Tại sao tôi có thể bị nhiễm vi-rút hoặc trojan khi truy cập trang web?


16

Tôi đã nhìn thấy những điều này rất nhiều gần đây. Bạn nhấp vào liên kết, và trojan ngay lập tức. Không cần tải về hay gì cả.

Sao có thể như thế được? Có cách nào để tôi có thể quét các liên kết trước khi truy cập để đảm bảo tôi sẽ không bị nhiễm bệnh không?


Bản sao có thể có: superuser.com/questions/13507/
Mạnh

Có thể bởi vì các trình duyệt web (như trình duyệt internet explorer) là những phần mềm cực kỳ phức tạp và mặc dù được viết tốt. Có những lỗ hổng mà tin tặc phát hiện ra có thể được sử dụng để chạy một chương trình mà chúng lựa chọn trên máy của bạn, chẳng hạn như trojan.
unixman83

Câu trả lời:


14

Để trả lời làm thế nào có thể:

Trang web có một số tập lệnh được thực thi khi bạn tải trang. Đây là những gì lây nhiễm cho PC Windows của bạn - Tôi không chắc chắn 100% về các chi tiết, cho dù nó tải mã hay chỉ chạy nó. Trang này có một ví dụ về cách nó được thực hiện trong một trường hợp. Một trình duyệt dễ bị tổn thương cũng được yêu cầu và hầu như bất kỳ trình duyệt phổ biến nào cũng là một trình duyệt dễ bị tổn thương vì một cái gì đó chạy trên nhiều máy tính là đáng để nhắm mục tiêu.

Đây sẽ là phần mềm Windows PC bị nhiễm khi mọi người chạy với tư cách quản trị viên thay vì người dùng bị hạn chế. Những lý do cho điều này rất nhiều và đa dạng. Như Roger chỉ ra trong nhận xét của mình, mức độ phổ biến của nó thay vì bất kỳ điểm yếu nội tại nào là yếu tố chính ở đây:

Windows được nhắm mục tiêu nhiều hơn vì nó phổ biến hơn. Một số người nói rằng Windows cũng kém an toàn hơn so với các lựa chọn thay thế, nhưng tôi phải nói rằng theo cách bạn làm nổi bật, thì không. Tôi chạy Linux tại nhà và nếu một trojan có thể chạy trong tài khoản người dùng của tôi thì nó vẫn có thể gây ra nhiều thiệt hại cho các tệp mà tôi quan tâm khá nhiều, nó chỉ không thể chiếm lấy hệ thống.

Mặc dù bằng cách chạy với người dùng quyền bị hạn chế, bạn có thể hạn chế thiệt hại, nhưng không nhất thiết phải loại bỏ nó.

Với Vista và giờ đây 7 quyền kiểm soát chặt chẽ hơn đối với những gì được chạy với tư cách quản trị viên, bạn có thể bắt đầu thấy sự sụt giảm trong các loại trang web này - mặc dù điều đó sẽ chỉ xảy ra khi phần lớn đang chạy hệ điều hành mới hơn.


Cảm ơn. Tôi chỉ thấy khó tin rằng nó có thể tự động làm cho trình duyệt của bạn tải xuống và chạy nó. Đó là loại kịch bản nào? JavaScript?
Cướp

@Rob - Có, nó sẽ là JavaScript và nó yêu cầu trình duyệt dễ bị tấn công và người dùng là quản trị viên.
ChrisF

Nó quản lý để tự cài đặt thông qua FireFox. Quá nhiều cho webbrowser an toàn nhất. FML
Rob

@Rob - Firefox không phải là trình duyệt an toàn nhất trong một thời gian. Ngay khi nó đạt được một thị phần tốt, các nhà văn virus và trojan bắt đầu tìm kiếm khai thác khi nó trở nên đáng giá. Nếu bạn muốn duyệt "an toàn", hãy chọn trình duyệt có thị phần thấp nhất;)
ChrisF

