上周我们介绍了『恶性程序』(Malicious Code)是泛指所有具有恶意功能的的程序代码,包括计算机病毒、特洛伊木马程序、计算机蠕虫都可以归类为恶性程序。本周我们来认识计算机病毒与黑客的差异。
防止计算机黑客的入侵方式,最耳熟能详的就是装置「防火墙 」(Firewall),这是一套专门放在Internet 大门口 (Gateway) 的身份认证系统,其目的是用来隔离 Internet 外面的计算机与企业内部的局域网络,任何不受欢迎的使用者都无法通过防火墙而进入内部网络。有如机场入境关口的海关人员,必须核对身份一样,身份不合者,则谢绝进入。否则,一旦让恐怖份子进入国境破坏治安,要再发布通缉令逮捕,可就大费周章了。
一般而言,计算机黑客想要轻易的破解防火墙并入侵企业内部主机并不是件容易的事,所以黑客们通常就会用采用另一种迂回战术,直接窃取使用者的帐号及密码,如此一来便可以名正言顺的进入企业内部。而去年造成相当大灾情的黑客型病毒 CodeRed、Nimda即是利用微软公司的 IIS网页服务器操作系统漏洞,大肆为所欲为。
CodeRed 能在短时间内造成亚洲、美国等地 36 万计算机主机受害的事件,其中之一的关键因素是宽带网络(Broadband)的"always-on" (固接,即二十四小时联机)特性所打开的方便之门。
宽带上网,主要是指 Cable modem 与 xDSL这两种技术,它们的共同特性,不单在于所提供的频宽远较传统的电话拨接为大,同时也让二十四小时固接上网变得更加便宜。事实上,这两种技术的在本质上就是持续联机的,在线路两端的计算机随时可以互相沟通。
当 CodeRed 在 Internet 寻找下一部计算机服务器作为攻击发起中心时,前提必须在该计算机联机状态方可产生作用,而无任何保护措施的宽带用户,"雀屏中选"的机率便大幅提升了。
计算机及网络家电镇日处于always-on的状态,也使得计算机黑客有更多入侵的机会。在以往拨接上网的时代,家庭用户对黑客而言就像是一个移动的目标,非常难以锁定,如果黑客想攻击的目标没有拨接上网络,那幺再厉害的黑客也是一筹莫展,只能苦苦等候。相对的,宽带上网所提供的二十四小时固接服务却让黑客有随时上下其手的机会,而较大的频宽不但提供家庭用户更宽广的进出管道,也同时让黑客进出更加的快速便捷。
过去我们认为计算机防毒与防止黑客是两回事(见表一),然而 CodeRed红色代码、Nimda 尼姆达却改写了这个的定律,过去黑客植入后门程序必须一台计算机、一台计算机地大费周章的慢慢入侵,但CodeRed却以病毒大规模感染的手法,瞬间即可植入后门程序,更加暴露了网络安全的严重问题。
表一:黑客与计算机病毒比较
黑客(Hacker)
计算机病毒( Virus )
入侵对象
锁定特定目标
没有特定目标
隐喻
被限制出入境者(非企业网管相关人员),以几可乱真的 Passport欺蒙海关守门员(如同企业网络的Gateway),进入国境(企业网络)后,锁定迫害对象(计算机主机),进行各种破坏动作。
某人持有合法护照,但在出入境时,携带的行李被放置枪炮弹药等违禁品(病毒程序),海关(如同企业网络的Gateway)并没有察觉,于是在突破第一道关卡后,这些违禁品进入国境(个人计算机或企业网络),随时产生破坏动作。
举例说明
没有合法身份认证的计算机黑客通常都会先想办法取得一个合法的通行密码,或者利用系统安全疏失,在网络上通行无阻。
一个合法的使用者在有意无意间所「引进」病毒,其管道可能是直接从网际网络下载文件、或是开启 e-mail 中含有病毒的附加文件 (Attachment)所感染。
下周发病病毒
5/13 Klez.A 求职信
自去年七月现身的”求职信 Klez”已经出现十几只变种了,这只借着 email 预览功能及文件分享瘫痪企业网络资源的病毒,新的变种上个月在亚洲地区造成不小的灾情,许多公民营机构都已经中毒近日,短短数小时,即超过200家企业中毒。目前正值征才旺季,趋势科技提醒人力资源部门得提高警觉,免得征才不成,还把不怀好意的求职信病毒请进门,届时「求职信」在局域网散播,可真会如同病毒的译名,让系统管理者大呼:「可累死( Klez)」了。
5月13日发病的 Klez.A 是求职信的始祖,它在每逢单月13日发病。「求职信」具有计算机蠕虫的特性,除了透过夹带 .EXE 文件的电子邮件散播,主题会带有「我想要个好工作,我必须抚养父母」(I want a good job, I must support my parents)等字句,并会将病毒文件传送至网络上分享的目录(类似 Nimda 娜妲病毒),造成一传十、十传百的大规模感染。最值得注意的是,该病毒还会利用微软软件的安全漏洞,当计算机族使用 Microsoft Outlook 或 Outlook Express 预览电子邮件时,病毒便会自动执行,由于它具有强大的感染力,建议用户最好将自动预览信件功能关掉。并至微软公司网站 更新 IE 的补丁程序。
求职信病毒最具破坏力之处在于,会拖垮企业网络的联机速度,造成计算机当机,另外,当计算机系统日期为 13 日,病毒会将所有文件删除,所有文件将在一夕间化为乌有。「求职信」还会在中毒计算机植入 PE_Elkern 病毒文件,藉以感染其它 EXE 文件。此外,这只病毒因为它会以千奇百怪的面貌现身,不论是信件主题、寄件人、甚至附加文件,都会变来变去,难以捉摸。
|