羅健豪本次在京都舉辦的 AVAR(亞洲防毒研究者協會)會議,乍看之下偏向是眾多研發人員彼此交流意見的技術研討會,但其實不全然如此。因為在數年來的資安架構與技術發展之下,其實眾多研究者已經發現,真正帶來嚴重後果的攻擊事件,只有少數是因為最新型的攻擊或無人得知的漏洞所引起,事實上,有許多攻擊或入侵事件之所以產生,最主要的原因都在於使用者的錯誤行為或認知,進而造成相當大的危害。
Kaspersky 研究室的資深安全研究員 Stefan Tanase 在會議中便明白指出,在 Web 2.0 時代雖然讓使用者享有相當高的便利性與彈性,但相對的,也將威脅推進至 Threats 2.0,特別是眾多病毒會跟著 Twitter 與 Facebook 一同增加擴散。
本文目錄
Web 2.0 網站釋出 API 鼓勵開發,也鼓勵了惡意威脅
 |
| 奈良先端科學技術大學院大學 情報科學研究所教授 山口英 |
目前看來,Web 2.0 最大的特色就是拋下了作業系統、螢幕大小甚至是設備的差異,只要擷取適當的程式碼,透過 AJAX 或 Flash 改寫之後,我們可以隨時隨地透過任何可連網裝置登入網站。而以台灣地區而言,包含 Nokia 、 Motorola 或是 HTC 等都已經可以快速且順利的登入 Facebook 或 Plurk,且已經逐漸成為使用者生活中必做之事。
「我們可以發現攻擊或依附社交網站的惡意程式數量逐日增加,在 2008 至 2009 年可說是一個蓬勃發展的階段,Stefan Tanase 也特別提出警告:「而使用者在不知情的狀況下,就可能會被 AdWare 或是內嵌於特定元件的惡意程式感染,並造成難以彌補的損失。」
或許有人會認為,已經裝了防毒軟體為什麼還會遭受病毒侵擾?其道理很簡單,在瀏覽網頁之時,防毒軟體會認為該行為是使用者允許,而其網址也是合法的,在這種狀態之下,絕少部分防毒軟體還會去檢查網頁中所包含的第三方連結或套件,也因此造成資安漏洞。
「現今資訊環境整合了基礎設備、應用服務及網路,從原先『單一』架構變成『網路化』架構」,奈良先端科學技術大學院大學情報科學研究所教授山口英表示,「在這種複雜的環境下,信任成為相當困難的一件事情,不單我們無法信任別人,他人也同樣無法完全信任自己。因此需要透過認證、密碼檢核或是其他方式確認身分無誤,才能夠確保使用者在網路上的安全性。」
不單網頁,文件也會受害
在 Web 2.0 時代,廣泛傳輸的不只是網頁,另外還有為數眾多的電子文件,像是 Word 、 Execl 、 PowerPoint 或是 PDF 等,不單只是公司內部文件往來之用,就連個人書信有時都會採取夾檔方式傳送更多樣化的內容。 CAL-HCL 研究員 Setyendra Teppalavalasa 便以 PDF 檔案為例,解釋病毒如何依附於 PDF 中,並藉由檔案傳輸而擴散到各地。
事實上,PDF 的漏洞一直是被人忽略的,因為相較於其他文件格式,PDF 不但檔案較為完整,同時也相對安全,但這項特點已經逐漸被破壞了。
「PDF 格式在 Adobe 公司開發之後,由於其可攜性與便利性,已經成為眾多文件的主要標準格式,」Steyendra Teppalavalasa 表示:「但是潛藏在其中的威脅卻一直未受重視,以致於 2007 年至 2009 年間,PDF 與相關程式的漏洞不斷被發現,2009 年所發現的漏洞(9 起)甚至是 2007 年的 2 倍多(20 起)。」
畢竟程式只要有存在的一天,過去產生之漏洞就隨時會有被揪出來的風險。而駭客更是鎖定人群密集之事物,因為使用者越多就越有利可圖。
法律規章才是最重要的防禦
 |
| 左起開始為警察廳代表齊藤正憲,總務省代表中野正康,經濟產業省山田安秀。 |
當技術已經發展到一定規模與成熟度,惡意軟體能夠造成的威脅都可以在短時間受到控制,但為什麼還是有那麼多危害產生?關鍵就在於多年來不斷強調的「使用者知識與心態」及「政府法律規範」上。
日本在近幾年來,已經在警察廳、總務省及經濟產業省等單位,編列了多件數億元鉅額專案,希望在未來 3 至 5 年內,能夠落實民眾資訊安全教育、增加監控與回應能力、強化安全管理機制並提供各種技術化計量措施,以期能達到全面且完整的資訊安全體系。
「網路犯罪有一定的模式跟體系,目前來說只要有利益可圖就會犯罪,」警察廳齊藤正憲表示:「唯一的方式就是透過警覺、預防、回報與杜絕,才能夠讓網路犯罪不再蔓延擴散出去。」
日本政府花費鉅資建立數件 3 至 5 年不等的專案,希望透過這些專案強化使用者認知與能力,增加執法人員的工具及效率,並與產業界結盟避免因法規限制而造成過多影響。目前已完成第一步,第二階段計畫將會在 2011 年完成。