【大紀元1月22日訊】(大紀元記者陳常鵬編譯報導)近兩年來雖未再出現大規模的網路攻擊事件,但利用僵屍電腦網絡來進行經濟犯罪的活動卻不曾稍歇。專家指出惡意程式不斷刺探互聯網的弱點,目前它們已加強了隱蔽性與殺傷力,使其威脅程度不斷升級。
隨著網路駭客侵入技術日益詭譎多變,連線網路的個人電腦在不自知的情形下被秘密植入後門程式而變成僵屍電腦(Zombie Computer)的受害個案亦不斷上升,這些電腦像是被下了詛咒般在特定時機下便變得如同僵屍般受外部命令所控制。
稱為僵屍網絡(botnets,原義為機器人網絡)的系統性破壞組織即是集合成千上萬受害電腦所組成的僵屍大軍,它們集結而成的力量已被用來執行許多非法的互聯活動。它被認為是網路上暴量的垃圾郵件、詐騙案及資料竊取等活動的主嫌。它們使電腦病毒及惡意程式能自動化運作,加強了它們的危害,所以一直是安全研究者所注意的目標。
據《紐約時報》報導令人擔憂的新發展是,某些惡意程是可精確地掃瞄到電腦中的敏感資料,如企業及個人資料、金融資料等,用以盜取線上存款戶的金錢及股票獲利等。
設立於以色列的網路安全公司Beyond Security之研究員伊夫朗 (Gadi Evron)組織了一個國際打擊僵屍網絡的志工隊,他說:「這種犯罪可稱得上完美,兼俱低風險與高獲利率。」「互聯網安全的戰爭在很早以前就已經輸了,我們必須想好現在該怎麼做。」
台灣的電腦安全業者趨勢科技 (Trend Micro)之首席技術長朗德(David Rand)表示,去年在某國海岸警備機構發現了一個系統地蒐集含有貨運時程之電腦文件的程式,蒐得的資訊最後轉往一個設在中國的電郵地址。由於該機構為其客戶,他拒不透露有關客戶的詳情。
由於僵屍網絡具有伺機而動、難以捉摸的特性,使其實際的影響程度眾說紛云。業界大多認同它們的害危已更加劇。喬治亞技術學院(Georgia Institute of Technology)的安全研究員達根(David Dagon)表示,網路科技界有一普遍認同的看法:僵屍電腦網絡所波及的範圍大約佔連線互聯網電腦總數的11%,即超過650萬台。
據《CNET》報導,防毒業者Sophos對2005年前半年全球垃圾信轉寄數量所作的統計指出,美國地區是當時垃圾信轉送最嚴重的國家。其中近六成係透過遭入侵的僵屍電腦所發送。垃圾郵件轉送國排名前十大,第一為美國地區,佔26.35%,其次為佔19.73%的南韓、佔15.7%的中國地區,以及佔比為5%以下的法國、巴西、加拿大、台灣、西班牙、日本、英國等地。
至2006年6月時,CipherTrust的研究報告則顯示全球專門發送垃圾信件的郵件伺服器當中,台灣竟占了64%,其次則為美國的23%,中國則佔3%,其中仍以僵屍電腦的問題特別嚴重。 IDC(國際數據資訊)軟體產業分析師陳志杰表示,該數據突顯出台灣企業在資訊安全防禦的警覺性低落,沒有作好防禦措施,導致企業電腦被植入後門程式而不自知,成為垃圾郵件發送的跳板。
由以上的變化得知,受害的電腦族群分部可能瞬息即變,僵屍網路會不斷探尋有安全漏洞的網域。
電腦病毒及各種惡意程式的肆虐可追溯至1988年,當時全球約只有60,000台電腦上網,所受的破壞事後尚可修復或以補丁補漏。但近年來,網路攻擊事件越來越具有地方性、多樣性。僵屍網的出現更驚動了初期建構互聯網基礎建設的專家們。
互聯網的開拓者之一、卡內基美隆(Carnegie Mellon)大學的電腦科學家法爾伯(David J. Farber)說:「它代表者一種威脅,卻很難解釋。它是一種隱伏性的威脅,最令我擔心的是人們尚不清楚其問題的嚴重程度。」當提及安裝窗視窗作業系統的電腦時,他補充道:「這種最普及的電腦很輕易就可侵入,真令人感到害怕。」
目前僵屍程式的宿主還是以視窗作業系統的電腦為主,但Linux及Macintosh作業系統也有零星的受害案例。網路黑客都是利用蠕蟲病毒或後門程式進入個人電腦,輸入惡意程式碼。程碼可分為主動和被動兩型。被動者如後門程式,靜靜等待被喚醒;主動者像間諜軟件,會收集各種資訊定時往外發送。
惡意程式可藉由電郵附件、網頁下載,甚至是隱藏在拍賣網上兜售的盜版軟體中。這些程式一旦安裝於可連線互聯網的電腦後,便可接受外部指示要求電腦透過網路聊天軟體(Internet Relay Chat)秘密登陸其它僵屍電腦經常進入的聊天室,接受黑客發佈的指令進行犯罪活動。有的botnet程式還能放在虛構的網站上偽裝成軟體升級程式,等著電腦用戶下載。成為僵屍的電腦也會像吸血鬼一樣在網路上尋找門戶大開的電腦,植入bot病毒,使之成為新的僵屍電腦。
