支付宝漏洞事件出现后,我看到了很多网友对这件事情的评论。看了这些评论,我明白了一件事情:虽然谁都不希望自己成为病毒木马的受害者,谁都不希望自己的QQ号被偷走,不希望自己网游里的装备消失,不希望自己银行里的存款消失,不希望自己的聊天记录被人窃取,不希望自己的私生活被别人通过摄像头窥探甚至公布到互联网上成为“真人秀”,但是,很多人并不明白上面这些到底是怎么发生的,不明白安全漏洞意味着什么,不知道安全漏洞和自己有什么关系。所以我觉得有必要写这样一篇科普文章,作为《支付宝控件漏洞——到底是谁在撒谎?》一文的补充。
大多数人对自己所使用的计算机并不了解——当然,这并不重要,大多数人也不知道是电子跃迁让灯泡发光。但是人们都知道电的危险,都知道如何安全用电。而知道计算机安全知识的人就少而又少了。
很多人都认为《地心末日》是一部烂片,不过其中有一段对白的确很有意思:
H:你能说多少种语言?
A:5种。
H:是吗?我只会一种。一、零、一、零、零。就靠这个,我可以窃取你的金钱,你的秘密,你的性幻想,甚至你的一生。只要我想,不论何时何地都能做到。我们的力量是你所无法想象的。即使我努力,也无法做到象你那么迟钝的思考。
上面说的略显夸张,却基本属实。可惜很多人并不知道这种危险,就像很多人都不知道牛皮癣和白癜风其实都不传染一样。
我是学医出身,以前经常给病人家属发健康宣传册。也希望自己写的这些文章能起到健康宣传册的作用。
1、安全漏洞是怎么回事?木马是怎么回事?
从理论上说,安全漏洞就是软件中存在的意外功能分枝,通过安全漏洞,可以让软件做软件设计人员意想不到的事情。譬如Windows 2000里的mrinfo程序,原本是一个网络小工具,但是由于存在溢出,所以我们可以利用它来锁屏,或者其它任何事:
http://blog.xfocus.net/index.php?op=ViewArticle&articleId=1772&blogId=9
支付宝控件原本的设计功能是加密通信,保护用户的通信安全,但是由于存在安全漏洞,也可以被利用来执行任何功能,譬如运行一个盗取银行帐号的木马。
“木马”是特洛伊木马的简称,英文是Trojan Horse。有兴趣可以翻翻希腊神话中特洛伊战争这一段。现在我们通常用“木马”这个词来指那些不怀好意的软件。譬如偷盗QQ号、窃取网银帐号、证券帐号、网游帐号的程序,监视屏幕、控制摄像头和话筒的窃密程序等等。
木马要想在用户的计算机上运行,一个主要的手段就是利用安全漏洞。而目前被利用最多的,就是各种各样的IE控件漏洞。
通俗地说,有安全漏洞的软件就好比窗户上没插销的房子,而木马就好比小偷。如果你装了一扇没有插销的窗户,小偷就很容易进来。由于目前小偷是如此之多,对普通网民来说,除非不上网,否则只要系统存在漏洞,几乎一定会被装上木马,没有被装上才是很稀罕的事情。
2、支付宝控件现在到底有没有漏洞,安不安全?
1.0.0.7版,也就是2007年2月8日之前安装的支付宝控件是有漏洞的,不安全的,可以被人利用来控制你的系统的。
而2007年2月8日支付宝升级了控件,修复了上述漏洞。如果你不能确定自己的支付宝是否升级到了最新,请下载安装这个最新版本:
http://img.alipay.com/download/1009/aliedit.exe
3、支付宝控件漏洞对我有什么影响?是不是用支付宝有危险?
举个例子,就在刚才,就在我写这篇文章的过程中,一个朋友找到我,说他的网站被“挂马”了,让我帮助清除。
所谓“挂马”,就是入侵网站,修改网站的页面,在页面里放置恶意代码。凡是访问了该网站的用户,就可能被安装上木马。这种可以入侵网站访问者的恶意代码通常就是利用了某种漏洞。譬如,刚才清除的这个“挂马”利用的就是微软新出的VML控件漏洞。漏洞类型和支付宝控件漏洞是一样的。如果你的机器存在这个VML漏洞,那么就会被这个“挂马”装上灰鸽子后门、网游盗号工具等等一堆的木马。
只要你的机器有VML控件漏洞,那么只要访问了这种“挂马”的网站就被被入侵,而不论这个“挂马”的网站是微软的,还是新浪的。
同样道理,只要安装了有漏洞的控件,不管你用不用支付宝,是否登陆支付宝,都会受到漏洞的威胁。因为任何网页都可以通过放置特殊的代码来调用这个控件。但是用支付宝服务本身反而并不会有危险——因为我相信支付宝网站本身并不会包含这种恶意代码。
4、支付宝出了这么严重的安全漏洞,我还应该继续用它么?
