2007年社交网站将成主要攻击目标
文/姚咏馨 (记者) 2007-01-04
http://www.ithome.com.tw/it...php?c=41355

包括趋势科技、赛门铁克及McAfee等皆在年度安全报告中指出，近年大兴盛行、诸如MySpace等的Web2.0社交网站皆已传出实际攻击案例，也预计在2007年这类网站会成为骇客主要攻击目标。



根据趋势科技（Trend Micro）TrendLabs年度资安威胁报告指出，提供影音分享服务的社交网站，在2007年将成为骇客主要攻击目标；其他资安业者包括赛门铁克、McAfee日前所发布的相关报告，亦皆强调此项新兴的资安威胁趋势。

趋势科技最新发布的年度资安威胁报告是针对2006年旗下TrendLabs整体资安调查数据进行汇整分析，并提供2007年趋势预测。该报告显示，去年整体的资安威胁数量大幅提升，与2005年相比，平均提高约163%。其中，网路上每个月有超过200万种不同的垃圾邮件横行；另外一项数据则指出， Bot程式成长快速，记录从2005年12月以来平均增加了15%，每个月出现超过14万只Bot程式。

此外，根据近50万份报告资料统计，过去一年内网页浏览所引发的网路安全威胁增加了近15%。

其中值得注意的是，在国内外盛行的社交网站，预估未来将成为骇客的攻击新欢。趋势科技技术总监王应达根据内部调查解释，去年的确有许多实际攻击案例传出，分析其原因则在于许多地区频宽的大幅提升，使得不管是影音档案、新奇应用程式或其他资料类型档案等的下载行趋于普遍，并造就像是MySpace、YouTube，甚或国内的无名小站这种Web2.0社交网站（social networking）大受欢迎。

也因此，骇客便看上这种现象，透过这些公开平台放置恶意软体，希望藉此渗透到庞大的人脉网路中。王应达进一步指出，随着这些社交网站使用的简单化，骇客攻击的趋势逐渐从过去在传统Web上放置恶意程式，转为在有人气的讨论区，或是自己的部落格中放置影音、图像档等进行散布；而且，由于每个使用者几乎都能建立部落格，导致安全防护变得更分散及去中心化，因此骇客要成功攻击的目的便更轻易达成。

另一方面，赛门铁克及McAfee也在日前公布的报告中强调这样的现象。

赛门铁克去年底发表的「第十期网路安全威胁研究报告」便预测，Web2.0社交网站相关的威胁，包括利用AJAX技术开发的网站攻击数量，今年起将会持续攀升。

赛门铁克亚太区资讯安全技术顾问林育民分析表示，在使用AJAX技术开发下的动态网页内容，常替许多骇客制造机会。因为使用这种技术开发的网站，攻击窗口更多，骇客可透过各种管道溜进用户端电脑。其中最常利用的途径便透过是GIF图档或FLASH大量散布恶意程式，骇客并可将载有恶意程式的图片或影像档传上知名的社交网站上，网友点选时便不小心遭到感染。

McAfee于去年底发表的Avert Labs 2007年10大安全趋势预测报告则说明，和电子邮件以附档形式来传播的方式不一样，大多数使用者会毫不迟疑地开启社交网站上的媒体档案；此外，影音档是一种相对上较容易使用的格式，诸如填补（padding）、弹出式广告（pup-up ads），及网址转介（URL redirects）等功能也都成为恶意程式作者理想的破坏工具。在这些条件的结合下，恶意程式很可能以媒体恶意程式型式而达到更高的效率。