因為從事病毒防護的工作有一段時間,常被問到有裝了防毒為什麼還中毒?許多人還有DOS時代,只透過磁片交換資訊的防毒概念。現在是『無處不毒』的年代-網路芳鄰、E-mail、MSN、瀏覽網頁(甚至被認為安全的網站也會感染病毒)、部落格、隨身碟(網路磁碟機也會中這類的病毒)。最近最難搞的就是隨身碟病毒及網站架馬的病毒。
就好像大家都在講現在的小朋友抵抗力差,很容易生病。最主要的原因是因為生活方式更快速、更開放、更多與感染源接觸的機會。在飛機還沒有被當成大眾運輸工具前,很少有全球性的傳染病像愛茲病、SARS。100年前,台北到高雄要好幾天才會到達,現在的高鐵一個多小時,也就是如果有新的病菌,它的擴散速度也變快了。如果小朋友自身的抵抗力差一些就老是生病。電腦本身也有底抗力的強弱之分的,該補的漏洞補得夠不夠、密碼強度、是否有設分享。現在的網際網路生活模式,充斥著過多的誘惑與陷阱。如果沒有強制的管控,是很難不中毒的。
市售的防毒軟體一般有分『企業用』以及『家用』兩大類。
- 家用版的用戶因為使用電腦的思維比較自由,也無從設限,所以是比較有中毒的機會。下載Mp3,Foxy檔案下載分享,Msn,Yahoo Messager,網路購物,網路下單,網路交友。透過E-mail,燒錄光碟,隨身碟分享檔案都是中毒的主要原因。
- 家用版的用戶比較能夠接受,防毒軟體彈跳出來的互動式警告視窗。即使會影響目前的工作也不太計較。彈跳出來的警告視窗,一般發生在偵測到真正的病毒或疑似的病毒,使用者必需確認過之後,警告視窗才會關閉,也才能繼續目前的工作。
- 家用版的用戶對於誤判或誤刪所造成的影響,有較高的承受能力。而防毒廠商對於不確定的疑似病毒的處置也交由使用者自行決定。也就是說,產品已提示可能是病毒,請自行決定該如何處理。如果誤刪,廠商該負的責任就不多了,可能完全不用負責。
- 家用版的用戶有比較高的比例相信,有裝防毒軟體就一定不會中毒。所以警戒性較低。因此防毒軟體就必需把可能的病毒找出來。即使誤攔也不為意。
- 企業版用戶使用電腦的主要思維是工作,絕對無法接受因誤攔而資料被刪或導致電腦無法使用。在某些狀況甚至允許雖然有毒,但至少先讓電腦還能運作,而不是清除病毒導致電腦無法使用。另外絕大部份的企業內是不鼓勵甚至是禁止:下載Mp3,Foxy檔案下載分享,Msn,Yahoo Messager,網路購物,網路下單,網路交友的,相對的是比較安全的。
- 企業版的用戶比較無法接受,防毒軟體過多的彈跳互動式警告視窗。彈跳出來的警告視窗,一般發生在偵測到真正的病毒或疑似的病毒,使用者必需確認過之後,警告視窗才會關閉,也才能繼續目前的工作。往往影響正常的工作。
- 企業版的用戶對於誤判、誤刪或效能折損所造成的影響,比較沒有承受的能力。而IT部門承擔了所有的後續支援與後果責任。也就是說,IT人員會去權衡,防毒的策略該如何,對企業的傷害最低。對IT的工作量的最適化,該承擔的責任如何。而不像家庭用戶,只是考量不中毒而不考慮其它的因素以及其它副作用。試想,使用者如果看不懂彈跳的視窗而要求IT人員協助,IT人員還有時間作其它事嗎?
