前言面對日益猖獗的側錄型木馬程式,線上交易的安全性再次受到考驗。本文探討電子商務業者現有的反制技術及其優缺點,期能有助於防治現代版的木馬屠城記。 在電子商務蓬勃發展的今天,多數網站最普遍採用的身份認證方式就是在網頁上輸入帳號與密碼,但是依據「反釣魚詐騙組織」(Anti- Phishing Working Group,APWG)最近所公佈的報告顯示,鍵盤側錄程式已經在網際網路中快速氾濫。如果電腦被這種側錄型木馬入侵,則使用者在網路銀行、拍賣網站等的 登入帳號與密碼,甚至是線上交易時所使用的信用卡號碼,都會被木馬程式偷偷地側錄下來,再伺機傳送到特定的駭客網址或電子信箱中,在日後可能的電子商務犯 罪中派上用場。
現有的因應措施對於這種日益猖獗的鍵盤側錄攻擊,多數的網站並未提出因應措施,而那些重視使用者權益或交易金額較大的電子商務業者,則分別採用如下的防護方式。 一次式密碼(One Time Password)使用者每次登入所用的密碼僅短暫有效,因此即使密碼被側錄與盜取也不至於有安全顧慮。一次式密碼的作法可以利用網頁每次提供不同的數字對照表之圖 形,讓使用者的密的雖未改變但每次輸入到鍵盤的資料卻是各不相同的(請參考圖1)。但是如果潛藏的側錄型木馬有進行畫面擷取的動作,就會有密碼外洩的可 能。另外一個較常見的方法是利用可產生一次式密碼的硬體,使用者每次須在一個經過註冊的密碼產生器按下按鈕,其LCD螢幕所顯示的數字即為當次有效的登入 密碼,可以根絕側錄型木馬的攻擊並達到更高的系統安全性。 公開金鑰架構(Public Key Infrastructure,PKI)智慧卡使用者於登入網站時需利用一張存有私密金鑰的智慧卡,同時輸入個人認證碼(PIN)並與後端系統進行挑戰/回應(Challenge & Response)的認證程序,可達到較高的安全等級但系統也有較複雜的申請及維護流程。 在這裡密碼如果洩漏並不至於影響系統安全性,因為攻擊者無法取得這張存有私密金鑰的智慧卡以符合系統認證流程的要求。 虛擬鍵盤這種方法並不改變使用者的密碼,僅於登入的網頁上提供虛擬鍵盤,讓使用者利用滑鼠點在密碼所對應的鍵盤畫面上,達成不用實體鍵盤的密碼輸入方式(請 參考圖2)。但是如果側錄型木馬有同時進行畫面擷取及滑鼠偵測的動作,就會有密碼外洩的可能。針對這個弱點也有些虛擬鍵盤的設計是以滑鼠指標停頓若干時間 來取代點選輸入的方式,如此即可解決此種偵測滑鼠擷取畫面的問題。不過因為各家網站在設計虛擬鍵盤的防護方式上有所不同,也會影響系統抵擋側錄型木馬的整 體效果。
各種防護措施的比較表1簡單地就上述各種密碼防護方法的安全性、建置成本、維運成本及使用方便性列出優缺點。考慮到這些防護技術在電子商務的推廣普及性,公開金鑰智慧 卡與硬體一次式密碼產生器雖然擁有較高的資訊安全等級,但它們的建置與維運成本頗高是較難以普及的。而在網頁顯示對應圖形的一次式密碼方法由於建置成本稍 高且側錄型密碼也常會擷取畫面,以致於影響其密碼防護的效果。因此接下來我們將探討在網頁上應用虛擬鍵盤的技術。 虛擬鍵盤的應用虛擬鍵盤一般可採用網頁的指令稿、內建於網頁的元件或是獨立的執行程式的技術來實作,網頁上的指令稿在資源及權限上受到許多限制因此使用者介面與操 作的控制程度就較不理想,但它在使用及建置流程上是比較方便的。而內建於網頁的元件或獨立的執行程式則可以達到更佳的操作控制,但其使用及建置流程則較為 不方便。為了達到保護密碼的效果,在網頁上使用虛擬鍵盤的防護技術時應該注意下列幾點:
DIY的防護方法在那些遲遲未能提供對策以防制鍵盤側錄型木馬的網站上,我們在輸入密碼可以用切換不同欄位的方式交錯鍵入密碼字元,甚至是在同一欄位的不同位置輸 入,這樣將使得木馬程式所側錄到的密碼資訊較難利用。例如使用者名稱為CHIAHU,密碼為123456,在輸入這兩個欄位的資料時交錯輸入成為 C123HIA456HU,或是以滑鼠選取已輸入密碼的部分字元再行輸入,諸如此類的輸入方式可以讓木馬側錄到的密碼資訊混淆不正確,也許是一個最低成本 的自保方法。 另外一個更有效的DIY密碼防護方法則是利用Windows 2000或XP上的輔助工具程式osk.exe,這個虛擬鍵盤程式可以設定為依據滑鼠的停止時間而非以滑鼠左鍵點選當作輸入的方法,如此甚至可防止側錄型 木馬在滑鼠點選時擷取畫面造成的密碼洩漏的情形。圖3即為利用Windows這個輔助工具程式以保護網路銀行密碼的操作畫面。
結論虛擬鍵盤可以抵擋側錄型木馬盜取從鍵盤輸入的隱密性資訊,而且如果虛擬鍵盤具有時間延遲的輸入模式也可以對抗畫面擷取型的側錄程式。但對於那些以瀏 覽器插件的型式來盜取網頁機密的木馬程式而言,虛擬鍵盤的技術就愛莫能助了。這時只有採用安全等級更高的公開金鑰智慧卡或是硬體一次式密碼的技術,才能夠 抵禦這種瀏覽器插件型木馬的盜錄攻擊。但是採用這兩種技術也只能保護網站上驗證身份用的密碼,無法擴及於其他的隱密性資訊。例如信用卡號碼。幸而因為瀏覽 器插件必需登記在特定的註冊區之中,所以對於這種瀏覽器插件型的木馬,我們也可以採取類似防毒軟體的掃瞄功能,在使用者的瀏覽器插件註冊區進行掃描的檢查 作業,就能察覺是否有隱藏的瀏覽器插件型木馬正在威脅我們的網路交易安全。 |