Vista和VoIP漏洞明年將迅速成長

安全廠商McAfee今天（11/26）發布2008十大安全預測報告指出，Web 2.0、網路電話（VoIP），及今年初推出的Windows Vista等新技術，都將在明年成為駭客攻擊的目標，。

根據McAfee旗下研究部門Avert Labs的統計數據， 2008在VoIP上的安全漏洞將會成長50%，相關威脅明顯上升。相較於2006年只有20多個漏洞，今年大幅增加到60多個，預估明年還會繼續成長至近100個。

McAfee技術顧問沈志明表示，利用VoIP的攻擊有多種形式，一是傳統的竊聽、詐騙，甚至發送垃圾語音留言等行為；另一則會竊取帳號密碼，或是攻擊通訊協定弱點，取得電腦控制權。他指出，由於VoIP的使用才剛興起，因此這類攻擊短期不會減緩。這是由於駭客喜歡針對最新流行的應用，如VoIP、Web 2.0進行攻擊。

趨勢科技及賽門鐵克也贊同這個看法。趨勢科技資深技術顧問戴燊認為，針對VoIP的攻擊的確有增加趨勢，不過從整體來看，在VoIP上的漏洞暫時不是太嚴重。賽門鐵克資深技術顧問莊添發則提醒，VoIP的威脅結合傳統電話和網際網路的特性，具有傳統的竊聽、詐騙手法，駭客也可利用通訊協定漏洞盜取帳號或進一步控制電腦。

McAfee研究也指出，針對Web 2.0應用的攻擊也越來越多，例如國外流行的Salesforce.com、Monster.com及MySpace都發現駭客利用這些網站分享的特性，將惡意程式在上面散佈。台灣的無名小站也成為攻擊目標，沈志明說，今年時常發現利用無名小站散佈惡意程式的例子，雖然去年就已出現，但今年比例上升不少。

Vista漏洞將增加
另外一方面，由於微軟將在明年Q1推出Vista SP1，2008年Vista的使用率可望因此提升，安全業者也一致認為，Vista的漏洞將在明年大幅成長。

McAfee在安全預測報告中指出，隨著Vista SP1的推出可望提升使用率至10%以上。戴燊則指出，目前Vista的漏洞還不是很多，約20個左右。原因是目前採用率最高的作業系統還是XP，不過當Vista的使用者越來越多時，漏洞也會隨之增加。莊添發也表示，駭客攻擊的目的是獲利，因此當Vista的使用率向上攀升後，攻擊會隨之而來。因此隨明年SP1推出，2008年Vista的漏洞數量會迅速成長。

McAfee 2008年的其他十大安全預測中還包括，即時通訊軟體（IM）仍會是駭客鎖定的目標，2007年幾大IM軟體的漏洞數已經超過2006年的兩倍，明年甚至可能出現即時通訊軟體中的蠕蟲。另外，由於虛擬世界的價值成長，線上遊戲也成為駭客的重要目標。網路釣魚活動將會持續存在，不過由於大型網站已有應對之道，因此可能轉向小型網站進行詐騙。