CUN News 電腦新聞台 CUN電腦新聞台 CUN News By Computer User Network (http://hk852.to/cun/) From CNET資訊

1,906愛的鼓勵 2訂閱站台

強調互動、分享等Web 2.0精神的社交網站，過去一年來大受歡迎，但也可能成為2007年新的安全隱憂。

安全公司指出，包括影片共享網站如Youtube，以及如MySpace一類可分享、交流媒體檔案的社交網站，吸引許多網友在上面大量交換、下載檔案，可能助長偽裝的惡意程式散佈，成為病毒天堂。

趨勢科技表示，2006年底出現了第一隻概念驗證（proof of concept, POC）型態的木馬程式「TROJ_MPEXPL.A」，該程式會利用「XMPlay v3.3.0.4」播放程式的安全弱點，使用者執行該程式後，便可能被攻擊者透過特製的ASX檔案散播，發動緩衝區溢位（buffer overflow）攻擊，遠端攻擊者便可趁機在受感染的系統上執行任何檔案。

所謂概念驗證型態的病毒，是指該病毒是為了證明某種感染方式可行而被設計，本身不一定有害，但其感染方式一旦被證明為可行，往往會引起仿傚，出現其他利用同一概念設計的病毒。

趨勢技術支援部技術總監王應達解釋，發現此木馬程式的意義在於，證實新技術的存在後，未來這種利用播放程式弱點，或其他偽裝成媒體檔案的惡意程式將會越來越多。而在Web 2.0風潮下，網友大量分享媒體檔案，恐會助長此類病毒散佈。

Web 2.0並沒有清楚的定義，但一般用來分別單向、靜態的Web 1.0，強調其互動、多元、開放、共享與使用者的主動性。

但令人擔憂的是，各式各樣打著Web 2.0互動分享精神的網站大受歡迎，在改變網路使用者習慣的同時，也可能為資訊安全開了後門。

賽門鐵克技術顧問總監王岳忠指出，以往資安的概念是要「築城牆」來保護自己電腦的安全，但互動分享精神主張的卻是要「打破城牆」，兩種概念是完全相反的，當然會嚴重威脅安全。

王應達也補充，在日益普遍的部落格上，RSS等技術也會讓使用者更不設防地連上自認安全的網頁，增加安全風險。王岳忠解釋，過去的病毒來源主要是email和瀏覽網站，在Web 2.0時代，威脅的來源、形式則更多更廣。

威脅本質變化不大

不過，透過社交網站進門的許多安全威脅，看在專家眼裡，也不過是換湯不換藥。

CA（組合國際）技術顧問林宏嘉就不認同Web 2.0及社交網站會帶來所謂新的資安威脅，因為兩者和一般網站並沒有明顯的界限，他說。

林宏嘉舉例，在社交網站上最普遍的安全問題就是透過社交工程(social engineering)像是惡意程式在交換、下載檔案過程中無意間被傳佈與執行，導致詐騙、網釣(phishing)攻擊。「但這些都不是新的攻擊行為，跟網釣郵件、電話詐騙一樣，天天都在發生。」他說。

他指出，社交網站風潮導致其安全性問題被進一步突顯。許多攻擊手法「只是換地方發生罷了，」他說。

林宏嘉認為，把病毒、網頁全部在閘道端擋掉，看似合理，但卻不可能擋掉所有威脅。他還說，不論是各家廠商宣稱可判斷網站安全性的公式、或內容過濾機制，都有其限制，永遠都可能有新的威脅逃過封鎖。他認為，除了基本的防禦以外，使用者行為的管理或對安全的自覺也相當重要。

王應達亦認為，就資安的角度來看，安全威脅的本質並沒有太大的變化。他補充，使用者在網上的行為，才是引發危害的關鍵。

他以企業中的網路使用為例解釋，企業很難真正限制員工以公司電腦連上可能有安全漏洞的社交網站，員工行為難測，便會成為防護的隱憂。

為了防止員工使用社交網站導致的風險，他建議應該把資安防護拉到最前線，採用閘道端（gateway）的防護，透過網站過濾機制封鎖黑名單上的危險網頁，讓員工根本無法瀏覽。

賽門鐵克則主張Security 2.0概念提供消費者保護。王岳忠說，一般使用者除了確保電腦裝置本身的安全（device protection），還需要加上互動過程的防護（interaction process protection），讓使用者透過軟體確知自己上的網站安不安全。