不升級Windows XP有多危險

明年2014年4月8日微軟終止對Windows XP的支援之後，將不再針對XP作業系統的漏洞提供修補程式，因而對於XP電腦的用戶而言，首當其衝的就是資訊安全的問題：如果不升級XP，會有多危險呢？

一旦微軟停止對XP作業系統提供漏洞修補，而又有新的作業系統漏洞被發現了，這時除非有其他廠商願意提供漏洞修補程式，不然XP電腦就要陷入高度危險的狀態了。這就好像眾人皆知你家的大門無法上鎖，而你卻找不到鎖匠。在現今駭客猖獗，而且絕大多數的電腦也都連結網路的情況下，作業系統只要存在漏洞，就容易被駭客所利用，因為作業系統層級的漏洞，是駭客直搗黃龍的最快途徑。

臺灣趨勢科技技術總監戴燊指出，微軟作業系統常見的5大漏洞中，有3項是屬於可由網路遠端發動的攻擊，分別是「可由遠端執行的程式碼」、「緩衝區溢位（Buffer Overflow）」及「阻斷式服務（DoS）」，這3種漏洞都會帶來很大的資安風險。

以電腦病毒史上屬一屬二、惡名昭彰的Conficker蠕蟲為例，它在2008年11月一舉肆虐全球200多個國家、上百萬臺電腦，就是因為駭客利用微軟在前一個月（2008年10月）才公布的編號MS08-067的Win XP作業系統漏洞，以遠端執行程式碼的方法，得以迅速發動大規模攻擊。然而，戴燊指出，直到今天駭客都還在利用相同的作業系統漏洞，他們之所以能得逞，顯然是還有很多電腦沒有安裝此一漏洞的修補檔。

上述是假設XP終止支援後，又發現了安全漏洞。當然，也存在可能不再會有漏洞被發現的可能性。然而，這樣的可能性有多高呢？

其實，以微軟早在2010年7月13日就終止支援的Windows 2000作業系統來看，竟然到現在還持續有新漏洞被揭露。而且，戴燊表示，也不過就是去年（2012年），XP作業系統還是被發現了重大的安全漏洞，編號MS12-012的漏洞，就是利用緩衝區溢位的疏漏，讓駭客可以傳出惡意的要求（Request）進行遠端程序呼叫（RPC）服務。駭客因此可透過網路取得個人電腦管理員的權限，讓被攻擊的電腦出現藍色畫面。從這些跡象來看，在XP作業系統終止支援之後，不再有新漏洞被揭漏的可能性，似乎是很低。

這些可以透過網路觸發的作業系統漏洞，對個人電腦會造成重大的資安風險。駭客掌控了電腦，可以檢視、變更或刪除資料，不僅機敏資料完全外洩，也會成為駭客所挾持的傀儡電腦，做為發動攻擊行動的殭屍電腦大軍。

對企業而言，更須要注意的是，一旦駭客以作業系統的漏洞掌控了電腦，通常就可以提高存取權限。戴燊指出，駭客接著就可以偽裝成合法的使用者，以合法行為匿跡、蒐查企業網路，有可能在不驚動資安產品的預警機制下，逐一滲透其他電腦。因此，即使XP電腦位於企業內部網路，並沒有連結外部網路，也不見得就是安全的。

不升級保命之道1 徹底隔離網路與USB

把XP升級到新版作業系統，是解決作業系統安全漏洞風險一勞永逸的方法，但是，並不是所有XP電腦都可以升級，尤其是在企業裏，有些是應用程式老舊，只能執行在Windows XP的環境，而且這些應用程式不可能再翻新了，原因可能是找不到人來改寫程式，也有可能是早期採用的程式語言不再支援新版系統了。

惠普資訊安全事業部北亞區資深技術協理蕭松瀛表示，企業只要有辦法把這些電腦隔離在無網路、無USB的環境，不連網、嚴格禁止使用任何外接裝置等措施，杜絕任何人為的資料或系統更新，就能確保舊平臺的安全性。

