新专业版采用病毒技术，原5.1.3.2已停用

【招商银行信用卡】网友提问：

新专业版采用病毒技术，原5.1.3.2已停用

卡友回复：

对于观点：楼主未免有点反应过激了，而且有点“误导”大家的嫌疑，尤其是大部分非IT用户。（说道比较直接，见谅:-)）
个人认为这个问题应该一分为二来开。首先，招商银行采用的安全加强的做法使一些用户无法正常使用专业版 ...


有见解

卡友回复：

太复杂了，

卡友回复：

对于观点：另外，提到”流氓软件“的问题，的确现在招行的做法有点流氓软件的意思，但其并非是用”流氓“的做法去达到一些不可告人的目的，反而是为了专业版用户的安全。这一点想必和大家平时认为的流氓软件有本质区别吧！
个人以为,流氓在披上"为人民服务"的外衣后,还是一个流氓!

卡友回复：

在情况不明朗之前,偶选择不使用专业版啦,毕竟自己的资金安全第一,偶系穷人,没钱陪招行玩安全.嘿嘿!

卡友回复：

对于观点：您的帖子提到“招商银行捆绑了名为kbwatch.sys的文件并置于%WINDOWS%\System32目录下，该文件无论是否开启专业版都监控并记录用户的键盘和鼠标操作”。这一点有点误导大家，试问招商银行有必要来记录用户的操作吗？退一万部讲，招商银行要知道您的密码，需要费这么大功夫吗？

至于您说”黑客如果要监控键盘鼠标，还需要自己在用户机器上安插木马，现在连这个功夫都省了，直接利用招行网银提供的工具“。如果黑客已经控制了您的机器，在您机器上安插任何东西不费吹灰之力，何必借助招行呢？

另外，提到”流氓软件“的问题，的确现在招行的做法有点流氓软件的意思，但其并非是用”流氓“的做法去达到一些不可告人的目的，反而是为了专业版用户的安全。这一点想必和大家平时认为的流氓软件有本质区别吧！

“作为计算机网络安全的研究者，我选择放弃招行的网银，你呢？”。这一点可以理解，毕竟招商银行的做法损害了您的一些利益，那么您既然是“作为计算机网络安全的研究者”，能否给广大非安全专业人士推荐一个比招商银行专业版更安全的网上银行？不要告诉我是工商银行，如果那样我就要怀疑您的研究水平了。

而且如果有人听从您的建议，也放弃了招行网银，这一点是招行工作失误应该承担的损失。但将来如果由于使用了更不安全的网银造成损失，是否可以找你来赔偿？

洋洋洒洒一千三百言，不要跟我说你真的是只发过2次回贴的“新手上路”，为什么不以主ID出来见人呢？就冲这一点，我觉得某些人的RP实在不怎么样。

1. 你既然不是技术出身(从我引用的段落中可以看出)，就不要随便否定别人在技术上的观点。CMB捆绑的文件确实会监听用户的键盘消息，这是事实。至于CMB有没有必要记录用户的操作，这个你我都说不清楚。

2. 计算机上有木马跟计算被完全控制这是两码事，请不要混淆概念。既然CMB用公开的驱动监听用户的键盘消息，只要这个驱动被证明存在漏洞(目前尚未被证明)，那些所谓黑客们就可以利用CMB捆绑的这个公开的驱动及其公开的漏洞编写一些不需要高权限才能运行的木马。编写一些利用现有的漏洞、不需要特权就能运行的木马，跟完全控制一台计算机相比，孰难孰易，我想你应该明白。

3. 好心办坏事的人不能受到任何批评吗？再说，CMB是否好心尚未得到论证。

4. 任何用户都怀疑和知道真相的权利，但是没有建议的义务，也就是说我可以怀疑招行网银不安全，但是不代表我怀疑了招行网银我就得给出替代他的建议。
此外，请把ICBC的所谓网银泄密事件搞清楚再来对人评头论足。你可以说CMB网银是最安全的网银，我也可以说ICBC网银是技术上最安全的网银。虽然你不是权威和评估机构，我也不是。

5. 我反问一句，如果我听从了你的建议，因为使用了“最安全的CMB网银”造成了损失，是否也可以找你赔偿？

卡友回复：

对于观点：一点不同的看法，搂住提到新专业版采用病毒技术，我认为招行敢打破常规，转防为进，也不为是网络安全软件系统的一举创新。谁规定正常软件不能采用病毒技术，不可以以毒克毒？
至于黑客可以直接利用招行网银的工具 ...


