【日经BP社报道】 用户访问过的Web站点历史记录、Cookie、在浏览器上输入的搜索关键词及密码，这些都可以一字不差地被盗走。日前出现的一种工具可让您明白完成这种非法行为是何等轻松。 　　 　　该工具的名称为“IE`en”。这是由提供安全技术信息及相关工具的“SecurityFriday.com”公司(http://www.securityfriday.com)于2002年7月1日发布的。 　　 　　●使用DCOM，盗看SSL 　　 　　图1 IE`en的运行画面。该画面上显示的是(1)能够取得的Cookie；(2)甚至可以直接看到SSL通信的详细内容；(3)可以获得用户输入的搜索字符串 　　 　　利用IE`en，可以获取在所指定的PC机上运行的IE窗口一览表、在各窗口中正在阅览的Web站点的URL及Cookie，以及在搜索站点上输入的关键词等信息。 　　 　　其中最令人吃惊的是，该软件可以直接获取本应受到SSL保护的数据。如果使用IE`en，就可以获取加密前和还原后的数据。也就是说，存在可轻松盗取信用卡号码及密码等重要的机密数据的可能性。 　　 　　该工具所使用的是Windows NT4.0/2000/XP标准配备的分布式对象技术DCOM(分布式组件对象模型)。DCOM就是指通过网络各种应用软件进行协同操作的技术。IE`en则可以利用DCOM来远程操作IE浏览器。 　　 　　 Windows利用135端口提供DCOM服务(TCP的135端口和UDP的135端口为远程调用服务端口)。在默认设置的情况下，该端口处于有效状态。 　　 　　因此，除了被IE`en设置为对象的IE以外，只要是用DCOM开发的应用软件，全部都有可能利用相同的方法进行操作。问题是DCOM本身并非是安全漏洞，而是Windows系统规格。而Windows本身就是一个COM的集合体。IE`en所验证的是“不管有无安全漏洞，Windows系统永远都面临着危险”。 　　 　　●危险的135端口！ 　　 　　要想利用IE`en远程操作IE，就必须知道要远程控制的PC的IP地址、注册名称及密码(将这些信息输入到对话框中)。因此，实际上，如果严格管理密码等信息的话，经过因特网而受到第三方攻击的可能性还是很小的。 　　 　　但是，在公司内部的网络环境下，却可以轻松地了解到别人的IP地址及用户名。而且大多数情况下，密码管理也较为宽松。因此PC的操作极有可能在公司内部受到监视。另外，像网吧及学校等以同样的设置来使用多台PC机的情况，也必须注意这一点。 　　 　　为了消除DCOM的威胁，并没有什么特别的处理方法。最重要的是在Windows安全设置及适当的密码管理等方面，采取切实可行的基本安全对策。 　　 　　公布该工具的SecurityFriday.com公司的Daiji Sanai也强调了这一点。他表示之所以公布该工具的目的是“大家已经普遍了解了用于文件共享的TCP协议135端口的危险性。但是却不知道135端口具体存在何种危险。因此，即便发警告，往往也没有实现意义。我们希望利用这个工具来直观地表述135端口的危险性，并告诉大家在默认设置下使用Windows系统的危险程度”。另外，SecurityFriday.com公司的Hidenobu Seki还质疑微软“真的有必要使IE浏览器支持DCOM吗？”。

关键字：