关于信息安全和安全漏洞的一些科普——从支付宝控件漏洞谈起(1) 支付宝漏洞事件出现后,我看到了很多网友对这件事情的评论。看了这些评论,我明白了一件事情:虽然谁都不希望自己成为病毒木马的受害者,谁都不希望自己的QQ号被偷走,不希望自己网游里的装备消失,不希望自己银行里的存款消失,不希望自己的聊天记录被人窃取,不希望自己的私生活被别人通过摄像头窥探甚至公布到互联网上成为“真人秀”,但是,很多人并不明白上面这些到底是怎么发生的,不明白安全漏洞意味着什么,不知道安全漏洞和自己有什么关系。所以我觉得有必要写这样一篇科普文章,作为《支付宝控件漏洞——到底是谁在撒谎?》一文的补充。大多数人对自己所使用的计算机并不了解——当然,这并不重要,大多数人也不知道是电子跃迁让灯泡发光。但是人们都知道电的危险,都知道如何安全用电。而知道计算机安全知识的人就少而又少了。很多人都认为《地心末日》是一部烂片,不过其中有一段对白的确很有意思:H:你能说多少种语言?A:5种。H:是吗?我只会一种。一、零、一、零、零。就靠这个,我可以窃取你的金钱,你的秘密,你的性幻想,甚至你的一生。只要我想,不论何时何地都能做到。我们的力量是你所无法想象的。即使我努力,也无法做到象你那么迟钝的思考。上面说的略显夸张,却基本属实。可惜很多人并不知道这种危险,就像很多人都不知道牛皮癣和白癜风其实都不传染一样。我是学医出身,以前经常给病人家属发健康宣传册。也希望自己写的这些文章能起到健康宣传册的作用。1、安全漏洞是怎么回事?木马是怎么回事?从理论上说,安全漏洞就是软件中存在的意外功能分枝,通过安全漏洞,可以让软件做软件设计人员意想不到的事情。譬如Windows 2000里的mrinfo程序,原本是一个网络小工具,但是由于存在溢出,所以我们可以利用它来锁屏,或者其它任何事:http://blog.xfocus.net/index.PHP?op=ViewArticle&articleId=1772&blogId=9支付宝控件原本的设计功能是加密通信,保护用户的通信安全,但是由于存在安全漏洞,也可以被利用来执行任何功能,譬如运行一个盗取银行帐号的木马。“木马”是特洛伊木马的简称,英文是Trojan Horse。有兴趣可以翻翻希腊神话中特洛伊战争这一段。现在我们通常用“木马”这个词来指那些不怀好意的软件。譬如偷盗QQ号、窃取网银帐号、证券帐号、网游帐号的程序,监视屏幕、控制摄像头和话筒的窃密程序等等。木马要想在用户的计算机上运行,一个主要的手段就是利用安全漏洞。而目前被利用最多的,就是各种各样的IE控件漏洞。通俗地说,有安全漏洞的软件就好比窗户上没插销的房子,而木马就好比小偷。如果你装了一扇没有插销的窗户,小偷就很容易进来。由于目前小偷是如此之多,对普通网民来说,除非不上网,否则只要系统存在漏洞,几乎一定会被装上木马,没有被装上才是很稀罕的事情。2、支付宝控件现在到底有没有漏洞,安不安全?1.0.0.7版,也就是2007年2月8日之前安装的支付宝控件是有漏洞的,不安全的,可以被人利用来控制你的系统的。而2007年2月8日支付宝升级了控件,修复了上述漏洞。如果你不能确定自己的支付宝是否升级到了最新,请下载安装这个最新版本:http://img.alipay.com/download/1009/aliedit.exe3、支付宝控件漏洞对我有什么影响?是不是用支付宝有危险?举个例子,就在刚才,就在我写这篇文章的过程中,一个朋友找到我,说他的网站被“挂马”了,让我帮助清除。所谓“挂马”,就是入侵网站,修改网站的页面,在页面里放置恶意代码。凡是访问了该网站的用户,就可能被安装上木马。这种可以入侵网站访问者的恶意代码通常就是利用了某种漏洞。譬如,刚才清除的这个“挂马”利用的就是微软新出的VML控件漏洞。漏洞类型和支付宝控件漏洞是一样的。如果你的机器存在这个VML漏洞,那么就会被这个“挂马”装上灰鸽子后门、网游盗号工具等等一堆的木马。
