Mengapa saya bisa mendapatkan virus atau trojan dari mengunjungi situs web?

Saya telah melihat ini banyak belakangan ini. Anda mengklik tautan, dan trojan instan. Tidak perlu mengunduh atau apa pun.

Bagaimana ini mungkin? Apakah ada cara saya dapat memindai tautan sebelum mengunjungi untuk memastikan saya tidak akan terinfeksi?

Untuk menjawab bagaimana itu mungkin:

Situs ini memiliki beberapa skrip yang dijalankan saat Anda memuat halaman. Inilah yang menginfeksi PC Windows Anda - Saya tidak 100% yakin dengan rinciannya, apakah itu mengunduh kode atau hanya menjalankannya. Halaman ini memiliki contoh bagaimana hal itu dilakukan dalam satu kasus. Peramban yang rentan juga diperlukan, dan hampir semua peramban populer adalah peramban yang rentan karena sesuatu yang berjalan pada banyak komputer layak untuk ditargetkan.

Ini akan menjadi PC Windows untuk sebagian besar yang terinfeksi ketika orang berjalan sebagai admin daripada pengguna yang dibatasi. Alasannya banyak dan beragam. Seperti yang ditunjukkan oleh Roger dalam komentarnya, popularitasnya bukanlah kelemahan intrinsik yang menjadi faktor utama di sini:

Windows lebih bertarget karena lebih populer. Ada yang mengatakan bahwa Windows juga kurang aman daripada alternatif, tetapi saya harus mengatakan bahwa dalam cara Anda menyorot, tidak. Saya menjalankan Linux di rumah dan jika trojan dapat berjalan di bawah akun pengguna saya itu masih bisa melakukan cukup banyak kerusakan pada file yang saya sayangi sedikit, itu tidak bisa mengambil alih sistem.

Meskipun dengan menjalankan dengan pengguna hak terbatas Anda dapat membatasi kerusakan, tetapi tidak harus menghilangkannya.

Dengan Vista dan sekarang 7 memiliki kontrol yang lebih ketat atas apa yang dijalankan sebagai admin, Anda mungkin mulai melihat penurunan dalam situs-situs semacam ini - meskipun itu hanya akan terjadi ketika mayoritas menjalankan OS yang lebih baru.

Nah, ketika Anda membuka situs web, situs web dapat mengarahkan browser untuk melakukan segala macam hal atas namanya. Dalam kasus yang paling sederhana, itu hanya akan mengirim teks dan gambar untuk ditampilkan, tetapi juga dapat mengirim program kecil yang akan dijalankan browser (dalam JavaScript, browser yang memiliki built-in, atau menggunakan plugin browser seperti Java atau Flash) .

Pada prinsipnya, terinfeksi hanya dengan mengunjungi situs web seharusnya tidak mungkin:

Sementara browser akan menjalankan program atas nama situs web yang Anda kunjungi, program ini dibatasi dengan hati-hati sehingga mereka hanya dapat melakukan hal-hal yang "tidak berbahaya". Dari JavaScript, misalnya Anda dapat mengubah halaman milik JavaScript (karena keduanya berasal dari situs web yang sama, tidak ada salahnya), tetapi JavaScript mungkin tidak mengubah halaman dari situs web yang berbeda (sehingga situs yang curang tidak dapat mengubah Anda tampilan home banking), dan mungkin tidak secara langsung mengakses file di komputer Anda.

Pembatasan serupa ada untuk sebagian besar plugin (setidaknya untuk Java dan Flash). Ini biasanya disebut sebagai sandboxing , karena kode tersebut pada dasarnya berada di dalam kotaknya sendiri, terisolasi dari komputer yang digunakan untuk menjalankannya. Secara khusus, ia tidak dapat membaca file di hard disk Anda, atau memulai program untuk Anda, seperti program "biasa" yang berjalan di komputer Anda.

Sekarang, masalahnya adalah: sementara pada prinsipnya Anda aman, dalam praktiknya Anda mungkin tidak. Alasannya adalah bahwa sistem kotak pasir, seperti semua program, memiliki bug. Terkadang bug ini memungkinkan suatu program untuk "memecahkan" kotak pasir dan menipu peramban atau plugin untuk melakukan hal-hal yang seharusnya tidak boleh dilakukan. Trik ini bisa sangat rumit.

Contoh:

• Seperti program biasa, implementasi browser atau plugin dapat memiliki buffer overflows, yang dapat memungkinkan situs web untuk menjalankan kode yang dibuat khusus dengan mengirimkannya ke browser sebagai input.
• Ada kerentanan dalam versi lama plugin Java milik Sun sehubungan dengan kotak pasir. Kotak pasir melarang (dan masih melarang) akses ke semua fungsi Java yang dapat memungkinkan program melakukan kerusakan, seperti membaca atau menghapus file lokal. Namun, sementara kotak pasir tidak benar memblokir akses ke fungsi-fungsi ini dari applet Java, browser juga memungkinkan akses tidak langsung ke fungsi-fungsi ini dari JavaScript (melalui teknik yang disebut "refleksi"). "Pintu belakang" ini belum dipertimbangkan secara memadai oleh pengembang, dan diizinkan untuk melewati pembatasan kotak pasir, memecahkan kotak pasir. Lihat https://klikki.fi/adv/javaplugin.html untuk detailnya.

Sayangnya, ada beberapa kerentanan di kotak pasir JavaScript, Java dan Flash, hanya untuk beberapa nama. Ini masih semacam perlombaan antara peretas jahat yang mendeteksi kerentanan ini untuk mengeksploitasi mereka, dan peretas dan pengembang yang baik yang mendeteksi dan memperbaikinya. Biasanya, mereka diperbaiki dengan cepat, tetapi kadang-kadang ada jendela kerentanan.

BTW: Kotak pasir adalah alasan mengapa beberapa applet Java memunculkan peringatan "Apakah Anda mempercayai applet ini" saat peluncuran: Applet ini meminta Anda untuk mengeluarkannya dari kotak pasir mereka dan memberi mereka akses ke komputer Anda. Ini kadang-kadang diperlukan, tetapi hanya harus diberikan dengan alasan yang bagus.

PS: Alasan mengapa ActiveX (setidaknya versi awal) begitu tidak aman adalah karena ActiveX tidak menggunakan kotak pasir. Setiap kode ActiveX dari halaman web memiliki akses penuh ke sistem Anda. Agar adil, ini (sebagian) diperbaiki dalam versi yang lebih baru.

Saya menyebutkan ini untuk menjawab pertanyaan terakhir Anda tentang tindakan pencegahan. Salah satu opsi yang tidak terlalu umum adalah menggunakan mesin virtual (yah, itu biasa di kalangan lingkaran keamanan). Ada beberapa yang gratis tersedia. Instal OS, peramban, dan peralatan tambahan di mesin virtual dan simpan status. Anda kemudian dapat menjelajah ke situs mana pun. Setelah selesai, Anda kembali ke status tersimpan itu dan apa pun yang terjadi di mesin virtual setelah titik itu dibuang. Ini sangat sederhana begitu Anda masuk ke dalamnya, tetapi dapat menimbulkan sedikit kurva belajar.

Catatan: Mengembalikan status secara harfiah akan membuang segala perubahan pada mesin virtual; termasuk riwayat peramban, cookie, pembaruan, dll. Dalam hal ini, Anda dapat kembali ke kondisi itu, menerapkan pembaruan, dan menyimpan status baru. Hal yang sama dapat dilakukan untuk hal lain yang ingin Anda simpan. Semua ini tidak mempengaruhi komputer Anda yang sebenarnya, hanya mesin virtual.