回顧2004，展望2005

回顧今年重大資安議題，搶先預知明年攻擊趨勢

回顧2004年，我們先從病毒看起。參考由防毒廠商所統計的2004年10大電腦病毒，Netsky家族是最大的贏家，幾乎占了一半的席次，所以，Sven Jaschan（Netsky作者）至少要負擔50%以上的責任。此外，不論是64位元作業系統、手持式行動設備及藍芽裝置，都已經出現概念型病毒。

也許你會好奇，為什麼兩家廠商統計出來的資料差異頗大，其實道理很簡單，廠商都是透過他們的客戶收集這些數據，相信沒有太多企業會同時使用兩種以上防毒軟體，自然也就不會有相同的結果。不過，我們也要再次提醒，防毒軟體並無法偵測出所有的病毒，特別是由特定人士（大陸駭客、研究人員）在特定區域所散布的病毒，在防毒廠商還沒有更新病毒定義檔之前，你的電腦都處於安全空窗期。

除了病毒，其他網路威脅也來勢洶洶。根據Symantec 2004上半年的統計，傀儡程式Bot由每天平均2000隻暴增到30000隻，而且Bot網絡（Botnet）更是企業相當嚴重的安全隱憂，因為駭客可以利用它更快速地從遠端進行攻擊，甚至超越企業修補漏洞的腳步。最近，大陸某些遊戲網站和電子交易網站遭到駭客以Bot網絡發動DDoS攻擊，國外也有駭客藉以勒索線上賭博網站。社交工程好用，間諜軟體當紅，垃圾郵件當道

也許是趕搭金馬獎的熱潮，趨勢科技並沒有公布十大病毒，而是公布2004年金毒獎，有最佳男女主角、最佳新人、最佳劇情片等獎項。最佳男主角自然是頒給Netsky，而最佳女主角則是社交工程。

社交工程的技倆不但病毒（MyDoom.A和Beagle.M）愛用，連駭客也很愛。根據Gartner在今年11月公布的研究報告顯示，未來1 0年內可躲過 IT監控，攻破電腦網路的最大風險就是社交工程。

最佳置入式行銷是頒給間諜軟體。根據National Cyber Security Alliance的調查報告指出，有91％ 的個人電腦遭受間諜軟體入侵。也許有人會認為這樣的數據太過跨張，但不可緯言的，間諜軟體是最近當紅的議題，相信這股熱潮會延續到明年，加上目前只有幾家廠商推出企業級防間諜軟體產品，其他幾家主要安全廠商應該都會在明年推出相關的解決方案。

不過，也有讓人跌破眼鏡的，垃圾郵件竟然榜上無名。垃圾郵件暴增，相信是每個使用者最大的痛，根據賽門鐵克2004年10月的數據顯示，全球電子郵件被偵測為垃圾郵件的比例為66%，相當的驚人，也許這可以說明為什麼比爾蓋茲每天會收到四百萬封垃圾郵件。如果你現在還是每天手動刪除垃圾郵件，建議你該找套垃圾郵件過濾產品了！

由垃圾郵件所衍生的另一個問題就是網路釣魚，根據APWG（Anti-Phishing Working Group, APWG）最新的報告，到2004年10月為止，有效的網路釣魚網站有1142個，而且正以每個月25%的速度增加，金融業及ISP業者是最常被利用的產業。IDC發布的2004年亞太地區的安全威脅報告也指出，網路釣魚已經對亞太地區從事電子商務的企業造成嚴重威脅，並且是本區成長最快的非暴力犯罪行為之一。不過，也有人認為問題沒那麼嚴重，TowerGroup所發表的報告指出，今年全球消費者遭受網路釣魚詐騙的金錢損失總計不到1.5億美元，比起其他研究所指稱的5億美元，相去甚遠。

目前國內的網路釣魚事件大多是詐騙線上遊戲的玩家，但已經出現不利用電子郵件就能釣魚的手法，而且隨著釣魚技術程手法越來越高明，你最好不要相信任何人。四大無解的爭議

接下來，我們觀注一下最近熱門的資安議題。但要事先聲明，資訊安全沒有對與錯，只有「有」與「無」，所以它沒有妥協的餘地，也很難取得平衡點。

隱私權vs.生產力

從最初的郵件稽核、網頁內容過濾，到最新的即時通訊過濾，老板總是懷疑員工是不是在工作，員工也會質疑老板侵犯到個人隱私，但不管員工是怎麼想，既然你是寄人籬下，那麼老板就永遠是對的，也就是說，老板可以監看你的通訊記錄、調查你是否洩密、確認你是否有在努力工作。不過，還是要提醒一下老板，信任員工是一種尊重，也是提高忠誠度的不二法門，而且即時通訊，不僅能提高工作效率，減少通信費用，還可提高工作效率，並能夠留存對話記錄，能夠增進生產力。

