間諜軟體尾隨垃圾郵件溜進企業
David Berlind‧鍾玉玨 2004/06/24
垃圾郵件一開始現身時,受困擾者多半是客戶與個別用戶,個人資料(尤其是電子郵件地址)易外洩,收納於垃圾郵件寄發公司的資料庫。不久之後,間諜軟體登場,攻陷企業的電子郵件系統,竊取客戶機密資料。事實上,間諜軟體和垃圾郵件一樣,均得到聯邦貿易委員會(FTC)重視的「殊榮」,成立專門機構研擬因應之道。現在已有安全軟體供應商推出反間諜軟體,銷售對象以商家、企業為主。
間諜軟體是惡意軟體的一種,一旦和病毒、病蟲、垃圾郵件結合,等於幫暗中潛伏到其他電腦的軟體完成一套完整的生態系統。間諜軟體通常包括兩種不受歡迎的行為模式,第一種一如其名,偷看使用者如何使用系統﹙如測錄敲擊鍵盤的習慣﹚;第二種是「回傳」偷偷摸摸收集而來的機密資料。許多客戶成為間諜軟體宰割的祭品,完全不知自己的信用卡資料已被在遠端操控間諜軟體的不肖人士竊取。
除了竊取機密資料,間諜軟體也會改變目標系統的行為,諸如霸佔IE首頁與改變搜尋網頁的設定,讓系統連線到用戶根本不會去的廣告網站,以致電腦螢幕不停彈跳出各式廣告。間諜軟體的惡行不僅讓機密資訊曝光,對產能亦造成負面衝擊,同時也拖累系統資源,諸如瓜分其他應用軟體的頻寬與記憶體,導致系統沒來由減速。
反間諜軟體供應商Webroot的行銷副總Christine Stevenson表示,若干組織──尤其是可能蒙遭鉅額損失者,對於間諜軟體的威脅越來越有概念,不敢掉以輕心。Stevenson援引HIPPA等隱私權保護法為例,指出保護數據與資料不僅是保護隱私,也等於是保護公司的資產。
既有這樣的立法,公司是否已遭間諜軟體染指其實並不重要,因為意識到這類軟體的威脅也許足以刺激公司行號備妥反制措施,以免為時已晚。「為時已晚」意味到時聯邦機構可能採取法律行動,更糟的是造成客戶大量出走。
我曾針對個人隱私遭侵犯發表文章,從讀者回信中清楚看出,只要隱私權些微受損,就足以惹腦客戶﹙或潛在客戶﹚。客戶若欲跳槽,花費不會太高,因為競爭對手僅在彈指一按的距離之外。企業要考慮的問題是願意多花多少金錢與時間購買一套讓人心安的反間諜軟體?諸如可防堵惡意軟體入侵,又能保護機密數據不外洩的防火牆軟體。
免費下載的反間諜軟體俯拾皆是,其中最為人熟悉的是LavaSoft的Ad-aware。通常這些免費的反間諜軟體只提供基本功能,缺乏反間諜軟體用戶非用到不可的必備功能。相較之下,須花錢向反間諜軟體供應商購買的版本功能更為完整,平均一套介於25至50美元。比較Ad-aware的付費版和免費版,發現付費版更能主動偵測,提供即時的保護;免費版則比較被動,直到用戶懷疑系統可能遭間諜軟體染指,才被動地銜命發揮偵測。Webroot同樣也有免費下載的反間諜軟體Spy Sweeper,不過屬於靜態版,未善用到Webroot針對間諜軟體不斷壯大的知識庫,殊為可惜。
有些公司可能無心多花些錢購買反間諜軟體,因為自認裝了掃毒軟體與防火牆就萬事OK。Stevenson認為,企業必須謹慎,以免對間諜軟體的威脅產生錯覺,誤以為有了掃毒軟體或防火牆就大可放心,其實不論是掃毒軟體或防火牆都不足以解決問題。他說:「間諜軟體與眾不同,需要專門的解決方案。防火牆也許能攔截到間諜軟體的不軌意圖,不過並非所有間諜軟體有一致的不軌意圖。多數時候,防火牆無法阻止躍出式廣告,也無法招架間諜軟體對系統的負面衝擊,亦無法移除間諜軟體。」
防火牆與Webroot的 Spy Sweeper之類的反間諜軟體其實可以互補。防火牆負責在關卡上切斷系統數據流,而反間諜產品較像反毒軟體,負責移除與消滅病毒等較複雜的流程。
終端用戶也許把間諜軟體視為病毒──一種不請自來的軟體,用戶壓根不想安裝於系統裡,不過不知怎地它是就出現了。但間諜軟體完全不是這麼回事,它的目的不在於破壞,也不像病毒或病蟲愛鑽系統潛藏的漏洞。Stevenson表示:「為安裝一些自認必要的軟體,用戶簽署了終端用戶授權協議﹙EULA﹚,卻讓間諜軟體神不知鬼不覺鑽到用戶的系統。用戶完全被蒙在鼓裡,不知自己安裝了一堆不請自來的軟體,而非自己原先想要的那一套。」
Stevenson說,幫間諜軟體掩護讓間諜軟體潛入用戶系統的這類軟體通常承諾用戶有了它,可以打造自己專屬的電腦畫面,諸如出現美國旗幟或移動滑鼠時箭頭會變成笑臉等。下載這類軟體,用戶無意間授權間諜軟體長驅直入,之所以如此多半是因為一成不變的安裝過程未完全清楚交代該軟體的一切功能﹙這是日後地方與中央立法時也許會碰觸的另一個問題﹚。這正是間諜軟體和垃圾郵件極為相似之處。由於間諜軟體透過合法路徑進入電腦,所以不易將間諜軟體與系統內的合法正規軟體一分為二。
