帳號:
密碼:
最新動態
產業快訊
CTIMES / 文章 /
Spyware攻防戰
企業、機構該從何瞭解與防禦?

【作者: 李淳熙】   2005年03月01日 星期二

瀏覽人次:【3931】

現今網路應用的手法與技巧,多半因使用的普及而逐漸多樣化,雖然因此帶來更多的資源與效益,但隨之而來的是資安問題受到嚴重地威脅。這些威脅除了病毒、駭客、木馬程式、蠕蟲、到垃圾信件等,這些我們耳熟能詳的資安問題泛濫外,間諜軟體(Spyware)及網路釣魚(Phishing)新一代惹人厭的網路應用紛紛出籠。其中,間諜軟體更與廣告軟體(Adware)和有害軟體(Malware)交相糾葛,至今還難以分清。


由於上述這些網路應用的手法日益翻新,使得發作影響於無形、傷害程度日益激增。相較於過去,這些有害軟體僅止於對OSI網路協定Layer 1至Layer 3低層位置的威脅,現今隨著個人或機構對防火牆使用的觀念提升,威脅逐漸轉往Layer 4至Laye7的高層協定,特別是最貼近個人運用的應用層Layer 7。它們利用個人的心防輕忽而入侵得逞,今日的Spyware、Phishing正是此等手法的最佳代表。


今次,筆者將和讀者一起分享近年來最令企業頭疼的「Spyware」,並將它是如何產生的?威脅何在?威脅的方法與程度又如何?等問題,於本文中作詳細介紹。


Spyware從何演進成形?

相信大家對共享軟體(Shareware)這個名詞並不陌生。一直以來,許多的小型軟體業者,將其發展的軟體以共享軟體方式來銷售,使用者雖可下載使用,不過卻是以30天體驗,或部分功能無法行使(使用者付清費用後才可取得完整版使用,不過費用大約介於數十至數百美元之間)等條件性的使用。此種軟體開發銷售方式持續多年,但是近年來由於破解技術及P2P交換風盛行,使許多共享軟體業者難再以相同方式求生存,只好另謀開源方式。因為Internet的普及,業者便在軟體上加入連網廣告機制,並向企業、機構販售廣告版位。


然而此一方法逐漸無法滿足廣告主,使得軟體業者將廣告機制分眾化,即在軟體內加入對使用者習慣、偏好的瞭解機制,然後再給予最適切的網路廣告,顯現出投其所好的廣告內容,這即是今日常言的廣告軟體(Adware)。


當然!此種設計也是種體貼作法,有時也會得到使用者的好感,且在行使此機制前已有知會過使用者,在獲得使用者同意後才會以此方式執行。如挪威的Opera瀏覽器,即是先通知使用者願不願意在輸入Google關鍵字搜尋後,也允許於未註冊版的Opera瀏覽器上,其廣告欄位顯現出與關鍵字對應的廣告。如(圖一)。


《圖一 未註冊版的Opera瀏覽器會有連網廣告的設計,且在徵得使用者同意後,於Google關鍵字搜尋時,也對應顯示與關鍵字相關的網路廣告,不僅廣告效果更佳,有時也能讓使用者省去一些消費需求上的搜尋心力。》
《圖一 未註冊版的Opera瀏覽器會有連網廣告的設計,且在徵得使用者同意後,於Google關鍵字搜尋時,也對應顯示與關鍵字相關的網路廣告,不僅廣告效果更佳,有時也能讓使用者省去一些消費需求上的搜尋心力。》

但是,不見得所有的軟體業者都如此謹慎行使此種機制,有時業者也可能只在授權條款中聲明,然多數人多半直接按「同意」而不知自己已同意將偏好訊息送出。多數人對此段聲明程序的輕忽,事後於新聞中揭露後,才引起眾多反彈。


確實,不見得人人都希望自己的偏好、消費習慣等被得知,認為這是隱私權的侵犯,如此Adware就從純廣告軟體被看成有害軟體(Malware),甚至更進一步的,若軟體業者有更蓄意的想法,則可以進行更深層的威脅,例如強制修改使用者的軟體設定,如IE瀏覽器遭到綁架,強制將首頁連結至某一網址、將使用者個人的更進一步資訊進行回傳,或者啟動鍵盤側錄程式(load keystroke logging software),以此竊取使用者的輸入,從而洩漏帳號、密碼等重大隱私,甚至大開系統後門(open backdoor),引入更多的威脅入侵,這時就成為貨真價實的Spyware了!


