https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

2004年回顧

2004 / 12 / 30
編輯部
2004年回顧

停在文件堆裡
美國州議員Adam Putnam及其他華盛頓立法委員們,嘗試立法以對抗資訊安全威脅,提出並通過了許多議案,以增進資訊保全及遏止網路犯罪活動。對照於許多資安法案,SOX雖然不是針對資訊安全而立定,但卻有著極大的衝擊,是其他需資安法案難望其項背。


CAN-SPAM(反垃圾信件法案)花了將近一年的時間起訴的首件違法案件,專家也指出I-SPY ACT (Securely Protect Yourself Against Cyber Trespass網路間諜防制法案)有些許希望能約束非法間諜軟體。另外,立法委員還留下一些未通過的法案待審,包括「國家資訊安全責任法」(Corporate Information Security Accountability Act)、國家網路安全防禦小組授權法(National Cyber Security Defense Team Authorization Act)、及「網路安全增強法」(Cyber Security Enhancement Act)等。資安主管們歡迎這些法案推行,以改進企業資訊的安全。但絕大部分都對美國政府是否能有效的管制資訊安全,表示沒有信心。

扔掉IE
當然,不是真的得急著這麼做,但有些人開始喊著要替換掉微軟瀏覽器,改以直覺上較為安全的競爭產品,如Mozilla 與Opera。由於微軟的瀏覽器與作業系統有著糾纏不清的關係,駭客便持續針對微軟瀏覽器的這些嚴重安全性弱點發動攻擊, 如Download.ject。這件事對微軟的子公司Slate是相當嚴肅的,他們被讀者要求離開IE平台。

如期完成patch
由微軟率先引領風潮,依照預先規劃的時間發行修補程式(patch)、如今甲骨文(Oracle)、網威(Novell)、昇陽(Sun)及其他公司皆群起效尤,而且都剛好依照月亮圓缺的週期來發行修補程式。軟體販售商指出,定期每月的更新,使得消費者心理期待更新程式,並預先做好佈屬前的準備。另一面,當然,所認知到的是,永遠有修正不完的修補程式。這鞭策著要求有更好的品質的軟體,而不是市面上所銷售漏洞百出的程式。

機器蟲網(Botnet)的崛起
這不是MafiaBoy(加拿大近日被逮捕的青少年駭客所使用的 ID)的「殭屍」俱樂部。駭客堆積大量的「殭屍電腦」(受操縱的個人電腦),有些數目大到10萬台,以表面上是合法的通訊,對目標造成「分散式的服務回拒」 攻擊。機器蟲網擁有者用他們的「傑作」,來攻擊他們的敵對對象,以及對企業主索求;有些則釋放他們的「 機器蟲子」到第三方以進行「孳生」的動作。下一個攻擊目標將會是:點對點( P2P)網路。

XP SP2 脫胎而出
等待總算在九月結束,微軟終究釋出了廣為使用者期待的XP SP2。微軟以SP2來防堵許多Windows的安全漏洞,並也做了些許調整,強化了作業系統的穩固性。儘管已經發出將近一億六百萬份的SP2,但企業似乎不急著佈屬PS2。好像,不動聲色是比較聰明的,因為駭客並沒有花太長的時間,就找出SP2的漏洞。許多安全管理人員喜歡微軟過去在修正程式上所提供的服務,但這次卻不著手換裝,而等著SP2a的發佈。

掙脫你的Phishing釣竿
惡意程式、駭客及惡意的網頁內容持續讓資安管理人員在半夜驚醒,同時,垃圾訊息還是同樣惱人,除此之外網路釣魚詐騙(Phishing)正悄悄露出它猙擰的面貌。駭客及組織化的犯罪集團,使用詐騙電子郵件及詐騙網頁,來「釣」誘使用者提供重要的個人資訊,如信用卡號碼、PIN及其他的個人信用細節。更糟的是,網路詐騙不會傷害被假冒企業的任何基礎建設,但是卻對該企業名聲及使用者的信賴,有著毀滅性的影響。

安全弱點減少了?
是的,又一次,報告指出安全漏洞的數目,在減少當中。根據CERT報告的2004年安全漏洞數目,預測出隔年將會減少至大約3400左右。這是從2002年的4129,到2003年的3784,下降至今。但還先別高興太早。安全漏洞自被發現到遍佈全野的速度,已經從數個月、幾個星期,縮短到幾天而已。(就NetSky而言是10天)。

間諜就在你桌面
很有可能某某人現在正觀察著你的一舉一動!看不到、不易察覺、也擺脫不了的間諜軟體,似乎也已牢繫IT產業,不可分離。不幸的使用者透過電子郵件的下載、或執行了被植入病毒的螢幕保護程式及軟體、參訪了惡意的網頁,不經意的便邀請了間諜程式駐進使用者的電腦裡。這些間諜程式會洩漏未知量的敏感資料到未經授權的單位,也同時阻礙了網路跟電腦的效能。

SOX 稱霸!
不!不是世界冠軍波士頓紅襪隊,而是沙式法案(美國企業改革法)。企業在今年花了不少時間競爭,以因應十一月的法案。該法案對為保護資料完整性的要求,以及對資訊罪犯所做的懲罰,對資訊安全實為一大福音,總算有個執利刃的法條,引起這些高階族群的注意。但不幸地,以此說詞模糊的法條來要求企業達成並配合法案,以及缺乏一般性被接受的檢核標準,繼續證明著,企業還是會存在有不少問題的。


蠕蟲與病毒如往常的來來去去,但讓今年比較特別的是變種病毒的孳生。Sasser 有22種, Netsky有87種, MyDoom有99種, Bagle有139種。絕大多數的狀況是,剛誕生的品種是最難搞且破壞性最大。但是惡意程式的作者,將原程式碼變化變形,惱人更甚。有些人將這些變種病毒的產出,視為惡意程式社群已研發出更厲害的病毒的指標;有些人則認為是惡意程式的原始碼,及自動化病毒工具的流通,造成更方便、更容易的病毒變種。