说得好！

该用户从未签到

卡友回复：

对于观点：

洋洋洒洒一千三百言，不要跟我说你真的是只发过2次回贴的“新手上路”，为什么不以主ID出来见人呢？就冲这一点，我觉得某些人的RP实在不怎么样。

1. 你既然不是技术出身(从我引用的段落中可以看出)，就不要 ...
　　赞～～～～～～
　　不要欺负技术上的弱势群体！我们有知情权！也有被尊重的权利！

卡友回复：

转贴
对于观点：
o 如同之前他们所做的事情一样，这个版本依然没有数字签名。在打了客服电话之后，我勉强执行了这个版本。
o 如同之前的版本一样，这个版本仍然无法运行在amd64版本的Windows 2003上。
o 为了掩人耳目，这个版本中的WinIO.dll被改头换面放到了用户目录下的CMBPB40SysDatacmb8783.dat。
o 而另一方面，那个驱动的名字，变成了CertClient.dat。

还有一个很有意思的文件，内容如下：

[WIN32_VERSION]
NowVersion=4.0.0.0
LowestVersion=4.0.0.0
M&W eKey XCSP_SUPERPW D=88888888
M&W eKey XCSP_USERPW D=11111111
SafeSign CSP Version 1.0_SUPERPW D=88888888
SafeSign CSP Version 1.0_USERPW D=11111111
_SUPERPW D=11111111
_USERPW D=11111111

结论：
o 做这些事情的人，仍然在试图把用户当成白痴。
o 但与此同时，他们仍然忘记了最基本的安全常识——安全不能建立在别人不知道的基础之上。
o 尽管如此，他们却没有忘记在发行的软件中包含一些不该发布的东西。
o 更有甚者，作为一家金融机构，发行的将要完成如此重任的可执行文件，竟然在我三番五次地投诉之后，仍然不做数字签名，这一行为足以让这家金融机构为之蒙羞。
我想再次提醒招商银行，不要在错误的道路上越走越远。请修正问题，而不是糊弄用户，更不要把用户当成白痴。

卡友回复：

看了上面的报道，为招行的蠢行辩解的人，应该买块豆腐去撞死。至于招行，已经不抱期望了。

卡友回复：

呵呵，楼上的话不要说得太极端了。

你引用的文章作者听说很有名，他的blog地址如下：


你引用的文章在这里：

你要是看到这位招行fans的后续文章，不知道你该买什么比豆腐更软的东西了...:p

卡友回复：

对于观点：今天有朋友问我，为什么我一定要跟招行“过不去”？现将本人立场公布如下：

0) 为什么选择招行

招行是国内最有实力的一家从事网上银行业务的银行。即使是现在，我仍然不认为国内有任何一家其他银行具有同招商银行竞争的实力。从我自己在中关村支行办理第一张招商银行信用卡，到后来的工资卡、信用卡，招商银行的专业水准和服务一直都是第一流的。

然而，从11月初以来，招商银行所发生的一系列变化是令人震惊和无法理解的。我无法想象，在自己如此信任的一家银行到底发生了什么，是什么，使得一家有极高专业水准和素质的银行，在自己的网上银行专业版产品中，加入了如此多的令人怀疑和困惑的、违反基本安全常识的东西。

除了我本人之外，我还推荐了许多朋友使用招商银行的服务。从11月6日第一次投诉到现在，我正在不断地丧失对招商银行的信心和信任。我认为有必要让更多的人了解相关的这些情况，因为并不是每个人都会十分关注自己使用的银行是否在为自己的计算机埋下不安全的隐患——公众通常会认为，银行首先是可信的，同时，我认为公众有权力了解，自己所选的银行是否存在一些问题，因为我想，并不是每个人对于银行的安全性都是毫不在乎的，如果你在一家银行有存款，你当然会关心自己的存款是否安全。