蕭松瀛曾接觸一個Windows 2000電腦無法升級的案例，那是一個政府機敏單位，其中有個專屬應用系統是基於微軟Windows 2000環境開發的，而在Windows 2000停止資安更新後，該單位為了確保個人電腦專屬應用系統的安全性，採用嚴格的實體隔離措施，電腦不僅不能連接外部網路，也不能連上內部網路，亦不允許使用包括USB隨身碟等外接裝置傳輸資料，或是進行系統及應用程式的更新。蕭松瀛說，這個機敏單位只有在需要使到這套應用系統時，才會啟動該電腦，以徹底降低資安風險，至今也未曾出事過。

此外，臺灣也還有不少金融業、高科技製造業者，仍使用舊版的Windows 2000作業系統。戴燊指出，趨勢科技有一個高科技製造業客戶，因為企業開發成本和使用習慣等因素，確定不升級工廠機臺電腦的作業系統，迄今仍使用Windows 2000平臺。

這家製造業公司也是採取實體隔離的作法，電腦禁止連接任何的內網與外網，也禁用USB隨身碟等外接裝置，亦不允許任意更新軟體。在這樣嚴格的管制措施下，多年下來，使用Windows 2000平臺的機臺電腦，依然安全存在許多高科技製造業的廠房。

不升級保命之道2 強化資安防護的部署

雖然不連網、不使用USB等外接裝置，可以確保舊平臺的安全性，但對於現在電腦使用者而言，連網已經是一個不能避免的現象。因此，若要做到對舊平臺的防護，通常會使用第三方的資安軟體，包括在用戶端電腦安裝防毒軟體，安裝主機端入侵防禦系統（H-IPS），以及在閘道端部署防火牆設備。

「在用戶端電腦安裝防毒軟體是基本且必須的，」戴燊表示，防毒軟體雖然無法提供百分之百的保護，但基本上，還是可以偵測到大約八成的已經病毒和惡意程式，大幅提高個人電腦的安全性。
 

蕭松瀛表示，建立一個深防禦架構是必要的，透過安裝H-IPS，從杜絕網路層到應用層的攻擊行為下手，可以檢查單臺主機和主機內的可疑攻擊行為；安裝防火牆則可監控網路流量，過濾具有攻擊行為的網路封包。甚至，使用者還可以採用更嚴格的白名單政策，只允許同意的封包進入企業內，更嚴格過濾攻擊封包，降低被駭客攻擊的風險。

除了部署資安防禦網，戴燊認為，防火牆或是IPS都提供了上千條的資安規則，要發揮應該有的攻擊封包過濾功能，就必須啟動針對適合的資安防護政策，例如，電腦使用者必須啟用針對微軟XP作業系統漏洞的資安規則，若有偵測到針對微軟XP作業系統漏洞的攻擊封包時，才能夠有效過濾惡意封包。

因為舊版作業系統無法更新到新版，將導致許多既有作業系統的漏洞持續存在，許多駭客便可以利用既有的漏洞，取得企業內管理員權限，竊取公司機敏資料；或者是植入各種惡意程式，作為駭客攻擊其他國家和企業的跳板電腦。戴燊建議，不論是個人或企業，根本之道是升級到新版的作業系統，降低個人電腦因為無法修補資安漏洞帶來的風險。

這些舊有作業系統的漏洞已經行之多年，蕭松瀛表示，許多駭客甚至已經有現成的攻擊工具包可以馬上發動攻擊，企業若無法將電腦更新到最新版作業系統，就等於是在網路上持續敞開大門任由駭客進出。「不升級作業系統，或許企業不見得會馬上中標，但這卻是一個無法化解的資安隱憂，也是駭客發動攻擊最好的溫床。」他說。文⊙黃彥棻
 

微軟作業系統5大類 常見漏洞

● 緩衝區溢位（Buffer Overflow）
● 提高使用者權限
● 阻斷式服務（DoS）
● 導致資訊外洩
● 遠端執行程式碼

資料來源：趨勢科技，iThome整理，2013年10月