編輯室台大首頁計中首頁
第0003期 • 2007.12.20發行
歷史回顧 訂閱/取消 校務服務 專題報導 技術論壇 推薦刊物

首頁 > 技術論壇

技術論壇

用戶端資訊安全1--正在流行的惡意程式

作者:李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師

 

想了解網路世界裡的惡意程式與駭客的最新手法嗎?想了解如何保護個人的機密資料不外洩嗎?在網際網路時代,您不可不知的資訊安全。

 

前言
網際網路
(Internet)應用的多樣化,吸引了千萬人上網。然而大部分使用者(用戶)對電腦系統的管理知識不足,經常造成個人電腦中毒或被入侵,成為發送廣告信或發送攻擊封包的禍首。除此之外,還可能被植入後門或木馬程式,讓駭客除了可以竊取電腦中的機密資料,還可以用來作為入侵其他電腦的跳板。一般電腦用戶想要妥善保護自己,務必加強個人電腦安全管理的能力,並培養正確的電腦使用習慣,除了保護個人的機密資料不外洩之外,更重要的是避免被駭客利用,一不小心還有可能吃上官司呢。本文除了介紹駭客的最新手法,同時也提供最佳個人資訊安全守則。

 

正在流行的惡意程式

隨著時代的進步,駭客的手法也隨之更新。早期是病毒或巨集病毒,2000年進入了蠕蟲快速感染與網路攻擊的時期,接下來是木馬與後門程式的惡夢開始,隨之而來的還有RootkitBotnet Spyware以及社交工程等。我們可以統稱這些為惡意程式(Malware),網路世界裡的惡意程式種類一直不斷翻新。接下來介紹目前正在流行的惡意程式,讓使用者了解這些惡意程式的運作原理,並提供預防與修正的建議。 

 

1. 新型態的網路犯罪
根據刑事警察局科技犯罪防制中心前主任李相臣表示,2006年年底興起了新的網路犯罪手法,包括近二十家網路銀行、拍賣網站及航空公司網站都受害。已知上千筆客戶資料外洩,金錢上的損失是可想而知的。這類型的犯罪流程大致如下:

(1)   申請類似的網站名稱
第一步需要先申請一個與網路交易網站類似的名稱。假設「
www.papalbank.com.tw 是一家銀行的網站名稱,由於英文字母l與數字的1很相似,所以如果申請一個網站名稱為”www.papa1bank.com.tw” ,要一般人立即分辨出偽造的網站名稱,還真難呢。而國內申請網域名稱的組織是TWNIC台灣網路資訊中心,如果TWNIC能夠在個人或公司申請網域名稱時能夠多加把關,拒絕與銀行網站、拍賣網站、甚至是報稅網站過於類似的網域名稱申請,第一道防線就可以守住了。

(2)   製造釣魚網頁
當類似的網站名稱申請好了,接下來需要製作與網路交易網站外觀相同的釣魚網頁,因為網頁看起來是一樣的,完全無法分辨真偽。

(3)   購買關鍵字
當類似的網站名稱申請好了,釣魚網頁也製作完成,接下來就等不知情的用戶上勾了。前幾年的犯罪模式是藉著
email傳遞「為了安全考量」的假訊息,建議登入網站修改帳號密碼,騙人點選釣魚網頁以取得用戶的帳號與密碼。新型態的犯罪模式則是向國內知名的入口網站購買假網站的關鍵字搜尋。例如,當我們在入口網站輸入搜尋xx銀行,結果竟然第一個找到的是假網站。不知情的用戶上勾了,直接點選假網站的網頁連結。當個人或公司購買關鍵字時,如果國內知名的入口網站能夠多加注意,拒絕接受與網路交易網站名稱類似的申請,也許可以守住第二道防線了。

(4)   竊取密碼,犯罪獲利
當不知情的用戶輸入了帳號與密碼,犯罪集團開始犯罪獲利。

 

2. 惡意網站連結
「為何我想連上校內的xx網站被導向一個大陸網站?」,是我的電腦有問題還是xx網站中木馬了呢?但是,校內別的單位連xx網站卻又正常。為何整個區域網路的網路速度變得非常慢甚至於不通呢?難道這一切都是因為區域網路中毒了嗎?