- 企業版的用戶有比較高的比例理解,有裝防毒軟體還不能百分之百防毒。所以警戒性較高,人為因素的中毒機會較少。透過內部的控管、稽核與宣導都能獲得不同程度的助益。
- 管理能力是企業版與單機版很重要的差異。透過中央集中控管的機制,可以一目瞭若指掌企業內部的防護狀況。包含病毒定義檔是否更新到要求的條件、內部是否有攔截到病毒、無法處置的攔截。同時也能強制病毒定義檔的更新,防毒政策的執行,不能停用防毒系統或更改防毒設定等。隨時留意主控台的訊息,設定自動化的通報機制,就能在企業內部剛開始有一絲問題時就能提早應對。而不是到了一發不可收拾才來善後,或責怪現有的防毒軟體。單機版由於沒有使用者以外的管理或通報機制,端看使用者的使用習慣與自我判斷能力,沒有絕對好或不好的使用者滿意度。
- 所以使用企業版防毒的使用者,如果還是跟在家裡使用的電腦的習慣是一樣的,就非常容易中毒。加上如果沒有專責的人員可以隨時留意防毒中控台的警示,往往一個新的病毒爆發,就哀鴻遍野,一發不可收拾。
IT部門由於沒有具體的數據可以來證明貢獻度,在企業內部是作得多卻不被重視的部門,只有電腦不能使用了或有問題了,大家才會想到IT部門。就好像停電停水了,才會想到電力公司或自來水公司一樣。
IT部門如果得不到上級單位的支持,實際上是很難辦事的,尤其在資訊安全的防護這件工作。拿防毒這件事來說吧!簡單來說,只要有分享或存取就有中毒的機會,只要是由人來判斷決定而不是政策強制執行的病毒防護工作就有風險。如果IT部門不好意思或無法拒絕來自於同事或上級長官的人情壓力,不想因資安控管而得罪人,就無法把風險降到最低。那麼,資安或防毒的工作也不好、無法解決。
在一些單位內,可以不設限地自由上網,下載檔案,透過Foxy下載MP3。隨身碟、數位相機、智慧型手機也沒有管制地在家裡與公司的電腦連接。甚者已禁止上網的電腦還能自行用電話撥接上網、透過無線基地台上網、透過3.5G卡上網。這是嚴重違反國際資訊安全的規範,也是危機不斷的。
在我們處理病毒案件中,純粹來自於防毒軟體無法偵測到病毒的嚴重災情的案例並不多。簡單來說就是電腦自身的體質差,外在的環境太惡劣。我們歸類了以下幾種常見的原因:
- 沒有安全防護政策,或有政策但沒有徹底執行,缺乏有效工具稽核、強制遵循:
經過國家資通安全會報技術服務中心多年不遺餘力的宣導、督導與演練,與所屬單位的全力配合,政府機關在對外提供的服務主機或系統上的安全作得不錯了。唯獨在用戶端的安全上還有進步的空間。由於在重要主機或系統上,直接是由IT部門管控同時也有上級單位不定期稽核,所以是較容易達到安全要求的。
目前最大的資安威脅來自於為數最多的端點電腦(Endpoint),而使用端點電腦的人更是最大的挑戰。我們舉最容易中毒的幾個電腦使用狀態來說:瀏覽網頁、收發E-mail以及即時通訊。許多單位都有宣導上班時間不能瀏覽跟工作無關的網頁、不能轉寄工作無關的郵件、不能安裝foxy等P2p的下載軟體,不能使用MSN/yahoo Messager/Skype等即時通訊。但源自於這幾項的資安問題還是層出不窮。最主要的原因是沒有強制的效力,也沒有足夠的證據可以對對違反政策的人提出糾正或罰則。一般會影響到使用者使用電腦的習慣的、方便性以及福利的都會被抱怨或報復。而主官/管沒有決心及魄力、想不得罪人的好好先生更是很大的主因。
如果您相信所有的人都會遵循資安政策,而不想設限過多,那麼應該有良好的工具能取得充份的電腦使用記錄、證據以及即時的通報機制,也才有辦法作好管理與稽核。
