Content
McAfee 安全觀點
專家見解:阻擋間諜軟體
企業使用者的桌上型電腦內充滿著無用的潛在程式,範圍可以從惱人的彈出式廣告到鍵盤側錄程式,前者會消耗運算的資源,而後者則可能洩露員工的信用卡號碼與其他的個人資訊。 大多數企業的資訊主管都低估這個問題的嚴重性。 間諜軟體與廣告軟體到底有多嚴重,更重要的是,企業可以採取什麼措施,阻止它們滲透到使用者的桌上型與筆記型電腦? 我們訪問了 McAfee® AVERT® Labs 的營運總監 Joe Telafici,試圖了解問題的狀態—以及解法。
安全焦點:間諜軟體的問題有多嚴重? 為什麼這個問題持續惡化?
Joe Telafici:這真是個好問題。 在過去的一或兩年中,這個原本已經相當糟糕的問題,變得更加惡化起來。 它明顯比病毒的情況還要更嚴重。 帶有無用的潛在程式 (PUP) 的電腦,特別是廣告軟體,比裝有其他惡意內容的電腦還要多。 在大多數的月份中,前 20 大的病毒中,有 10 到 15 種都是廣告軟體與間諜軟體。 在企業環境中,我們已經看過許多報告,病毒往往已經掉到 200 名之後。 其他都是間諜軟體、廣告軟體與其他的無用程式。
造成這種快速繁殖的現象,可以歸納為兩大原因。 首先,這種軟體都有合法的作用。 有些人需要這些程式。 當您拿到 Kazaa 的時候,也會同時取得兩或三支其他的程式;如果您想要它們,您就應該可以擁有它們。 如果您在資訊單位服務,則工作的時候可能會使用通訊協定分析儀,或遠端遙控程式。 當軟體出現在不該出現的地方時,就會產生問題。
其次,能辨識與移除間諜軟體的工具尚未普及,特別是對企業來說更是如此。 除非資訊人員擁有可廣泛部署且可集中管理的工具,否則他們不會知道問題的本質,也無法解決它們。
「間諜軟體」這個單字有被濫用的情形。 許多真正的惡意軟體是木馬程式,像是密碼竊賊、鍵盤側錄程式與遠端遙控程式,它們的目的都是盜用身分。
新的動機:金錢
安全焦點:您是否發現間諜軟體的動機都與財務有關,像是身分盜用與詐騙案件?
Telafici:在 2003 與 2004 年中,惡意軟體的意義從政治聲明,轉變為財務方面的不當利得。 我們很難判斷是惡意軟體的作者向廣告軟體的廠商學習,還是相反的方向。
間諜軟體與蠕蟲正在丟棄廣告軟體,因為據推測蠕蟲的作者從廣告軟體的安裝數量獲利。 有些聲譽比較差的 PUP 廠商正在丟棄它們,透過的方式與惡意軟體作者傳統上使用的社交手法相同。
如果您觀察這個光譜壞的一端,會發現使用的是混合的技巧。 在光譜乾淨的一端,許多廣告軟體的作者已經辛苦地在清理他們的作品。 有些廠商擁有創業投資的資金,並嘗試取悅這些投資客。
安全焦點:間諜軟體作者的改變,會讓阻止這些軟體的工作變得更容易或更困難?
Telafici:不一定,有些情況變得更好,有些情況則更加惡化。 比起兩年前的情形,PUP 的作者變得比較專業,寫法也比較周密。 他並不是學院出身。 這些作者都有十年程式設計的資歷。 他會測試他的作品。 他靠這些作品養家活口。
從好的一面來看,這些軟體比較可以預測。 許多程式都來自於解除安裝的程式,不過如果使用者不知道取得這種軟體的方式,則解除安裝的程式並沒有什麼幫助。 在標示軟體方面,這些作者顯得比較光明正大,包括提供版本資訊與真實的公司名稱。
另一方面,不太在乎聲譽的傢伙則製作出一些非常見不得人的作品,而且使用鬼鬼祟祟的技倆,嘗試在系統上隱藏他們的身分。
政策的課題
安全焦點:您是否有任何預估的數字,顯示美國企業中有多少桌上型電腦受到間諜軟體的感染?
Telafici:間諜軟體尚未引起大眾的注意,欠缺工具則是部份的理由。 許多組織雖然對桌上型電腦的防毒工作已經做得比較好,但並未鎖定桌上型電腦的組態。
許多人,尤其是在美國地區,會在上班時間從事採購及與工作無關的活動。 有些組織會阻擋這些非工作方面的用途,但大部份組織則不會。如果要讓無用的潛在程式遠離桌上型電腦,則實施政策是最佳的方式。
安全焦點:公司可以採取什麼作為阻止無用的潛在程式進入他們的企業?
