编语：危险越来越多，安全防护越来越全面，信任越来越少！

周一发表的一份报告称，如果企业不仅检查用户的身份而且也检查登录到其网络上的机器的身份，那么对企业进行的10次计算机攻击中就有8次可以避免。

由BIOS制造商Phoenix Technologies资助并由一家加利福尼亚调查公司进行的这项研究，通过调查1999年到2006年由联邦政府起诉的案件中获得的数据而得出这一结论。

Phoenix的安全解决方案高级总监Dirck Schou说：“我们希望获得一种真实的观点，而不是基于意见或考察。”取得计算机攻击的数据，包括造成破坏的难度在于：公司在承认受到攻击这方面经常吞吞吐吐。“这正是它（数据）的优点所在，”Schou说：“即只会关注实际遭受攻击的公司”。

根据这个报告，使用被盗或被截获的身份验证进行的攻击对商业造成的损失，平均起来，远远高于通常的蠕虫和病毒攻击。该报告称，当特权账户被未授权用户破解后，平均损失可高达一百五十万美元。单独一个病毒攻击的平均损失要少得多，通常低于两千四百美元。

该报告称：“访问特权账户的网络罪犯通过许多方法获取ID和密码，比如网络嗅探、使用密码破解程序和与内部人员勾结。另一种情况也很普遍，即雇员与同事共用他们的ID和密码，后者随后离开了公司，并使用这些ID和密码进行了访问”。

为了支持外部人员攻击的说法，这项研究还指出10个攻击者里面大约有6个与受害者没有关系（只有三分之一多（36％）是现在或以前的雇员）。尽管这个报告的数据与其它认为公司内部人员是大部分攻击的根源的调查相抵触，但是身份认证有利于非法侵占这一说法并不新鲜。例如，今年年初，IBM预计攻击者将增加对其雇员而不是网络的攻击。

Schou说：“病毒相当于破坏，而未授权的登录会导致偷盗。”但是，他承认后者也可以来自于前者，使用蠕虫或者特洛伊木马获取诸如用户名和密码这些信息，而不是去对网络进行破坏。

总的来说，84％的攻击使用的是未授权的计算机（不在被允许访问的系统之列）。大部分的攻击（78％）来自于家用个人电脑。

自然，Phoenix得出了大部分的结论。其声称，只要受害者受到设备认证方案的保护，调查中的84％的攻击可以避免。这种安全鉴定不仅检查用户的ID和密码，而且能够识别硬件是否被授权连接到网络。例如，Phoenix销售的一种称为TrustConnector 2的解决方案，可以为每台授权PC产生唯一的身份。

Schou说：“使我们惊讶的是未授权访问攻击的强度和优势，我们认为设备身份认证的推出恰到好处。”

“还有很多公司没有对设备采取安全措施。”

四、难以抗拒的诱惑-社交工程

社交工程(Social Engineering)原本是一种源自于飞客(Phreak)的诈骗手法，对于该手法读者应该不致于太陌生，因为之前没多久，相信很多人应该曾接到一些诈骗电话，像是谎称自己是警察人员，并告知接听者的银行账号被盗领，或是"你儿子现在在我手上，快拿两百万过来"等云云，这些就是运用社交工程的显例。

基本上，社交工程是利用人性弱点，并透过威胁、利诱的手法来进行骗取对方信任或遵从某个动作的技术。对于大部分的企业而言，技术面的问题好解决，但是牵涉到人性面的问题就相当棘手难防了，也因为如此，社交工程已成为蠕虫、特洛伊木马等恶意程序惯用的技术之一。

尤其对个人而言，面对每日眼花瞭乱的邮件实在很难防，而网上琳琅满目的MP3音乐、共享软件或图文件的诱惑力更难扺挡，偏偏这些东西是黑客运用社交工程的最佳试炼场。

五、有洞就钻

在过去，软件上的臭虫(Bug)顶多会造成软件或系统稳定性或兼容性上的问题，但如今却成为黑客攻击的主力目标。赛门铁克亚太区技术安全顾问林育民表示，如今许多软件及平台都存在许多漏洞，而后一版本的软件大多仍会继续沿用之前版本的组件，所以漏洞有可能也会流传到不同版本之中。如此一来，便成为黑客及蠕虫攻击的目标。所以系统弱点及软件漏洞已成为目前计算机安全上的重大课题。

根据Gartner Group今年4月的分析报告指出，2003年有25%的网络攻击事件来自于已知漏洞。面对漏洞问题，唯一最直接的解决方法就是下载厂商提供的修补程序(Patches)。对于企业而言，由于软件系统种类繁多、数量庞大，所以必须搭配漏洞及弱点管理工具，以进行固定的扫描、侦测及修补作业。

