翻牆問答﹕瀏覽網站的保安問題

DC:最近有美國網絡保安公司發現，西藏流亡政府的中文網站被植入可疑代碼，有可能協助黑客將有問題代碼植入瀏覽者的電腦，因此勸諭網民為安全起見暫時不要瀏覽流亡政府的中文網站。最近西藏流亡政府解決了網站的保安問題。其實黑客怎樣將有問題代碼植入？

李：過往中共當局都是發出一些可疑釣魚郵件，意圖偷取民運人士以至異見人士的資料。但由於谷歌等公司已經加強偵查附有惡意附件的電郵，以及留意發出惡意附件的電郵主機，一般用戶亦對釣魚郵件有所警惕，收到附有可疑附件的郵件會立即刪除，甚至向谷歌舉報。因此，中共當局改為攻擊異見人士或組織的主機，在這些組織或人士的網站植入可疑代碼，藉此向異見人士的電腦植入木馬，加強監控。
而中國黑客之所以能夠植入可疑代碼，有兩種可能手段。中國黑客可以利用網站作業系統的保安漏洞，竄改網頁內容來植入代碼，有部分網絡主機代管公司或網站管理人未有定期更新作業系統，就會出現這種問題。而有部分黑客，就攻擊網站內容管理系統或Java企業版的保安漏洞來達到目的，通常見於使用Java搭建的網站主機，或使用網站內容管理系統去管理網站內容的主機。

DC：網民又能不能夠知道自已所瀏覽的網站出了保安問題？

李：對於大部分網站，他們很難知道自己瀏覽的網站出了保安問題，除非黑客所植入的代碼版本太古舊，早就被網站保安公司和瀏覽器開發商注意，令瀏覽器及早發現並提醒用戶，否則用戶是很難知道自已瀏覽的網站出了保安問題。

對部分技術水平比較好的用戶，他們可以藉分析網頁的原始碼來知道網站有問題。但就算是高手，都不會時時刻刻留意網站原始碼的內容，因此這類攻擊事實上是相當狡猾。

DC：除了不瀏覽受感染的網站，有沒有其他方法，防止自已的電腦受惡意網站所感染？

李：其實用戶被惡意網站感染的機會，亦與用戶使用的瀏覽器軟件，以及Java虛擬機器的版本有關。一般而言，如果你能及早更新瀏覽器軟件和Java虛擬機器版本，已經減少了自己的電腦被植入惡意代碼的機會。

但要特別注意，對於使用Windows XP作業系統的舊電腦，升級Java不代表百分百安全，因為你的電腦有可能有幾個，甚至十多個不同版本的Java虛擬機器同時存在。黑客可以試圖使用你機內的舊版虛擬機器來執行惡意代碼。因此，現時有部分瀏覽器在更新後會同時關閉瀏覽器對Java的支援，以防止黑客利用電腦內不同版本的虛擬機器進行攻擊。

由於對一般用戶而言，Java的應用次數不多，除了部分政府和銀行網站會用得上Java，現時很多網頁的互動功能，都可以依靠Javascript等瀏覽器內置支援的語言達致。因此，用戶可以放心關閉Java虛擬機器支援，在要執行特定網站時才開啟Java支援，這樣對你的安全最有保障。

而對使用Windows作業系統和IE的用戶，亦要小心不明來歷的Active X元件，至今中國黑客仍然會用Active X技術漏洞來意圖偷竊用戶資料。