當心間諜軟體

間諜軟體對安全有害無益
多數家庭使用者在得知他們的電腦被裝了按鍵記錄器（如ISpyNow）或是惡意的特洛伊木馬程式（如NetBus）時，總是一副事不關己的樣子。甚至當彈出式廣告切合他們所好時，他們還會覺得有趣。然而，在企業網路中，無論間諜軟體的類型多麼地『無害』；它們都會造成安全性及營運上的問題。 這就是為什麼間諜軟體越來越受到安全管理人員重視的原因。就像OptionsXpress的Stein一樣，一些人已經在開發用來保護他們資料的程式了。

嚴正看待間諜軟體
最近的調查顯示，大多數IT管理人員，都將間諜軟體看作是一個問題，且已制訂政策及技術來進行因應。

反間諜軟體廠商PestPatrol表示，目前存在五、六個具有DDos以及後門元件軟體機器人，正廣泛地擴散，而光是在今年，該公司就已見到上千個變種。

「同一個程式可用來發垃圾信、勒索（向DDos的受害網站進行威脅），有時還能竊取信用卡號。」PestPatrol的開發副總Roger Thompson說。

「這就是那些人用來賺錢的手法。」 這些人中許多都是在國外操作的組織犯罪，通常存在於前共產集團以及遠東國家，並藉由竊取信用卡及PIN碼謀取利益。

另一方面，儘管存在著道德與隱私權等問題，廣告軟體（adware）還是完全合法的。使用者通常不知道他們曾同意在自己的電腦上安裝間諜軟體—承諾條文都隱藏在號稱能將網路購物自動化、記憶使用者密碼等軟體中，終端使用者授權同意書（EULA）的深處。廣告軟體通常附掛在檔案共享軟體（如Napster或Grokster）的安裝程式上，或是潛伏在遊戲、工具程式及音樂的下載中，這些軟體廠商可得到廣告軟體網路（如DoubleClick及GAIN）的金錢贊助。 你很難去究責使用者為什麼不詳讀微軟更新程式到第一人稱射擊遊戲，所有軟體的EULA。

雖然大多數的廣告軟體的流言都圍繞在隱私權議題上（軟體公司利用小手段，騙取使用者同意他們暗中蒐集購物及瀏覽資訊）但安全管理人員必須在意的是，這些未經授權的程式在員工的電腦上，是具有使用者的使用權限的。

「企業安全是基於最小授權的基礎上。」Thompson說。「若你無需揭露資訊，你就不應該將資訊揭露出去。」 雖然廣告軟體所擷取並傳送的資料，通常對企業整體並無太大傷害，但至少在理論上，廣告軟體的確有能力危害更為敏感的資料。舉例來說，若一家公司遵守HIPAA，那麼安全管理人員便需要知道廣告軟體可能洩漏出哪一類的資料。

另外，廣告軟體常常撰寫不良，純粹是為了功能性而建立，因此具有許多安全漏洞。安全專家已注意到商用及獨佔性軟體的漏洞問題，而且也不希望在他們的機器上執行這些程式。

吃掉資源的豬
間諜軟體不總是被動的。事實上，許多這類程式都會主動與外部伺服器聯繫、掃描主機系統，叫用宿主的資源、將使用者導引至不想去的Web站台，或是無止盡地跳出彈出式廣告。其結果是：減低電腦可用性並增加支援中心的負擔，進而產生挫折感。

「雖然整體的資訊服務請求數量沒變，但間諜軟體卻開始變得越來越盛行。」一家IT人員與解決方案公司—CTG的資深網路分析師Nicholas Twentyfive說道。「或許現在有三分之一的支援中心服務請求，都與間諜軟體的異常行為有關。」

即使它們沒有惡意，但間諜軟體通常都是會吃資源的豬，會消耗大量的CPU能力及記憶體空間。受影響的機器會慢得像在爬一樣，進而衝擊工作生產力。間諜軟體會危害硬碟，摧毀資料並需要更換硬碟或重新格式化才能夠修復。除此之外，它們還會產生龐大的資料流量，進而阻礙網路。

「最近間諜軟體曾引發網路流量氾濫，迫使網路交換器必須停機，阻礙了整個公司的Internet連線。」一家公關公司Eastwick Communications的IT協調人，Annemarie Anaya說。

就像垃圾信件一樣，間諜軟體也引起了國會的注意。SPYACT（安全保護你自己免受虛擬侵害法案）就要求在消費者下載追蹤軟體之前，得先收到醒目的警告，並且禁止如按鍵追蹤、電腦侵奪（computer hijacking）以及無法關閉的廣告等行為。該法案的罰則包括了對單一電腦最高可罰33,000美金，對多台電腦最高可罰3百萬美金。

