转载:揭开互联网间谍真面目

【明慧网2003年6月11日】首先声明:互联网上任何组织或个人无任何权力和理由,去偷窥合法用户的隐私内容。用户的私人资料,被当作商品一样随意买来卖去。甚至各种收集资料的所谓的商家,不顾任何法律条文,任意向合法及非法的买家出售统计数据,甚至是非法买家的马前卒。这些数据将严重危及用户自身安全,因此整理此类文章,保障用户基本权益。

这些都是间谍行为!在互联网上除了利用各种漏洞的木马,病毒直接对用户进行入侵外,各种嗅探,侦听程序也层出不穷。除了这几种方式外,还有几种不为人知的几种方式:,下面详细介绍:

(一) 网站的窥视:

(A) 网站是通过IP作为中介与用户交互信息。你的计算机在网上每发一个数据包,都有一个您自己的IP地址,也包括网站的IP地址,这样才能互相收到各自的信息。

如果使用的是永久连接方式(如:专线,宽带),那您的IP很可能固定不变。这样如您在网上移动时,窥视者就可通过IP进行跟踪。收集您在网上的踪迹,比如:您都去过什么网站,做过什么事情等等。网站本身也可对您进行统计,然后出售给任何想要的人。

(B) 如果是拨号用户,每次拨号,ISP分配给你的IP每次可能都不同。而且所有的机器都在防火墙后面,这样IP就不能很好的对用户进行识别辨认,于是COOKIES出现了。

邮箱或论坛等等进行登陆,都需要有个COOKIE。服务器就将一个对您进行识别和描述交易的COOKIE放在了您的机器上,这样服务器就能记住您是谁,做过什么事情。有一种是关闭浏览器就会消失的暂时COOKIE,另一种是可能保留数月或更长时间的持久COOKIE。

这种COOKI非常方便,服务器可以通过您的机器上的COOKIE对您进行识别。那么服务器中的有关你的旅程中的全部信息,有可能通过合法或非法的方式被人收集,整理,因此要选择信誉和知名度比较好的站点。

(二) 不安全的COOKIE

(A) “拼凑”的网页

一个网页可能包括文本,图片,广告,FLASH等等部件组成。这些部件可能分别来自于不同的服务器。浏览器通过网页编辑的语言模式从不同的服务器调出所需部件,拼凑成现在的页面。这些不同的服务器都可以向您的机器分别发送各自的一个COOKIE,稍候收回。

如:访问含有广告的网站,由于每次访问页面,广告公司都会发一个COOKIE。当您从一个网站转到另一个网站,如果这两个网站都含有同一广告公司的广告,该广告公司就可通过它的COOKIE看到您从一个网站转到另一个网站。假如:广告公司从网站所有者那里得到你的有关个人信息,它就可在你访问另一个页面使用此信息。然后进行收集整理。

(B) 邮件的COOKIE

在互联网上,COOKIE窥视不受限制。在网络浏览器中使用翻译引擎,有的同时也编进了邮件的客户端程序及新闻组。这样别人给您的电子邮件或HTML文章贴在新闻组。当您阅读邮件(或文章)时,你的机器会访问她或他机器的图片。随即发送者即可知道您看了什么消息,如果消息中定制了URL,内含邮件地址,就将知道您是谁。除非修正了安全漏洞,否则就能通过COOKIE进行个人信息收集。

(C) 计算机中的安装软件有的也能把信息放在COOKIE中,以便稍候收回。如:WINDOWS 98的注册向导。注册向导的ACTIVEX控件还有个漏洞,允许任何网站随意收回这个COOKIE中的注册信息,因为COOKIE中放有注册信息。

(D) 预防不安全的COOKIE方法

(1)全面禁止使用COOKIE,一般浏览时把COOKIE全部禁止。主要在浏览器的属性中修改,使其禁止。一般不会有什么麻烦,但如进行各种登陆,就需要COOKIE进行识别。