1
Thật không may, tôi sợ thay đổi. Tôi sẽ gắn bó với firefox, vì nó có hàng tấn addons tôi sử dụng hàng ngày. FML một lần nữa. Bây giờ tôi chỉ cần biết nếu có thể chấp nhận hai câu trả lời cho một câu hỏi?
Cướp

8

Vâng, khi bạn mở một trang web, trang web có thể chỉ đạo trình duyệt thực hiện tất cả các loại thay mặt. Trong trường hợp đơn giản nhất, nó sẽ chỉ gửi văn bản và hình ảnh được hiển thị, nhưng nó cũng có thể gửi các chương trình nhỏ mà trình duyệt sẽ chạy (trong JavaScript, trình duyệt có tích hợp sẵn hoặc sử dụng plugin trình duyệt như Java hoặc Flash) .

Về nguyên tắc, việc bị lây nhiễm chỉ từ việc truy cập một trang web là không thể:

Mặc dù các trình duyệt sẽ thực thi các chương trình thay mặt cho các trang web bạn truy cập, các chương trình này bị hạn chế cẩn thận để chúng chỉ có thể làm những việc "vô hại". Từ JavaScript, ví dụ bạn có thể thay đổi trang mà JavaScript thuộc về (vì cả hai đều xuất phát từ cùng một trang web, không thể có hại), nhưng JavaScript không thể thay đổi một trang từ một trang web khác (vì vậy một trang web nhếch nhác không thể thay đổi hiển thị ngân hàng tại nhà) và nó có thể không truy cập trực tiếp vào các tệp trên máy tính của bạn.

Các hạn chế tương tự tồn tại đối với hầu hết các plugin (ít nhất là đối với Java và Flash). Điều này thường được gọi là hộp cát , vì mã chủ yếu nằm trong một hộp riêng, tách biệt với máy tính mà nó chạy. Cụ thể, nó không thể đọc các tệp trên đĩa cứng của bạn hoặc khởi động các chương trình cho bạn, như các chương trình "thông thường" đang chạy trên máy tính của bạn có thể.

Bây giờ, điều là: trong khi về nguyên tắc bạn an toàn, trong thực tế, bạn có thể không. Lý do là hệ thống hộp cát, giống như tất cả các chương trình, có lỗi. Đôi khi những lỗi này cho phép một chương trình "phá vỡ" hộp cát và lừa trình duyệt hoặc plugin để làm những việc không nên cho phép. Những thủ thuật này có thể khá phức tạp.

Ví dụ:

  • Giống như các chương trình thông thường, việc triển khai trình duyệt hoặc plugin có thể có lỗi tràn bộ đệm, có thể cho phép một trang web chạy mã được chế tạo đặc biệt bằng cách gửi nó đến trình duyệt làm đầu vào.
  • Có một lỗ hổng trong các phiên bản cũ của plugin Java của Sun đối với hộp cát. Hộp cát không được phép (và vẫn không cho phép) truy cập vào tất cả các hàm Java có thể cho phép chương trình gây thiệt hại, chẳng hạn như đọc hoặc xóa các tệp cục bộ. Tuy nhiên, trong khi hộp cát đã chặn chính xác quyền truy cập vào các hàm này từ một applet Java, các trình duyệt cũng cho phép truy cập gián tiếp vào các hàm này từ JavaScript (thông qua một kỹ thuật gọi là "phản chiếu"). "Cửa hậu" này đã không được các nhà phát triển xem xét đầy đủ và cho phép bỏ qua các hạn chế về hộp cát, phá vỡ hộp cát. Xem https://klikki.fi/adv/javaplugin.html để biết chi tiết.

Thật không may, đã có một số lỗ hổng trong các hộp cát của JavaScript, Java và Flash, chỉ để đặt tên cho một số. Đây vẫn là một cuộc đua giữa các tin tặc độc hại phát hiện ra các lỗ hổng này để khai thác chúng, và các tin tặc và nhà phát triển giỏi, những người phát hiện và sửa chúng. Thông thường, chúng được sửa chữa nhanh chóng, nhưng đôi khi có một cửa sổ dễ bị tổn thương.

