賽門鐵克：web 2.0成為駭客新歡

Web 2.0近年來在全球掀起一波風潮，資安廠商賽門鐵克（Symantec）預測，Web2.0相關的威脅及AJAX攻擊數量將會因此持續上升。

賽門鐵克第十期網路安全威脅研究報告（Internet Security Threat Report，ISTR）指出，隨著Web 2.0持續加溫，利用web 2.0 網頁應用程式進行攻擊的數量將會明顯攀升。

根據本期ISTR數據顯示，近半年來高達78%提報的弱點為網頁應用程式弱點。賽門鐵克亞太區資訊安全技術顧問林育民依據此現象進行分析表示，網頁應用程式通常需要時常更新，且未依循撰寫安全程式碼的最佳實務準則，再者這類弱點的運用並不複雜，因此往往成為駭客鑽漏洞的目標。而在以Web 2.0強調網路靈活運用及互動的網路環境下，將潛藏更多危機。

林育民舉例說明道，在使用AJAX技術開發下的動態網頁內容，常替許多駭客和罪犯製造機會。因為使用這種技術開發的網站，攻擊窗口更多，駭客可透過各種管道溜進用戶端電腦。其中最常利用的途徑便透過是GIF圖檔或FLASH大量散佈惡意程式，駭客可將載有惡意程式的圖片或影像檔傳上知名的blog或網站上，網友點選時便不小心遭到感染。

此外，這種動態網頁互動內容也允許在用戶端PC上執行描述性語言JavaScript，駭客則利用這項弱點在用戶端植入後門程式或木馬程式，以進行遠端遙控、或是竊取使用者資訊等犯罪行為。

林育民指出，隨著程式撰寫愈趨容易，開發者往往很輕易的開發出一個網站，卻忽視其安全性。

面對Web 2.0將面對的安全威脅，賽門鐵克認為提升端對端的安全防護（End-to-End Security）為首要之務，並提出了Security 2.0概念。賽門鐵克台灣區總經理丁瑞麟表示，這概念與今年賽門鐵克全球的經營策略─打造一個受信賴的環境（The Trusted Environment）有所呼應，包含了在基礎架構（Infrastructure）、資訊（Information）及互動（Interaction）上，都要能提供完善的保護。

惡意程式愛玩躲貓貓

報告中亦顯示，近半年來「獲利」導向漸成為安全威脅背後的主要動機，而駭客也偏愛使用「規避偵測」手法，藏在電腦中進行機密資料的竊取。

林育民引用報告數據表示，每50個惡意程式樣本中，就有30個會洩漏機密，這代表著「獲利」逐漸成為駭客攻擊的新思維。

以獲利為前提的動機下，駭客偏向採用「規避」手法逃過以「特徵」為基礎（signature-based）的病毒及入侵偵測／防禦系統，試圖延長在系統上駐留的時間，以伺機盜取資訊、遠端遙控，或竊取機密資訊來獲得金錢利益。

而規避手法中最常見到的是「模組化」的惡意程式碼，可自行更新、或在被攻擊的主機上建立基地，使其下載更具侵略性的威脅。報告顯示2006上半年提報至賽門鐵克的前50 大種惡意程式碼樣本中，模組化惡意程式碼就佔了79%。

此外，「家庭用戶」成為駭客最主要的攻擊目標，佔總攻擊量的86%；其次為金融服務業，佔14%。林育民表示，家庭用戶對於安全的認知及敏感度不夠，往往會忽略安全防範措施，惡意程式也更容易隱藏在電腦中。因此駭客最喜歡利用家用電腦當作安全攻擊的跳板，或是直接針對用戶進行身分竊取、詐騙等的網路犯罪。

其他發現

本期報告亦提出幾項重點。其中，2006上半年共觀察到4696903台不同的活躍中的受感染Bot電腦。其中，中國大陸為全球已知Bot網路比例最高的國家（20％）、美國第二（19％）、英國第三（7％）。亞太地區而言，台灣則僅次於中國大陸。此外，台灣亦名列在前10大遭受阻斷式服務攻擊（DoS）的國家，其中ISP位居阻斷式攻擊產業排名的第一位。

報告中另外發現，企業廠商在公佈弱點到提供修補程式的空窗期持續縮短，主要是因為這些廠商再撰寫修補程式的速度上日益加快。

賽門鐵克也預計，Yahoo！奇摩即時通訊與微軟Live Messenger互通將大幅縮短惡意程式散佈的時間，並容易引起大規模攻擊。另外，多型技術（polymorphism）和其它規避偵測技術將來在Win32惡意程式碼中會捲土重來；另外，Windows Vista的推出將引發新的安全問題。

賽門鐵克網路安全威脅研究報告（Internet Security Threat Report，ISTR）以每六個月為週期，本期（第十期）的研究時間為2006年1月1日至2006年6月30日。此次報告是根據賽門鐵克在全球180多個地區所建置的40000多個偵測器，收集得來的數據；同時亦架設一資料庫，可涵蓋4000多家廠商、30000多項技術的18000多個弱點；另外，賽門鐵克亦檢視來自全球20個不同地區的200多萬個誘捕帳戶，針對全球垃圾郵件和網路釣魚活動進行評估。