Dlaczego mogę dostać wirusa lub trojana z witryny?

16

Ostatnio dużo ich widziałem. Klikasz link i natychmiastowy trojan. Nie musisz pobierać ani nic.

Jak to jest możliwe? Czy mogę skanować linki przed wizytą, aby upewnić się, że nie zostaną zainfekowane?

Obrabować
źródło
Możliwy duplikat: superuser.com/questions/13507/…
Hello71
Jest to możliwe, ponieważ przeglądarki internetowe (takie jak Internet Explorer) są niezwykle złożonymi programami i pomimo tego, że są dobrze napisane. Hakerzy odkrywają wady, które można wykorzystać do uruchomienia na komputerze wybranego programu, takiego jak trojan.
unixman83

Odpowiedzi:

14

Aby odpowiedzieć, jak to możliwe:

Witryna zawiera skrypt, który jest uruchamiany podczas ładowania strony. To właśnie zaraża komputer z systemem Windows - nie jestem jednak w 100% pewien szczegółów, czy pobierze kod, czy po prostu go uruchomi. Ta strona zawiera przykład tego, jak zostało to zrobione w jednym przypadku. Wymagana jest również wrażliwa przeglądarka i praktycznie każda popularna przeglądarka jest podatna na ataki, ponieważ warto uruchomić coś na wielu komputerach.

W większości przypadków komputery PC z systemem Windows zostaną zainfekowane, gdy ludzie będą działać jako użytkownicy administracyjni, a nie ograniczeni. Przyczyny tego są liczne i różnorodne. Jak zauważa Roger w swoim komentarzu, jego popularność, a nie jakakolwiek wewnętrzna słabość, która jest tutaj głównym czynnikiem:

System Windows jest bardziej ukierunkowany, ponieważ jest bardziej popularny. Niektórzy twierdzą, że Windows jest również mniej bezpieczny niż alternatywy, ale muszę powiedzieć, że w sposób, w jaki podkreślasz, nie jest. Używam Linuksa w domu i jeśli trojan mógłby działać na moim koncie użytkownika, nadal mógłby wyrządzić sporo szkód plikom, na których mi zależy, po prostu nie mógłby przejąć systemu.

Chociaż działając z użytkownikiem o ograniczonych prawach, możesz ograniczyć szkody, ale niekoniecznie je wyeliminować.

Z Vista i teraz 7 mający ściślejszą kontrolę nad tym, co dostaje uruchom jako admin ty może zacząć, aby zobaczyć spadek tego rodzaju stron - choć będzie to tylko wtedy, gdy większość z nich działa nowsze systemy operacyjne.

ChrisF
źródło
Dzięki. Po prostu trudno mi uwierzyć, że może ona automatycznie pobrać i uruchomić przeglądarkę. Jaki to byłby skrypt? JavaScript?
Rob
@Rob - Tak, będzie to JavaScript, i wymaga podatnej przeglądarki, a użytkownik jest administratorem.
ChrisF,
Udało się zainstalować za pomocą FireFox. To tyle, jeśli chodzi o najbezpieczniejszy przeglądarkę internetową. fml
Rob
@Rob - Firefox nie był przez jakiś czas najbezpieczniejszą przeglądarką. Gdy tylko osiągnął przyzwoity udział w rynku, twórcy wirusów i trojanów zaczęli szukać exploitów, gdy stało się to warte ich czasu. Jeśli chcesz „bezpiecznego” przeglądania, wybierz przeglądarkę o najniższym udziale w rynku;)
ChrisF
1
Niestety boję się zmian. Będę trzymać się firefox, ponieważ ma mnóstwo dodatków, których używam na co dzień. Znowu FML. Teraz muszę tylko wiedzieć, czy można zaakceptować dwie odpowiedzi na jedno pytanie?
Rob
8

Cóż, kiedy otworzysz stronę internetową, może ona skierować przeglądarkę do robienia wszelkiego rodzaju rzeczy w jej imieniu. W najprostszym przypadku po prostu wyśle ​​tekst i obrazy do wyświetlenia, ale może również wysłać małe programy, które przeglądarka będzie uruchamiała (w JavaScript, które przeglądarki mają wbudowane, lub za pomocą wtyczki do przeglądarki, takiej jak Java lub Flash) .

Zasadniczo zarażenie podczas odwiedzania strony internetowej powinno być niemożliwe:

Chociaż przeglądarki wykonują programy w imieniu odwiedzanych witryn, programy te są ostrożnie ograniczone, aby mogły robić tylko „nieszkodliwe” rzeczy. Za pomocą JavaScript możesz na przykład zmienić stronę, do której należy JavaScript (ponieważ oba pochodzą z tej samej witryny, nie może to wyrządzić szkody), ale JavaScript nie może zmienić strony z innej witryny (więc sprytna witryna nie może zmienić Twojej bankowość domowa) i może nie mieć bezpośredniego dostępu do plików na twoim komputerze.

Podobne ograniczenia obowiązują w przypadku większości wtyczek (przynajmniej dla Java i Flash). Jest to powszechnie nazywane piaskownicą , ponieważ kod jest zasadniczo w swoim własnym polu, odizolowanym od komputera, na którym działa. W szczególności nie może odczytywać plików na dysku twardym ani uruchamiać programów, takich jak „zwykłe” programy uruchomione na komputerze.