1) 安全——什么是安全？

对于安全，有很多的定义。有一种观点认为，别人看不到就是安全。在我看来，我不会认为把秘密锁到银行保险柜，同时周围派3000个荷枪实弹的士兵看守是安全；同许多关注信息安全的人一样，我认为安全是这样一种情形——把一个装有秘密的保险柜，无人看守地放到大街上，即使是保险柜的制造者，在没有开启保险柜所需的钥匙等条件的前提下，仍然无法打开保险柜。

这个比喻对于一些人来说可能仍然有点抽象。如果用通俗一些的话来总结，那就是：安全不能建立在别人不知道的基础上；安全不是一厢情愿的单方面安全，安全的参与者必须都拥有安全意识；安全设施必须告知相关的人员，而不是加以不必要的隐蔽和强制。

此外，安全措施可以比喻成一个装水的木桶。这个安全措施能够达到的最大安全强度(水桶的深度)
，并不取决于其最强的环节，而是取决于其最短的那根木头，也就是安全措施中最薄弱的那一环。通常的安全系统中，这个环节，都会是操作这套安全机制的人。

2) 网上银行存在的安全问题

现今，互联网已经不再是十年前甚至更早的那个，几乎人人都愿意和你做好邻居的互联网了。通过击键记录等各种方式，攫取别人的网上银行帐号，已经成为困扰许多使用网上银行用户的问题。

为了解决这个问题，许多银行想出了各种各样的办法。招商银行是国内最早采用数字安全证书技术的一家银行。与基于口令的原始安全验证技术相比，数字证书是利用了现代密码学技术的一种技术。这两者的安全性，我们不妨打个比方，如果说基于口令是你到了银行说自己是谁就让你以谁的身份做操作的话，那么基于数字证书的验证方式，则是要你现场对操作单做签字，并且由专业人士与你之前留在银行的签名进行细致的比对。

自然，真实的数字签名，要比我们生活中常用的签字安全许多。数字签名不仅能够确认身份的真实性，而且还能够确保你签名过的东西，没有被任何第三方，包括接收签名的那一方修改过。在招商银行已经采用这些技术的时候，国内的许多银行，却仍然停留在以口令验证的原始阶段，直到最近几年才有所改善。

遗憾的是，数字证书并不是一种无法复制的生物特征。指纹、虹膜识别等新兴技术，能够让计算机识别具体操作的人的真实身份，然而这些技术目前还没有被用于身份验证。由于数字证书会保存在一个文件中，而这个文件又必然能够被当前用户所读取，因此，一旦获知了用于保护这个文件的本地口令，以及这个数字证书文件的副本，别人也就可以使用你的数字签名去签署银行交易了。

3) 国内银行对这些安全问题采取的努力

在我看来，国内银行目前纷纷在采用的各种所谓安全方法，其作用都是十分有限的。这其中，最为致命的问题就在于，他们在尝试进行一件违反基本安全常识的事情——安全机制最薄弱的一环决定整个系统最大的安全强度，而他们却在试图加强安全机制中的其他环节，并给用户安全的假象。

这些方法，不仅没有从根本上加强安全机制中的那些环节(尽管这本身已经很没有必要了)，更糟糕的是，它们往往从另一些方面进一步削弱了原本已经十分脆弱的安全体系。举例而言，目前国内的绝大多数网上银行，都会要求用户安装一个客户端ActiveX控件，撇开这样做的兼容性影响不谈，这些所谓安全控件，通常都需要以管理员的身份来安装。一个有安全常识的用户，是绝对不会有习惯去以管理员身份上网的，这样做的结果，许多有安全意识的用户，会屈服于这一限制。

尽管如此，如果这些银行“安全控件”能够允许以非管理员身份激活的话，从某种意义上说，它也能在一定意义上保护用户的安全性，因为这时我们能够确保非管理员用户一定无法安装这类软件。然而，事实上多数网上银行的“安全控件”在撰写的时候，都没有考虑到这一点。

从强制用户使用Windows和Internet Explorer浏览器，到强制用户打开防火墙等安全措施，到进一步连远程桌面都不允许用户使用，再到在用户不知情的情况下安装监视键盘的驱动程序，等等等等，这些都忽略了一个基本事实：安全最薄弱的环节，并不在这里。