如果您有決心把這個棘手的資安政策處理好,建議您可以找您的主管或上級主管單位協助,最好是很正式的公告而不是宣導、而不要是私底下的閒聊。不要讓您的屬下,孤軍奮戰或揣摩上意。給相關人員明確的目標以及屬下強力的後盾,這是許多屬下不敢講的心聲,因為直接或間接來自於長官的或其它人情壓力,讓資訊安全的管理與執行變成好複雜。企業?部門眾多,不同部門有不同的貢獻度,例如:研發,業務可能是比較紅的單位,而資訊安全的部門如果是平行的單位,其實更需要總經理位階以上的人出面力挺。
- 公私不分:
許多資安事件(電腦病毒,資料外洩等..)有許多都是公私不分。辦公室的工作做不完,用隨身碟拷貝回家作,或回家連到公司主機來作。近來的隨身碟病毒之所以防不勝防,許多都是從家用電腦的隨身碟、記憶卡、數位相機、手機、Mp3播放器擴散出來的。家用電腦本來問題就多,尤其病毒、木馬、間諜程式、廣告程式。
對於下班後還拿工作回家做的人本應感謝的,說是公私不分是不厚道。但基於資安政策仍要有配套的安全措施。否則還是不要把公事拿回家作比較好。國內外幾個重大的資料外洩許多是從家用電腦安裝分享軟體或被植入木馬後門間諜程式等外洩的。
許多狀況是把家裡的工作拿來辦公室做,而家用電腦又是病毒最多的地方。像借用辦公室的印表機印作業、印相片等。借用辦公室較快的頻寬來下載MP3並利用隨身碟拿回家用電腦使用等,都是企業中毒的重要兇手。
- 誤以為裝了防毒軟體就可以百毒不侵:
市場上防毒軟體的品牌多如過江之鯽,說明了所有的防毒軟體都無法百分之百防毒,如果有的話,廠商就會主動提出保證與漏毒的連帶賠償合約。現在是網際網路的光速時代,每幾秒就產生新的或變種的病毒,這是電腦使用者結合防毒軟體業者與病毒開發者(甚至是集團)的戰爭,戰場就在大家的電腦。除非防毒廠商獲得所有的病毒樣本(這是不可能的,因為有了病毒樣本再去分析成為病毒定義檔也要花一些時間),並且防毒軟體的更新是持續不停地更新-但你的電腦大概什麼事都不用作了。沒有完全獲得所有的病毒樣本及更新之前,任何新型或變種的病毒都可能感染你的電腦。
此外,防毒軟體是需要隨時更新病毒定義檔才有防護的能力,新版本對於新型的攻擊比舊版更有效,某些舊版本雖也能更新病毒定義檔,但對於新型威脅的防護能力是比較差的,甚至一點幫助都沒有。不要太相信防毒軟體,它會大大降低,但無法保證不會中毒。現在馬上檢查你的防毒軟體吧!
- 誤解安全、低估風險:
許多人有一些似是而非的觀念:沒上網,沒收發E-mail,就不會中毒?這是很要不得的觀念。簡單說,只要有分享、存取、資訊交換就有可能中毒。上網,收發e-mail,檔案分享,網路磁碟機,磁碟片,隨身碟,記憶卡,數位相機,手機,即時訊息(MSN/Yahoo Messager /QQ..等)都有可能中毒,已經流行一年多的隨身碟病毒(AutoRun),所有的防毒軟體至今仍然無法徹底解決,只要有儲存功能並能與電腦連接的裝置都會感染,而不只於隨身碟。
E-mail內的惡意連結,讓使用者誤認為沒有下載檔案就不會中毒,尤其利用假冒熟人的寄件帳號或吸引人的垃圾郵件,夾帶有問題連結的電郵。讓許多人以為是安全的連結。現在許多問題都是來自有問題的連結,透過mail 以及MSN等即時通訊等人性脆弱的弱點來擴散。
辦公室的電腦不要毫無管制地與以上的裝置連接,尤其來自於曾經在家用電腦連接過的上述裝置。目前有非常多家用電腦都還在感染隨身碟病毒中,透過病毒合併木馬後門與下載器的特性,自動下載最新的變種病毒,也就是說防毒軟體最多就一小時更新一次,而已經中毒的電腦是無時不刻在下載新的病毒。初期一些被公認為對抗隨身碟病毒非常有效防毒軟體,不久也都棄械投降了。
