上一層陰影。基本上IE可以將網站區分為不同的安全領域(Security Zone),每個安全領域可以有不同的設定。但是一些弱點使得攻擊者可以從不安全的領域跨領域執行在安全領域才能執行的腳本程式,這就造成了可以執行任意程式碼的攻擊。不過這樣的攻擊還是限制於IE執行者在系統上所擁有的權限。
如果攻擊者要在目標機器上執行程式,基本上都會以後門程式為優先,以達到成功入侵後再控制的目的。而這些後門程式除了單純滿足攻擊者窺視目標隱私或是偷竊資料的目的外,也有可能被控制成為執行分散式阻絕服務攻擊的犯罪行為之一。國外已經有範例:網路黑幫勒贖企業幾十萬美金,不服從者則以分散式阻絕服務攻擊的方法讓目標的網路或網站停擺而造成商業上的損失,這些攻擊的方法之一就是利用無辜民眾家用電腦的頻寬。當然,偷竊資料或是損毀資料也是攻擊者的其中一項選擇。
竊取資料
只要攻擊者能夠在受害者機器上執行任意程式,當然就可以竊取資料或是造成資料損毀。不過除此之外,我們另外在這個段落談的就是最近流行的「釣魚騙術」話題。釣魚騙術基本上就是以幾種不同的方式欺騙使用者的機密資料,例如線上銀行的帳號與密碼或是其他的東西。執行釣魚騙術的方法有幾種,其中的必要條件是電子郵件與一個假網站。
首先攻擊者必須先成立一個假網站。在以往的案例看來,攻擊者都會試著去申請一個包含有企業名稱的網域,例如hkhsbc.net、hkdbs.com等等,但是現在這個條件已非必要。並且架設一個網站上面包含惡意的內容與幾可亂真的網頁內容(有些案例裡面用來騙人的網站做的比實際的銀行網站還要吸引人!),然後就是散發電子郵件等待魚兒上勾。這個攻擊跟IE有關的地方在於電子郵件裡面顯現出來的URL要如何讓使用者上勾。除了利用URL定義時的一個漏洞以外,還有一些跟IE相關的漏洞也一併被利用來隱藏攻擊者網站的真正URL。
在RFC1738裡面定義了URL的用法,對於FTP協定,使用者可以在URL加入帳號名稱與密碼,HTTP協定則是沒有硬性要求支援此寫法。但是當初IE為了一些方便性而把這樣的支援加入,如此就衍生出很多變種的做法。
這些URL乍看之下好像是連到www.hsbc.com,可是實際上會帶領你的瀏覽器連到www.hkhsbc.com去,而www.hkhsbc.com是攻擊者申請的假網域名稱。因此如果使用者不察,就會直接連過去了。也因為釣魚攻擊造成的問題,微軟於今年稍早推出IE的補丁將此問題修復,以後IE不會預設支援此種格式(但還是可以透過更改registrykey來支援),減少造成問題的機會。
阻絕服務
針對瀏覽器的阻絕服務攻擊,目前還沒有聽說有任何大規模的事件。主要原因是,這樣攻擊所獲得的利益實在比不上前面提到的兩種影響。但是IE還是有不少漏洞可以導致使用者的瀏覽器無法繼續執行。
自保之道
看完IE所擁有的漏洞數目與這些漏洞可能造成的影響,很多IT人員大概都要呱呱叫!那麼使用者一定會問到怎麼辦呢?目前還沒有一定的定見,有人說換瀏覽器,有人說靠使用者教育,有人說乾脆把WWW廢了。本文不打算提出終極必殺手段,但是提出一些建議供個人使用者與企業IT人員參考。
IE有問題,那我們就換瀏覽器吧。這大概是最常聽到的說法,也有不少從業人員是抱持著下一個瀏覽器會更好的想法。基本上來說,可供更換的瀏覽器大概就屬Opera和Mozilla(FireFox)兩者了。針對個人使用者來說要換瀏覽器是相當簡單的事情,但是對企業IT來說,可能是另一個管理上的夢靨。更何況,別的瀏覽器就鐵定比較安全嗎?筆者對此持保留態度。原因很簡單,IE很多漏洞被發現主因是微軟目標大,大家喜歡針對他找漏洞,同時IE支援的功能多,也的確藏有不少漏洞。但問題是,別的瀏覽器是否也有同樣的人力、同樣的技術,花了同樣的時間來尋找他們的漏洞?筆者的保守答案是沒有任何文件可以讓人肯定,現在漏洞數目是少一些,但是難保在經過仔細評估或者是安全檢測之後也爆出相同的漏洞。因此與其治標更換另一個瀏覽器,倒不如分析一下問題是否有其他的解決之道。
