相信大多數六年級生和更年長的朋友,都曾經歷過殭屍電影的熱潮,在電影中道長只要憑藉手中的符咒,一一黏貼在殭屍的頭上,然後一搖手中的法鈴,就能操控所有殭屍行走跳躍的方向。在這個網路盛行的年代,也有所謂的殭屍網路(Botnet)出現,它是指一群受害者的電腦受到操控,成為受人擺佈的「殭屍」,可以被惡意人士利用來發動大規模的網路攻擊,或是從事散布垃圾郵件或病毒的惡意行為,而且這些攻擊往往難以追查到幕後的真正控制者。
為什麼電腦會變成「殭屍」?可能的原因有很多,但比較顯而易見的原因則有二個,一是管理人員平時未做好管理工作,讓電腦缺少適當的防禦機制,例如未安裝防毒軟體、未修補作業系統漏洞等,造成使用者的電腦具有容易入侵的弱點,進而感染了木馬或病毒等惡意程式。另外一個原因則是使用者本身缺少了資安意識,喜歡點選開啟來路不明的電子郵件或檔案,或是濫用電腦去下載非法軟體,導致電腦很快就變成殭屍大軍中的一員。
殭屍網路危害的情況
過去,殭屍網路大多被用來作為癱瘓他人網站的利器,只要透過同一時間操控大量的殭屍電腦,發動分散式的阻斷服務攻擊,往往就會造成企業的網站難以招架而停擺,網管人員也很難在短時間內就能找出攻擊的源頭並加以阻擋。殭屍網路也能被用來作為發送垃圾郵件的工具,藉由不斷轉換不同的受害電腦當做發信主機,就可使得過濾郵件黑名單的功能容易因此失效。
隨著網路廣告服務的盛行,殭屍網路更被用來和地下經濟做結合,利用操控分散在各地的電腦,針對特定線上廣告進行點擊,就可以獲得廣告的收入,此一類型的手法,被稱之為「點擊詐欺」。換句話說,殭屍們已不再像以往只具有單一功用,而是會隨著情境設定的轉移,即可成為駭客們手中操弄的不同角色,而探究其目的,多數都是為了獲得不法利益才來進行。
如今,殭屍的行為模式也變得更加有組織,除了以廣告點擊方式來獲利外,目前最新的手法是可以竄改Google的搜尋結果,以假的廣告連結來加以替代,每當不知情的使用者一點擊,也就成為幫忙駭客賺錢的工具之一。殭屍網路還能夠幫助駭客蒐集各項有價值的資訊,例如個人電腦上的使用者身份資料、帳號密碼,以及信用卡號等,根據加州大學的研究人員指出,在短短十天內,殭屍網路即有能力獲得高達70G的使用者資訊,藉此可獲得高遠數百萬美元的不法利益。
至於目前很流行的社交網路,使用者若一不小心,也很容易成為殭屍網路中的一份子。根據希臘Foundation for Research and Technology機構的研究顯示,只要透過在社交網路上的應用程式,分享圖片給使用者瀏覽,透過此應用程式中所隱藏的框架,就可以驅使使用者的電腦向特定的主機傳送網路流量,除了可用來當作實行阻斷攻擊的跳板,還能夠竊取其他使用者帳號並散播惡意程式。
從殭屍網路到鬼網間諜
除了殭屍網路之外,如今更出現了一個新名詞,叫做「鬼網」。根據加拿大的研究人員指出,在最近兩年之內,包括台灣等世界共103個國家,有1295台政府和民間企業組織的電腦,都曾經遭到間諜滲透,一旦這些電腦被植入了惡意軟體,駭客就能在遠端監控使用者的行為,還能夠開啟電腦上的網路攝影機,監視四周的環境動態,許多包括國家級的機密文件,恐怕也已經遭到竊取。
以往要滲透他人的電腦,往往會採取網路釣魚等社交工程手法,透過發送內含惡意軟體或惡意連結的郵件來引誘使用者上鉤。但是研究人員表示,鬼網的運作主要是有系統地針對特定目標,以便可獲得一開始即鎖定的機密資訊,而且它極有可能是透過國家的力量發起,儼然成為一種新型態的資訊戰爭。
這樣的手法,是否也會被運用在商業環境中,仍有待觀察。但依照以往經驗,商場如戰場,各種商業間諜的案例仍然層出不窮,相信只要是有利可圖,惡意人士應不會輕易放過這塊大餅,所以相對的,這也是給企業的一道警訊,在未來的商業競爭中,很可能也會面臨這種非法的手段,是否該及早作好準備,也考驗著企業經營階層的反應能力。
網路威脅的應對之道
一開始即提到,防禦這件事在資安工作中,可能遠比入侵他人的難度要高出許多,所以企業要如何因應,在千頭萬緒中究竟該如何做起?個人的建議是盡量以簡御繁,先從簡單能做的著手,也就是先回頭檢視企業現有的環境,擬定防禦策略,並及時修補可能的安全漏洞。
因此,企業可以從管理面開始,首先擬定網路的安全政策與規範,不過在擬定之前,需要全面檢視現有的網路架構,建議可以由外向內,一層一層地確認目前的安全設備,是否已處於正確位置並發揮作用,同時也要進行服務主機的強化,然後再到使用者端進行弱點補強。網管人員可以進行的工作,包括:
- 檢測防火牆的存取政策是否適當,是否開放了企業不允許的網路服務和通訊埠,當需要變更存取政策時,應依照企業擬定的變更管理程序來進行。
- 檢視入侵偵測防禦系統的特徵比對是否能持續更新,並確認封包本身的檢測深度是否合理有效,同時可評估是否進一步與網路安全設備連動,以進行聯合防禦。
- 檢視相關的網路設備所使用的作業系統和韌體是否為新版,以避免可能存在的安全漏洞,必要時可請設備廠商協助予以更新。
- 確認網路設備的管理帳號和密碼,是否有一定的控管程序,避免使用預設的管理帳號,並要求密碼具備一定的強度(例如大小寫數字混合,長度8碼以上)。
- 定期檢視網路設備的活動監控記錄,並進行網路設備的效能評估,以確保相關設備不會因特定連線或流量的增加,導致無法負荷而停擺。
- 確保網路防禦機制能夠持續運作,因此適時的備份與回復演練是絕對必要的,當大量的網路攻擊和新攻擊手法出現時,若能和外部資安專家或維護廠商在平時就建立良好的聯繫管道,在戰時就能適時的尋求外部支援。
網路安全的攻防之間,似乎是一項永無止盡的工作,但是藉由基礎防禦機制的強化,就能獲得相對的安全保障。當然,在此也要提醒網管人員,千萬別一昧地追求技術上的控制,而忽略了適時的管理手法反而簡單有效。所以在使用者方面,除了透過技術機制協助使用者更新防毒軟體及病毒碼,修補作業系統的安全漏洞之外,更需要讓使用者具備一定的資安認知,包括了社交工程的防範、電子郵件的應用安全、上網瀏覽的安全注意事項等,因為使用者的教育訓練,往往就是有效且成本最低的防禦策略,可藉此來大幅降低日常作業所面臨的資安風險。(本文刊載於2009年6月號網管人雜誌)
沒有留言:
張貼留言