- 漏洞沒補:
漏洞就是電腦軟體的瑕疵,會致使電腦或網路的整體安全出現弱點。不當的電腦或安全設定也可能產生漏洞。威脅會攻擊漏洞的弱點,造成電腦或個人資料的損失。病毒或駭客,最喜歡從有漏洞的電腦著手入侵,因為它不費吹灰之力就能達到目的。
比較正式的漏洞威脅說明如下:
1. 可允許攻擊者以另一位使用者身份來執行指令。
2. 可允許攻擊者以違反資料之指定存取限制的方式來存取該資料。
3. 可允許攻擊者使用另一個實體身份。
4. 可允許攻擊者進行拒絕服務攻擊。許多企業由於人力不足、沒有自動化更新的機制以及沒有評估稽核的機制,所以仍存在許多的作業系統以及應用軟體的漏洞,讓企業隨時曝露在高度的風險。
根據統計,用戶端電腦軟體漏洞數量排名最多的依序為瀏覽器、Office軟體、電子郵件用戶端(例如outlook express)、媒體播放器以及桌面軟體。
某些地區及國家電腦中毒的比例,遠高於世界其它地方。有很高的比例是使用盜版的作業系統與軟體,無法也不敢更新所造成。安裝來路不明的軟體,往往已經門戶大開了還不知。
對於已經不會再使用的軟體,最好也能移除,因為安裝越多軟體就是增加更多的漏洞機會,尤其是少用的軟體,往往忘了要修補或更新,或根本就沒得更新。當然風險就高許多。一些免費的軟體也包含許多風險及漏洞,建議不要使用或小心使用。
- 密碼問題:
密碼為作業系統的一項重要的保謢機制,就一般的使用者而言,在為方便使用電腦而忽略密碼設定的安全性〈簡單易猜,甚至無密碼設定〉,導致門戶大開,很容易成為病毒或駭客攻擊及入侵成功的目標。
就管理面來說,一般企業裡的MIS人員,因管理的資訊軟硬體設備眾多,在為方便管理之虞,而將企業內部各軟硬體密碼設定同一組,此種做法己有違資訊安全的基本要求,如一旦遭受內部病毒散佈或外部駭客的攻擊入侵,只要利用同一組密碼其所能做侵入性破壞的範圍就相當可觀了。安全的密碼設定原則:
1. 禁止不同電腦間的同一個帳戶設定相同的密碼(如A&B電腦的User帳戶密碼皆相同)。
2. 密碼的設定採英文、數字、特殊字元做搭配,以增加其安全性。
3. 密碼使用做有期限的控管並定期變更密碼。
4. 定期稽核各帳戶密碼登入系統有無出現異常。
- 瀏覽器漏洞及設定不良:
瀏覽器可以說是網際網路世界之窗。也是使用比例最高的應用軟體。
近幾年來在Internet的盛行下,病毒及惡意程式的侵入方式,已由傳統的Mail、即時通訊傳遞方式轉由瀏覽器本身設計上缺陷的漏洞侵入,逐漸有了所謂的網頁綁架、網路釣魚、網址嫁接、SSL攻擊、及間諜軟體廣告軟體…等侵入手法。由此可知病毒及駭客侵入的方式已轉至Web介面。
大家都認為微軟IE瀏覽器是不安全的,實際上幾乎所有的瀏覽器都存在安全的問題。不安全的原因,包含了軟體本身的漏洞以及使用者的安全設定與使用者自身的安全警覺性。因市面上大多數使用者採用微軟的作業系統,其作業系統內附的IE瀏覽器也因而得到廣大使用者的受用,以致成為駭客們做為在瀏覽器上主要攻擊的目標。像IE為增加與使用者的互動性與網頁的豐富性所提供的Active X及Java Script的元件,也是較容易遭受攻擊的原因。另外,會使用IE以外的瀏覽器的用戶一般都是較有安全警覺性的,也較有自我解決電腦問題能力的,所以相對發生問題的比例就低許多。