降低權限
從目前IE所擁有的漏洞看來,會被植入後門程式或是竊取資料,主因是Windows的使用者安裝機器後,都是使用管理者權限的帳號來執行一切的動作。這可以說是Windows帶給使用者方便卻也容易被忽略的安全管理機制。如果說使用者執行IE所用的是普通的權限,那麼即使逛到惡意網站也不會被植入木馬,因為此時執行木馬安裝程式的使用者,並沒有管理者權限得以在本機上安裝軟體。竊取資料的情況還是會發生,因為最少可以讀的到本機使用者容許讀取的資料。但是「最小權限」這個原則一直是資安界提倡的安全原則之一,但是一直沒有在使用者端執行。
其實這個原則在執行上的確是會碰到一些困難,需要其他的工具與環境來配合,即使在微軟內部也是一個有待推動的觀念。筆者個人認為Mac OS X在這個部分目前倒是做的比Windows方便,當使用者以普通權限進入電腦,如果碰到需要管理者權限才能執行的工作,系統會有一個小鎖讓使用者輸入有管理權限的帳號和密碼,就可以用管理者權限來執行此工作。
在Windows上面如果要切實執行的話,基本上需要配合一些工具包括Run As、Make Me Admin或甚至Fast User Switch等等。整個過程可以再寫一篇文章。讀者可以先行參考微軟員工Aaron Margosis在MSDN上的blog。企業若要落實推行,需要先準備好測試的環境,確保能夠應付平常員工工作所需。
小心使用
使用者若無法實行降低權限避免風險的做法,則需要在使用上更加小心。所謂的小心指的是不要打開來路不明的電子郵件,不要隨意相信提供好康的網站,並且詳細閱讀瀏覽器所彈出的訊息。另外每當有新的修補程式出現時請盡可能盡快補強。更有興趣的讀者也可以看看網路上一個提供「Unpatched IE Bugs」的網站。
妥善管理
對於企業IT人員來說,不管用哪個瀏覽器,以能夠統一管理與配置是最好的也最方便。以各家瀏覽器相比,IE在這一個部分還是獨領風騷。有了IE Resource Kit,企業IT人員可以客製化瀏覽器,事先做好安全設定,把各個安全區域的設定定義好,相關的群組政策也定義好,甚至於連要信任的內部公司網站都可以先建立好資料,作好這些設定後就打包讓大多使用者下載安裝然後定期更新。加上環境裡面關於Proxy、IDS、IDP、Firewall、VM等資安環境的建置,這樣才能讓企業IT人員完善管理整個企業的網路環境。
後記
IE絕對是漏洞很多的瀏覽器,而微軟也為此傷透腦筋,但是同時也針對不少安全問題作出改進。使用者當然可以因為安全問題而更換瀏覽器,但是須認知到更換瀏覽器僅為治標不為治本的方法。唯有了解問題根源並且推廣正確的資安管理做法才能夠治標也治本。文⊙陳彥銘
專家小檔案
Foundstone 亞太總監
陳彥銘
曾任 Foundstone 資深顧問
卡內基美隆大學 Cyber Security Center 研究員
認證與訓練
CISSP,MCSE,Foundstone Ultimate Hacking 系列課程專任講師
學歷
國立中央大學數學系畢業
卡內基美隆大學資訊網路碩士
著作
貢獻作者:《Hacking Exposed 3rd ed》、《Hacking Exposed for Web Application》、《Windows XP Professional Security》、《Hacknote:Web Security Reference》文章見於 Security Focus、Dev X、SysAdmin、Unix Review、CNET Taiwan、iThome、網路通訊、PCWeek等國內外媒體。
專長
軟體產品與應用程式安全評估、風險評估與管理、無線網路安全評估、密碼學、存活分析研究及其他資安相關領域。
沒有留言:
張貼留言