(2)选择阻塞或禁用COOKIE,如:使用webwasher软件,Internet Junbuster Proxy软件,都能阻塞网络服务器发送的cookie,不影响正常登陆。像cookie crushera也能让您自己控制哪个网站可保存cookie。这些软件不能阻止JavaScript、Java程序的cookie。

如果选择性阻塞cookie,要经常删除C:\WINDOWS\Temporary Internet Files内的COOKIE文件,C:\WINDOWS\Cookies内的文件。象cookie:xxxxx@ads.sohu.com都是不安全的cookie,也含有独一无二的id标记:如XXUserID
xxxxxxxx-xxx-xxxxxxx-x
ads.sohu.com/
xxxx
xxxxxxxxxx
xxxxxxxx
xxxxxxxxxx
xxxxxxxx
*
.

(3)防止cookie通过电子邮件放置在你的机器上,不要选用察看邮件是自动调用网络服务器的翻译引擎的邮件程序。如果是outlook或outlooke express,你只能用IE的翻译引擎。但其它的邮件客户端程序就会给你一个选择,请不要选中微软的阅读器的复选框,那样就不会调用IE察看邮件。COOKIE就不会对你进行跟踪。

(4)IDcide的IDcide Privacy Companion免费浏览器插件,能有效解决这个问题,但没有IE6.0版。说明详见“防范网络追踪”地址:
https://www.internetfreedom.org/gb/index.html
https://worldfreenet.org/gb/index.html

(5)IE6.0的COOKIE选项也能有效解决这个问题。IE的属性的隐私,可对COOKIE选择:

a.最高:是全部禁止,不能被任何网站写入或读出任何信息。
b.高:阻止使用个人可标识信息而没有明确许可的COOKIE。
c.中高:阻止使用个人可标识信息而没有明确许可的第三方COOKIE,阻止使用个人
d.可标识信息而没有隐含许可的第一方COOKIE.
e.中:阻止使用个人可标识信息而没有隐含许可的第三方COOKIE,阻止使用个人可标识信息而没有隐含许可的第一方COOKIE.
f.低:限制使用个人可标识信息而没有隐含许可的第三方COOKIE.
最低是接受所有COOKIE.

(6)使用间谍防火墙--spyblocker,说明见下。

(三) 硬盘中的间谍

(1) 硬盘中怎么会有间谍呢?原因是我们安装了不友好的程序。绝大多数是共享软件或免费软件带来的。共享或免费的条件是帮助广告商收集个人资料来换取广告商的资助。

这些间谍是在安装原始的共享或免费程序的同时被安装。共享或免费应用程序通常称为宿主程序。即使卸载宿主程序,间谍也会留在计算机中,原因是宿主程序的卸载模块不含有间谍部分,不能被卸载。间谍常常进驻注册表中,在后台秘密工作,并在每台微机“刻”上独一无二的id标识,这种标识一般在注册表中。

间谍程序主要监视点击的广告,用户使用那些程序,访问过那些网站,扫描注册表,搜集各种个人信息。即使卸载或不运行宿主程序,或者已经离线,也会继续搜集资料。

当你上线时,间谍程序就被唤醒,秘密与远程服务器通信,上传用户资料。
注意:一般这类软件,在安装过程中没有提示,安装结束时,再告诉您已经安装广告支持软件。这种间谍没有专门的清除程序,用户是无法清除的。

(2)一些合法的应用程序在特定条件下,也会收集或暴露个人信息。

如互联网在线聊天系统(IRC)的客户端程序,使用identd协议,允许互联网的任何人询问你是谁。许多ISP同样使用identd协议。

有一些软件本身也在收集用户浏览习惯,或其它一些信息。如:Realplayer软件,可以监测消费者察看内容。但该公司有一个补丁可以禁止这种窥探行为。

(3)预防方法:

