“网络蚂蚁”的安全隐患与用户对策_软件_科技时代


		<A HREF="http://ad.cn.doubleclick.net/jump/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" target="_new"><IMG SRC="http://ad.cn.doubleclick.net/ad/tech.sina.com.cn/;abr=!ie;sz=468x60;ord=85756695991387980?" border=0 height="60" width="468"></A>

新浪首页 > 科技时代 > 软件 > 网络工具 > 正文

软件分类教程

●	系统工具
●	网络工具
●	常用工具
●	多媒体类
●	图像处理
●	文字编辑
●	休闲娱乐
●	办公软件
●	编程语言
●	操作系统
●	其它软件
●	软件评测
●	主页制作
●	观点评论

>>应用软件论坛

欢迎来稿、赐教

新浪软件下载

“网络蚂蚁”的安全隐患与用户对策

http://tech.sina.com.cn 2000/09/06 nebuddy 揭军平

　　我们对日前在BBS上闹得沸沸扬扬的"网络蚂蚁"广告条安装和使用中可能出现的问题进行了跟踪和分析，现在将得到的结果报告给大家，文中提出了个人意见和针对此类问题的解决措施，希望能对大家正确理解和处理这类问题有所帮助。

　　一、"网络蚂蚁"广告条中有否安全隐患？

　　Radiate广告条是否在收集用户信息，并造成用户隐私泄漏，这个问题仍在讨论中，相信距离尘埃落定还有一定时间。但笔者通过安装搭载了Radiate广告条的Netants 1.2X后，发现了一个将会造成系统安全漏洞的问题。安装网络蚂蚁时发现的问题：

　　我测试所用机器安装的操作系统为Windows 2000专业版和Windows 98两套系统，测试软件为Netans1.22。个人防火墙软件为Norton Personal Firewall v2.0。

　　在安装完成后，第一次运行Netants会使Norton Personal Firewall(诺顿防火墙，以下简称NPF)的rule文件目录中名为Msipcsv.ale文件所规定的安全规则设置为允许(在Windows 98系统中，该目录位于C:\windows\Application Data\Symantec\Norton Personal Firewall,在Windows2000系统中该目录位于C:\Documents and Settings\All Users.WINNT\Application Data\Symantec\Norton Personal Firewall；*.ale后缀名文件是Norton防火墙的安全规则文件)。同时每次启动NETANS时在NPF中允许该Rule.msipcsv全文如下：;Auto-Configuration File for Abe's

　　Software Abe's MP3 Finder, Version 4.0b 关于本规则的说明
　　[GENERAL]
　　FileName=msipcsv.exe 应用本规则的程序
　　ApplicationDescription=Abe's Software Abe's MP3 Finder 规则的描述
　　[MATCH:ANY] 匹配类型为所有类型
　　Rules=Abeads 规则的细节为Abeads小节所示
　　[RULE:ABEADS]
　　RuleName=Abe's MP3 Finder Advertising Window 规则在NPF规则内显示的标题
　　Action=ALLOW 规则为permit(也可以为
　　阻塞block,或是忽略ignore)
　　Direction=OUTBOUND 允许从本机向外发送数据包
　　Protocol=TCP 数据包使用的协议
　　Category=0 数据包的范畴(0为general,1为chat,3为email……)
　　RemotePorts=80 端口号(80一般作为HTTP用)

　　分析上面的文件，我们可以看出该规则文件将允许本机向任何地址发送HTTP数据包！尽管用户在得到防火墙提示后，阻塞(block)向Radiate广告条服务器的连接，但由于防火墙在启动时已经读取了Msipcsv.ale文件，会认为Msipcsv.ale文件设定的向外连接规则是用户设定允许的，所以该非授权的连接请求并不会触发防火墙软件。如果用户不仔细查看防火墙的状态记录，就无法察觉这一未授权的连接。我个人认为这已经造成了严重的系统安全漏洞。目前，还不知道，这一Msipcsv.ale文件是蚂蚁的作者还是广告条发布公司编写的，但这种方式明显针对诺顿防火墙软件，而且其运行相当隐蔽，没有经验的用户可能在很长的时间内也不会察觉。

　　Norton防火墙在Netants启动时会提示有未授权的向外(Outbound)HTTP连接，每次提示的向外连接IP地址是不同的。

　　安装软件的过程中，在没有用户授权且不提示用户的情况下，居然自行添加防火墙的安全规则，且向外HTTP端口连接的IP地址是any,也就是不受限制的，除了用户明确设定禁止的访问规则，其它所有的向外访问都将被允许,在这种情况下，可以说防火墙已经形同虚设。笔者认为不论是谁，不论是出于什么样的理由，都没有权利这样做，这已经完全超出了一个正常软件所应该做的范围。

　　另外，Gibson调查表明，Radiate 动态链接库文件还有一个严重的技术漏洞。怀有恶意的黑客可以将Radiate动态链接库文件重新定向，将其指向黑客自己的服务器。这样的话，黑客的服务器就可以控制Radiate dll，命令Radiate dll下载一些恶意代码放入用户的电脑，并运行这些代码，这样造成的后果将是极其严重的。但是目前还不能证明该项功能是否已经被用于一些恶意目的。

　　二、用户的对策

　　虽然至今仍未发现Radiate公司任何窃取个人信息的事实，但是诸如Radiate广告条这样的"间谍软件"(Spyware)被滥用的可能性还是存在的，至少笔者的Norton防火墙中出现了"李鬼"式安全规则，所以许多有重要资料或隐私的用户确实须要采取一些措施来保护自己的权益和数据安全。下面是个人的几点建议：

　　1.采用个人防火墙软件来提高系统的安全性和数据保密性如使用Black ice，Zonal 2.0等等(笔者向用户推荐Zone alarm，因为它不仅功能强大，而且对个人用户完全免费)。在正常情况下，当Radiate这类Adware软件(采用了广告条技术的软件)利用用户的Internet连接准备与其网站服务器建立连接，下载广告内容或发送信息的时候，防火墙就会提示用户，有这个向外(Outbound)的连接请求，客户可以选择是否阻塞(Block)这个连接请求，以保证个人信息的安全。

　　2.使用Norton Personal Firewall的用户请马上升级。据可靠消息，赛门铁克公司已经在8月中旬对其两个安全产品(Norton Personal Firewall 和 Norton Internet Security 2000)存在安装搭载广告条软件后出现安全漏洞的问题悄悄进行了修正，使用这两种产品的用户请立即使用Live Update 进行升级更新。

　　3.彻底删除Radiate DLL文件的方法。如果你确实想删除广告条相关文件，可以采用Radiate公司提供的Radiate DLL删除文件的工具，或者使用Gibson调查网站提供的Optout软件。但是在删除了Radiate DLL文件后，与之相关的共享或免费软件很可能就无法运行。因为用户在允许显示这些广告条的时候，实际上就相当于支付了相应软件的使用费，所以如果您不想看到这些广告条，也就不能再使用这些软件。

新潮电子　　