其實這不是區域網路中毒,而是區域網路中的某一台問題主機被植入木馬程式所造成的。該問題主機先對整個區域網路進行ARP Spoofing(實體地址解析協議欺騙),再利用iframe的技術讓區域網路的所有主機向外連到具有惡意程式的網站。

說明ARP Spoofing行為之前我們需要先了解什麼是ARPARP(Address Resolution Protocol)是位址解析協定,也就是位址轉換的協定,ARP負責將IP位址與MAC位址進行轉換。封包在乙太網路中傳輸只認得MAC位址,ARP需要將封包中目的端的IP位址轉換成目的端的MAC位址,管理這兩種位址對應關係的是ARP表。如果封包目的端不在區域網路中,該封包會被傳送給路由器(router),也就是主機的預設閘道(Default Gateway)

近期發生的ARP Spoofing的運作模式為問題主機對區域網路發送大量的ARP封包,聲稱自己是預設閘道,區域網路中的每台主機紛紛更新自己的ARP表,將問題主機的MAC位址記錄為預設閘道。問題主機同時也欺騙路由器,聲稱自己代表所有的主機,路由器將問題主機的MAC位址紀錄為區域網路中所有的主機。接下來,當區域網路中任何一台主機要連結xx網站時,立刻被問題主機轉址到大陸的網站,大陸網站利用主機的系統漏洞植入後門程式。如果駭客結合了iframe (inline frame)手法,插入一行程式碼或圖片,但是將frame的高度與寬度設為0,當使用者想連接xx網站時,連結xx網站的同時也連上具有惡意程式的網站,使用者在完全不知情下被利用主機的系統漏洞植入木馬程式。

解決ARP Spoofing的問題,請參考以下建議:

(1)如果使用IE瀏覽器,請務必做好所有瀏覽器的修正程式。另外一個選擇是使用其他瀏覽器,如Mozilla FirefoxOpera

(2)IP位址與MAC位址的綁定(binding)工作,在交換器(Switch, Router)和客戶端(個人電腦)都要做才行。

(3)網管人員必須保存一份內部網路的IP位址與MAC位址對照表,當ARP Spoofing 發生時,可以很快找到問題主機。

(4)網管人員也可以監控區域網路ARP的封包數量,當ARP Spoofing發生時,區域網路充斥著大量的ARP封包。

 

3. P2P軟體影響資訊安全
說明P2P軟體影響資訊安全之前,讓我們了解一下什麼是P2P傳輸。P2P (Peer to Peer)是點對點通訊傳輸工具。傳統HTTP/FTP 傳送檔案方式,採取用戶與伺服器的通訊模式(Client-Server Mode)。而 P2P 檔案傳輸則是採取用戶與用戶的通訊模式(Client-Client Mode),不需要從特定的伺服器下載檔案,並且P2P傳送檔案的時候,可以同時連接多個下載點,分散式下載檔案,檔案下載的同時也提供他人下載。大家比較熟悉的P2P軟體有BitTorrenteDonkeyGnuTellaFoxy

P2P軟體對資訊安全的影響,綜合歸納以下幾個重點:

(1)P2P軟體本身的漏洞,容易造成駭客入侵。

(2)P2P工具可能被惡意人士放置木馬後門程式、間諜軟體與病毒蠕蟲。

(3)使用P2P軟體時,誤將本機所有目錄開放,讓他人可共享主機上的所有檔案。

(4)P2P 流量佔用大量網路頻寬,影響其他使用者的網路速度。

(5)使用P2P下載影音檔案,多半是有版權的檔案,容易造成侵權行為。

P2P軟體影響資訊安全的實際案例不勝枚舉。例如,報載962月底台北縣某位警員因使用Foxy,造成國家元首車隊路線的道路警衛資料外洩;同年413日刑事局發現警方9個單位的筆錄資料,因為警員使用Foxy造成資料外洩。這些事例都反應使用Foxy的高度危險性。使用P2P軟體容易造成使用者帳號密碼、公司或政府的機密資料、公司企劃案、學生成績與個人資料、學術研究報告、學校試卷、學術論文等,都可能被他人透過P2P軟體從網路上搜尋到。然而P2P工具一直受到廣大使用者的喜愛,每天有上百萬使用者以及難以計數的資訊透過P2P軟體在網路上進行交換,資訊安全受到高度的威脅。

