2004年上半年互联网信息安全报告与未来趋势

　　钟翠玲

　　防毒公司赛门铁克最近发布2004上半年“网络安全威胁研究报告”(注)，对全球企业及家庭、个人电脑做了半年度的回顾，并指引出未来信息安全的趋势，在即将进入2004年最后一季的现在，贵公司不妨也将此纳入明年信息安全预算编订的参考之一。

　　电子商务及小型企业成为主要攻击目标。根据这份报告，2004年上半年，电子商务(e-commerce)及小型企业分别以16% 及10% 分居网络攻击目标产业的一、二名。在2003年下半，两者分别只有4%及3%.

　　全球电子商务的日趋成熟的结果，为电子商公司，大至eBay、小至个人在雅虎奇摩开设的拍卖专区等，都有可能成为攻击的受害者，尤其是后者数量众多，一旦被入侵网站服务器(Web Server)，一切交易纪录及信息显露无疑。

　　小型企业之所以成为攻击对象，部份原因和过去最大的攻击目标──金融业强化防护有关。如银行、证券、保险业等大型企业，开始注重电子交易及网站的安全，导致黑客转而攻击较不设防的小型企业。小型企业往往也是安全意识较薄弱的一群，因此也没有足够的安全预算。

　　而和电子商务相关的是Web 应用的安全。IE或IIS 的漏洞，以及Web 应用的瑕庇，可以导致电子商务网站交易信息被任意存取。例如，信息隐码攻击(SQL injection )就是可以在输入任意字串的Web 应用中搞鬼，一旦不幸中标，就可让有心人士存取该网站服务器甚至数据库。

　　漏洞安全日益严重。2004年上半，赛门铁克报告有1237个新漏洞，平均每周有48新漏洞被发现。其中96% 是属于中度到高度风险，其中有 46% 被列为高度风险。而在所有漏洞中，超过一半不用撰写程序就可以发动攻击。前述的Web 应用漏洞，也从去年下半占总漏洞数量的31% 提升为38.7%。

　　另一个骇人的趋势是，漏洞公诸于世到该漏洞的相关攻击，时间差平均只差5.8 天，比前半年的报告天数(7 天)又更为缩短。这显示黑客撰写攻击源代码的速度不断加快，相对地，一个未加修补的漏洞的风险又更高。

　　恶意程序也升级？2004上半年赛门铁克的报告中，显示有4 ，496 个新发现的Win32 毒虫。相较之下，2003上、下半年发现了994 个及1， 702 个Win32 毒虫。Win 32毒虫只会攻击Windows NT、2000及XP以上的操作系统；而Windows 95、98则是16位的操作系统。MyDoom和 Netsky 是2004上半年爆发的蠕虫之中，最重大也最受注意的Win32 蠕虫。其中MyDoom.A收到最多的病毒虫样本。

　　这表示，黑客作者也渐渐“升级”了，95、98不再是他们感兴趣的对象。但如果你现在还在使用95、98，除了当机比较麻烦外，某种程度而言反而比较安全。

　　僵尸电脑愈来愈多。2004年另一个重大的攻击趋势是，一种利用植入代理程序以便进行远端遥控的恶意程序攻击。2004上半年赛门铁克每天持续追踪连接远端控制Bot 网络的主机。这个数字从1 月时每天不到2000个远端控制Bot 网络系统，到六月底的30，000 个。

　　受到Bot 控制的电脑，会执行黑客的攻击指令，过去称为僵尸电脑(Zombie)。如果针对特别网站进行大规模的Bot 攻击，就会形成拒绝服务(DoS ， Denial of Service)或分散式DoS (Distributed DoS )攻击。去年微软及SCO 网站受到MSBlaster 攻击，就是此类较知名的攻击事件。

　　事实上，较不知名的Gaobot，今年上半以4%的比例跃居所有攻击事件的第二名，仅次于MyDoom的10%。

　　根据赛门铁克的报告，今年光是Gaobot家族的变种这一项，赛门铁克就收到了67，000 个样本。Randex和Spybot家族的变种也很可观，各自收到10，000 个和8 ，000 个样本。僵尸电脑的攻击未来不可小觑。

　　赛门铁克也提出未来可能的信息安全忧患：

　　·首先，网络钓鱼(phishing)是未来数月最重大的威胁之一。网络钓鱼的研究统计、自保方法、商业解决方案，以及各国政府应对方法， CNET新闻网站有多次报道，在此不在赘述。

　　·间谍程序也会在未来攻击上扮演重要角色。特别是对允许HTTP的流量进出的公司网络而言，这意味着众多间谍程序可能借此渠道发送。因为有些封包包含能够自我更新的源代码，所以间谍程序越来越难卸载。

　　·恶意程序变种。今年的Netsky、MyDoom、及Bagle 等被认为背后具有组织性的支持，不断撰写变种。恶意源代码变种会改变蠕虫本身，并通过不断复制，导致于各代蠕虫之间产生显着不同的形式，而且许多传统的扫描技术可能无法侦测出这些进化的蠕虫变种。

　　·宽带分享器及网络装置。2004年上半，赛门铁克安全漏洞数据库发现20多个周边设备的漏洞，种类从允许远端破坏、重新设定到远端黑客甚至可以拥有系统管理者之权限。这也打破硬件装置“非常”安全的看法；虽然硬件装置的嵌入式操作系统不用担心Windows 的安全问题，但是它们仍然有漏洞让黑客乘虚而入，一些本来协助防护网络安全的产品，像是防火墙、入侵侦测产品，也不能免于这个隐忧。

　　国内随着ISP 调降费用，宽带网络将会日渐普及。未来家庭甚至都会购买宽带分享器，同时提供PC及像是机上盒、PS2 等信息家电连网。相对于思科、Checkpoint等大厂会定期公布弱点及修补程序，国内连网设备厂商往往都还没注意到这件事，这也让国内产品的用户──特别是家庭用户──可能陷于攻击的风险之中而不知。

　　这个趋势可能会促使用户开始重视硬件韧体更新，以便修补漏洞，进一步迫使国内厂商重视弱点及修补程序的更新服务。

　　·移动装置成为攻击目标。曾有分析师曾预测，掌上设备，甚至VoIP电话都可能成为病毒制造者的攻击目标。这个预言今六月实现。一只名为Cabir 的病毒，是专门针对Symbian 智能手机的病毒。这是一只“概念验证”(Proof of Concept)病毒，证明蓝牙装置也会有安全疑虑，不过却没有造成什么损害。

　　它会通过蓝牙传输协定传给另一只手机。不过，前提是对方使用者同意接收、执行程序，因此主要还是利用人性的弱点。但王岳忠指出，蓝牙是一种短距离的传输装置，在办公室内通常用于同事之间，未来出现造成有重大灾害的病毒后果可能不堪设想。“同事之间往往是相互信任的，因此你不太会去质疑对方传来的文件是有问题的。”

　　·P2P/IM(Instant Messenging)。同样地，愈来愈普及的P2P/IM(即时通讯)/IRC/CIFS(文件分享)等，将成为新兴的传染对象及途径。

　　·和互联网相关的IE、Web 应用，则已是具最受欢迎的攻击对象。

　　注：赛门铁克网络安全威胁报告，是该公司实验室针对网络安全发布的半年发报告。