上面提到的第(2)一些合法的应用程序在特定条件下,也会收集或暴露个人信息的解决方法目前不能预防,只能不去用这些工具。下面对(1)的解决方案有几种:

(A)到正规的站点下载软件:如ZDNET网站下载软件,含有间谍程序的软件都已被注明。

如果下载不清楚,注意程序安装过程中要求的许可协议和注册信息。有很多免费软件的用户注册表格是为间谍软件统计数据的来源。

如果应用程序的用户界面含有旗帜标栏广告的都可能在使用间谍程序。

(B)介绍两款清除间谍程序的工具:

(1)Gibson公司的Optout软件。但是我只看到过期的测试版,不知道有没有新的版本,也是免费的软件。这个工具可以扫描硬盘,注册表,也能删除或隔离间谍程序,宿主程序不受影响。
下载地址:https://grc.com/files/optout.exe.

(2)lavasoftusa公司的Ad-aware软件也能对内存,注册表,磁盘进行扫描。也能进行彻底清除,但最好备份一下。我试过感觉不错,几乎不影响其它程序,但我的浏览器(IE),出了的小问题,也能正常使用!建议是卸载当前的IE版本,使用该程序进行对间谍程序处理,然后再安装当前的版本,这个小问题就没了。下载地址:https://www.lavasoftusa.com/
总之:本人观点是断点续传软件,网上交流软件,搜索软件等类型的软件,很多暗藏玄机。

(C)善用防火墙:

如Zeroalarm防火墙,能监视所有的因特网的通信量,可以阻止任何未经授权的数据传递,也能隔离程序传递信息。但有时间谍程序捆绑在常见的程序中,防火墙就不能很好的处理,那样防火墙就允许间谍程序通过,最好是把间谍程序删除后,对防火墙进行设置,如捆绑在:
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE,C:\WINDOWS\NOTEPAD,EXE,C:\WINDOWS\EXPLORER.EXE 很难发现。
使用工具清除间谍程序后,也要善用防火墙。如只使用浏览器浏览,那就不能让其它程序通过!把防火墙的安全设置为最高,对间谍主机服务器地址进行拦截:
步骤:
(1)运行注册表(regedit),运行“C:\WINDOWS\regedit.exe”或在开始菜单,运行中添入:regedit,打开注册表。
(2)找到充当间谍的注册表项,如:aureate项,可用注册表的搜索查找。
(3)找到后,记下默认的广告(间谍)主机服务器的主机地址。
(4)在防火墙中进行地址拦截,如zonealarm,在主界面的security(安全)选项下的configure(配置)中的restricted zone中用add(加入)地址。
简便的方法:就是把spyblocker软件中所要拦截的主机服务器都加进去。

(D)使用间谍防火墙----SPYBLOCKER,拦截所有间谍程序。

(四) 网络爬虫(web bugs)

这是更加难缠的角色。也叫网络臭虫。是跟踪网上冲浪和浏览习惯的更加隐蔽的方法。网络爬虫是很小很小一个图片,也可能是一个小点,它被植入网页或html编写的网页中。是非非常隐蔽的小程序,很难发现。

当用户浏览含有网络爬虫的网页时,网络爬虫会自动给您的系统做一个独一无二的ID标识,有的在您的计算机中放置COOKIE,然后源源不断的把你的有关信息传递给远端服务器,比如浏览了哪条新闻等,远端服务器就可对你的资料进行处理,统计。网络爬虫更恶劣的是不能被COOKIE过滤软件过滤,因此网络爬虫的危害超出COOKIE.

解决方法:
(1)Dcide公司的IDcide Privacy Companion,其它同上。
(2)使用间谍防火墙----SPYBLOCKER,拦截所有web bugs.

