在我父亲的 PC(将 Avast 和 Firefox 配置为在后台自动更新)被勒索软件感染后,很可能是通过驱动下载,我想知道将来如何防止这种情况发生,无论是对他还是对我。
我在 Windows 7 x64 上使用 Firefox 47.0.1。
我的问题是:当您知道您正在访问一个潜在危险的链接时,有没有办法在专用的“防恶意软件”最小浏览器或浏览器版本中打开此链接?
我知道 Noscript,知道停用所有插件并始终要求启用其余插件,知道停用浏览器中的 pdf 等等。我想要的是额外的保护层。因此有五点:
如果我在这个“强化浏览器”中有一个空白的 JavaScript 白名单,那么 Noscript 真的能成功阻止所有 JavaScript 威胁吗?也就是说,它能阻止任何脚本从互联网上获取并缓存在本地,而只将裸 HTML 页面下载到内存中吗?
在所有图像格式中,哪些格式绝对不可能被利用?我见过WMF 漏洞,所以 WMF 不在该白名单上,但是哪些图像格式在呢?
基于 (2),有没有办法(在 Firefox 或其他浏览器中)只允许获取和显示白名单中的图像格式?
在虚拟机中运行浏览器是最终的解决方案吗?有没有已知的“大众市场”恶意软件案例(即安全实验室测试) 能否突破 VMWare 或类似的虚拟化软件并感染主机电脑?
最后,有没有一种浏览器专门设计得如此精简和坚固,以至于它根本无法加载任何可能作为恶意软件执行的东西?我知道这样的浏览器可能只会显示文本和链接,也许还会显示一些简单的图像;不过我对此没有意见。我只想能够查看文本页面,文本位置正确(即 CSS 的至少一部分必须仍在工作),其中包含链接,但仍然可以安全地加载所有内容。如果它能让我像一台隔离的机器一样免受在线威胁,我可以回到 web 0.5……
非常感谢!
答案1
首先,除了您熟悉的机制之外,没有“自动”系统可以在执行潜在危险操作时强化您的浏览器。如果确实存在这样的系统,它会在一段时间内被利用,然后我们又会回到原点。所以您知道这是怎么回事了。这是一场双方对峙的游戏,安全系统试图阻止恶意软件进入您的计算机,而恶意软件编写者则日益聪明。
人们需要意识到的最重要的事情是,任何计算机系统的最大漏洞都是用户。就你父亲的情况而言,他可能可能成为驱动下载的受害者,但它远的更有可能的是,他只是被骗了,自己下载了病毒。寻找和利用软件漏洞很难。从恶意软件编写者的角度来看,欺骗人们要容易得多,也有效得多。
只有两种行之有效的措施可以使您的计算机免受病毒侵害:
- 保持所有软件都已修补且为最新版本。
- 保持自我教育并比恶意软件更聪明。
这两件事根本无可替代。如果你在某一件事上落后,那么无论你拥有什么样的恶意软件防护都毫无意义。
现在,具体回答你的问题:
- 如果我在这个“强化浏览器”中有一个空白的 javascript 白名单,那么 Noscript 真的能成功阻止所有由 Javascript 传播的威胁吗?
当然可以。如果您没有将某个域列入白名单,那么来自该域的客户端 JavaScript 就不会运行。但请记住,NoScript 不会在每个选项卡上运行。如果您将某个域列入白名单,那么来自该域的 JavaScript 就会在您的所有选项卡中运行。
- 在所有图像格式中,哪些格式绝对不可能被利用?我见过 WMF 漏洞,所以 WMF 不在白名单上,但哪些图像格式在白名单上呢?
这是一个棘手的问题;从技术上讲,它们都是,但都不是。每种媒体格式(音频、视频和图像)都有元数据。元数据是应该用于嵌入信息关于文件本身(例如:.jpg
或.tif
文件中的 EXIF 数据,或 ID3 标签中的专辑/艺术家/曲目信息.mp3
)。只有大傻瓜才会编写一个可以像程序代码一样执行元数据的媒体查看器/播放器。事实证明,那个白痴就是微软,对此绝对没有任何借口。我不知道他们在想什么(可能与 DRM 垃圾有关),但微软创建他们在黑暗时期就利用了这种漏洞,当时他们真的以为他们可以“拥有”互联网。除了坚持使用开源软件,不要做执行数据流等愚蠢的事情,我不知道该告诉你什么。
- 基于 (2),有没有办法(在 Firefox 或其他浏览器中)只允许获取和显示白名单中的图像格式?
不。根据上述解释,所有常见的图像格式(.jpg、.gif 和 .png)都是“易受攻击的”。同样,Firefox 或 Chromium 应该可以帮到你(我个人不信任 IE 或 Chrome)。其他格式(如 .pdf、Flash、Silverlight、Java 等)都是专有格式,并且确实它们是闭源的,因此很容易受到攻击,您必须依赖 Adobe、Oracle 和 Microsoft 来修补其中发现的漏洞。对于这些,您只需禁用启用这些功能的插件或使用阻止程序,让您跳过一些步骤来显示其内容。
- 在虚拟机中运行浏览器是最终的解决方案吗?是否有已知的“大众市场”恶意软件(即安全实验室测试之外的恶意软件)可以突破 VMWare 或类似的虚拟化软件并感染主机 PC?
这不是“终极”答案,但对于超级偏执狂来说,这是一种更安全的浏览方式。虚拟机是一个沙箱,很少有进程可以逃脱。仅有的两种攻击媒介是基于网络的漏洞(搜索网络上的其他计算机)和对虚拟机“工具”软件本身的攻击。两者都可以通过使用所有虚拟机产品都具有的“隔离模式”功能来缓解。还可以使用已知干净配置的快照。如果虚拟机感染了病毒,您只需恢复快照即可摆脱病毒。请注意,安装更新/补丁时,您必须不时刷新快照。
- 最后,是否有一种浏览器专门设计得如此精简和强化,以至于它根本无法加载任何可以作为恶意软件执行的东西?
没有像你想象的那样可以让网页浏览成为一种有用的活动。Lynx 是一款流行的纯文本浏览器。它不支持任何类型的图像或插件。不幸的是,只有当你像 1989 年那样开派对时,它才是一种可接受的替代方案。你也可以使用完全通过 CD 或 USB 闪存驱动器运行的 Linux Live 发行版。市面上有很多。但每次你想浏览互联网时,你都必须重新启动计算机。真的,这个问题没有实际的答案。
在我的个人电脑上,我运行 Firefox,上面套着 5 个独立的安全套。NoScript、Ghostery、AdBlock Plus、BetterPrivacy 和自毁 Cookies。我还调整了许多隐私设置。使用那么多层安全措施并为所有内容维护白名单是一件麻烦事。我这样做是因为我从事网络安全工作,我的一生都戴着一顶象征性的铝箔帽子,无论去哪里都戴着。但我绝不会把这样的配置强加给你父亲这样的不熟练的用户。如果你不知道自己在做什么,这些插件在最坏的情况下会使互联网几乎无法使用,在最好的情况下也不过是没有保护的浏览器。