Telafici:企業可以採取的最主要步驟,就是檢查使用者對他們的電腦擁有怎樣的權限。 在 Windows 中,每個人的預設值都是管理員,而管理員可以對自己的電腦執行任何工作。 每當您參訪網頁的時候,都有完全控制的權限。
公司應該建立一項政策,定義員工在執行業務時應該會用到的軟體,不管是 Microsoft Office 或軟體開發的環境。 資訊部門應該鎖住使用者桌上型電腦中的應用程式,讓他們只能執行批准過的應用程式。
此外,您可能也想要下載其他的有用軟體。 您不應該自動授予下載的權限,而應該建立暫時性權限的申請機制,讓資訊部門有表示同意或不同意的機會。
安全焦點:公司還能做些什麼?
Telafici:資訊單位應該強制實施修正程式的政策,讓更新程式可以自動配送,並隔離未更新過的機器。
許多組織仍然允許在他們的網路上使用 IRC 的通訊。 非常多的間諜軟體都使用 IRC。 雖然它不一定與 PUP 有關,但公司還是應該禁止這類的通訊。 他們應該鎖住特定的連接埠。 至於廣告軟體,則存有一些開放原始碼的網域清單,可以載送能拒絕的內容。 您應該使用防火牆,阻斷對這些網域的存取作業。
公司可以結合 McAfee® Secure Content Management、McAfee® Foundstone® 弱點管理軟體與 McAfee® Desktop Firewall 來對抗這個問題。 McAfee® Anti-Spyware Enterprise 可以對抗間諜軟體、廣告軟體、測錄程式、cookies 與遠端遙控程式。
安全焦點:什麼是教育使用者的最佳方式,讓他們知道安裝軟體可能會將間諜軟體與廣告軟體帶進企業?
Telafici:教育絕對是重要的。 人們會認為在企業的機器上安裝軟體是他們的權利。 他們並沒有看到安裝瀏覽器工具列與引進間諜軟體間的關聯性。 這套軟體通常都是線上購物與賭博網站的一部份。 在下載這類軟體的時候,人們需要承擔部份責任。
法律的角色
安全焦點:地方與中央政府在嘗試阻止間諜軟體方面做了哪些努力? 大體來說,CAN-SPAM 並無法有效地阻止垃圾郵件。 針對間諜軟體來說,我們可以期待比較好的結果嗎?
Telafici:猶他州通過一項法令,目的就是要約束間諜軟體,加州也在考慮類似的法案。 這項法令要求軟體公司與網站必須通知使用者,如果他們的軟體或網站會安裝間諜軟體的話,而且需要揭露這些軟體的功能,以及會收集哪些資訊。 在美國的眾議院有另外兩項法案,參議院也有一項法案正在討論中。
CAN-SPAM 提供全新的方式,讓垃圾郵件得以合法化。 它不只沒有抑制垃圾郵件的流通,反而讓情況更形惡化。 在我們的層次,針對表示這些事情是不好的聯邦法令,都會讓我們覺得有些隱憂。
立法程序永遠趕不上技術的變化速度。 每天或每週都有新的技術誕生。 任何嘗試表示特定方式是不好的,都會經歷一段艱辛的過程,除非有人可以產生一份惡行的清單,並讓它保持最新的狀態,就像是藥品管理局分辨好壞藥品採用的做法一樣。 這需要執法方面的努力,讓法律能夠跟上技術的腳步。
如果像聯邦貿易委員會 (FTC) 這樣的機構,可以規範這類軟體的廠商,則情況可能會有變化。 FTC 最近因為營運的制度,關閉了號稱垃圾郵件之王的 Sanford Wallace。 他們開始顯示對這個領域的興趣,不過問題是他們會有多少預算與時間,可以投入這部份的政策擬訂工作上。
安全焦點:解法為何?
Telafici:我們正與其餘的防毒與反間諜軟體社群展開對話。 目前有許多管理工作小組產生,其中有不少安全產品的廠商正在發展命名規則與行為模式。
大體上,解決方案要由安全社群與比較合法的 PUP 廠商來帶動,他們比較能掌握民意的走向。 McAfee 執行的是顧客要求我們完成的工作,而其他企業執行的可能是他們的投資人或廣告主要求的工作,這些企業的價值往往由他們來決定。
技術提供者與社群需要一起努力提出解決方案。 網際網路跨國界的本質,可能會讓任何法律方面的努力變得一籌莫展。
自從撰寫這篇文章以來,McAfee 已經推出許多新的產品,它們也都提供類似的功能。 如果想要其他的資訊,請參閱我們的產品介紹。
資源