Rzecz w tym, że chociaż w zasadzie jesteś bezpieczny, w praktyce możesz nim nie być. Powodem jest to, że system piaskownicy, podobnie jak wszystkie programy, zawiera błędy. Czasami te błędy pozwalają programowi „złamać” piaskownicę i nakłonić przeglądarkę lub wtyczki do robienia rzeczy, których nie powinno się robić. Te sztuczki mogą być dość skomplikowane.

Przykłady:

  • Podobnie jak w przypadku zwykłych programów, implementacja przeglądarki lub wtyczki może powodować przepełnienie bufora, co może pozwolić stronie internetowej na uruchomienie specjalnie spreparowanego kodu, wysyłając go do przeglądarki jako dane wejściowe.
  • W starych wersjach wtyczki Java firmy Sun występowała luka w zabezpieczeniach w odniesieniu do piaskownicy. Piaskownica uniemożliwiła (i nadal nie pozwala) dostęp do wszystkich funkcji Java, które mogłyby pozwolić programowi na uszkodzenie, takie jak odczyt lub usuwanie plików lokalnych. Jednak podczas gdy piaskownica poprawnie blokowała dostęp do tych funkcji z apletu Java, przeglądarki zezwalały również na pośredni dostęp do tych funkcji z JavaScript (za pomocą techniki zwanej „refleksją”). Ten „backdoor” nie został wystarczająco uwzględniony przez programistów i pozwolił ominąć ograniczenia piaskownicy, łamiąc piaskownicę. Zobacz https://klikki.fi/adv/javaplugin.html szczegóły.

Niestety, istnieje kilka luk w piaskownicach JavaScript, Java i Flash, żeby wymienić tylko kilka. To nadal rodzaj wyścigu między złośliwymi hakerami, którzy wykrywają te luki w celu ich wykorzystania, a dobrymi hakerami i programistami, którzy je wykrywają i naprawiają. Zwykle są one naprawiane szybko, ale czasami pojawia się okno podatności.

BTW: Piaskownica jest przyczyną, dla której niektóre aplety Java wyświetlają ostrzeżenie „Czy ufasz temu apletowi” podczas uruchamiania: aplety te proszą Cię o wypuszczenie ich z piaskownicy i zapewnienie im dostępu do komputera. Jest to czasem konieczne, ale powinno być udzielane tylko z uzasadnionych powodów.

PS: Powodem, dla którego ActiveX (przynajmniej wczesne wersje) były tak strasznie niepewne, jest to, że ActiveX nie używał piaskownicy. Każdy kod ActiveX ze strony internetowej miał pełny dostęp do twojego systemu. Szczerze mówiąc, zostało to (częściowo) naprawione w późniejszych wersjach.

Śleske
źródło
2

Wspominam o tym, aby odpowiedzieć na twoje ostatnie pytanie dotyczące działań zapobiegawczych. Jedną z nietypowych opcji jest używanie maszyny wirtualnej (no cóż, jest to powszechne wśród kręgów bezpieczeństwa). Dostępnych jest kilka bezpłatnych. Zainstaluj system operacyjny, przeglądarkę i dodatki na maszynie wirtualnej i zapisz stan. Następnie możesz przejść do dowolnej witryny. Po zakończeniu powracasz do stanu zapisanego i wszystko, co wydarzyło się na maszynie wirtualnej po tym punkcie, jest odrzucane. Po wejściu w to jest bardzo proste, ale może stanowić lekką krzywą uczenia się.

Uwaga: Przywrócenie stanu dosłownie odrzuci wszelkie zmiany w maszynie wirtualnej; w tym historię przeglądarki, pliki cookie, aktualizacje itp. W takim przypadku możesz przywrócić ten stan, zastosować aktualizacje i zapisać nowy stan. To samo można zrobić dla wszystkiego, co chcesz zachować. Nic z tego nie wpływa na rzeczywisty komputer, tylko na maszynę wirtualną.

Ioan
źródło
To nie jest naprawdę praktyczne. Noscript z Firefoksem jest DUŻO lepszy.
unixman83,
1
W rzeczywistości jest to bardzo praktyczne z punktu widzenia bezpieczeństwa, o co pytano. NoScript po prostu domyślnie wyłącza ładowanie JavaScript, z wyjątkiem dozwolonych witryn; istnieją inne wektory ataku. Bez pomocy może to być uciążliwe i frustrujące. Maszyna wirtualna działa jak piaskownica, umożliwia regularne / pełne przeglądanie i zapewnia łatwe / szybkie odzyskiwanie. Nie musisz używać maszyny wirtualnej do zaufanych / znanych witryn, jeśli pulpit jest zamknięty, tylko dla nowych / wątpliwych. Wątek ten ma również 2 lata ...
Ioan
Tylko 5% rzeczywistych wektorów ataków kończy się powodzeniem przy wyłączonych skryptach i wyłączonych wtyczkach. tzn. z NoScript. wiele witryn działa bez włączonych skryptów.
unixman83,
1
W porządku, wspomniałem, że nie był powszechnie używany i trzeba się przyzwyczaić. Głosowanie w dół, ponieważ podoba Ci się inne rozwiązanie, jest nieprawidłowe. Odpowiedź nie jest zła. Lepiej byłoby dodać własną odpowiedź lub głosować na inną, którą wolisz. Przynajmniej tak rozumiem system głosowania, aby działał.
Ioan