Botnet對金融界造成的危害在最近的技術報告中可見一斑。去年夏季一位互聯網安全研究人攔截到一個botnet所產生容量達200MB的檔案,內含系統式收集而來的大量資訊,然後再藏在一個秘密的網址,以便botnet主人日後來取得。
據Support Intelligence網路安全資訊公司執行長偉森(Rick Wesson)表示,該檔案的資料是經過30天所蒐集而得的。來自793台受害電腦,並盜得54,926筆電腦登錄資料及281筆信用卡卡號。該檔案的資料波及到1,239家公司,其中包括35個股票經紀業者、86個銀行戶、174個電子商務帳戶及245個電子郵件帳號。
偉森透露他們公司所偵測到的資訊顯示,現在每日約有超過250,000起的僵屍感染個案。他也說:「這場戰役我們敗得很慘,即使是(防毒服務)業者也知道我們已經輸了。」
設於紐約的電腦安全業者MessageLabs已作了一份年度情資報告,其中指出現在高達80%的垃圾郵件係來自僵屍網絡。據趨勢科技所設的垃圾郵件統計排行系統作出的數據指出,上個月某家互聯網服務提供者在24小時內曾創下發出超過10億封垃圾郵件的破歷史紀錄。該事件顯示,這家網路服務業者所屬用戶的電腦已大量被僵屍化,並成交織而巨大的網絡,而且只受制於單一控制點來發送垃圾信。
近期又出現了一種極為隱晦的不軌程式,它可偷偷地將電腦加入某botnet。這種新一代的惡意程式安全研究專家稱其為「Rustock」。它的出現使得人們低估了僵屍網絡的危害。
該程式作者宣稱住在辛巴威,在互聯網技術論壇中很是活躍。他表示發現了一個方法可將感染源藏匿起來,而不會留下任何傳統式的數位指紋(digital fingerprints)。數位指紋係被網安專家用於偵測此類之惡意程式。
據中華民國行政院國家資通安全技術服務中心所張貼的病毒警訊指出,感染Backdoor.Rustock.A病毒的主機會被當成轉送資料的代理伺服器。Rustock 是一種特洛依木馬後門程式,將其入侵的主機變成一台轉送資料的代理伺服器。並使用rootkit的技術來隱藏所產生的檔案以及登錄碼。Rustock 還可躲過一般對rootkit工具所做的一些內核結構和隱藏驅動程式的偵測。
除此之外,目前Rustock雖已被用於散發垃圾郵件,它其實是個通用性的工具,可以與許多其它型式的非法互聯網活動併用。設立於亞特蘭大的電腦安全公司SecureWorks的研究員史都華(Joe Stewart)說:「它可配合其它類型的惡意程式來使用。它只是一個更具隱匿性的載運工具。」
上個月史都華曾跟蹤一起以垃圾郵件推銷的零股的交易經過。股票發行者為Diamant Art Corporation,在去年12月15日其每股交易價格僅為美金8分錢。該日經過11,532,726股的交易後,股價漲到11分錢。股市收盤後,某僵屍網開始暴出數百萬封垃圾信件,散發炒作該股的訊息。
12月18日過完週末的星期一,該股價一開盤即上衝至每股19分,當日最終以每股25分錢收盤。據史都華的估計,如果垃圾寄件者在股價最高點時賣出持有的股票應可獲利達20,000美元。
電腦安全專家們紛紛提出警告表示,botnet程式的演化進程超過安全業者所能應變的速度,而且對於依賴於商業的互聯網已形成生存威脅。更使問題複雜化的是,許多互聯網服務提供者、企業用戶及消費大眾,不是小看其危害性,就是忽略其存在。
聖地牙哥超級電腦中心的資深互聯網研究員克拉菲(K. C. Claffy)說:「這是一個龐大的科學、政策及最終為社會性的危機,但現在沒有任何人要負責解決這個難題。」
電腦安全產業在美的規模雖可達60億美元,為網絡經營者、企業及個人電腦用戶提供了多方位的產品與服務。可惜,該產業界對於打擊僵屍疫情,甚少傳出捷報。克拉菲說:「他們的廣告就像航空公司說,飛機很少會發生撞山的空難。」
惡意程式經由黑帽人士的不斷改良,一直想擊敗能追踨數位指紋的軟件。值此惡意程式無孔不入的時代,用戶應具備基本的安全意識與知識。
資訊安全專家表示,除了購買防毒軟體來建立基本防火線外,使用者安全習慣的養成對於垃圾郵件的防禦亦格外重要。企業使用者必須隨時做到更新病毒定義碼、修補漏洞、不要開啟來路不明的附件、不任意連結不知名的網站,或可大幅降低電腦形同僵屍的機率。
(http://www.dajiyuan.com)
