电视银行安全性分析
在实施电视银行业务时,客户提出了这样一个需求:除了实现SSL外,还需要实现类似网银的Activex控件。本文着重分析下在机顶盒中是否有必要像IE一样通过Activex保证密码的安全。
首先我们分析SSL和Activex控件在安全保护方面的作用:
SSL:
用以保障在Internet上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。
防止非法者通过伪造或欺骗手段窃取用户密码
SSL虽然能够保证用户信息在网络上的传输安全,但是却没法保证用户信息被木马或病毒捕获。但尽管各网上银行采取SSL加密防止通过嗅探网络封包的方式截取密码;对于防止WEB登陆时密码被窃取,网上银行采取了安全控件或者动态软键盘的方法。
下面我们分析PC和机顶盒上的差异性:
从操作系统角度考虑,由于windows平台的广泛使用,及windows和IE的诸多漏洞,导致了在windows平台上的病毒和木马横行。因此采取安全控件的方式防止密码被记录或捕获非常重要,大多数病毒、木马也是通过此种方式来窃取密码。在安全焦点中对于windows平台中捕获密码的方式进行了重点介绍,有兴趣的可以查看这里。
在机顶盒中,系统为嵌入式操作系统,大多为linux平台,因此很难出现像windows平台一样病毒木马横行。另外我们也可通过手机看到,在手机平台上运行的病毒还是极少的。
从网络角度考虑,用户在使用windows上网时,有时会被引诱到那种包含大量木马和病毒的网站。例如我们经常在下载软件时,发现下载下来的确实一些命名比较怪异的软件,并且文件比较小,像这类软件基本上属于病毒或木马。还有在打开网站时就会马上通过系统或IE漏洞加载相应的病毒和木马,防不胜防。但在机顶盒中,所有的网络接入资源,即网络内容,运营商是严格控制的,用户也不会也不能随意打开某个网站。当然,现今的机顶盒也是不具备随意打开某个网站的功能,机顶盒中的浏览器和IE、Firefox、Opera相比还相距甚远,同时跟Windows Mobile中的IE,iPhone中的Mac浏览器也是差距比较大的。
在安全焦点的文章中提到,现在有些病毒通过键盘过滤驱动等方法来获取用户密码,即从windows中最底层去获取密码。其实如果非法者需要从机顶盒中截取电视银行的密码,也可以采取类似的方法。在驱动层,机顶盒厂家是可以捕获所有遥控器按键消息的。在应用层,也可以通过onkeypress等方法捕获用户按键值,再将相应的按键值转换成对应的数字或字母。
如果要我去窃取密码,我会怎么做呢?
如果我是应用开发工程师:
首先入侵广电的网络,找到机顶盒访问的双向应用入口,修改和替换相应页面,捕获用户按键值。
广电这帮人,尽管内容审核控制比较严格,但在Web及网络安全这块是非常弱势的。在这个网络时代,急需改变思维。
如果我是机顶盒开发工程师:
这就更好办了,用户不管用户按什么,都得发给底层,底层通过判断按键消息做相应的处理,谁也逃不掉底层的捕获。
安全焦点中提到的获取网银密码的方法又何尝不一样呢?如:
基本原理是我们的驱动创建一个设备附加到键盘驱动Kbdclass下的设备,这样所有的IRP(输入输出请求包)包都将先发给我们的驱动程序,然后再转发给系统中的键盘驱动,我们的驱动程序获取IRP后就可以从中获得键盘的scancode扫描码,这样就能在系统内核的层面获得键盘输入信息。
总结:
加强广电网络自身安全建设。
暂时没有在嵌入式浏览器中实现Activex控件的必要,虽然可以通过上述两种方法获取密码,但也没那么容易,即使捕获到了键值,一般用户要想拿到键值及破译也不那么容易。
Place your comment