|
從兩岸「駭客任務」談網路安全:認識電腦病毒與駭客
兩國論演變成網路上的口水戰,兩岸駭客互相較勁,再度凸顯網路安全的議題。8月8日首度開戰的是監察院、屏東縣政府、台大圖書館、營建署、NII等單位網站的首頁被大陸駭客入侵。網頁被「世界只有一個中國、也只需要一個中國」為主題的相關聲明取代。台灣駭客不甘示弱亦在八日晚間至九日凌晨開始「反攻」以類似手法入侵了大陸證券監督管理委員會、陝西科技網、中華人民共和國鐵道部等網站,修改首頁內容為支持兩國論相關言論。雙方你來我往文中甚至出現「解放」與「光復」等敏感字眼。
其實駭客入侵不是頭一遭,美國一些重要機構也頻傳駭客入侵事件,如果駭客結合電腦病毒在
Internet
上搞破壞,那就得小心了。首先我們來認識駭客與電腦病毒有何不同。
| |
駭客(Hacker)
|
電腦病毒(
Virus )
|
| 定義 |
非法入侵,合法存取 |
合法入侵,非法存取 |
入侵
對象 |
鎖定特定目標 |
沒有特定目標 |
| 隱喻 |
被限制出入境者(非企業網管人員),以幾可亂真的
Password 欺矇海關守門員(如同企業網路的Gateway),進入國境後,鎖定迫害對象(各企業電腦主機),進行各種破壞動作。
|
某人持有合法護照,但在出入境時,攜帶的行李被放置槍砲彈藥等違禁品(病毒程式),海關(如同企業網路的Gateway)並沒有察覺,於是在突破第一道關卡後,這些違禁品進入國境(個人電腦或企業網路),隨時產生破壞動作。
|
舉例
說明 |
電腦駭客通常都會先想辦法取得一個合法的通行密碼,就可以藉著這把鑰匙在網路上通行無阻。
|
一個合法的使用者在有意無意間所「引進」病毒,其管道可能是直接從網際網路下載檔案、或是開啟
e-mail 中含有病毒的附加檔案 (Attachment)所感染。
|
破壞力
比較 |
企業受到網路駭客攻擊的案例不在少數,但是和電腦病毒感染的案例比較起來,其實還只是小巫見大巫。病毒就像腸病毒一樣,會連鎖感染,要找到破壞的源頭得大費周章。
|
解決
方案 |
Internet
Gateway 設置辨認身份的防火牆
|
1.自
Clent 端、Server 端至Gateway
皆設置防毒軟體。
2.
於網際網路閘道口裝置過濾不良網站並防制垃圾郵件進入內部網路的網路安全相關軟體,以保障企業在網路上的資訊流通安全。
|
防火牆
可以防毒嗎? |
雖然這是一個網管漏洞,可是對於這個漏洞,目前企業所使用的「防火牆」卻完全無法防止,因為防火牆只能做到過濾使用者的身份,可是對於一個合法使用者「非法攜帶」電腦病毒的行為,防火牆是不會加以阻攔的。
|
防火與防毒哪一樣重要?
Trend
eDoctor Lab趨勢科技病毒防治中心產品經理紀孟宏表示:「以目前世界的資訊潮流看來,Internet
已經是一個時代的趨勢,任何電腦幾乎都可以輕易的連上網際網路,所以許多的安全問題就由此產生了。當我們把電腦連接到網際網路上的其他電腦時,事實上我們是連上了那台電腦背後所相連的網際網路上的所有電腦。當我們在下載檔案時可能無意的把電腦病毒帶進自己的系統中,而電腦駭客也可能透過
Internet 的連線,來監聽或竊取我們傳輸中的資料 (例如:線上購物時的信用卡卡號),。所以針對這些可能的安全漏洞,各種防禦技術也因應而生,
例如: 網際網路防火牆 (Firewall)
可以做到讓不該看的人看不到重要資料、PGP (Pretty Good
Privacy)
編碼技術可以做到就算把資料帶走了也看不懂、而網際網路病毒防火牆
(InterScan VirusWall) 則可以阻止病毒從 Internet
進入企業內部。所以為了避免不必要的資料安全漏洞,我們必須懂得如何從大處著眼、小處著手,一方面建立正確的資料保全觀念,同時在適當的系統也必須安裝適當的防護,如此才能在這一波
Internet 的潮流中立於不敗之地。」
當駭客與病毒結合,將引發什麼危機?