(五) 四处游荡的代码

有很多网站内含有非常不友好的代码,这些代码通常是JavaScipt或VBSScipt语言编写而成。这些小段代码能将一些小文件下载到你自己的机器上。这些文件可能为病毒,木马或一个脚本,它能搜集您的信息,返回给需要的人。

大家清楚,最近网络上的恶性代码异常嚣张,能对注册表等等进行操作。我测试过一段代码,居然我的诺敦防火墙和最好的黑客防火墙都没有反应。这不是说这些防火墙不好,这些防火墙不是用来防这些代码的。像诺敦也能防恶性代码,可是我测试的代码可就不简单了。

防范方法:
(1)将浏览器的安全设置为最高,这样ACTIVEX和JAVASCIPT就禁止运行,文件下载也为禁止。 
(2)删除WSH(Windows Scripting Host),像欢乐时光就是一个典型
。免疫步骤是:单击“开始”->“设置”->“控制面板”->“添加/删除程序”->“Windows安装程序”--“附件”,将“组件”中的“Windows scripting host”“选择划勾”去掉,然后“确定”即可。
(3)注册表加锁:禁止修改注册表。
加锁方法如下:
   (a)运行注册表编辑器regedit.exe;
   (b)展开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下,新建一个名为DisableRegistryTools的DWORD值,并将其值改为“1”,即可禁止使用注册表编辑器regedit.exe.
解锁方法如下:
   用记事本编辑一个unlock.reg文件,内容如下:

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

存盘。你就有了一把解锁的钥匙了!如果要使用注册表编辑器,则双击unlock.reg即可。
注意:,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!

(4)下载Microsoft Windows Script 5.6,是个浏览器脚本补丁。
包括VBScript、JScript、Windows Script Components、Windows Script Host 、 Windows Script Runtime 、Windows Script Host 等等一些改进。
能解决脚本的一些问题,这个代码的解决方案没有进行过测试,琢磨使用。

(六) 各种软件留下的痕迹

(1)像浏览器留下的缓存,历史等的记录。用Window Washer 4.1(目前最高版本)清理系统,是个付费的东东。新版本增加了对密码,浏览后的颜色等等清除。强烈建议使用,能彻底粉碎记录。地址:https://www.webroot.com,不要忘了付费。

(2)文件的删除用erase软件。一般的删除只是在文件分配表把文件名删除了,实际上内容还在。有的格式化也不行,就像围棋的棋子,黑白分明,用涂料涂了一遍,黑的白的是不是还能看出来。必须是全部置为“1”或“0”,可随机覆盖。erase软件就是这样的东西,新版能把文件名彻底删除。

(3)各种文件的打开使用记录,像Word、Realplayer、Winzip、Windows的打开路径,最近使用的文件等等都有记录,虽然可以把文件的内容删掉,但这些软件使用的文件名是逃不掉的。网络蚂蚁,网际快车等断点续传工具都对下载的文件日志等有记录。防火墙也有使用各种程序的记录,即使把防火墙的程序删除,但它的日志确有详细记录。这些记录都不能彻底清除,怎么办?

方法一:使用Window Washer的Plugin清理。要想清理这些“间谍”,需要先下载相应的Plugin,然后安装就可以了。但是你必须有Window Washer主程序。
  Plugin下载地址:
https://www.webroot.com/plugin_aj.htm,表示软件名称的第一字母范围是(a-j)。
https://www.webroot.com/plugin_kp.htm,表示软件名称的第一字母范围是(k-p)。
https://www.webroot.com/plugin_qz.htm,表示软件名称的第一字母范围是(q-z)。
有插件的软件表如下:怎么还不动手我们经常用的都在呀!

