間諜程式(Spyware)繼病毒/蠕蟲、垃圾郵件,急速竄起成為重大網路安全威脅。根據趨勢科技5月份的病毒統計,全球前10大病毒有6種屬於間諜類程式,而Sophos在6月處理的間諜程式數量幾乎是去年同期的3倍。間諜程式名列IDC報告的第4大安全威脅,超越垃圾郵件和駭客入侵,IDC估計目前超過67%的電腦(包含企業用戶和用戶)已經被植入間諜程式,而且一部電腦上往往同時充斥著多個間諜程式。

即使資安專家與廠商殷切呼籲,企業對間諜程式的全貌與危害,大都缺乏深刻感受,沒有想到該採取的對策,IT人員更普遍認為間諜程式怎麼防都沒用,抱持著到時候電腦重新格式化的心態。
不過,較著重資訊安全的產業,例如政府、金融、園區製造業,與線上交易密切相關的公司或財務部門,他們顯然比較關心間諜程式的危害及相關消息。這些產業最擔心的是資料可能會因間諜程式而外洩,或是系統管理員的帳號和密碼遭竊,最近狀況頻出的信用卡資料外洩正是很典型的事件。

間諜程式缺乏明確定義
間諜程式目前沒有明確的定義,由於包含多種類型的軟體,在名稱上有多種不同的說法,例如灰色程式(Grayware),有人也稱為「可能不需要的程式(Potentially Unwanted Programs,PUP)」。根據維基百科(zh.wikipedia.org)的定義,間諜程式可以視為一套惡意程式分類,這些程式會在不經使用者同意,企圖攔截或取得部分電腦操作控制權,而且這些軟體平時就會像間諜秘密監視使用者的一舉一動。間諜程式目前也包括為了第三方利益而破壞電腦操作的程式。

讓我們更簡易地定義間諜程式:只要是非病毒、非蠕蟲、干擾系統使用的可疑程式,如木馬程式、後門程式、鍵盤側錄程式(Keylogger)、駭客工具、廣告程式等,皆可統稱為間諜程式。假如程式具有自我複製、大量擴散的特性,足以擴大破壞規模與造成服務阻斷,就可能會被列入病毒與蠕蟲。於是防毒軟體廠商把一些會破壞系統的木馬程式,明確畫分到病毒,其他可疑程式則歸類為「額外的威脅」。

從侵害性來看,間諜程式還是分為「不會造成嚴重損害的」,以及「會造成惡意攻擊/損害」等兩種。大眾擔憂的間諜程式以木馬或後門程式居多,其他以商業目的收集資料的軟體不一定具有傷害性。 隨著混合式威脅(蠕蟲+垃圾郵件+間諜程式)越來越多,間諜程式已逐漸被認為有害。因為有些間諜程式的確具有擾人的行為模式或與惡意活動有關,有些則用來提供企業監控或收集使用行為等特定資訊,而且使用者完全不知情,也難以察覺,甚至有些網頁所遺留下來的Cookie,還會被其他間諜程式或惡意程式挪做其他用途。

為什麼你會感染間諜程式?
也許你會很好奇,已經安裝防火牆、IDS、防毒軟體,還會被間諜程式感染嗎?目前間諜程式的感染途徑主要有網頁、電子郵件、Office文件及安裝程式等4種。間諜程式大都透過網頁瀏覽和電子郵件來散播,因為這兩種管道容易引誘使用者造訪這些不安全的網站和執行信件內的附檔,只要電腦能夠上網,「中標」的機率自然居高不下。加上Windows和IE瀏覽器的安全漏洞層出不窮,不論是個人端或伺服器,因為系統或IE漏洞而被感染的比例持續攀高。

舉例來說,你可能連到一個會被駭客入侵電腦的網站,裡面有一些自動下載間諜程式的連結,因為IE漏洞或不小心同意對方的授權,而被植入間諜程式,導致個人隱私與機密資料外洩。有些網站固然刻意散播間諜程式或惡意程式,但更多網站是因為本身防禦力嚴重不足,受入侵後,被當成駭客攻擊的跳板,例如一些入侵者利用跨站指令碼(Cross Site Scripting,XSS)的弱點進行攻擊。