每个软件都会有安全漏洞,上面提到的VML漏洞就是Windows的漏洞,你是否会因此而不用Windows呢?我也是支付宝用户,我会继续用下去。
5、最新版本的支付宝控件是不是就没有漏洞了?
可以肯定地说:最新版本的支付宝控件没有上面提到的这个漏洞。如果你升级到最新版本的支付宝控件,就不受这个漏洞的影响。但是任何人都不可能保证某个软件完全没有任何漏洞。不管是软件作者,还是某个权威机构。
我在《支付宝控件漏洞——到底是谁在撒谎?》提到最新版本支付宝控件仍然存在问题,不过那个只能引起IE崩溃,不能利用来入侵用户的电脑。
6、既然每个软件都可能有漏洞,那怎么防止中木马和病毒呢?
说实话,这不是几句话能说清楚的,甚至我把这篇文章所有的篇幅都用来说这个问题也不行。
不过有个简单而又有效的建议:尽量不用IE浏览器,改用firefox或者opera。只在必须用IE的时候才用。譬如登陆网上银行。还有一点:尽可能不要从国内的软件下载站点下载软件。
7、病毒木马我都不怕,装杀毒软件不就行了么?
目前所有杀毒软件主要的工作原理都是基于特征识别。什么叫特征识别呢?通俗来说,就是掌握一份坏人的花名册,根据花名册去找。如果这个病毒或者木马刚刚被写出来,还没有“案底”,不在花名册上,杀毒软件就识别不出来。
某些杀毒软件虽然也有些不依赖于花名册的高级识别功能,但是这种功能并不百分之百可靠。更何况,现在的病毒木马作者,在写完程序后,都会先用杀毒软件测试一下,确认不会被检测出来才放出去。
那么杀毒软件岂不是没用了么?不是。各种杀毒软件就像各种避孕措施一样,能帮你解决大多数的麻烦,但不能指望它百分之百可靠。
8、那些人为什么要写木马?为什么要利用漏洞“挂马”?
上一页12 下一页
收藏此页到网摘/书签:
大多数人对自己所使用的计算机并不了解——当然,这并不重要,大多数人也不知道是电子跃迁让灯泡发光。但是人们都知道电的危险,都知道如何安全用电。而知道计算机安全知识的人就少而又少了。
很多人都认为《地心末日》是一部烂片,不过其中有一段对白的确很有意思:
H:你能说多少种语言?
A:5种。
H:是吗?我只会一种。一、零、一、零、零。就靠这个,我可以窃取你的金钱,你的秘密,你的性幻想,甚至你的一生。只要我想,不论何时何地都能做到。我们的力量是你所无法想象的。即使我努力,也无法做到象你那么迟钝的思考。
上面说的略显夸张,却基本属实。可惜很多人并不知道这种危险,就像很多人都不知道牛皮癣和白癜风其实都不传染一样。
我是学医出身,以前经常给病人家属发健康宣传册。也希望自己写的这些文章能起到健康宣传册的作用。
1、安全漏洞是怎么回事?木马是怎么回事?
从理论上说,安全漏洞就是软件中存在的意外功能分枝,通过安全漏洞,可以让软件做软件设计人员意想不到的事情。譬如Windows 2000里的mrinfo程序,原本是一个网络小工具,但是由于存在溢出,所以我们可以利用它来锁屏,或者其它任何事:
http://blog.xfocus.net/index.php?op=ViewArticle&articleId=1772&blogId=9
支付宝控件原本的设计功能是加密通信,保护用户的通信安全,但是由于存在安全漏洞,也可以被利用来执行任何功能,譬如运行一个盗取银行帐号的木马。
“木马”是特洛伊木马的简称,英文是Trojan Horse。有兴趣可以翻翻希腊神话中特洛伊战争这一段。现在我们通常用“木马”这个词来指那些不怀好意的软件。譬如偷盗QQ号、窃取网银帐号、证券帐号、网游帐号的程序,监视屏幕、控制摄像头和话筒的窃密程序等等。
木马要想在用户的计算机上运行,一个主要的手段就是利用安全漏洞。而目前被利用最多的,就是各种各样的IE控件漏洞。
通俗地说,有安全漏洞的软件就好比窗户上没插销的房子,而木马就好比小偷。如果你装了一扇没有插销的窗户,小偷就很容易进来。由于目前小偷是如此之多,对普通网民来说,除非不上网,否则只要系统存在漏洞,几乎一定会被装上木马,没有被装上才是很稀罕的事情。
2、支付宝控件现在到底有没有漏洞,安不安全?
