智慧財產權宣告

本站所有的內容均由本人所原創,受中華民國之智慧財產權相關法律保障。如需轉載、引用或連結,請參考這裡的說明

2007年6月30日

電腦管理-資訊安全之惡意程式

資訊安全的外來威脅,除了物理力量之外,最嚴重的大概就是惡意程式了。電腦一旦感染惡意程式,輕者只是被開個玩笑,嚴重者資料全毀,讓自己的心血付之一炬,損失的價值可能是無法估計的。要是電腦內還存有個人的隱私資料,如身分證字號、信用卡的帳號密碼等,如果被惡意程式所竊取傳送給不法之徒,很有可能還會因此蒙受更大的損失,例如信用卡盜刷、變成不法集團的人頭或者是變成網路攻擊的跳板。

一、 惡意程式的定義

惡意程式是指一個會破壞電腦正常運作或竊取資料的電腦程式,前者如電腦病毒(Virsus)、蠕蟲(Worm),後者如間碟軟體(Spyware)、木馬程式(Trojan Horses)等。

在網路興起之前,惡意程式的種類比較單純,通常指的就是電腦病毒(一般就稱為病毒)。到了網路興盛之後,種類就多了起來,如前所述。由此可知,現今惡意程式的傳阮途徑已經是以網際網路為主了。(過去以磁片這個交換檔案的媒介為主)

惡意程式是由心懷不軌的人所撰寫出來的,當然就會有其惡意和目的,過去是以表現自己在電腦方面的實力或破獲他人電腦為主,現在則是以竊取機密資料,進行恐嚇勒索以獲取不法利益為主,甚至是利用惡意程式架構殭屍電腦(Zombies)網路,作為大規模攻擊的跳板,以逃避追查。(注:殭屍電腦是指遭他人植入惡意程式,並可被遙控的電腦。變成殭屍電腦後,電腦通常不會有任何異狀,只有被下指令進行網路攻擊時,才會有網路流量異常的情形。)

惡意程式往往會被包裝在一些免費使用的軟體或可植入程式碼的特定圖片格式,以便引誘使用者下載使用,如果沒有良好的偵測軟體,很容易就讓自己的電腦感染惡意程式。(當然也可能透過電子郵件、即時通訊軟體來傳播)

至於感染惡意程式後所發生的徵狀很多,常見的如資料被刪除、自動重開機並格式化硬碟(當然所有硬碟內的資料也會全毀)、作業系統或某個應用軟體的部分功能無法使用、電腦運作效能突然變慢、不斷出現特定的警告視窗、無法連上網路、上網後只能連到特定網頁、無法中止某個程式、大量出現視窗、沒有使用任何程式但 CPU 的負載呈現 100% 的現象、尚未使用網路就開始透過網路傳送資料......等,一旦遇到這些情形,最好關閉電腦並進行必要的檢修,以免事態擴大。

防範惡意程式的方法

防範惡意程式的方法,必須從兩各方面著手才行,一是個人的使用習慣,二是利用資訊安全軟體(簡稱資安軟體。唯有雙管齊下,才有可能避免惡意程式的感染或攻擊。

很多人以為只要安裝了資安軟體就可以放心了,其實這是大錯特錯的觀念。因為資安軟體並沒有辦法 100% 的檢測出所有的惡意程式,很多惡意程式的感染,都是因為使用者的不良使用習慣才發生的。例如隨意的下載來路不明的檔案、任意開啟電子郵件或其中的連結、輕易相信網路謠言而刪除檔案,或關閉資安軟體的特定功能等。更危險的是許多惡意程式是透過所謂的社交工程(social engineering)的方式來感染的。這種方式的特徵,是利用網路的社交行為特徵讓使用者本身失去戒心,讓使用者關閉資安軟體的部分功能而感染。

因此,使用者應當要小心分辨一些不尋常的動作或訊息,一旦覺得可疑,應當要透過不同的可靠方法加以檢證,確定所得到的訊息是正確的,千萬別讓自己的一時疏忽而造成遺憾。

除此之外,就得仰賴資安軟體了。很多惡意程式的判別和檢測,人的五官是不可能察覺的,當然只有仰賴資安軟體。一般個人使用的資安軟體,最基本的就是防毒軟體和防火牆。(注:其實還有間諜和木馬軟體的掃描與移除程式,不過目前多數的防毒軟體都會包含這些功能,因此這裡將它們都列入防毒軟體的範圍)

防毒軟體,顧名思義就是檢測並移除病毒的軟體,發展至今,已經有為數眾多的檢測技術,能夠避免多數惡意程式的感染,或者感染後的移除和修復。使用時的重要設定是啟動即時防護,讓檔案或程式在開啟、儲存或執行之前先進行掃描,以達預防之效果。

其次要設定定時更新病毒碼和程式,好讓防毒軟體能偵測到最新的惡意程式。當然,自己也可以不定時的以手動的方式來更新,減少因為時間差的關係而感染惡意程式。

至於防火牆,它的主要作用是禁止非法的網路存取行為。所謂的非法,並不是指違反法律的行為,而是指違反我們自己所訂的資安政策(在防火牆內的設定)。例如,我們設定只有最高權限的使用者才能透過某個通訊埠存取資料庫,那麼其他受限的使用者一旦要讀取取資料庫,防火牆會根據我們的設定而阻止這樣的讀取動作。

很多網路的存取動作和病毒行為不同,因此防毒軟體並不會去阻止這樣的動作(如果阻止可能會讓正常的上網無法執行),唯有使用者才能決定要不要接受這樣的存取行為。防火牆的主要功能就是讓我們決定是否要接受這樣的存取動作,進而減少資料被竊取的機會。

所以,我們可以把防火牆想像是一道具有檢查功能的門,會攔截那些我們預設不想要進來的存取動作。這等於是一種篩檢的功能,把大部分的威脅檔在門外。那些能進來的,就讓防毒軟體進行檢測的動作,達到確保安全的目的。

不過,目前的網路存取牽涉到許多專業的技術和術語,許多人根本不知道防火牆所顯示的訊息到底該怎麼處理。例如 「xxx.dll 正在存取網路,是否要攔截?」很多人根本不知道 xxx.dll 到底是幹什麼的,遑論要決定到底該不該攔截了。因為有可能這個行為會造成電腦的大災難,也可能並不會造成問題,但是攔截了卻造成應用程式或網路無法使用。

因此,除了要多加學習相關的知識之外,也希望未來能有更簡易的方式來協助使用者保護自己的電腦。

沒有留言:

張貼留言


email 圖片:http://services.nexodyne.com/email/