2007年社交网站将成主要攻击目标
文/姚咏馨 (记者) 2007-01-04
http://www.ithome.com.tw/it...php?c=41355 包括趋势科技、赛门铁克及McAfee等皆在年度安全报告中指出,近年大兴盛行、诸如MySpace等的Web2.0社交网站皆已传出实际攻击案例,也预计在2007年这类网站会成为骇客主要攻击目标。
根据趋势科技(Trend Micro)TrendLabs年度资安威胁报告指出,提供影音分享服务的社交网站,在2007年将成为骇客主要攻击目标;其他资安业者包括赛门铁克、McAfee日前所发布的相关报告,亦皆强调此项新兴的资安威胁趋势。
趋势科技最新发布的年度资安威胁报告是针对2006年旗下TrendLabs整体资安调查数据进行汇整分析,并提供2007年趋势预测。该报告显示,去年整体的资安威胁数量大幅提升,与2005年相比,平均提高约163%。其中,网路上每个月有超过200万种不同的垃圾邮件横行;另外一项数据则指出, Bot程式成长快速,记录从2005年12月以来平均增加了15%,每个月出现超过14万只Bot程式。
此外,根据近50万份报告资料统计,过去一年内网页浏览所引发的网路安全威胁增加了近15%。
其中值得注意的是,在国内外盛行的社交网站,预估未来将成为骇客的攻击新欢。趋势科技技术总监王应达根据内部调查解释,去年的确有许多实际攻击案例传出,分析其原因则在于许多地区频宽的大幅提升,使得不管是影音档案、新奇应用程式或其他资料类型档案等的下载行趋于普遍,并造就像是MySpace、YouTube,甚或国内的无名小站这种Web2.0社交网站(social networking)大受欢迎。
也因此,骇客便看上这种现象,透过这些公开平台放置恶意软体,希望藉此渗透到庞大的人脉网路中。王应达进一步指出,随着这些社交网站使用的简单化,骇客攻击的趋势逐渐从过去在传统Web上放置恶意程式,转为在有人气的讨论区,或是自己的部落格中放置影音、图像档等进行散布;而且,由于每个使用者几乎都能建立部落格,导致安全防护变得更分散及去中心化,因此骇客要成功攻击的目的便更轻易达成。
另一方面,赛门铁克及McAfee也在日前公布的报告中强调这样的现象。
赛门铁克去年底发表的「第十期网路安全威胁研究报告」便预测,Web2.0社交网站相关的威胁,包括利用AJAX技术开发的网站攻击数量,今年起将会持续攀升。
赛门铁克亚太区资讯安全技术顾问林育民分析表示,在使用AJAX技术开发下的动态网页内容,常替许多骇客制造机会。因为使用这种技术开发的网站,攻击窗口更多,骇客可透过各种管道溜进用户端电脑。其中最常利用的途径便透过是GIF图档或FLASH大量散布恶意程式,骇客并可将载有恶意程式的图片或影像档传上知名的社交网站上,网友点选时便不小心遭到感染。
McAfee于去年底发表的Avert Labs 2007年10大安全趋势预测报告则说明,和电子邮件以附档形式来传播的方式不一样,大多数使用者会毫不迟疑地开启社交网站上的媒体档案;此外,影音档是一种相对上较容易使用的格式,诸如填补(padding)、弹出式广告(pup-up ads),及网址转介(URL redirects)等功能也都成为恶意程式作者理想的破坏工具。在这些条件的结合下,恶意程式很可能以媒体恶意程式型式而达到更高的效率。