社交網站成07新安全隱憂 威脅本質變化不大

強調互動、分享等Web 2.0精神的社交網站，過去一年來大受歡迎，但也可能成為2007年新的安全隱憂。

安全廠商指出，包括視頻共享網站如YouTube，以及如MySpace一類可分享、交流媒體文件的社交網站，吸引許多網友在上面大量交換、下載文件，可能助長偽裝的惡意程序散布，成為病毒天堂。

趨勢科技表示，2006年底出現了第一只概念驗證（proof of concept, POC）型態的木馬程序“TROJ_MPEXPL.A”，該程序會利用“XMPlay v3.3.0.4”播放程序的安全弱點，使用者執行該程序后，便可能被攻擊者通過特制的ASX文件散播，發動緩沖區溢位（buffer overflow）攻擊，遠程攻擊者便可趁機在受感染的系統上執行任何文件。

所謂概念驗證型態的病毒，指該病毒是為了證明某種感染方式可行而被設計，本身不一定有害，但其感染方式一旦被證明為可行，往往會引起仿效，出現其它利用同一概念設計的病毒。

趨勢技術臺灣地區支持部技術總監王應達解釋，發現此木馬程序的意義在于，證實新技術的存在后，未來這種利用播放程序弱點，或其它偽裝成媒體文件的惡意程序將會越來越多。而在Web 2.0風潮下，網友大量分享媒體文件，恐會助長此類病毒散布。

Web 2.0并沒有清楚的定義，但一般用來區別單向、靜態的Web 1.0，強調其互動、多元、開放、共享與使用者的主動性。

但令人擔憂的是，各式各樣打著Web 2.0互動分享精神的網站大受歡迎，在改變網絡使用者習慣的同時，也可能為信息安全開了后門。

賽門鐵克臺灣區技術顧問總監王岳忠指出，以往安全的概念是要“筑城墻”來保護自己計算機的安全，但互動分享精神主張的卻是要“打破城墻”，兩種概念是完全相反的，當然會嚴重威脅安全。

王應達補充說，在日益普遍的博客上，RSS等技術也會讓使用者更不設防地連上自認安全的網頁，增加安全風險。王岳忠解釋，過去的病毒來源主要是email和瀏覽網站，在Web 2.0時代，威脅的來源、形式則更多更廣。

威脅本質變化不大

不過，通過社交網站進門的許多安全威脅，看在專家眼里，也不過是換湯不換藥。

CA臺灣區技術顧問林宏嘉就不認同Web 2.0及社交網站會帶來所謂新的安全威脅，因為兩者和一般網站并沒有明顯的界限，他說。

林宏嘉舉例，在社交網站上最普遍的安全問題就是通過社交工程(social engineering)像是惡意程序在交換、下載文件過程中無意間被傳布與執行，導致詐騙、網釣(phishing)攻擊?！暗@些都不是新的攻擊行為，跟網釣郵件、電話詐騙一樣，天天都在發生?！彼f。

他指出，社交網站風潮導致其安全性問題被進一步突顯。許多攻擊手法“只是換地方發生罷了，”他說。

林宏嘉認為，把病毒、網頁全部在網關端擋掉，看似合理，但卻不可能擋掉所有威脅。他還說，不論是各家廠商宣稱可判斷網站安全性的公式、或內容過濾機制，都有其限制，永遠都可能有新的威脅逃過封鎖。他認為，除了基本的防御以外，使用者行為的管理或對安全的自覺也相當重要。

王應達亦認為，就安全的角度來看，安全威脅的本質并沒有太大的變化。他補充，使用者在網上的行為，才是引發危害的關鍵。

他以企業中的網絡使用為例解釋，企業很難真正限制員工以公司電腦連上可能有安全漏洞的社交網站，員工行為難測，便會成為防護的隱憂。

為了防止員工使用社交網站導致的風險，他建議應該把安全防護拉到最前線，采用網關端（gateway）的防護，通過網站過濾機制封鎖黑名單上的危險網頁，讓員工根本無法瀏覽。

賽門鐵克則主張Security 2.0概念提供消費者保護。王岳忠說，一般使用者除了確保計算機設備本身的安全（device protection），還需要加上互動過程的防護（interaction process protection），讓使用者通過軟件確知自己上的網站安不安全。

(責任編輯：銘銘 mingming_ky#126.com TEL：（010）－68476636)