CNET科技资讯网 1月23日台北报道 强调互动、分享等Web 2.0精神的社交网站,过去一年来大受欢迎,但也可能成为2007年新的安全隐忧。
安全厂商指出,包括视频共享网站如YouTube,以及如MySpace一类可分享、交流媒体文件的社交网站,吸引许多网友在上面大量交换、下载文件,可能助长伪装的恶意程序散布,成为病毒天堂。
趋势科技表示,2006年底出现了第一只概念验证(proof of concept, POC)型态的木马程序“TROJ_MPEXPL.A”,该程序会利用“XMPlay v3.3.0.4”播放程序的安全弱点,使用者执行该程序后,便可能被攻击者通过特制的ASX文件散播,发动缓冲区溢位(buffer overflow)攻击,远程攻击者便可趁机在受感染的系统上执行任何文件。
所谓概念验证型态的病毒,指该病毒是为了证明某种感染方式可行而被设计,本身不一定有害,但其感染方式一旦被证明为可行,往往会引起仿效,出现其它利用同一概念设计的病毒。
趋势技术台湾地区支持部技术总监王应达解释,发现此木马程序的意义在于,证实新技术的存在后,未来这种利用播放程序弱点,或其它伪装成媒体文件的恶意程序将会越来越多。而在Web 2.0风潮下,网友大量分享媒体文件,恐会助长此类病毒散布。
Web 2.0并没有清楚的定义,但一般用来区别单向、静态的Web 1.0,强调其互动、多元、开放、共享与使用者的主动性。
但令人担忧的是,各式各样打着Web 2.0互动分享精神的网站大受欢迎,在改变网络使用者习惯的同时,也可能为信息安全开了后门。
赛门铁克台湾区技术顾问总监王岳忠指出,以往安全的概念是要“筑城墙”来保护自己计算机的安全,但互动分享精神主张的却是要“打破城墙”,两种概念是完全相反的,当然会严重威胁安全。
王应达补充说,在日益普遍的博客上,RSS等技术也会让使用者更不设防地连上自认安全的网页,增加安全风险。王岳忠解释,过去的病毒来源主要是email和浏览网站,在Web 2.0时代,威胁的来源、形式则更多更广。
威胁本质变化不大
不过,通过社交网站进门的许多安全威胁,看在专家眼里,也不过是换汤不换药。
CA台湾区技术顾问林宏嘉就不认同Web 2.0及社交网站会带来所谓新的安全威胁,因为两者和一般网站并没有明显的界限,他说。
林宏嘉举例,在社交网站上最普遍的安全问题就是通过社交工程(social engineering)像是恶意程序在交换、下载文件过程中无意间被传布与执行,导致诈骗、网钓(phishing)攻击。“但这些都不是新的攻击行为,跟网钓邮件、电话诈骗一样,天天都在发生。”他说。
他指出,社交网站风潮导致其安全性问题被进一步突显。许多攻击手法“只是换地方发生罢了,”他说。
林宏嘉认为,把病毒、网页全部在网关端挡掉,看似合理,但却不可能挡掉所有威胁。他还说,不论是各家厂商宣称可判断网站安全性的公式、或内容过滤机制,都有其限制,永远都可能有新的威胁逃过封锁。他认为,除了基本的防御以外,使用者行为的管理或对安全的自觉也相当重要。
王应达亦认为,就安全的角度来看,安全威胁的本质并没有太大的变化。他补充,使用者在网上的行为,才是引发危害的关键。
他以企业中的网络使用为例解释,企业很难真正限制员工以公司电脑连上可能有安全漏洞的社交网站,员工行为难测,便会成为防护的隐忧。
为了防止员工使用社交网站导致的风险,他建议应该把安全防护拉到最前线,采用网关端(gateway)的防护,通过网站过滤机制封锁黑名单上的危险网页,让员工根本无法浏览。
赛门铁克则主张Security 2.0概念提供消费者保护。王岳忠说,一般使用者除了确保计算机设备本身的安全(device protection),还需要加上互动过程的防护(interaction process protection),让使用者通过软件确知自己上的网站安不安全。