立法或許可強迫一些廣告軟體承辦商變得較光明正大，並可能嚇跑一些業餘的攻擊者，但是它並無法嚇唬那些使用並開發間諜軟體的組織犯罪者與境外駭客集團。如果企業要想辦法對付間諜軟體，那麼他們可能得自力救濟了。

驅逐間諜軟體
就像所有的安全議題一樣，對付間諜軟體需要科技、政策，以及程序與人員的完美結合。企業級的產品甫上市，而各家公司也正才認真看待問題。舉例來說，OptionsXpress的Stein靠的就是教育使用者、IDS（StillSecure推出的Border Guard）以及Lavisoft的Ad-aware Pro，來對抗間諜軟體。
你可考慮的方案有：

＊政策與教育 能夠推動強固的安全文化，具有清楚可行的使用政策、積極的使用者教育計畫，以及在需要時提出適當懲戒的組織，會比其他大多數組織良好。可行的使用政策應明確地禁止瀏覽非關工作的網站，安裝未認可的應用程式，當然，也應禁止開啟可疑或無關的信件夾檔。 這些限制極為重要。間諜軟體不會每次都要求你的允許，甚至還會偷藏在EULA中，或是放在誤導人用的彈出式下載視窗中。

「路徑下載」（Drive-by downloads）技術會讓使用者只是瀏覽網頁、安裝應用程式，或是觀看HTML電子郵件時，便將間諜軟體植入電腦。 隨著高速Internet連線、無線網路，以及簡便的LAN/WAN使用者的數目增加，問題會變得越來越複雜，他們可能使用公司的設備或自己家中的電腦，而這些機器可能沒有足夠的安全防護，如防毒軟體以及防火牆等。

除了使用者政策外，安全政策也應包含定期檢視防火牆設定，以阻斷未授權的對外連線。使用者的瀏覽器設定應禁止存取可疑的站台，並限制或禁止使用ActiveX元件。

＊反間諜軟體技術 若你認為你的企業防毒產品能夠保護電腦免受防毒軟體的荼毒，敬請三思。在過去的文章中我們曾經提到，傳統的防毒軟體廠商在偵測間諜軟體與知名後門程式上，看不出卓越的成就。一些廠商甚至不太想碰觸間諜軟體，因為使用者承諾安裝的關係，若將這些軟體視為不正常的軟體，還會引起責任爭議。 這對反間諜軟體廠商來說便不是問題了，他們的產品包山包海，從追蹤cookie到按鍵紀錄。許多產品的名稱創意十足，讓你一看就知道是做什麼用的：Aluria的Eliminator、OmiQuad 的AntiSpy、Intermute的SpySubtract、Infoworks Technology Company的SpyRemover、Enigma Software Group的SpyHunter，以及Bullet Proof Soft的Bps Spyware Remover等。Patrick Kolla的Spybot—Search & Destroy則是受歡迎的免費工具。

但是，即使是這類的特殊產品，也只對部分有效。一些惡名昭彰的間諜軟體難以移除。例如他們會安裝多個版本，甚至會重新安裝被刪除的檔案。你的最佳策略就是安裝多個產品，以建立層層的防護。

這些解決方案是為了家庭使用者或個體公司所設計。就像早期的防毒軟體一樣，它們缺乏大型公司甚至是許多中小企業所需的企業管理工具。 有些公司能夠滿足這部分的需求。PestPatrol Corporate Edition以及Webroot的Spy Sweeper Enterprise都提供了管理主控台，能夠控制安裝、佈署以及管理。AD-aware Pro也包含了一些集中式的管理功能。

McAfee以及Symantec，這些防毒軟體市場中的巨人，也嚴正注意間諜軟體。McAfee發行了單機版的產品McAfee Antispyware，而Symantec則是將反間諜軟體技術整合進這個月發行的Norton Internet Security中。 另外，Web攻擊者與遠端使用者的激增，也催生了一項終端產品的市場成長：也就是在遠端或LAN電腦連上網路前，先檢查安全性是否合格的產品。

在討論過所有反制間諜軟體的方法之後，還有另一項必須注意的安全議題。企業應將間碟軟體加進安全產品的安全威脅清單中，「我們採取了所有可用的謹慎手段，我們應該可以在避免衝擊的情況下，平靜地處理。」OptionsXpress的Stein說。「但這又得花時間、資源，以及人力就是了。」


本文作者 David Geer（David@GeerCom.com）是居住於俄亥俄州的科技自由作家。特輯編輯Neil Roiter（nroiter@infosecuritymag.com）對本報導亦有貢獻。