2007年社交網站將成主要攻擊目標
文/姚詠馨 (記者) 2007-01-04
http://www.ithome.com.tw/it...php?c=41355 包括趨勢科技、賽門鐵克及McAfee等皆在年度安全報告中指出,近年大興盛行、諸如MySpace等的Web2.0社交網站皆已傳出實際攻擊案例,也預計在2007年這類網站會成為駭客主要攻擊目標。
根據趨勢科技(Trend Micro)TrendLabs年度資安威脅報告指出,提供影音分享服務的社交網站,在2007年將成為駭客主要攻擊目標;其他資安業者包括賽門鐵克、McAfee日前所發布的相關報告,亦皆強調此項新興的資安威脅趨勢。
趨勢科技最新發布的年度資安威脅報告是針對2006年旗下TrendLabs整體資安調查數據進行彙整分析,並提供2007年趨勢預測。該報告顯示,去年整體的資安威脅數量大幅提升,與2005年相比,平均提高約163%。其中,網路上每個月有超過200萬種不同的垃圾郵件橫行;另外一項數據則指出, Bot程式成長快速,記錄從2005年12月以來平均增加了15%,每個月出現超過14萬隻Bot程式。
此外,根據近50萬份報告資料統計,過去一年內網頁瀏覽所引發的網路安全威脅增加了近15%。
其中值得注意的是,在國內外盛行的社交網站,預估未來將成為駭客的攻擊新歡。趨勢科技技術總監王應達根據內部調查解釋,去年的確有許多實際攻擊案例傳出,分析其原因則在於許多地區頻寬的大幅提升,使得不管是影音檔案、新奇應用程式或其他資料類型檔案等的下載行趨於普遍,並造就像是MySpace、YouTube,甚或國內的無名小站這種Web2.0社交網站(social networking)大受歡迎。
也因此,駭客便看上這種現象,透過這些公開平台放置惡意軟體,希望藉此滲透到龐大的人脈網路中。王應達進一步指出,隨著這些社交網站使用的簡單化,駭客攻擊的趨勢逐漸從過去在傳統Web上放置惡意程式,轉為在有人氣的討論區,或是自己的部落格中放置影音、圖像檔等進行散佈;而且,由於每個使用者幾乎都能建立部落格,導致安全防護變得更分散及去中心化,因此駭客要成功攻擊的目的便更輕易達成。
另一方面,賽門鐵克及McAfee也在日前公布的報告中強調這樣的現象。
賽門鐵克去年底發表的「第十期網路安全威脅研究報告」便預測,Web2.0社交網站相關的威脅,包括利用AJAX技術開發的網站攻擊數量,今年起將會持續攀升。
賽門鐵克亞太區資訊安全技術顧問林育民分析表示,在使用AJAX技術開發下的動態網頁內容,常替許多駭客製造機會。因為使用這種技術開發的網站,攻擊窗口更多,駭客可透過各種管道溜進用戶端電腦。其中最常利用的途徑便透過是GIF圖檔或FLASH大量散佈惡意程式,駭客並可將載有惡意程式的圖片或影像檔傳上知名的社交網站上,網友點選時便不小心遭到感染。
McAfee於去年底發表的Avert Labs 2007年10大安全趨勢預測報告則說明,和電子郵件以附檔形式來傳播的方式不一樣,大多數使用者會毫不遲疑地開啟社交網站上的媒體檔案;此外,影音檔是一種相對上較容易使用的格式,諸如填補(padding)、彈出式廣告(pup-up ads),及網址轉介(URL redirects)等功能也都成為惡意程式作者理想的破壞工具。在這些條件的結合下,惡意程式很可能以媒體惡意程式型式而達到更高的效率。