IE vs. Firefox

最近不少人呼籲停用IE 6，改用其他核心的瀏覽器，原因不外乎就是IE的漏洞過多。但你真的會停用，停得了嗎？如果你使用一些與IE緊密結合的服務，那你絕對少不了IE，所以，也有廠商看準這一點，推出具備兩種核心的瀏覽器，例如新版本的Netscapes就同時具備Gecko和IE引擎，但你只能二選一，無法用時使用2種引擎。以安全因素為考量而更換瀏覽器的使用者，似乎並不多，大多數看上Firefox的人，應該都是喜歡上它的眾多功能，特別是網路成癮患者，至於一般的使用者，可能連Firefox是什麼玩意都不知道。雖然IE漏洞多了點，功能少了點，但它畢竟還是有8成左右的市佔率，建議你保留它，以備不時之需；但如果你是重度網路使用者，IE絕對不是你的第一考量，一定要試試其他瀏覽器。

Windows vs. Linux

封閉式系統對上開放原始碼的安全性之爭，相信你聽過很多正反方的看法，不過，兩者打從一開始的設計理念就不同，無論怎麼比都不公正，況且他們的安全性都還有進步的空間。我們希望你不是因為安全性而去選擇某種產品，因為沒有一種產品是真正安全的，差別只在於它的漏洞有沒有被找出來而已，建議從成本、功能及穩定性等不同的面向去選擇合乎需求的產品。如果有人向你推銷他們的系統非常安全，千萬別相信他！

記密碼 vs. 不記密碼

比爾蓋茲今年曾預言「密碼」將死，它是安全和身分驗證上的弱點，目前廠商已經朝智慧卡和生物辦識方面發展，當然，也有人提出反面看法，認為蓋茲的預言很少準確，密碼沒那麼容易就陣亡。

的確，我們現在少不了密碼，但現行的密碼措施需要加以改進。有許多企業明訂員工必須定期更換密碼，使用更多位數的密碼，搭配艱澀難記的密碼原則，可惜的是，記憶力超強的員工並不多，許多人都只是將原有的密碼做些微改變，更有甚者，直接將密碼記在筆記本、筆記型電腦、便利貼或電腦螢幕上，反而導致更嚴重的安全漏洞。

也許不記密碼是不錯的選擇，但是目前生物辦識技術尚未成熟，產品價格也較高，短時間內很難普及，相對之下，智慧卡雖然比較平易近人，但如果你遺失卡片或Token，補發的成本可不低。混合式攻擊增多，漏洞不斷出現

2005年的攻擊趨勢會是怎樣發展呢？Symantec安全機制應變中心資深總監Vincent Weafer歸納出幾個趨勢。

第一個趨勢就是混合式攻擊越來越多。參考Symantec的資料，1999年是一個很重要的分水嶺，從那年開始，各種攻擊就快速成長，在2004年，針對Windows的攻擊就成長4.5倍，而且各種攻擊可能是以病毒、垃圾郵件或網路攻擊（例如DoS）的型式出現，也有可能是混合多種攻擊型式，不再只是靜態攻擊，各種攻擊之間的界線也越來越模糊，例如以垃圾郵件夾帶惡意病毒檔，之前的Swen.A蠕蟲更是利用SMTP、P2P、IRC、SMB及NNTP等媒介散播。

第二個趨勢就是漏洞不斷出現。之前的病毒可能是學生無聊時的作品，現今則是利用安全漏洞製造各種病毒，數量和威脅程度都增加數倍。現在每周大約發現50多個漏洞，其中40%的漏洞是與網際網路的應用程式有關，有64%的攻擊是瞄準發現未滿一年的新漏洞。以前從發現漏洞到出現攻擊程式，大約2~4周，但時間已經縮短到一天以內。

第三個趨勢就是攻擊者越來越精明，工具也越來越自動化。隨著資訊越來越普及，攻擊者很容易收集到各種漏洞的資訊，知道那個時間點最容易攻擊成功，也可以透過討論區和論壇交換各種訊息，加上金錢的誘因，造成很多駭客是為了錢而展開攻擊。雖然大部分針對Unix系統的攻擊是以人工操作為主，但針對Windows系統則出現大量的自動化攻擊工具。

第四的趨勢就是個人電腦成為駭客攻擊的主要目標。如果你把完全沒有保護的電腦放在網路上，之前大約20分鐘才會遭到攻擊，現在則縮短到6秒鐘，因為目前有數萬臺電腦是在自動掃描各個IP，並針對漏洞進行攻擊，所以安全需要從閘道延伸到終端，才能夠完整覆蓋。

明年，傳統的病毒攻擊仍會持續不斷出現，網路釣魚事件將越來越多，間諜軟體和廣告程式也是熱門議題，但最大的挑戰會來自未知的漏洞，而且將發生在個人端，所以個人端的防禦機制也必須從被動轉為主動防禦，以應付新一代的網路攻擊。文⊙陳世煌