攻擊者並非針對網站進行攻擊,且資料庫資訊也未被帶走,看起來網站並無過錯,但瀏覽網站的使用者卻受害了? 入口網站往往都是一般網路使用者最常瀏覽的地方,而由於大型入口網站都有資安團隊進行維護,因此並不容易被駭客攻破或植入惡意程式,但新聞頻道連結來源有時卻是來自較小規模的網站,而入口網站與新聞連結來源所採取的方式更是影響重大,一旦發生事情除了影響到使用者的安全,也造成使用者對入口網站信任度下降,對入口網站的形象也有所衝擊。
如前陣子MSN台灣的新聞頻道,因為引用了外部的國際厚生健康園區網站所提供的新聞,因此發生使用者被埋入惡意程式的事件,實際上,這是國際厚生網站被入侵,因此造成當使用者點了MS N台灣的新聞連結之後,瀏覽到的卻是國際厚生網站提供的有問題的頁面(並非連到國際厚生),該使用者便會被導到惡意連結去下載惡意程式。
據資安技術顧問Trueman檢測的結果,在事件發生之後,儘管MSN台灣已做出處理,但國際厚生健康園區依然持續被植入木馬,根據Trueman的檢測,短短一個月內就被植入了11次以上的不同惡意連結,推測可能是自身網站安全機制不足,治標不治本,無法將木馬清乾淨,因此重複被植入。
目前一般入口網站的作法可以說是一種「新聞內容同步」,類 似使用RSS訂閱文章,MSN台灣新聞頻道過去雖有人工檢測,不過主要是為了檢查新聞的內容本身,卻非是因為安全疑慮,因此在這次事件過後,MSN台灣也在新聞正式發佈出去之前再多做一層過濾,也就是在自動化供稿系統中多加了過濾程式。我們可以說,較謹慎的做法應該是在引用外部資料之前,先做基本的過濾與檢測,避免將有問題的資料照單全收,直接置放在自身的網站上,造成瀏覽自家網站的使用者蒙受安全上的威脅以及資料外洩的風險。
Trueman說,這些惡意連結的中所夾帶的惡意程式千變萬化,甚至同一個惡意連結中夾帶的惡意程式也會隨時間改變而有所不同;當使用者在信任這些入口網站的情形下瀏覽了有問題的頁面,將會執行頁面中的惡意連結,並將惡意程式下載至電腦中執行,可能會導致各人機敏資訊的流失,甚至讓自己的電腦成為攻擊者的傀儡電腦,協助駭客進行各種駭客任務。
近期常見的間接式網站攻擊手法還有XSS(跨站腳本攻擊)、CSRF(跨站請求偽造)、Redirect(轉址)等,散播手法包括利用大量散發的廣告信;在論壇發文;或是縮網址的服務如
http://0rz.tw/、
http://tinyurl.com,惡意網址經過縮址服務後,使用者更是無法立即分辨;其他還有包括購買關鍵字與網頁看板廣告等。
XSS主要是利用輸入值驗證錯誤的弱點來進行,類似隔山打牛式的攻擊,CSRF則是針對登入後的網站執行操作,另外像是Redirect攻擊則是利用轉址服務的漏洞,使用者有可能被導向任何網站,這同時也是目前各大入口網站仍普遍存在的問題。台灣大型入口網站雅虎奇摩公關總監歐玫瑛表示,因涉及管理機密,因此不方便針對這個主題回應。
這類的間接式網站攻擊手法有些共同的特色,那就是影響較大的是網頁瀏覽者而非網站。攻擊者並不針對網站本身,也沒有入侵網站資料庫竊取客戶資料,且在竊取到使用者的個人資料後,也的確是使用當事人的帳號與權限登入,因此對網站來說,也不容易在記錄檔中察覺異常。可衍申聯想的還有金融相關的網頁,例如金融新聞的入口網站,或是銀行首頁有時也會輪播財金新聞等,影響層面都可能更加擴大,不可不慎!
上述提到的都是網站本身應該加強安全機制的部份,那麼使用者又可以做些什麼防範措施呢?建議是,使用較安全的瀏覽器。像是今年6月才推出的Firefox 3.0主要的改版便是針對安全性作改善,該瀏覽器背後有一龐大的惡意程式資料庫可供比對,可降低使用者點選到惡意程式的風險。尤其未來資安威脅的走向,可能是從網頁端逐漸延伸到個人端的瀏覽器,因此瀏覽器的安全性也將會是一個需要被關注的地方。
新版Firefox 3.0在安全上的防護
惡意軟體防護
Firefox 3.0版可以透過惡意網站清單來檢查目前正在瀏覽的網站,主要是由stopbadware.org和Google提供該清單,在網頁載入前便封鎖惡意網站,能夠預防各式各樣的惡意軟體侵害使用者電腦,避免像是rootkit(主要功能為隱藏惡意程式蹤跡)、間諜程式等。
網站身分識別
此外3.0版還提供了網站身分的識別功能,位在網址最左側的圖示,共有3種顏色-藍、綠、灰,可供網站提供概要的識別資訊,按一下便可看見,不過目前大部分的網站皆無此類資訊,但在較為重視資訊安全的金融或購物網站或許可看見,此時圖示便會有所改變,讓使用者易於分辨該網站優良與否,若為假網站Firefox3.0則不會顯示,以這種多層級的顯示方式,取代過去鎖頭僅能知道該網站加密與否的顯示。 |