如何防範Spyware?

在瞭解Spyware的手法與威脅後,該如何才能達到防制效能?我想,應從最基礎的心防開始,人人在安裝軟體前要多花點時間閱讀一下授權內容,且拒絕安裝可疑、不明的軟體,軟體不單是指下載後的點按安裝,有時在網頁瀏覽過程中就會受到提示,要求同意即時下載安裝,並於瀏覽器內執行的小程式,如ActiveX、小型應用程式(Java Applet)、延伸程式(Browser Extension),或外掛程式(Plug-In)等,這些都可能是Spyware。


Spyware的入侵不單是安裝軟體、瀏覽網頁,連信件收發也可能發生。有些電子信件收發程式在開啟某信件後,即會順帶將該信的指令檔(Script)開啟,如*.vbs、*.js的Windows批次執行檔(Windows Scripting Hos,WSH)便會立即執行,結果可想而知。另外,各位也別認為只要是Web介面的電子信件就一定安全,連瀏覽網頁都可能遭入侵,那麼更別說收發Web型信件也是途徑之一。


所以,除了對軟體安裝、下載、網頁瀏覽、信件收發都要保持戒心,才能防止Spyware入侵外,最好是直接將危險的網址、信件進行阻隔,防止被瀏覽或開啟。不過無人能保證一定能將所有威脅阻絕於外,因此還必須時時進行內部的偵測、掃瞄、檢視,好讓偷渡成功的Spyware在尚未得逞前先被揪出、刪除與隔離。


倘若Spyware尚未被偵出與刪除,網管人員也需即時攔截可疑資訊的傳出。因為這可能是Spyware正將使用者的機密資訊準備回傳或洩漏。因此真正嚴密的Spyware防範,在環節上必須是入侵阻絕、常駐監測,和洩漏禁止等三者兼備,在來源上也須兼顧使用者最常應用的Web(http)、File(ftp)、Mail(smtp/pop3)。


務實佈建「抗Spyware」環境

關於個人系統的Spyware防制,現有的個人防毒軟體與防火牆多半已延伸顧及。然更嚴肅與更大構面的是資管、網管人員,如何在企業、機構的現有資訊環境中,導入全面性的Spyware防禦能力,且必須在不影響原環境運作的情況下完成佈建及執行。為了更貼近現實,我們以情境方式來舉例說明。


首先,路由器(Router)連接企業外的Internet,之後先進行低層協定的威脅把關,即是透過防火牆(Firewall),接續著便是高層協定的把關,這時可用一部Windows伺服器,於其上裝設Trend Micro的InterScan Web Security Suite(IWSS),最後再將網路資源連往企業前端環境的工作站(Workstation)、桌上電腦(Desktop)、行動電腦(Laptop)上。


IWSS會進行HTTP、FTP的監控把關,過濾、封鎖來自Web、File的可疑威脅,不僅防範Spyware也能阻絕Phishing,而且監控把關的執行相當快速,對網路應用的存取影響幾乎微乎其微,從使用上全然無法感受出差異。所以網管、資管人在評估反Spyware、Phishing系統時,必須格外重視對原有存取環境的效能影響性。如(圖二)。


《圖二 Trend Micro IWSS如何與現有資訊環境中的防火牆、代理主機/網頁快取、硬體防毒牆等協同整合運作,並且可擴充網頁內容管理能力及統整性管理工具。》
《圖二 Trend Micro IWSS如何與現有資訊環境中的防火牆、代理主機/網頁快取、硬體防毒牆等協同整合運作,並且可擴充網頁內容管理能力及統整性管理工具。》