 

4. 盜遊戲寶物或金幣

時代真的改變了,各縣市警察局除了偵辦刑事案件之外,現在還多了一樣,需要協助偵查遊戲寶物或金幣的失竊。目前已知,線上遊戲是惡意程式攻擊的主要目標,其中天堂與魔獸世界是最常被鎖定盜取寶物或金幣的遊戲。

該如何防範呢?個人必須養成正確的電腦使用習慣,請參考「個人資訊安全守則」。除此之外,最好避免買賣遊戲寶物與遊戲帳號,以免承擔不必要的風險。

再者,別以為自己不玩遊戲,警察就絕對不會找上門。目前看到不少案例因為個人主機防護不當,被植入木馬後門,盜取他人遊戲寶物或金幣。由此可見,保持正確的個人電腦使用習慣是防範問題的根本之道。

 

5. 隨身碟病毒

早期使用3.5吋軟碟(Floppy)儲存資料,當時很容易因複製資料而感染病毒,後來由於要複製的檔案越來越大了,使用軟碟傳遞資料的機會也相對減少了,這類型的病毒平息了很長一段時間。這幾年隨身碟不斷推出高容量儲存空間,讓大家可以隨身攜帶資料與人分享,造成隨身碟病毒也隨之熱絡了。除了病毒之外,駭客也可能將惡意程式寫入隨身碟中,可以控制受害者的電腦。隨身碟的種類包含,USB隨身碟、記憶卡(SD, MMC, XD, MS)以及MP3 player

當使用者將隨身碟接上一台中毒的電腦作存取的動作,然後再將隨身碟接上自己的電腦時,卻無法點開隨身碟,中毒了!幸運的話,也許防毒軟體會跳出來顯示中毒的訊息,依照指示處理。如果遇到新型的病毒,防毒軟體無法辨識,也許整台主機的硬碟都動彈不得,就必須使用手動處理了。

使用隨身碟的建議:

(1) 請購買具有防寫入開關的隨身碟。如果在他人電腦上使用隨身碟時,請記得切換到防寫入的模式,才不至於中毒。

(2) 關閉系統中Autorun(自動執行)功能。當隨身碟中毒時,不會自動執行隨身碟上的病毒。關閉Autorun功能的程序,請在「開始」中的「執行」輸入gpedit.msc,開啟了「群組原則」,在「電腦設定」中的「系統管理範本」中的「系統」選擇啟用「關閉自動播放」,並選擇停用所有磁碟機即可。日後要開啟行動碟或光碟時,需要從檔案總管中開啟,雖然不太方便,但是比起中毒所冒的風險,還算值得了。

 

6. Internet Messenger病毒
IM(Instant Messenger)包含了MSN, Skype, Yahoo即時通, QQ, ICQ, AIM..等。使用者會突然收到好友名單中傳來的訊息,如「傳送檔案xxx.zip」,如果點選下載檔案,立刻被植入惡意程式,接著繼續感染你的IM朋友。或者你會收到一段話,然後附上連結網址,例如,「我朋友最近買了這台相機,我也想買耶,請給我一點意見吧 http://www.camera.com/sample.exe」。從這段文字敘述很難看出異樣,大多數人會點選所附連結,結果就被植入惡意程式了。如果多留意一下附檔名.exe.scr ....也不難看出一些端倪。

 

結語
資訊安全的認知是需要靠時間慢慢累積的,建議大家能都從基本做起,養成良好的電腦使用習慣。至於駭客的最新手法,請隨時注意最新的資安訊息,日後我也會負責彙整資料,提供給大家參考。

(下期將介紹個人資訊安全守則) 

版權所有 © 國立台灣大學計算機及資訊網路中心 All Rights Reserved.
電話:02-33665022 或 3366-5023 傳真: 02-23637204
讀者意見信箱:ntuccepaper@ntu.edu.tw
地址:10617 臺北市羅斯福路四段一號
建議最佳螢幕解析度 1024*768