IBM資安報告：合法網站成企業IT安全的罩門

IBM近日公布旗下X-Force資安實驗室所做的安全研究報告（PDF檔，4.6MB），指出有愈來愈多的駭客是透過入侵合法網站來攻擊使用者，而這也成為企業IT安全的致命傷。

X-Force發現2008年的兩大主要攻擊趨勢，一是合法網站成為駭客攻擊使用者的媒介。駭客先攻陷網路應用程式再藉之影響使用者，同時，企業正在使用這些充滿漏洞的應用程式，更糟的是企業所使用的客製化應用程式含有許多未知而無法修補的安全漏洞。

去年被揭露的漏洞中有超過一半（54%）與網路應用程式有關，而且其中的74%並未被修補；此外，去年初興起的自動資料隱碼（SQL injection）漏洞有增無減，資料隱碼攻擊數量從去年夏天到去年底成長了30倍。

根據該報告，影響網路應用程式的大部份漏洞為跨站攻擊（XSS）、資料隱碼及含有安全漏洞的檔案；在2008年資料隱碼取代了跨站攻擊成為最主要的網路應用程式漏洞，去年的資料隱碼漏洞數量比2007年成長了134%。

X-Force分析，這是因為跨站攻擊漏洞對駭客而言不再那麼有價值，駭客只能透過該類型的漏洞取得使用者在被駭網站的帳號資料，但資料隱碼漏洞卻能將使用者導到惡意網站並植入惡意程式，進而掌控使用者的電腦，對駭客而言更有實質上的效益。

IBM網路安全系統X-Force研究暨開發營運經理Kris Lamb表示，令人訝異的是這些資料隱碼攻擊大量透過10年前被揭露但未被妥善修補的漏洞，駭客之所以鎖定企業是因為這些企業讓他們很容易攻擊任何造訪企業網站的使用者。

第二個趨勢是，雖然駭客持續鎖定IE瀏覽器及ActiveX控制器作為入侵使用者電腦的媒介，但駭客開始將攻擊程式結合惡意的影片檔案或文件，諸如Flash檔案或是PDF檔案。此外，X-Force亦指出含有攻擊程式的網域光是在去年第四季就比2007年多了50%。

該研究的其他發現還包括去年所揭露的漏洞數量比2007年多了13.5%；截至去年底為止，2008年揭露的漏洞有53%未被修補，除了去年的漏洞未修補外，2007年的漏洞也有44%未被修補，2006年則有46%。發送垃圾訊息的三大來源國依序是中國、美國及土耳其，總計佔約30%。中國在去年首度超越美國成為代管最多惡意網站的國家，有近9成的網釣駭客鎖定金融機構，其中大部份是針對北美地區；最普遍的惡意程式為木馬，通常鎖定線上遊戲及網路銀行使用者，X-Force預估這些族群在今年仍將是駭客的目標。（編譯/陳曉莉）