但前文曾提到Symantec的研究报告，目前漏洞发布与相关蠕虫攻击的平均时间差只有短短的5.8天，而Witty蠕虫甚至缔造了2天的惊人纪录，未来随着蠕虫技术的不断突破，平均时间差只会愈来愈短。今后，要与黑客一比抢攻漏洞之高下，绝对是今后企业及资安厂商努力的重点之一。

对于个人而言，修补漏洞一直是件不得不做，但又极其困扰的事情。最主要是因为操作系统会随着软件、游戏或硬件的安装、解除，档案的进进出出或其它不当的操作而终至变慢、甚至当机的地步，换句话说，为求系统稳定，操作系统每隔一段时间是要重灌的。也因为如此，重灌计算机也意味着要重灌之前所有安装过的修补程序。

如果使用者是透过在线修补，那么在冗长的修补过程中难保不会被蠕虫入侵或被种下后门。如果透过已下载的修补档来修补，虽然较安全，但数量庞大的修补作业可是相当累人的事情。

虽然操作系统中也有提供系统还原的功能，只要选择较后面的还原点，可以减少修补作业的次数。但使用者要如何确认哪一个还原点才是完全安全干净的呢?总而言之，对个人来说，修补漏洞绝对是件既困扰又无奈的事情。

另外要补充强调的是，使用者千万不要因为麻烦或抱着侥幸心态，认为之前旧漏洞不补也没关系，而只要修补最新漏洞即可。事实上，旧漏洞才是黑客最爱，根据Gartner Group今年4月的分析报告指出，2003年有25%的网络攻击事件来自于已知漏洞。所以凡是系统或软件有任何漏洞，都是非补不可的。

六、就是要你消受不起-DDoS

阻断式服务攻击(Denial-of-Service;DoS)已成为目前黑客及蠕虫的主要攻击方式之一。透过DoS攻击，网站会被大量而密集的封包所淹没，结果导致网站用户无法正常进入网站，享受应有的内容或服务。

如今的蠕虫、特洛伊木马或BOT遥控程序则采用更大规模的分布式阻断服务攻击(Distributed DoS;DDoS)手法，形成对企业、网站更长时间的"封锁"及更大的损失。

所谓DDoS就是在网络上透过搜寻、扫描漏洞及殖入后门等方式，以整合更多的攻击来源，以对主要目标展开更猛烈持久的服务封锁。如此的好处是，可以结合更大的攻击能量，同时真正发号司令的黑客不容易被抓到。BOT遥控程序就是透过网络扫描、感染更多的殭尸计算机，形成庞大的殭尸网络大军，然后针对主要目标展开猛烈的DDoS攻击。

史上著名的DDoS攻击事件，像是2001年的红色密码(Code Red)，即为一只曾对微软IIS Server展开DDoS的蠕虫;2003年疾风蠕虫(MSBlast.A)则透过RPC DCOM缓冲区溢位的弱点，攻击微软Windows Update 网站;2004年1月底，Yahoo、Google等搜寻引擎网站更受到MyDoom蠕虫的DDoS攻击，而造成相当大的损失。

七、陆海空联合大进击-混合式攻击

自从2001年Code Red率先采用混合式攻击技术以来，混合式攻击已成为目前恶意程序发展中的最大特色及惯用手法。透过不同攻击技术的结合，恶意程序得以用更快的传播速度、更多样化的管道及更强的破坏力展开突击。目前"纯种"的恶意程序已经愈来愈少，即使是也多半会在变种的下几代中不断添加新的攻击技术及特性。

就各恶意程序的特性而言，病毒具备其它恶意程序所没有的感染力，蠕虫则提供无人能敌的主动散播能力，至于远程摇控能力最强的当推特洛伊木马。而混合式攻击就是截长补短地整合病毒、蠕虫、木马、间谍程序或网络钓鱼的特性，以及网络漏洞、系统弱点扫描的新一代恶意程序技术。

一只混合式攻击程序可能会透过不同的媒介及管道，来进行陆海空联合多点大进击，换句话说，它可能一方面透过垃圾邮件传播，一方面在网上扫描并寄生在有弱点的主机上，一方面在网络上"装可爱"成可供人们下载的MP3、游戏或软件，或是搜寻感染网络芳邻上的分享目录夹，抑或提高来宾账户的权限等级等。由于攻击来自于四方八面不同的管道，所以单靠传统单一的防毒软件是无法有效因应的，目前厂商则主张多层次的主动防御方案以为因应。

对于混合式攻击，目前间谍程序会结合许多技术，其中尤以两点发展趋势最值得关注:

(1)间谍软件与垃圾邮件的结合:同时借此将BOT远程遥控程序种殖在别人的计算机中，并以此为侵入其它计算机或网络的跳板。

(2)会窃取计算机所有的画面:过去仅会侧录键盘的击键，如今不但会偷取档案数据，甚至还会启动Web Camera并窃取画面。