加強網址過濾能力

要進一步封鎖Spyware,最好是連可疑的威脅網址都加以禁止,特別是該網址並非企業商務之用時,如成人網站、聊天網站等,即便該網頁不是危險網站,也可能為企業帶來其他困擾。例如員工會神遊性蹺班,以上網為樂而影響正務效率,或者運用網路資源進行違法行為,如洩漏公司機密、私售公物等,所以必須加入網頁內容管理(Web Content Management,WCM)的能力。有效運用IWSS,可選擇擴接網址過濾模組(URL Filtering module),以此禁止可疑、有害網址的存取,不單是防止員工非公務之用,也防止Spyware入侵,同時也防止Spyware回傳資訊(回傳網址被禁止存取)。


現在絕大多數的企業都已導入目錄服務(Directory Services),不僅是作為帳號系統之用,也包括存取控制、權限管理,目前幾乎所有的目錄服務都遵循LDAP 3.0以上的標準而設計,尤其以Windows 2000 Server後的Microsoft Active Directory(MS-AD)為最多,而IWSS可完整且密切地透過LDAP與MS-AD結合。


再者,企業為了加速網頁瀏覽、降低連外頻寬的倚賴,多半也會建置代理主機/網頁快取(Proxy/Cache)系統,現在的Proxy/Cache設備多已支援ICAP(Internet Content Adaption Protocol)1.0的規範,如Cisco的ICAP Server、Blue Coat Systems的SGOS、Network Appliance的NetCache等Proxy/Cache系統。


IWSS支援ICAP業界標準協定,得以與支持標準ICAP的代理網頁快取系統緊密整合,實現高效率的過濾掃描效能,除此之外,IWSS也支援單機模式(Standalone Mode)以及依賴模式(Dependent Mode)以滿足企業的部署需求,單機模式可以被部署在企業無代理網頁快取系統的網路環境之下,而依賴模式可以被部署在企業有不支援ICAP的代理網頁快取系統的網路環境之下。


防範E-Mail來源的Spyware

關於Web型態信件的Spyware防護已由IWSS專責,但若是從信件附檔直接發作的資安威脅,就不是IWSS所能構及,此方面可用Trend Micro的OfficeScan企業版(Corporation Edition)來防護。


OfficeScan會在桌上電腦、行動電腦上安裝代理程式,以進行最末端的資安把關,如此無論E-Mail伺服器是在企業內還是企業外,是企業的信件帳號、個人的信件帳號都可以進行防護,甚至不是透過企業內的網路環境也能防護。例如用無線或自行撥接等方式與Internet連通,另外連PC與PDA的同步都能防護。如此,即便Spyware已經潛入,並且知道企業連外網路已有把關機制,而企圖自行另闢連通路徑來洩漏個人私密或商業機密,如自行啟動撥接或啟動無線,也一樣會被OfficeScan攔截。


OfficeScan也能與Trend Micro Network VirusWall(防毒牆,硬體式防毒設備)進行資安上的協同整合運作,也能與前述的Trend Micro Control Manager(軟體式資安管理工具)進行資安上的統整管控。如(圖三)、(圖四)。


《圖三 Trend Micro OfficeScan能顧及企業、機構資訊環境中的最後一道資安防護,阻絕各種連通路徑的威脅侵擾,包括遠端使用者、VPN連通等也在防禦範疇內。》
《圖三 Trend Micro OfficeScan能顧及企業、機構資訊環境中的最後一道資安防護,阻絕各種連通路徑的威脅侵擾,包括遠端使用者、VPN連通等也在防禦範疇內。》

結論

由文中我們得知,對於Spyware的協定防範在於HTTP、FTP,和POP3/SMTP;對於裝置防範則在於Server、PC(Desktop/Laptop),和PDA;至於路徑防範則在於Router的進出、Dial-up的進出,與Wireless的進出…等。再者,要為企業或機構現有的資訊環境加入Spyware,也包括網路釣魚的防禦力,必須相容於環境中既有的目錄服務、路由器、防火牆、防毒牆、管理軟體、代理主機、網頁快取等,不僅要無礙現有運作的相容,還要密切地整合協同運作,資安一切就貴在「周密」、「嚴密」。


《圖四 Trend Micro Control Manager能提供完整、一致、的資訊環境管理,無論是病毒、測試性病毒、木馬程式、甚至是玩笑程式(Joke)等都能加以監督管控。》
《圖四 Trend Micro Control Manager能提供完整、一致、的資訊環境管理,無論是病毒、測試性病毒、木馬程式、甚至是玩笑程式(Joke)等都能加以監督管控。》