(A)a打头:ACDSEE32 ,Addsoft ,Addweb 3 ,Adobe Acrobat Reader 3.x,Adobe Acrobat Reader 4.x,Adobe Acrobat Full 4.x,Adobe Photoshop 5.x/6.x ,Allaire Homesite 4.x,AOL Instant Messenger,AOL Temporary Download Folder ,Animation Shop 1.x and 3.x ,AudioCatalyst ,AudioGrabber ,Axialis Media Browser

(B)b,c,d,e,f打头:Babylon ,Bookreader ,Chameleon Web Browser ,Classify 98 (Trellian Software) CoolEditPro,Copernic 2000 ,Corel Photopaint 8 ,Cute FTP ,Cute MX ,CRT 2.x,Diskeeper by Executive Software ,Download Accelerator, EditPad,Enigma Browser ,Eudora by Qualcomm,Fix-It 2000,Fireworks 3 and 4 ,FlashGet(JetCar),Fort s Free Agent,Freecell (MS Windows),Front Page Express,FTP Voyager

(C)g-l打头:Gator ,GetRight,Go!Zilla,GoldWave Editor,Google Toolbar ,Gravity Newsreader ,Graphic Workshop Pro
,Hot Java Browser 3.0,ICQ 98a,ICQ 2000 ,IE Default Save Location ,Inoculatelt PE Virus Scan ,InterQuick,Irfanview 32,Juno,Kodak Imaging for Windows,Letterbox ,LingoMail 1.x,LView Pro 2.x

(D)g-m打头:,Macromedia Dreamweaver 3 and 4 ,MGI Photosuite SE 1.x
,MIRC ,Micrografx Picture Publisher 8,Microsoft Photo Editor 3.0
,Microsoft Front Page,Microsoft Visual Studio ,Microsoft Windows Media Player,Microsoft Windows Paint,Microsoft Windows Word Pad,MSN Explorer Browser 6 ,Microsoft Word Backup Files ,MSWorks 4.0,Mijenix Powerdesk 3,MusicMatch Jukebox

(E)n-s打头:,Napster,Naviscope , NeoPlanet ,NetAnts,Netmeeting,Netsonic,Netzip Download Demon ,Norton Anti-Virus 2000 ,NoteTab Series ,Opera 3.x Web Browser,Opera 4.0 and 5.0 Web Browser,Onespace by Enfish ,Outlook Express 5.x,Paint Shop Pro ,PhotoDraw 2000,PhotoExpress ,PhotoImpact ,PhotoImpact Viewer,Powerdesk 4,PKZip for Windows,PowWow by Tribal Voice ,Psion Psi-Win 2.x,RealDownload,RealPlayer G2/6.x/7.x/8.x,SearchWolf by Trellian
,Scour Exchange ,Sonic Foundry's Acid 2.0,Sonique,Spinner Plus,StarOffice,SubmitWolf by Trellian,SubmitWolf DE by Trellian,

(F)t-z打头:Teleport Pro ,TextPad 3.x/4.x,Third Voice 1.x,ThumbsPlus 4,Ultimate Paint,VuePrint ,Webferret,WinAce Archiver 1.0,WinAmp,Windows App Log Directory,Windows Commander,Windows 95/98/ME Log Files ,Windows 95/98/ME Address Book & Contacts ,Windows ME Regedit ,Windows Recent Network Drive List,Windows Web Folders ,WinRAR (All Versions) ,Winzip 7.x & 8.x,Xara 3D v4.0,Xing MP3 Player ,Yahoo! Player,Yamaha S-YXG100 ,ZipMagic,Zone Alarm from Zone Labs

方法二:使用超级兔子,到主界面的清除垃圾看看,有文档菜单,查找文件菜单,运行菜单,最后打开,另外保存为,搜索电脑,安装盘路径,IE历史站点,IE自动完成填充密码,NETSCAPE3历史站点,网络连接历史记录,URL历史记录文件夹,WINDOWS的画图、写字板、媒体播放器,WINZIP的解压路径、打开文件、选择文件,WPS的选择文件,ACDSEE的打开路径,REALPLAYER 6.O的打开文件,EXCEL 2000打开文件,FRONTPAGE的插入超连接、图片,就这些。

还可以使用超级兔子的注册表优化,不要担心,我试过非常安全。如果把文件内容删除,在注册表中是有一些记录(如文件名)。用注册表优化可以删除这些文件名。但我认为还是WINDOWS WASHER的插件比较好。

