谈谈网银和USB Key (三)

转自：http://apex.ncksoft.com/archives/160

注：本文涉及USB Key高级安全特性，供有一定网银使用经验及基本网络知识的同学阅读。

前面[谈谈网银和USB Key (二)] 已经谈到，有了USB Key，我们的网银就“基本安全” 了，那么，使用了USB Key还会有什么安全性的隐患，我们又该如何应对呢？

在进一步阅读之前，请先明确一个事实：一切安全性都是相对的 。越是安全的系统，对用户的要求就越高，使用起来就越繁琐。我们只能在安全性与易用性之间找一个平衡点，而这个平衡点也会随着技术的发展朝不同的方向偏移。

安全隐患！

首先我们来看看进行一次利用网银进行网上支付的全过程：

• 將USB Key连接到计算机上，并打开网银网站；
• 输入帐号、密码等信息登录网银；
• 输入转帐的目标账户和金额；
• 要进行网上支付时，需要输入USB Key的PIN码(即个人识别码)；
• 网上支付完成。

其中，有可能在打开网银网站的时候就需要输入USB Key的PIN码，这是由网银系统设计决定的。

好了，让我们转变一下思维方式，假定我们现在来扮演海盗，呃，不，扮演黑客吧，我们来看看有什么地方可以侵入这个网银交易系统呢？嗯，我们已知的是，用户的私钥是无法得到的，但是看看，这里有好几个安全隐患：

• 1. 输入帐号、密码信息；
• 2. 输入USB Key的PIN码；
• 3. 通常，在没有关闭浏览器之前，一般不用再次输入USB Key的PIN码。

那么，只要我能够植入一个键盘钩子类型的木马程序，监控用户的键盘输入，就可以得到他的帐号和密码了，同样的，也可以得到USB Key的PIN码了。植入木马的手段很多，例如诱惑用户访问一个嵌入木马的网站，或者发送一封具有诱惑力的邮件(其中嵌入木马)，或者做一些工具软件帮助 用户清除病毒(但实际上悄悄的嵌入了自己的木马)，或者將一些软件破解版重新打包供下载，只不过在安装包中加入了木马，甚至可以出一款“Windows XP SP3无限激活版”，让用户下载，结果安装好的系统中就已经具有木马了，嘿嘿，黑客的手段太多了。

好了，假定我们的木马已经进驻用户的电脑了。拿到帐号、密码以及USB Key的PIN码有什么用呢？毕竟我们无法拿到他的USB Key啊，也就没有办法使用他的私钥了。不要着急，让我们守株待兔吧。一旦用户將USB Key插入到电脑中，我们的木马程序第二部分就可以开始工作了，第二部分是以隐藏方式开启一个浏览器，模拟网上交易的全过程，包括填写帐号、密码、转帐金 额、提供USB Key的PIN码、确认转帐等等，对于网银服务端来说，根本没有办法区分这是用户的正常操作，还是木马的行为。

当然，编写这样的木马程序需要极高的反向工程能力、系统分析能力以及编程造诣，但既然有这种可能，那么在某个时刻这个可能就会变成现实。啊，我听见 你说，我们可以防止键盘钩子，让木马无法获取键盘信息。但是我可以负责任的告诉你，键盘监控是无法彻底免除的，即使你使用驱动层次来首先截取输入，但是木 马也可以，甚至木马可以使用网银不能使用的技术：rootkit。可以预见，在终极PK的时候，木马是占上风的。

再看看上述第三点漏洞，这就是一个典型的“安全性与易用性”取平衡点的结果。一旦打开浏览器，输入一次PIN码之后，后续的操作就无需再次输入了， 这样可以给用户一个比较好的使用体验。然而，倘若黑客在用户浏览器中嵌入一个BHO，一旦发觉用户成功完成一次转帐操作，就以黑客的帐号为目标帐号再次转 帐一笔，瞧，多简单，都不用费心去获取什么帐号密码了。

发觉了这样的潜在攻击方式，大部分网银不得不降低易用性，要求每次转帐操作前，强制进行一次USB Key的PIN码验证，这样虽然增加了用户操作量，但可以有效防止因为转帐完成后忘记关闭浏览器而导致的隐藏攻击。

但无论如何，因为键盘木马的存在，普通的USB Key最终会败下阵来，只不过是时间问题。对了，这里请不要考虑杀毒软件，毕竟目前的杀毒软件都是“后知后觉”的，等一个木马被列入杀软的黑名单时，可能 损失已经造成了。我们要讨论的是如何在不安全的环境下安全的完成网上交易。

注，上述攻击方式是理想化的分析，说起来简单，但是实现起来却是非常困难的，所以目前看来，普通的USB Key在一定时间内是可以为网银系统提供必要的安全性的。 所以，目前各大银行采用的USB Key完全可以满足普通用户对于电子支付的安全要求，使用USB Key比使用纯文件类型的数字证书在安全性上有本质的提升。

如何应对？