一如掃毒軟體,反間諜軟體使用抽絲剝繭的方式,將間諜軟體一一移除。間諜軟體通常會留下蛛絲馬跡,任何還像樣的間諜軟體資料庫都足以完成比對,將它揪出來。以Spy Sweeper為例,會仔細注意種種不正常而被舉紅旗的行為。被舉紅旗的行為包括,執行某個軟體時,欲將之移除,卻一直無法如願。再者,軟體被移除後又重新潛入系統,也是重大的被舉紅旗行為。Stevenson說,我們的反間諜軟體會揪出試圖改變IE設定的不軌之舉,諸如對預設搜尋以及首頁動手腳等。若某個軟體符合舉紅旗行為的條件越多,越可能是間諜軟體。
為滿足企業對反間諜軟體的需求,Webroot修正了獨立產品的架構,提高它在網路環境的表現。舉例而言,雖然Spy Sweeper的獨立版﹙stand-alone versions﹚係從Webroot的網站取得最新資料數據,但企業版用戶在企業的網路作業,遠離中央資料庫,此舉回過頭來可從Webroot取得最新的資料數據。有了這樣的架構,管理員能夠創造以及分送規範Spy Sweeper行為的政策。管理員可以創造、分送一系列可被允許的軟體,Spy Sweeper進行間諜軟體掃雷時,碰到這些已被允許的軟體時會擦身而過,不予理會。掃除間諜軟體的時間表也由中央統一控管。當行動用戶未和公司網路連線時,掃雷行動不會上路,一旦行動用戶和公司網路連上線﹙不管是透過VPN或其他方式﹚,掃描行動就會登場。
若說揪出間諜軟體是件棘手問題,移除更是難上加難,這也是為什麼具有移除間諜軟體功能的解決方案﹙如Webroot即將上市的企業版反間諜軟體﹚對企業是一大福音。Stevenson說:「企業開始跟我們接觸的原因之一是間諜軟體已開始現身於用戶系統,但IT工作人員根本沒時間找出用人工方式移除的辦法。」
四月份,至少有另外兩家公司──Zone Labs ﹙屬於Checkpoint Software公司的一個單位﹚與賽門鐵克開始提供揪出間諜軟體的產品,作為中央控管系列企業產品的一環。不過不論是Zone Labs的Integrity Clientless Security或賽門鐵克的Client Security、Anti-Virus Corporate Edition產品,都無法自動移除間諜軟體。賽門鐵克的企業產品管理經理Brian Foster說:「我們公司現階段的產品無法不太著墨於間諜軟體的移除工作,不過今年稍後,我們會推出產品的更新版,將會把移除功能納入進去。」
賽門鐵克與Zone Labs將提供反間諜矯正產品,是針對桌上型設計的單一中央化控管版﹙single managed client﹚,之所以如此設計係因為他們認為,企業主不會購買多觸點版﹙multiple touch point﹚的反間諜軟體為客戶的資訊安全把關。所謂多觸點版,一個用來掃毒,一個用做防火牆,一個用作入侵偵測,不一而足。Zone Labs最近宣佈,將把Computer Associate的反病毒技術納入中央控管的防火牆產品。為了進一步拉近差距,Zone Labs可能得和其他同業﹙也許是Webroot﹚策略聯盟,以便增加反間諜軟體的移除功能。Zone Lab一直急起直追,希望能和賽門鐵克一樣,提供一次逛足的企業安全套裝軟體。賽門鐵克也計畫進軍反間諜軟體市場。
有鑑於Spy Sweeper以及其他各種反間諜解決方案只推出視窗系統版的產品,視窗網路的管理員立刻聯想到,至少還有一個不用靠反間諜軟體就足以對付間諜軟體的辦法。有些企業會將桌上電腦上鎖,禁止安裝或執行公司首肯以外的應用軟體。這麼一來,微軟管理工具看似善體人意的安裝設計,讓間諜軟體有機可乘偷偷潛入系統的行為,完全無漏縫可鑽。類似的控管亦出現於客戶少的環境,諸如以Citrix與Windows Terminal Server為基礎的設定。
若環境設定允許終端用戶自行安裝軟體──這類的環境遠超過完全上鎖的環境,或者有些組織偏好讓外界見識一切﹙不論是客戶、病患等的隱私﹚都在自己掌控之下,花錢購買企業解決方案絕對是物超所值。
fr.: http://taiwan.cnet.com/enterprise/topic/0,2000062938,20090372,00.htm
0 Comments:
Post a Comment
<< Home