上周我們介紹了『惡性程序』(Malicious Code)是泛指所有具有惡意功能的的程序代碼,包括計算機病毒、特洛伊木馬程序、計算機蠕蟲都可以歸類為惡性程序。本週我們來認識計算機病毒與黑客的差異。
防止計算機黑客的入侵方式,最耳熟能詳的就是裝置「防火墻 」(Firewall),這是一套專門放在Internet 大門口 (Gateway) 的身份認證系統,其目的是用來隔離 Internet 外面的計算機與企業內部的局域網絡,任何不受歡迎的使用者都無法通過防火墻而進入內部網絡。有如機場入境關口的海關人員,必須核對身份一樣,身份不合者,則謝絕進入。否則,一旦讓恐怖份子進入國境破壞治安,要再發佈通緝令逮捕,可就大費周章了。
一般而言,計算機黑客想要輕易的破解防火墻併入侵企業內部主機並不是件容易的事,所以黑客們通常就會用採用另一種迂迴戰術,直接竊取使用者的帳號及密碼,如此一來便可以名正言順的進入企業內部。而去年造成相當大災情的黑客型病毒 CodeRed、Nimda即是利用微軟公司的 IIS網頁服務器操作系統漏洞,大肆為所欲為。
CodeRed 能在短時間內造成亞洲、美國等地 36 萬計算機主機受害的事件,其中之一的關鍵因素是寬帶網絡(Broadband)的"always-on" (固接,即二十四小時聯機)特性所打開的方便之門。
寬帶上網,主要是指 Cable modem 與 xDSL這兩種技術,它們的共同特性,不單在於所提供的頻寬遠較傳統的電話撥接為大,同時也讓二十四小時固接上網變得更加便宜。事實上,這兩種技術的在本質上就是持續聯機的,在線路兩端的計算機隨時可以互相溝通。
當 CodeRed 在 Internet 尋找下一部計算機服務器作為攻擊發起中心時,前提必須在該計算機聯機狀態方可産生作用,而無任何保護措施的寬帶用戶,"雀屏中選"的機率便大幅提升了。
計算機及網絡家電鎮日處於always-on的狀態,也使得計算機黑客有更多入侵的機會。在以往撥接上網的時代,家庭用戶對黑客而言就像是一個移動的目標,非常難以鎖定,如果黑客想攻擊的目標沒有撥接上網絡,那幺再厲害的黑客也是一籌莫展,只能苦苦等候。相對的,寬帶上網所提供的二十四小時固接服務卻讓黑客有隨時上下其手的機會,而較大的頻寬不但提供家庭用戶更寬廣的進出管道,也同時讓黑客進出更加的快速便捷。
過去我們認為計算機防毒與防止黑客是兩回事(見表一),然而 CodeRed紅色代碼、Nimda 尼姆達卻改寫了這個的定律,過去黑客植入後門程序必須一台計算機、一台計算機地大費周章的慢慢入侵,但CodeRed卻以病毒大規模感染的手法,瞬間即可植入後門程序,更加暴露了網絡安全的嚴重問題。
表一:黑客與計算機病毒比較
黑客(Hacker)
計算機病毒( Virus )
入侵對象
鎖定特定目標
沒有特定目標
隱喻
被限制出入境者(非企業網管相關人員),以幾可亂真的 Passport欺蒙海關守門員(如同企業網絡的Gateway),進入國境(企業網絡)後,鎖定迫害對象(計算機主機),進行各種破壞動作。
某人持有合法護照,但在出入境時,攜帶的行李被放置槍炮彈藥等違禁品(病毒程序),海關(如同企業網絡的Gateway)並沒有察覺,於是在突破第一道關卡後,這些違禁品進入國境(個人計算機或企業網絡),隨時産生破壞動作。
舉例説明
沒有合法身份認證的計算機黑客通常都會先想辦法取得一個合法的通行密碼,或者利用系統安全疏失,在網絡上通行無阻。
一個合法的使用者在有意無意間所「引進」病毒,其管道可能是直接從網際網絡下載文件、或是開啟 e-mail 中含有病毒的附加文件 (Attachment)所感染。
下周發病病毒
5/13 Klez.A 求職信
自去年七月現身的”求職信 Klez”已經出現十幾隻變種了,這只借著 email 預覽功能及文件分享癱瘓企業網絡資源的病毒,新的變種上個月在亞洲地區造成不小的災情,許多公民營機構都已經中毒近日,短短數小時,即超過200家企業中毒。目前正值徵才旺季,趨勢科技提醒人力資源部門得提高警覺,免得徵才不成,還把不懷好意的求職信病毒請進門,屆時「求職信」在局域網散播,可真會如同病毒的譯名,讓系統管理者大呼:「可累死( Klez)」了。
5月13日發病的 Klez.A 是求職信的始祖,它在每逢單月13日發病。「求職信」具有計算機蠕蟲的特性,除了透過夾帶 .EXE 文件的電子郵件散播,主題會帶有「我想要個好工作,我必須撫養父母」(I want a good job, I must support my parents)等字句,並會將病毒文件傳送至網絡上分享的目錄(類似 Nimda 娜妲病毒),造成一傳十、十傳百的大規模感染。最值得注意的是,該病毒還會利用微軟軟體的安全漏洞,當計算機族使用 Microsoft Outlook 或 Outlook Express 預覽電子郵件時,病毒便會自動執行,由於它具有強大的感染力,建議用戶最好將自動預覽信件功能關掉。並至微軟公司網站 更新 IE 的補丁程序。
求職信病毒最具破壞力之處在於,會拖垮企業網絡的聯機速度,造成計算機當機,另外,當計算機系統日期為 13 日,病毒會將所有文件刪除,所有文件將在一夕間化為烏有。「求職信」還會在中毒計算機植入 PE_Elkern 病毒文件,藉以感染其它 EXE 文件。此外,這只病毒因為它會以千奇百怪的面貌現身,不論是信件主題、寄件人、甚至附加文件,都會變來變去,難以捉摸。
|