| 案例一 |
Back
Orifice 2000 |
| 時間 |
1999年7月 |
| 等級 |
重大流氓級 |
| 主要惡行 |
以免費下載程式為餌,行遠端竊取資料之實,駭客不需取的身份認證,直接由使用者引進入電腦主機。
|
| 事實 |
凡下載該軟體者,駭客可自遠端自動侵入微軟作業系統,竊取資料
|
前面我們提過駭客需透過身份驗證的漏洞入侵電腦,然而如果是由電腦使用者自動引進門,那麼就方便多了。
Back Orifice 2000 (後門 2000),就是駭客結合電腦病毒展開破壞行動的一個實例,它利用免費實用的程式為餌,誘惑使用者上鉤後,一旦使用者在不知不覺中執行含有Back
Orifice 2000 (後門 2000)的主程式,它即刻展開遠端控制的陰謀。
去年8
月由 " The Cult of the Dead Cow(死牛教派) "
駭客組織所發佈的"Back Orifice(後門)"特落依木馬型病毒,7月發佈了新的版本:Back
Orifice 2000 (後門 2000),亦簡稱為" BO2K"。
不同於先前的版本,Back Orifice 2000 (後門 2000)有別於前一版本只能在
Windows 95 及 Windows 98執行,Back Orifice 2000(後門 2000)新增了一個全新的功能,它不但可以在Windows
95 及 Windows 98執行」,也可以在Windows NT
環境下發揮破壞力。為了達到該駭客組織聲名大噪的目的,Back
Orifice 2000 (後門 2000)亦在程式碼中設計了允許駭客遠端控制的能力,以便於駭客暗中竊取電腦中的資料。
Internet 安全與病毒防制專家趨勢科技(Trend Micro)可偵測並清除Back
Orifice 2000 (後門 2000),請使用者上網更新病毒碼 558。
「Cult
of the Dead Cow(死牛教派)」駭客組織在9日於洛杉磯舉行的年度第七屆駭客大會(
Defcon conference),宣佈他們將透過 Internet發表最新的程式:Back
Orifice 2000(後門 2000),該程式能夠遠端自動侵入微軟作業系統,它允許使用者透過
TCP/IP 通訊協定,並利簡單的控制台 (Console) 或圖形
(GUI)
介面來控制遠端的電腦。而該程式之所以被視為特洛伊病毒最主要的原因是在於它的行為模式,當使用者執行
Back Orifice 2000主程式時,它並不會詢問使用者是否進行安裝,反而是偷偷的將檔案複製到
Windows 的 System 目錄下,並且開始監視 (Monitor)
使用者的電腦,而且通常一個程式在被執行時,使用者可以在
視窗下方的工作列上發現一個代表程式正在執行的小
Icon,而 「Back Orifice 2000」程式在執行時,使用者完全無法察覺它的存在。其實在1998年
8月該組織即發表了Back Orifice(後門),而新版本的Back
Orifice 2000,已經修訂當初不能在 Windows NT
執行的漏洞,也意味著它的破壞力將更勝一籌。
趨勢科技(Trend
Micro)亞太病毒防治中心產品經理紀孟宏提醒使用者,為了有效防制Back
Orifice 2000(後門 2000)及流竄在網路上的惡性程式(malicious
code),強烈建議企業組織訓練他們的員工平時即做好相關的安全措施,這些措施包含:
定期更新的防毒元件(病毒碼、掃瞄引擎、更新程式),讓防毒軟體在最新的使用狀態。
將 Client 端的 Email 安全設定為高
不要輕易開啟來路不明的 Email
附加檔,為防萬一即使是熟人寄發的信件,也得使用防毒軟體掃瞄。
定期備份資料不要下載來路不明的檔案,下載檔案前先把檔案存到磁碟再使用防毒軟體掃瞄。
繼
Melissa梅莉莎、CIH電腦腸病毒 、ExploreZip探險蟲之後,Back
Orifice 2000(後門 2000)又再度展現趨勢科技(Trend Micro)在第一時間緊急提出快速解決方案的能力。趨勢科技(Trend
Micro)表示:「要有效預防 "Back Orifice 2000"這類網路病毒,最好的方式是阻止病毒或邪惡程式有機會進入網路入口。"
趨勢科技(Trend Micro)的全產品線,皆能在企業網路的第一道關口將各種檔案、資料、email一一把關,可以在病毒、電腦蟲、邪惡程式擴散到網路之前,即時的偵測,進而預防釀成更大的損失。
| 案例二 |