(七)ISP窃听

“加拿大北方电信公司于2001年推出了一种能够使因特网服务供应商跟踪用户在计算机网络浏览、下载等活动的软件新技术。如今,普通网络用户经常接触、也是因特网内部使用最为频繁的组成部分,万维网(WWW)已是“环球等待(World Wide Wating)”。要是获得用户在因特网上所处位置、所需信息的类别等信息,然后再由因特网服务供应商的服务器作出响应,在“后台”采取相应措施,上网速度肯定会大大加快。”转自:《“食肉动物”在行动》(王致诚)。

如果因特网服务供应商利用新技术提供的便利收集和掌握用户个人爱好、网上商务活动的习惯之类的信息和资料,然后转手卖给其它人。

ISP窃听这个我可没办法,一边赚着钱,一边出卖用户资料换钱,一举两得。别得意,可以使用加密,代理这个就不说了。如果因特网服务供应商还有越格的行为,只能实施法律制裁,秋后算账。

(八) 政府对网民的电子邮件极感兴趣

为了监视因特网上的电子邮件,美国联邦调查局设计了一个叫 CARNIVORE(食肉动物)的软件。该软件安装在因特网服务商有关网站的服务器上,检查过往的邮件,如果发现有与美国法律相抵触的内容,软件就会自动跟踪或者截获这个邮件。这个软件被美国一些公众网、美国网民协会和一些网络论坛披露出来后,引起激烈的争论。一些网民认为这是美国政府网络操纵干涉个人自由的一个具体例证。

“食肉动物”其实一直在监视全球的电子邮件,这种计算机系统在一秒内可浏览数百万份电子邮件。对于这种有很大争议的行为美国联邦调查局公开的解释是:用它来调查黑客及反恐怖活动和追击贩毒活动。美国政府曾为它沾沾自喜: 在2000年6月,就是凭这一软件发现了一些网虫竟通过网渗透到美国联邦毒品监督局去找有关毒品的情报。而在世界上进行监督公民活动的国家也不仅是美国,如英国也通过一个法律,批准政府在网络服务商的服务器安装黑匣子以监督电子邮件。转自:《“食肉动物”在行动》(王致诚)。

根据网络上一些文章可以看到X国也对臣服的网民进行类似的监控。

(九) 辐射泄漏个人资料

“各国企业监督员工的主要办法是利用一些专用软件,通过软件就可以发现你上班时间到底浏览了哪些网页。最新的间谍监督软件功能更加强大:你正在你的电脑前输入有关内容,在另一间办公室里的监督人员可以实时地看着你打的东西出现在他的电脑屏幕上。”转自:《“食肉动物”在行动》(王致诚)。

防治方法见:金属网罩并接上深埋的地线后,能有效地屏蔽掉任何电磁辐射!显示器旁接上一个类似电视室内天线的电磁波发射装置,理论上由干扰天线发射的电磁波可以做到和显示器的辐射在同样的波段上,从而掩盖掉微机信号的辐射。但实际上,每一种CRT显示器的辐射可能是有差别的,所以使用这种干扰天线必须注意两点:一是这种干扰天线本身必须具有较宽的波段范围;二是必须对每一套配套使用的装置进行检测和调试,以使CRT和干扰天线发射的电磁波真正处于干扰状态下。
---转自:《防止电脑泄露秘密的绝招 》,作者不详。

总之,随着技术日新月移,还会有其他的间谍方式进行搜集资料,也将更难处理。最最有效的方法是创建一个相当可靠的系统,里面是一些常用的工具,这些工具可是从来没用过。然后使用磁盘镜像工具,如:Norton的Ghost(2002),运行平台WIN9X,几分钟就可恢复原来面目,什么木马,病毒,间谍统统一边去。如果一天恢复一次,各种窥视都将付诸东流。(完)