BTW: Sandbox là lý do một số applet Java bật lên cảnh báo "Bạn có tin tưởng applet này không" khi khởi chạy: Những applet này yêu cầu bạn cho chúng ra khỏi hộp cát của chúng và cho phép chúng truy cập vào máy tính của bạn. Điều này đôi khi là cần thiết, nhưng chỉ nên được cấp với lý do tốt.

PS: Lý do mà ActiveX (ít nhất là các phiên bản đầu tiên) không an toàn khủng khiếp là ActiveX không sử dụng hộp cát. Bất kỳ mã ActiveX nào từ một trang web đều có quyền truy cập đầy đủ vào hệ thống của bạn. Để công bằng, điều này (một phần) được sửa chữa trong các phiên bản sau.


2

Tôi đề cập đến điều này để trả lời câu hỏi cuối cùng của bạn về hành động phủ đầu. Một tùy chọn không phổ biến là sử dụng máy ảo (tốt, nó phổ biến trong giới bảo mật). Có một vài cái miễn phí có sẵn. Cài đặt hệ điều hành, trình duyệt và bổ trợ của bạn trong máy ảo và lưu trạng thái. Sau đó bạn có thể duyệt đến bất kỳ trang web. Khi kết thúc, bạn trở lại trạng thái đã lưu và bất kỳ điều gì xảy ra trong máy ảo sau khi điểm đó bị loại bỏ. Nó rất đơn giản một khi bạn vào nó, nhưng có thể tạo ra một đường cong học tập nhẹ.

Lưu ý: Hoàn nguyên trạng thái sẽ loại bỏ mọi thay đổi đối với máy ảo; bao gồm lịch sử trình duyệt, cookie, cập nhật, v.v. Trong trường hợp này, bạn có thể trở lại trạng thái đó, áp dụng các bản cập nhật và lưu trạng thái mới. Điều tương tự có thể được thực hiện cho bất cứ điều gì khác mà bạn muốn giữ. Không ai trong số này ảnh hưởng đến máy tính thực tế của bạn, chỉ có máy ảo.


Điều này không thực sự thiết thực. Noscript với firefox là tốt hơn.
unixman83

1
Trên thực tế, nó rất thực tế từ quan điểm bảo mật, đó là những gì được yêu cầu. NoScript chỉ đơn giản là vô hiệu hóa tải JavaScript theo mặc định, ngoại trừ các trang web bạn cho phép; có các vectơ tấn công khác. Không có sự giúp đỡ, điều đó có thể tẻ nhạt và bực bội để có được đúng. VM hoạt động như một hộp cát, cho phép duyệt thường xuyên / đầy đủ và cung cấp phương tiện phục hồi dễ dàng / nhanh chóng. Không cần sử dụng VM cho các trang web đáng tin cậy / đã biết nếu máy tính để bàn của bạn bị khóa, chỉ cho những trang mới / nghi vấn. Chủ đề này cũng được 2 tuổi ...
Ioan

Chỉ có 5% vectơ tấn công trong thế giới thực thành công với các tập lệnh tắt và các plugin bị vô hiệu hóa. tức là với NoScript. nhiều trang web hoạt động mà không có kịch bản bật.
unixman83

1
Điều đó tốt, tôi đã đề cập đến nó không được sử dụng phổ biến và đã quen dần. Bỏ phiếu vì bạn thích giải pháp khác là không chính xác. Câu trả lời không sai. Bạn sẽ tốt hơn nếu thêm câu trả lời của riêng bạn hoặc bỏ phiếu khác mà bạn có thể thích. Ít nhất, đó là cách tôi hiểu hệ thống bầu cử để hoạt động.
Ioan
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.