剪不斷、理還亂的惡意軟體與間諜軟體
**作者:**賴榮樞
goodman_lai@yahoo.com
這幾年來,資訊安全始終是資訊產業的沸騰話題。雖然第一支電腦病毒程式(virus)早在 20 多年前就已經出現,而第一支蠕蟲程式(worm)是在 1988 年肆虐當時的 UNIX 網路,不過電腦和網路在當時都是學術界的昂貴設備,當然不會引起大眾注意。
然而近十年來,由於網際網路刺激了電腦的應用與普及,電腦和網路漸漸變得平民化,也快速進入企業和家庭,成為資料處理和數位娛樂的重要角色。更有甚者,擔任傳輸資訊基礎建設的網際網路,不僅承載了有用的資訊,同時也傳送有害的資訊,因此使得資訊安全成為資訊產業的沸騰話題,而且越來越熱。
在網路尚不普及的年代,磁片和數據機撥接的 BBS 是病毒的主要傳染途徑,而因為網路提供了無遠弗屆、跨越實際地理限制的特性,並且也提供了越來越快的連線速度,使得網路也成為資安威脅的超級大通路;因為藉由網路,資訊可以快速的進出電腦。但也請切記,網路並非造成威脅的唯一方式,只要是能夠讓資料進出電腦的管道,都有可能造成威脅入侵或資料外洩的後果。因此舉凡網路、磁碟片、光碟片、隨身碟,以及各種無線網路(802.11a/b/g、紅外線、藍芽等等),都是可以讓資料進出電腦的管道。
本頁內容
惱人的惡意軟體
最讓使用者困擾的間諜軟體
正確的開始是成功的關鍵
惱人的惡意軟體
在林林總總的資安威脅當中,惡意軟體(malicious software,malware)是最為常見的方式。惡意軟體泛指一切不懷好意的程式,經常聽到的病毒、蠕蟲、間諜軟體(spyware)都是惡意軟體。雖然報紙的資訊新聞版面經常以「病毒」來泛稱所有的惡意軟體,不過這或許是因為一般的電腦使用者無從理解各種惡意軟體的差別,但是要對抗惡意軟體的專業 IT 人員,當然必須清楚各種惡意軟體的概念與差異。
必須提醒各位的是,以下所說明的,是惡意軟體的「概念」,攻擊者可以單獨的以某一種概念來創造惡意軟體,不過攻擊者往往也會綜合多種概念來創造威力更強的惡意軟體。例如結合了蠕蟲、後門程式和間諜軟體的概念,可以創造出利用網路傳染,並且讓攻擊者進出被感染電腦、又會收集使用者個人資訊的惡意軟體。
病毒
Fred Cohen 的研究論文首次出現將病毒(virus)的生物特徵帶入資訊工程的領域,在他的論文當中如此的定義資訊工程的「病毒」:We define a computer 'virus' as a program that can 'infect' other programs by modifying them to include a possibly evolved copy of itself,而這也是現今對電腦病毒的定義。
電腦病毒的特徵是根據生物界的病毒而來,會藉由修改其他程式進而感染這些程式,而且還會自我繁衍;所以感染其他程式和自我繁衍是病毒的重要特徵。病毒通常具備潛伏、繁殖、觸發、執行等特性,而當病毒進入執行階段,往往也就開始竊取或破壞使用者資料,甚至損毀系統而造成無法開機。
病毒有很多種類型:開機型、檔案型、複合型,有些還會以編碼的方式隱藏自己。為數最多的病毒是巨集病毒(macro virus),根據美國國家電腦安全協會的統計,巨集病毒目前已佔所有電腦病毒總數的三分之二,這是因為巨集病毒容易寫作,並且依附在諸如 Word、Excel 等文件而容易讓使用者失去戒心。
蠕蟲
Robert Jr. Morris 應該沒有料到他在 1988 年 11 月所寫的一支網路程式,竟然成為第一支在網際網路上廣為擴散的蠕蟲(worm),而這支被稱為 Morris Worm 的蠕蟲,便成為其他蠕蟲的仿效對象。
「蠕蟲」這個名稱的由來,是取自 John Brunner 在 1975 年的科幻小說故事—The Shockwave Rider,故事描述利用電腦網路控制人民的集權政府與自由戰士之間的對抗,自由戰士使用一種稱為 tapeworm 程式破壞集權政府的電腦網路;而最後當然是 tapeworm 程式成功的癱瘓了政府的網路系統,集權的政府也被自由戰士瓦解。
蠕蟲的行為和病毒非常類似,但是病毒會感染並依附著「宿主」程式,而蠕蟲不需要宿主,是個可以獨立執行的程式;蠕蟲就像一條藉由網路的爬行而會傳染其他電腦的蟲。
特洛伊木馬程式
「特洛伊木馬程式」(Trojan Horses)這個名稱的由來,是取自特洛伊戰爭當中,久攻不下的希臘人不懷好意送給特洛伊人的那匹大木馬。特洛伊木馬藏著希臘士兵殺進特洛伊城,而特洛伊木馬程式則會依附在正常的程式,或是將特洛伊木馬程式設計成看起來是有用的程式,而當使用者執行暗中附著特洛伊木馬的正常程式,特洛伊木馬就會悄悄的執行被賦予的任務,例如私下監控使用者行為,而發現使用者在登入線上遊戲時,側錄使用者所輸入的帳號和密碼,再藉由網路傳回。特洛伊木馬程式也稱為特洛伊,或稱為木馬,它與病毒的差別,是特洛伊木馬並不會感染其他程式,也不會自我複製。
