上個月,微軟的IE瀏覽器爆發嚴重的「零時差漏洞」,駭客可以利用這個漏洞執行惡意程式。微軟很快的推出修補程式,連當初宣布不再支援的XP也一併更新。但根據F-Secure的調查,台灣今年1~5月的10大病毒,排名前5名的全都是些多年的老病毒,排名第1的Downadup是2008年發現的病毒,而6年之後,居然還名列台灣病毒攻擊的第一名,受感染的平台以Window 2000、Window XP居多,這原因除了一些封閉性的行業,如銀行、醫療遲遲未更新外,使用者習慣使用免費軟體,也是原因之一。雖然台灣是個資訊的大國,但是台灣的殭屍電腦數目,世界排名第3,代表多數的使用者對於資訊安全的防護還是太輕忽了。
舊系統建議加裝安全防護軟體
在微軟力推Windows 8的2014年,Windows XP這套開發於2001年的作業系統現在仍有許多人使用。但舊系統的架構本來就比較不安全,再加上一般消費者又捨不得購買付費軟體,總在網路上找盜版軟體或免費軟體使用,更增加了電腦安全風險。其實大家可以很簡單的想,為什麼這些免費軟體會這麼好心的無償讓大家使用呢?這些公司或撰寫者,難道真的只想服務社會嗎?當然不是,免費軟體裡暗藏惡意程式早就不算是新聞了,之前才報導免費軟體暗藏木馬,把中招的殭屍電腦拿來當跳板攻擊企業,或是拿你的電腦來偷挖比特幣。所以如果你還使用XP,建議你還是裝套防護軟體比較安全。
免費軟體得拿自己的隱私去交換
當行動時代來臨時,在不同平台的應用程式商店都可以下載許許多多的免費App,大家有沒有想過,這些公司花了這麼多力氣來撰寫程式,他們的獲利來源是什麼?答案很簡單,就是「各位的隱私」。免費的手電筒App居然監控用戶的GPS定位;MP3播放軟體要求使用的通訊錄資料、簡訊資料;國內有些銀行的App,要求的權限更是包山包海,讀你的通訊錄、簡訊、要求你所有資料。這些明顯和功能不符的權限要求,就是用戶使用免費軟體的代價。在這裡,我也想和消費者溝通一個觀念,就是「你要拿錢買商品,還是要把自己當成商品來販售?」
每家企業都有營運成本,不論是人員或維護資料庫都需要費用,當軟體免費時,意味著使用者必須拿自己的隱私去交換。你的GPS位置被監控,如果你不在家,是不是歹徒就有機會入侵你家去行竊,你的簡訊被攔截,就有機會收到小額付款的詐騙。現在這些地下經濟的組織,在操作這些詐騙時都很低調,不會一次搞出大案子來驚動社會,把這些中了木馬的裝置留著慢慢的吸血。
智慧型家電的普及會更受駭客覬覦
所以,現在各種裝置所可能被攻擊的危險,反而比過往都來得更讓人緊張。確保自己裝置的安全,也比任何時刻都更為重要。前陣子老牌子防毒廠商賽門鐵克資訊安全副總裁Brian Dye接受華爾街日報訪問時說出:「防毒軟體已死」,但就我個人的角度來看,防毒軟體、資安軟體不僅沒有「已死」,比起以往的任何時候,反而都來得更為重要。以往可能只是防禦裝置不被破壞,資料不要外洩,但是現在我們要做的,還要確保這整個端點的安全,例如電腦的連線有無異常?有沒有去連接不合理的網站?資料的傳送是否正常?在從事金融交易的時候,有沒有被惡意軟體追蹤?這些都是防毒/資安軟體該做的工作。
正因為大多數的使用者可能沒有那麼多的專業知識來對抗這些惡意軟體,所以防毒防駭比過往都來得更重要,更何況未來的智慧型家電、穿戴式裝置普及時,若所使用的資安軟體沒有具備行為式分析,不能監測應用程式的舉動,使用者就可能遭受到新型態的惡意攻擊(甚至是零時差攻擊),其實所有的惡意攻擊,都有脈絡可尋,他們可能來自於:
1.電子郵件攻擊:利用與收件者有關的電子郵件主旨,引誘收件者開啟附件夾帶病毒之信件,約莫七成的受駭者是經由此管道遭受入侵。
2.釣魚網站:夾帶惡意程式的網站,當瀏覽網站時惡意程式不費吹灰之力即安裝進電腦
3.漏洞攻擊:利用軟體開發者尚不知問題存在的漏洞,或用戶未進行修補之漏洞進行攻擊,例如:駭客曾透過JAVA或Adobe漏洞進行勒索軟體植入