Yahoo網站遭「毒」手,挾持全球電腦用戶為人質,Internet
出現綁匪,要求釋放駭客同夥,趨勢科技「空中抓毒」有方
|
| 時間 |
1997年12月 |
| 等級 |
重大流氓級 |
| 主要惡行 |
選擇全球知名媒體免費刊登廣告,以全球Internet用戶為人質,妖言惑眾。駭客說:「凡上過Yahoo網站者,1997聖誕節電腦將百毒攻心、氣
絕而亡」 事實:1997年聖誕節全球平安又快樂
以下這封勒贖信,在1997年的聖誕節前夕,造成不少的恐慌:
「For the past month, anyone who has viewed Yahoo's page
& used their search engine ,now has a lo bomb /worm
implanted deep within their computer. The worm part of this
"virus," (in Layman's ter spreads internal
networks that the infected machine is on. Binary programs
are also infected .On Christamas Day,1997,the logic bomb
part of this 'virus' will become active, wreaking havoc upon
the entire planet's networks**"」
|
台北時間1997年12月9日上午10點,駭客入侵每月多達兩千六百萬人次上網的Yahoo網站,留書要求釋放正在服刑的駭客Kevin
Mitnick,否則將使全球電腦系統因病毒而癱瘓。駭客在公開勒贖信中威脅說:凡是在過去一個月中,曾經瀏覽Yahoo網頁的使用者,他們的電腦現在已經遭電腦病毒感染,聖誕節當日將發病。信件中同時警告美國軍人和勞工儘速將他們的存款自理財系統中移除,否則該病毒將會讓系統日期提前至公元2000年,讓作業系統大亂,導致金錢損失。儘管Yahoo發言人表示:這只是惡作劇事件,事實上並沒有任何電腦遭受感染。但NCSA(美國國家電腦安全協會)卻指出這項可能性:「利用Internet漏洞下毒,理論上是行得通的。」但專家們對這個下毒案,都持懷疑態度。
Trend
eDoctor Lab趨勢科技病毒防治中心產品經理紀孟宏表示:「除非使用者將瀏覽器的安全性層次設定選項設成『低』,否則以現行的瀏覽器架構,伺服器端的元件(Components)
不可能寫入使用者的硬碟,進行刪除檔案或格式化硬碟等動作。」上過Yahoo的使用者不必對於駭客的勒贖過於恐慌,駭客Kevin
Mitnick 威脅說:「No one is safe. No computer is safe」在這封出現15分鐘的公開勒贖信中,非常狂妄的指出他們將以支配全球的電腦使用者為目標。至於他們是如何入侵Yahoo網頁的呢?「有可能是假冒Yahoo的IP,或是利用Telnet、FTP進入系統,修改網頁內容。」趨勢科技美國資深產品經理Igor認為。
此一事件,也反映了電腦用戶必須革新網路防毒觀念。以往使用者被教育:「不要隨便在網路下載不明檔案,以免中毒」,事實上,導致Internet中毒事件的來源,不再僅僅是下載檔案。
防毒專家趨勢科技指出,瀏覽網頁導致的中毒事件,已經傳出受害案例,近月美國、德國都曾經陸續出現案例。全球知名的防毒軟體研發公司-趨勢科技研發工程師羅添章指出:「我們無從得知這個駭客聲稱的邏輯炸彈是否會在聖誕節當日引爆,但從實際發生的案例看來,藉由Java及ActiveX程式語言,讓使用者在瀏覽網頁時中毒的事件,確確實實發生了。」由
Java 所撰寫的 Application macros、Navigator plug-ins及Macintosh應用程式等都可能包含惡性程式碼。最著名的
JAVA_NoisyBear(鬧鬧熊)在您進入網際網路瀏覽器時,會打開它的便便大肚鐘,開始吵鬧不休,這時候您只能趕快地離開瀏覽器的工作來停止這種轟炸。
另外,在美國的某個NewsGroup網站討論區,提供了一個「十大美女」的動畫網站,當使用者連上網站後,Modern會自動被消音,正當你觀察這些精彩圖片時,它已經悄悄自動撥號到俄國,讓你月底的帳單多了一大筆「意外之債」。德國有一群駭客,還利用ActiveX的程式碼,直接由銀行執行轉賬扣款的動作。
曾幾何時網路成為夢想與危機交錯的熔爐,上網前別忘了做好一切安全準備喔!
|
