病毒防不勝防 未來的電腦安全只能期待電腦變聰明？

鉅亨網黃欣／綜合外電．10月1日
2007 / 10 / 04 星期四 13:35

在過去10年來，對每個電腦使用者的標準建議，必定是安裝防毒軟體。但是新一代的，更商業化、更複雜、更隱蔽的惡意軟體(malware) 層出不窮，不禁讓電腦產業的人想問：防毒軟體還能撐多久？而他們最擔心的，就是未來的惡意軟體可能將藏身於虛擬主機內，避開防毒軟體的偵測繼續運作。

英國《衛報》報導指出，發行防毒軟體的廠商，似乎並不認為他們遇到了問題。防毒軟體商Sophos資深技術顧問 Graham Cluley說，「我們常常看到感染電腦的新方法，但它們還是有慣例在。」因為，不管一個惡意軟體用什麼特殊的新方式散播到你的電腦，也不管它想對你的電腦做什麼，它終究是一段可執行的程式碼，而且會被防毒軟體揪出來。

此外，Cluley說，「有些人可能低估了最新防毒軟體的能力。雖然產品名稱沒變，但我們並不是以20年前的方式在做事情。」比如，現在的防毒軟體已經不像很多人所以為的，倚賴用病毒的簽名碼 (一種存在於惡意軟體內的獨特程式碼) 來偵測病毒是否入侵。而且，防毒軟體也不斷在進化。一年前，防毒軟體還沒辦法應付能夠藏身於電腦中，控制電腦系統、改寫系統紀錄的惡意軟體rootkits，但現在，幾乎所有的防毒產品都已擁有偵測rootkits的能力。

西班牙防毒廠商Panda Security的行銷長Pedro Bustamante，最近完成了一項調查： 150萬台個人電腦、1206個公司網域的 17809台企業電腦中的惡意軟體感染情形。在個人電腦方面，只有 37%是有完整的安全防護，但在這部份之中，仍有 25%的電腦受感染。而企業電腦方面，則有 72%受到惡意軟體感染。

不過，新病毒威脅電腦的時間比以前短，它們只出現幾個星期，然後就消失無蹤。

防毒軟體商Sophos與Symantec使用啟發式運算來尋找正常的行為模式，因此現在的防毒軟體運作不再使用黑名單－阻擋列在黑名單上的軟體，而是使用白名單－只有確認無誤的軟體才可在電腦上執行。

除了 email夾帶病毒之外，現在成長最快的網路威脅是一種被稱為 drive-by attack的攻擊方式－當你瀏覽中毒的網站時，惡意軟體會自動下載下來。

這不像讀 email時，你可以用常理判斷它是否危險而主動避開。Cluley說，Sophos發現每天有 2.9萬個網頁被感染，而且其中八成都不是那種「危險網站」。它們大部份都是再正常不過的網站，比如陶藝教學、邁阿密海豚介紹，或印度銀行等。

但舊型惡意軟體的增長速度也夠嚇人的。Bustamante說， 7年前，病毒種類大約是10萬至30萬種，但現在？「千千萬萬」，數也數不清。而比較新的病毒，有 90%會持續演變，它們的簽名碼從來不會相同。

更嚴重的，是以前的惡意軟體撰寫者，只是想證明自己很厲害，但現在的惡意軟體，卻是懷著犯罪或商業的目的。

現今惡意軟體攻擊的一連串過程，可能是由 6-7個不同的人「分工合作」，各負責其中一部分：如一個人負責入侵網站，第二個人寫植入的程式，第三個寫自動轉寄散布的程式等，以此類推。

而如果你有門路，你可以1天100美元價格，買到distributed denial of service (分散式阻斷服務)的攻擊，還有600美元就幫你寄1000萬封垃圾信、150美元送 100萬則即時通訊訊息，或是花30美元購買50MB被盜取的銀行和信用卡帳戶資料。

不但程式撰寫者的目的不同，現今惡意軟體的「身段」也與過去不同了，它們不再高調嘲笑你中毒了，而是偷偷感染你的電腦。他們追求的是最高的效率和最低的被偵測率。只要病毒能夠在你的系統待愈久不被發現，它就愈有可能偷取你的電子錢包、銀行帳戶，或信用卡資料。

如果你是Mac或Linux系統使用者，比較不會遇到這樣的問題。因為如果惡意軟體感染你的電腦是為了錢，那麼他們一定會選擇攻擊最多人使用的系統－Windows。

美國Auckland大學研究人員 Peter Gutmann在 8月的Defcon駭客大會上發表了關於商業市場惡意軟體的研究，他預估一個技術高超的病毒工程師一年可以賺進20萬美元。

開放原始碼安全研究人員Alan Cox則指出了更多的可能性。其中一項是能在虛擬主機下運作的惡意軟體。這份被稱為 Subvirt的概念報告，首先在去年由 3個微軟工程師和 2個Michigan大學的工程師共同提出。而在去年 Black Hat安全會議上，新加坡安全公司 Coseinc的研究人員Joanna Rutkowska對此展示了一個名為「Blue Pill」的輕微攻擊狀況，以建立在Windows Vista系統內和AMD、Intel處理器內的虛擬主機為攻擊目標。

到目前為止，這種攻擊手法還停留在理論階段，但安全公司 Webroot技術長Gerhard Eschelbeck說，「可能在明年的 Black Hat會議中，就可以看到惡意軟體利用虛擬主機的技術被運用在現實世界中。」

現在的病毒雖然短命，但數量卻在激增。Sophos每個月會發現約9000個新的惡意軟體，平均一天 300個。Eschelbeck說，這也是為什麼 Webroot要改變運作的方式。他們不能被動地等使用者回報發現新病毒，而必須像研究人員一樣，主動上網去找新的惡意軟體。

Panda 的Bustamante則說，防毒軟體確實是變得比較沒有效率，但那是因為它們所搭配的安全防護的關係。Panda 未來將加上一層新的安全防護，Bustamante稱之為「群體智能(collective intelligence)」，Web2.0 版的安全防護。在這種防護模式下，不再是使用者的電腦個別運作掃瞄，而是連線掃瞄。若這樣做，就能夠使用更大的病毒定義檔，而被攻擊的目標也可以被偵測到，因為所有的電腦都可以即時被觀察。

不過這個做法或許仍無法解決一切。美國Columbia大學資訊系教授Salvatore Stolfo認為，駭客們「占了上風。他們時間很多，而且有足夠的動機把時間和精力花在不要被偵測到。」

他並說，防毒有未來，但可能有名無實。「它的基本任務和策略都會改變。」就像銀行和信用卡公司所使用的詐騙偵測，「以後電腦系統會學習你的行為模式，並偵測不正常的行為來保護電腦。」

我們也只能這樣希望，要不然，未來還真不怎麼樂觀呢。

-----------------------------------------------------
來源
http://news.cnyes.com/dspnewsS.asp?...index1_headline