大多數人在瀏覽器的使用上,對於網頁上忽然跳出的視窗訊息提示或Url連結並不是十分明瞭,往往在有意及無意間選取了YES、Agree、Accept…等動作而同意網頁上的提問;甚至有些惡意網頁根本沒出現任何提問而直接執行JavaScript或利用瀏覽器上的ActiveX的漏洞植入該惡意程式,並於被植入惡意程式的電腦,進行惡意的破壞行為及種種的資料竊取。
建議使用較新的瀏覽器版本(IE8都上來了,還有許多人再用IE6之前的版本,IE7 以後的版本都有反釣魚的安全防護功能)、透過瀏覽器的設定較高的安全等級以及隨時更新瀏覽器的漏洞。另外,養成良好的上網習慣與警覺性更是重要的。不要貪圖一些網路上免費的軟體、MP3、圖片、密碼產生器,這些資源的提供者大都有別有用心,它會安裝木馬或病毒在你的電腦,然後偷走電腦上有用的資訊,可能是你的信用卡或網路銀行資料、可能您在電腦上曾經輸入過的帳號與密碼(線上遊戲等)、可能是你的照片。也會讓您的電腦成為攻擊別人的傀儡。
- 收發E-mail的最新風險:
對企業而言,E-mail的重要性與電話是一樣重要,某些狀況更甚於電話,由E-mail衍生的風險也與日俱增。
絕大部份的企業已經在Mail Server 或Mail gateway端安裝防毒軟體,讓有問題的郵件或附件不會進入到企業內部。越來越多的惡意程式(包含病毒、病蟲、木馬、間諜程式)也躲避了這樣的防護機制,利用郵件夾帶網路連結位址-URL。讓使用者不小心或好奇地連到有問題的URL。
除非已建置Web Filter的防護機制,能保護經由Http/Https/Ftp的流量,否則透過有問題的URL的連接,使用者幾乎是沒有招架的能力,任人宰割。沒有人知道按了這個URL連結之候,接下來會有什麼風險,有可能被安裝的木馬、後門、間諜程式、病毒,也有可能電腦就開不起來了、硬碟的資料全毀損了。許多人安裝了防毒軟體之後,膽子就大起來了。天不怕地不怕,以為可以赴湯蹈火。一直以來,使用者被教育不開啟有問題的郵件附件檔案及圖片。現在應該多加一項-不開啟有問題的連結,不管來自e-mail或即時通訊。
- 瀏覽網頁的最新風險:
除了上述的『瀏覽器漏洞及設定不良』所造成的風險外,其實『人』才是最大的風險來源。人往往因為貪心、好奇、容易相信別人、不在意以及沒有警覺心。所以就很容易開啟有問題的網頁連結、附件檔案及圖片,後者可以經由郵件的安全政策過濾,前者-網頁連結,則是當今最大問題的來源。
一般使用者誤認,公司已安裝了防毒系統,所以如果有問題,就會被攔截,但是透過網頁連結的病毒或風險,在當今主流的防護架構是很少被建置的。試問,您的單位內有安裝http/https/ftp 的安全防禦機制嗎?大部份的單位已安裝的Mail(SMTP/POP3)的防護機制,但由Mail夾帶的http/https/ftp 的連結,是無法經由mail的防護機制來防護的。就算有安裝最好的smtp/pop3/http/https/ftp的防護機制,也無法保證一定安全無虞。
人對自己身家性命的安全是非常注意的,所以我們會主動避開一些風險,例如;覺得怪怪的食物我們就不會去吃它,車子的安全配備再怎麼好,也不危險駕駛。但在瀏覽網頁這件事,就一點抵抗力都沒有。而廠商一直行銷他們的產品有多好,卻忘記(應該是不敢,誰講就表示誰家的產品不好)告訴顧客,所有的安全防護產品都有其極限,最重要的還是人的因素。
現在就告訴你的用戶,所有的防護機制或產品都有其極限,IT部門在有限的金錢及資源下一定能把防護作到最好,人的因素,更需要使用者的配合。請隨時拒絕危險的網頁瀏覽及下載行為。