1.0.0.7版,也就是2007年2月8日之前安装的支付宝控件是有漏洞的,不安全的,可以被人利用来控制你的系统的。
而2007年2月8日支付宝升级了控件,修复了上述漏洞。如果你不能确定自己的支付宝是否升级到了最新,请下载安装这个最新版本:
http://img.alipay.com/download/1009/aliedit.exe
3、支付宝控件漏洞对我有什么影响?是不是用支付宝有危险?
举个例子,就在刚才,就在我写这篇文章的过程中,一个朋友找到我,说他的网站被“挂马”了,让我帮助清除。
所谓“挂马”,就是入侵网站,修改网站的页面,在页面里放置恶意代码。凡是访问了该网站的用户,就可能被安装上木马。这种可以入侵网站访问者的恶意代码通常就是利用了某种漏洞。譬如,刚才清除的这个“挂马”利用的就是微软新出的VML控件漏洞。漏洞类型和支付宝控件漏洞是一样的。如果你的机器存在这个VML漏洞,那么就会被这个“挂马”装上灰鸽子后门、网游盗号工具等等一堆的木马。
只要你的机器有VML控件漏洞,那么只要访问了这种“挂马”的网站就被被入侵,而不论这个“挂马”的网站是微软的,还是新浪的。
同样道理,只要安装了有漏洞的控件,不管你用不用支付宝,是否登陆支付宝,都会受到漏洞的威胁。因为任何网页都可以通过放置特殊的代码来调用这个控件。但是用支付宝服务本身反而并不会有危险——因为我相信支付宝网站本身并不会包含这种恶意代码。
4、支付宝出了这么严重的安全漏洞,我还应该继续用它么?
每个软件都会有安全漏洞,上面提到的VML漏洞就是Windows的漏洞,你是否会因此而不用Windows呢?我也是支付宝用户,我会继续用下去。
5、最新版本的支付宝控件是不是就没有漏洞了?
可以肯定地说:最新版本的支付宝控件没有上面提到的这个漏洞。如果你升级到最新版本的支付宝控件,就不受这个漏洞的影响。但是任何人都不可能保证某个软件完全没有任何漏洞。不管是软件作者,还是某个权威机构。
我在《支付宝控件漏洞——到底是谁在撒谎?》提到最新版本支付宝控件仍然存在问题,不过那个只能引起IE崩溃,不能利用来入侵用户的电脑。
6、既然每个软件都可能有漏洞,那怎么防止中木马和病毒呢?
说实话,这不是几句话能说清楚的,甚至我把这篇文章所有的篇幅都用来说这个问题也不行。
不过有个简单而又有效的建议:尽量不用IE浏览器,改用firefox或者opera。只在必须用IE的时候才用。譬如登陆网上银行。还有一点:尽可能不要从国内的软件下载站点下载软件。
7、病毒木马我都不怕,装杀毒软件不就行了么?
目前所有杀毒软件主要的工作原理都是基于特征识别。什么叫特征识别呢?通俗来说,就是掌握一份坏人的花名册,根据花名册去找。如果这个病毒或者木马刚刚被写出来,还没有“案底”,不在花名册上,杀毒软件就识别不出来。
某些杀毒软件虽然也有些不依赖于花名册的高级识别功能,但是这种功能并不百分之百可靠。更何况,现在的病毒木马作者,在写完程序后,都会先用杀毒软件测试一下,确认不会被检测出来才放出去。
那么杀毒软件岂不是没用了么?不是。各种杀毒软件就像各种避孕措施一样,能帮你解决大多数的麻烦,但不能指望它百分之百可靠。
8、那些人为什么要写木马?为什么要利用漏洞“挂马”?
评论列表