另外,當網站遭到駭客入侵後,對方可以在網頁中加入惡意程式碼,使用者瀏覽網頁時,電腦即乘機植入帳號密碼竊取程式。臺灣先前發生過多起SQL指令植入式攻擊(SQL Injection),許多遊戲網站和討論區的用戶就因此而受害。間諜程式總有一天會被發現,因此駭客希望可以一次獲得最多的資料,所以使用率高的網站成為最大的目標,而且一旦被攻擊淪陷後,肯定成為最大的感染源。
電子郵件也是間諜程式的感染管道之一,使用者收信後,只要不小心點選網路超連結或可執行檔,即可能遭到感染。所幸,雖然網頁和電子郵件是間諜程式主要的接觸管道,但由於防毒與防駭廠商一直都有在注意,只要廠商嚴加把關、掌握足夠的特徵碼,使用者做到即時更新,通常可以及時攔截。

防不勝防的則是各種分享軟體或小遊戲,不但法律爭議多,而且大多不會被當作電腦病毒,如果移除間諜程式後,通常就無法繼續使用,讓使用者陷入用與不用的兩難,最有名的就是DivX多媒體播放程式。更甚者,結合社交或心理學的技巧,以「反間諜」為幌子,或透過一封很引人好奇的電子郵件誘使網友下載免費、好用的軟體,順便夾帶播放廣告、收集資料與回傳的小功能。

使用者授權協議成了間諜程式護身符
多家廠商推出反間諜軟體解決方案,但他們一致遭到的困境就是-使用者授權協議(End User License Agreement,EULA)成了間諜程式護身符。

有些間諜程式和免費軟體、共享軟體包裝在一起,藉由這種方法隱藏它的存在。這些軟體安裝時會說明使用者授權協議,由於內容很冗長,使用者通常不會仔細閱讀,直接就按下同意,假如防毒或反間諜軟體廠商將這些軟體當作病毒或惡意程式處理,將造成法律上的爭議,因為間諜軟體廠商認為使用者已經同意軟體授權合約,反間諜軟體廠商不應隨意將它移除。大部分用戶使用上述這些軟體的過程中,往往不得不接受這套軟體宣告的使用者授權協議或隱私權政策。不這樣做,往往沒辦法繼續安裝或免費使用,除非你同意植入廣告軟體或快顯(pop-up)網頁廣告視窗。

因為使用者已經認可這些授權條款,假如針對隱私受侵犯控告對方,可能也無法勝訴。反間諜軟體或防毒廠商主動介入自動移除這些軟體,也可能和廣告軟體廠商產生衝突。例如賽門鐵克最近為了自保,即對Hotbar提出告訴,以便保留將Hotbar工具列認定為廣告軟體的權利。

間諜程式危害機密與生產力
也有比較耐人尋味的狀況,有些企業為了要監控員工的行為,在使用者不知情的狀況下,藉助一些工具側錄某些資訊,但目的是為了保護企業利益。只是,駭客也能運用相同的技術達到目的,透過間諜程式收集情報、竊取機密、監控上網行為、窺視電子郵件內容或即時通訊對話、擷取信用卡資料、偷竊連線帳號及密碼,嚴重侵犯個人隱私及企業機密。

對企業而言,員工電腦被植入木馬或間諜程式,存放的檔案等於一覽無遺,有些程式甚至會定期掃描硬碟上的檔案,或對外傳送PDF、DOC、DWG等文件檔,偷取產品報價、研發機密和公司內部消息,危害公司機密。

同時,間諜程式也會拖垮員工的工作生產力,因為間諜軟體屬於額外的應用程式,會佔用個人端電腦的系統資源,包括電腦處理速度變慢、影響系統運作穩定性、佔用網路頻寬,快顯廣告網頁視窗必須花時間關閉(有些關不掉,必須挪到螢幕邊緣),甚至有些間諜程式不具備移除功能。以上種種的不便,都會影響到員工生產力。
話說回來,即便我們林林總總講了這麼多,但如果你(企業)沒有親身體驗過間諜程式的危害,往往只是當作耳邊風,不要說花錢採購解決方案,恐怕連基本的防禦措施都不會建置。文⊙李宗翰


Advertisement

更多 iThome相關內容