註:網路釣魚(Phishing)一詞是由現有一般釣魚(Fishing)所轉化衍生成,Ph與F為同樣發音方式,以此來區別網釣與真正生活中的釣魚。


<作者任職於趨勢科技亞太區國際行銷部產品行銷經理>


延 伸 閱 讀

間諜軟體Spyware是一種隱藏於你個人電腦中的軟體。此類軟體的安裝及執行,既不會先行知會用戶,亦不會事前要求取得用戶的許可,便會無聲無息地透過網路把你的個人資料傳送出去。相關介紹請見「什麼是間諜軟體Spyware?」一文。

根據Dell與Internet Education Foundation公佈的最新調查報告,美國有90%以上的電腦被安裝間諜軟體,而大部分用戶不知道如何檢測和清除它們。IEF是從事與網際網路相關教育的非營利團體。你可在「調查:美九成以上電腦被安裝間諜軟體」一文中得到進一步的介紹。
今年上半年間諜軟體據軟體的調查結果顯,1月至6月間對200萬台個人電腦進行了檢測,總計檢測出5480萬個間諜軟體,平均每台個人電腦內安裝有26.5個間諜軟體。在「平均每台PC有26.5個間諜軟體」一文為你做了相關的評析。
間諜軟體應該和垃圾郵件及網路釣魚騙術一樣,已經到人人都要喊打的時候了,微軟及資訊安全公司也應重視這類軟體所帶來的安全隱憂,盡速提供真正有效的解決方案。在「間諜軟體人人喊打」一文為你做了相關的評析。
最新消息
美國市調公司TNS和隱私保護團體TRUSTe於23日公佈美國消費者在假期旺季網上購物計劃的調查結果。結果顯示,由於擔心個人信息被盜和洩露隱私,今年的假期旺季可能有多達58%的消費者減少在網上購物,且這一比率明顯高於去年的49%。 相關介紹請見「因安全問題,美國58%消費者考慮減少網上購物」一文。
上週五(1日)微軟董事長Bill Gate在舊金山表示,該公司計畫推出自家的反間諜軟體產品。Gates表示,微軟將提供持續更新的軟體產品,以偵測惡意的應用程式。你可在「微軟將提供反間諜軟體產品」一文中得到進一步的介紹。
著眼於網路犯罪的日益猖獗與隱私權的維護,美國加州州長阿諾史瓦辛格(Arnold Schwarzenegger)不久前簽署了一項反間諜軟體(antispyware)法案。該法案認定未經同意置放隱藏軟體到他人的電腦中,是一種犯罪的行為。這些隱藏於使用者中執行的軟體,可能用來窺視使用者的瀏覽行為,或追?所鍵入的資料,如果據此來取得重要的密碼等資料,就會損及使用者的利益。在「美國加州制定打擊Spyware條款」一文為你做了相關的評析。
打擊間諜軟體已經成了許多廠商的當務之急,據CNET網站報導,Yahoo將推出新版下載工具列,可協助偵測並移除用戶電腦上的間諜軟體,或不肖檔案。在「:Yahoo推出間諜軟體防堵工具 」一文為你做了相關的評析。
相關網站
ICAP論壇官方網站
Trend Micro網站
台灣思科網站
相關文章
ChipLink工具指南:PCIe® 交換機除錯的好幫手
氫能競爭加速,效率與安全如何兼得?
智慧製造移轉錯誤配置 OT與IT整合資安防線
創新光科技提升汽車外飾燈照明度
以模擬工具提高氫生產燃料電池使用率
comments powered by Disqus
相關討論
  相關新聞
» 工研院MWC 2024展會直擊:5G-A通訊、全能助理成下一波AI風潮
» 經部「2023玩學5G新視界」 領台灣網通產業躍上國際舞台
» 取得ISO 14064-1作為淨零起手式 鼎新以碳總管助力企業跨步綠色轉型
» 經濟部通訊大賽連線全球 多國創新應用現身
» 經濟部支持跨國研發有成 台歐雙方分享B5G~6G規劃


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.172.70.130.222
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: [email protected]