Web 2.0 下的世界 – 防毒不再只是用戶端的責任
在十多年前,當 13 號黑色星期五來臨的時候,新聞報導偶爾會〝警告〞大家沒事不要打開電腦,因為有多達 15 隻以上的病毒會在當天發作。那是個美好的年代,防毒軟體還不盛行,病毒也總是挑些喜歡的日期發作,表面上一片祥和,軟體與病毒一起住在電腦中和平相處。時至今日,防毒軟體多到數不清有幾家,買台筆記型電腦,不但附上隨機版』視窗』,更會附上 30 天試用版防毒軟體,保證顧客 30 天內不會上門找店家殺毒。平日潛伏,挑黃道吉日大舉入侵的「病毒」時代已經過去了,取而代之的是組織化的行動,平日偽裝成良民百姓,暗地裡卻秘密與組織聯繫的「惡意程式」。表面上還是一片祥和,因為戰場不在安身立命的電腦用戶中,而是在離家十萬哩遠的伺服器。然而,這些「偷渡」上岸的惡意程式到底是從哪裡來的呢?
偽裝成良民的惡意郵件
電子郵件已經是新時代居民最常使用的系統之一,樂於分享的人們三不五時就轉寄』好康』的資訊給朋友。不過,一般人可能沒有警覺到,有些披著羊皮的狼已經悄悄的借機流竄。這些惡意郵件非常了解人性,它們會假藉時下流行的話題,像是「新流感防護,你不可不知」來騙取使用者點擊郵件。或許,你會說,這些郵件看起來很正常阿,裡面的附件檔案打開後也看起來很正常阿。事實則不然,這些附加的檔案很多含有惡意程式,當使用者打開檔案後,惡意程式便會透過 PDF、Word 等軟體的程式漏洞(exploits)進駐電腦中,成為新居民。
潛伏於良心企業的網站
在這個宅男多於陽光男孩的時代,人人都會上網,上網除了收信、MSN 以外,剩下最常見的不就是瀏覽網站嗎?颱風來了要看氣象局的網站,沒事要看新聞網站關心國事,老闆交代的工作得上網看看企業網站,幫老婆大人買東西需要到購物網站。那這些網站安全嗎?他們平常有沒有「定期打掃,做好居家防護呢」?很幸運的,並沒有!看看資安之眼的網站淪陷資料庫 [1] 吧。很多網站設計不良,導致駭客可能透過跨站腳本攻擊(Cross-Site Scripting,XSS)、跨站請求偽造(Cross-Site Request Forgery,CSRF)、資料隱碼(SQL Injection)等方式,把放有惡意程式的連結(通常稱為惡意連結)植入網站之中,導致使用者在瀏覽網站的時候,在不知情的情況下大開門戶,歡迎新居民(就是這些惡意程式)的到來。
企業家們硬起來?
我們不難發現這兩項原因跟企業很有關係。不管是惡意郵件或是網站,惡意程式的傳播路徑都是從「駭客->郵件伺服器/企業網站->使用者」。特別是企業網站被植入惡意連結這種傳播路徑,把防毒責任放在用戶端身上實在是說不過去。面對縝密的組織行動,光是在最後一線防堵疫情是不合理的,企業有責任在第一線做好自家網路的把關責任,不是嗎?
[1] 資安之眼網站淪陷資料庫 : http://www.itis.tw/compromised
No responses yet
