這兩個星期,全世界所有人的焦點,都放在奧運精采的賽事轉播,看到運動員奮戰不懈的精神,尤其跆拳女將蘇麗文的表現,展現出運動員的精神,真是可敬可佩。由於無線台賽事轉播的安排不儘理想,因此中華電信的Hichannel的收視屢創新高,在流量不斷增加下,網路成為收視運動節目另外一個重要的管道,而駭客也利用此機會,大量散播偽冒奧運消息郵件,夾帶許多惡意連結,而讓許多民眾一時不察,中了病毒、間諜軟體而不自知。
 |
| ▲Ironport台灣區業務總監許勝雄 |
其實從兩年前,病毒傳播主要途徑已經由電子郵件夾帶附檔轉變為以URL連結,或是掛碼在合法網頁,造成許多企業及民眾中毒比例大增,也促使資安廠商,更加重視Web安全防護,但駭客們也秉持著奧運運動員的精神,不斷演進,不斷地突破,使得惡意軟體幾乎是防不勝防。
駭客如何突破資安廠商的「馬其頓防線」?首先對於傳統的特徵碼防毒軟體,惡意軟體利用port 80不設防的漏洞,當個人電腦中了惡意軟體後,會走port 80下載更新的惡意軟體,如此一來,可保持不斷更新程式,以躲過防毒軟體的偵測。由於防毒軟體從拿到樣本到寫成特徵碼,永遠保持有幾小時到幾天的落差,而這也是許多防毒軟體在此波惡意軟體的戰爭中,一直居於劣勢的原因。
前幾年,紅極一時的URL過濾器,也在此次戰役中敗下陣來,因為URL過濾器基本上是靠使用者通告惡意網站,或是藉著公司的Spider(網路蜘蛛)的程式在網路上不斷地「爬」網站以找出惡意網站,不難想像,網路上數千萬的網站中要耗費多少時間才能搜尋完一遍,這中間的時間差也足夠讓許多人連上惡意網站而中毒。
真的就此束手無策了嗎?近來有些比較有效的方法,例如網站動態信用評等。由於駭客在架設惡意網站會有一些共同處,因此,針對網站做信用評等能避免使用者誤入信用評等不好網站,事實上這樣的作法所產生的成效還不錯。通常駭客會用相同名字或公司名註冊出數十個網域名,以架設惡意網站,所以只要捉到一個惡意網站,從註冊名字回溯找出其他註冊的網站名稱,是不錯的方式。
透過觀察惡意網站架設行為,從一些特徵中建立出評分參數,從而對每個網站IP或網域名稱做評分。此種方式,可以比較即時找出可疑的惡意網站,而不用等到客戶中毒後回報或是發現有問題,才加入黑名單,是目前比較有效預防惡意軟體的方法之一。
這一波惡意軟體的演進,已對資安廠商造成很大的威脅,目前各家資安廠商紛紛尋找更新的解決方法,以避免傳統的特徵碼及URL過濾失效。相信在這一場資安的奧林匹克大賽中,會不斷有新的運動員加入,也非常可能有新的金牌得主產生。