僵屍
僵屍(Zombie)是一種會偷偷藉由網路來控制其他電腦的程式,而攻擊者將僵屍植入其他電腦的目的,通常就是遙控被控制的電腦來發動攻擊。也就是說,攻擊者不用自己的電腦來發動攻擊,而是找個替死鬼來發動攻擊,以免東窗事發被抓到。
後門程式
後門程式(backdoor)就像個秘密通道,如果電腦系統被放置了後門程式,等於是開了秘密通道給攻擊者,只要電腦開機就能讓攻擊者進入電腦。
間諜軟體
間諜軟體(spyware)是晚近出現的惡意軟體,是指在未經使用者同意的情況之下,藉由網路對使用者進行廣告,或者會收集使用者的電腦操作行為或個人資訊,甚至進而修改電腦設定的程式。
如果程式是經過使用者同意而收集使用者的電腦操作行為和個人資訊,再經由後端的程式分析之後,對使用者推送適當的廣告訊息,還稱不上是惡意軟體,畢竟使用者已經同意。就像發卡銀行也可以分析刷卡交易記錄而得知卡友的消費習慣、興趣、嗜好,再推送適當的廣告,可以更確切的達到廣告效果;但一定要經過當事人同意。
在講求人權的社會,未善盡告知義務而收集個人行為、資訊,已經有侵犯隱私權的疑慮,因此許多國家已經開始為此立法,而除了法律之外,資訊業界當然也希望能藉由軟體技術,來遏止這種不當收集個人資訊的作法。
最讓使用者困擾的間諜軟體
我曾經幫一位沒有電腦技術背景的朋友處理困擾他很久的電腦問題:
只要連上網際網路就經常出現賭場或奇怪藥品的廣告
Internet Explorer 預設首頁被改成一個奇怪的搜尋引擎網站,而且改不回來
電腦的執行速度突然慢到不像話
開機和關機的時間都很明顯的變長,而且往往要關閉電源才能關機
很明顯的是間諜軟體造成的問題,雖然要排除掉那些狀況並不難,但是間諜軟體很可能過幾天又重回這位朋友的電腦了,因為對沒有電腦技術背景的使用者來說,往往很難養成正確的電腦使用習慣。
再者,就技術的角度,間諜軟體是較難偵測、預防的惡意軟體,因為許多間諜軟體的行為都遊走在灰色的模糊地帶,而且也不像其他的惡意軟體會出現明顯的不當行為;此外,也因為間諜軟體是晚近出現的惡意軟體,間諜軟體與反間諜軟體之間還在進行較大規模的角力。
微軟在三月 15 日公佈了一份白皮書 Windows AntiSpyware (Beta): Analysis Approach and Categories,這份白皮書說明了 Windows AntiSpyware 將如何識別、分類、處理可能對使用者造成危害的間諜軟體。目前仍處於測試階段的 Windows AntiSpyware 使用了一份龐大的威脅資料庫,記錄了超過十萬種具威脅的檔案、設定的特徵、處理方式,以及建議使用者該如何因應這些惡意軟體的方法。
處理間諜軟體(spyware)的困難之一,是許多軟體都遊走在灰色的模糊地帶,因為除了惡意行為之外,間諜軟體也都有合法、正當的行為,以致於很難斷定某些軟體到底是「好」還是「壞」,因此有時候往往無法清楚的界定出誰是「間諜軟體」。
因此 Windows AntiSpyware 除了會辨識軟體的類型之外,也會依照軟體行為所可能造成的風險程度,提供建議給使用者:是該忽略、隔離或移除可疑的軟體。微軟的研究人員會依照各種標準來決定軟體是否達到「惡意」或「間諜」,如果是的話,軟體的相關資料就會加入 Windows AntiSpyware 的威脅資料庫,讓執行 Windows AntiSpyware 的系統可以偵測的到。
辨識軟體的行為不是一件簡單的事,因為軟體可能利用各種技巧來達到欺瞞的效果。此外,Windows AntiSpyware 也會監控是否有軟體在暗中蒐集、使用、傳送使用者個人資料,也會注意是否有軟體在拖慢系統效能、破壞作業系統,甚至還要抵擋軟體直接攻擊或關閉 Windows AntiSpyware。
正確的開始是成功的關鍵
軟體行為遊走在灰色模糊地帶的間諜軟體,並不像其他的惡意軟體會出現明顯的不當行為,這增加了間諜軟體的偵測和預防。但是盡可能的收集所有間諜軟體的相關資訊(包括特徵、行為、結果等等),與偵測出現有的間諜軟體,並且再歸納、分析出間諜軟體的行為模式,以作為預防間諜軟體的參考,是阻擋間諜軟體最為可行的方法;尤其當資訊越多,並搭配正確的分析方法,就可以降低誤判。
其實目前資安廠商並沒有一致的方法來定義這些危害電腦使用者的惡意軟體,各家廠商使用自己的分類標準,就連惡意軟體的名字也是各取各的,同一支惡意軟體有好幾種名字(包括奇怪的中文譯名,例如「殺手病毒」其實不是病毒,而是蠕蟲),實在造成 IT 人員的困擾。
要遏止惡意軟體的蔓延,正確的電腦操作習慣是相當重要的關鍵。大家都知道就寢或外出前應該將門窗鎖好,甚至還會再額外花錢安裝保全設備,或請保全人員定時巡邏,目的就會維護好居家安全,以免遭到宵小盜賊的侵犯。相同的,任何使用者及IT人員,也應該為連上網路的電腦做好正確的安全防護,正確的安全防護當然包括正確的電腦操作習慣,因為網際網路上的「宵小」實在不少,而這些宵小所帶來的危害,預計也只會有增而無減。