4) 所谓“为用户安全着想”引入的问题

别的不说，我们假定一个入侵者已经安装了一个木马，他会做什么呢？

表面上看，这个人会安装一个击键记录器去记录用户口令。如果你这么想，我只能告诉你，这是因为你不是坏人。坏人是绝对不会干这么缺少创意的事情的。如果一个坏人要得到你的口令，方法非常简单：他写一个界面和网上银行一模一样的程序，命名为“网上银行”，替换掉你原来的程序，那么一切所谓安全措施也就没用了。更有甚者，它可以在输入一次口令之后，神不知鬼不觉地换回来。

因而，验证网上银行的可执行文件是来自银行就十分重要。过去招商银行在这方面做得很好，但不知道为什么，最近的一些版本越来越过分，不仅不签名，而且插入了大量令人讨厌的东西。

我要继续指出的是，目前的许多所谓“安全助手”，不仅不能改进用户的安全性，甚至可能被坏人利用。安装一个驱动程序，而这个驱动程序无法验证使用它的到底是好人(真正的网上银行)还是坏人(攻击者)，这造成了一个非常明显的特权提升点。原本写一个攻击程序，要拿下一个有良好安全习惯的用户，还需要费尽九牛二虎之力；而现在，只要利用这个驱动程序就可以了。

5) 我想要什么？

我不关注国内的其他银行，因为与招商银行相比，这些银行恐怕更不值得信任。我想要的是，招商银行修正他们目前的做法，并杜绝此类事件再次发生。好，就这样。

Posted by Xin LI on November 30, 2006 9:11 PM

这个Xin LI,从专业人员角度对招行的建议真是值得招行考虑采纳的。
招行有这样的用户，也算是招行自己努力的结果...

卡友回复：

比较有意思的是这位仁兄分段落编号居然从 0 开始的，呵呵...

卡友回复：

对于观点：
今天收到了很多朋友关于招行问题的回应，如同我所预期的那样，回应分成了两派，一派是支持，一派是反对，具体的我就不转载了，因为这些回应，都不能代表招商银行的态度，而目前我能做的，在法律许可范围内的事情也就到此为止了——招商银行并没有在授权协议中明示是否允许对其驱动程序进行逆向工程，因此，我们应该默认不允许这样做，并尊重相关的版权宣示。对于招商银行，我想说的是，请尽快修正问题，因为招商银行提供的是我认为目前国内最好的网上银行服务。

至于一些朋友所提到的所谓静态库和动态库的问题，我希望这些朋友在道听途说一些东西之后仔细思考一下，重新编译一个驱动程序，并对其进行适当的修改——而不是直接使用一个大家无法信任的二进制文件，不对其进行源代码到二进制的编译验证，是不是一个银行，或者说采用这件产品的金融机构应该做的？(很幸运的是，招商银行已经注意到了这一点，并在新发布的版本中进行了一些修改，我认为这才是解决问题的态度)

另一些朋友质疑我的学历不过本科，如何如何。很遗憾，一个人说的话是否正确，并不由其学历，而是与其学识有关。如果你认为我说错了，那么不妨指出我说的到底错在哪里？

最后，招商银行在整个事件中，包括一些招商银行与我接触的员工，都采取的是十分友好和建设性的态度。

我愿意倾听任何人对我说的技术上的错误或疏漏进行指正，同时也提醒大家注意，招商银行是一家愿意倾听用户意见的、负责任的银行。
Posted by Xin LI on December 1, 2006 1:32 PM

看看人家,素质！什么叫素质？ 这才叫素质...:p

卡友回复：

反正暂时不考虑升级招行专业版，我可不想在硬盘上留木马程序。

卡友回复：

呵呵，不从技术层面说了。总体上招行不错了。上海农行，至今主页还是使用的自签名证书，让我犹豫了好长时间才敢加入信任。我的带农行个人证书私钥的备份文件放在PDA上，被偷了，于是赶紧更新个人证书。更新页面上说得好好的，老证书24小时后失效，这都过了好些天了，两个证书任选其一都可以用。我无语了，关键是，还没地方说去，万一钱丢了，只好自认倒霉。

卡友回复：

对于观点：比较有意思的是这位仁兄分段落编号居然从 0 开始的，呵呵...

很多计算机语言里数组的下标都是从0开始的。

这位老兄是FreeBSD操作系统开发组里中国大陆仅有的两位源代码提交管理人之一，为FreeBSD的发展做了大量贡献，堪称国内的顶尖程序员。