資訊科技與生活：網站安全停看聽|最新文章

facebook twitter plurk line 中列印書籤

資訊科技與生活：網站安全停看聽

98/10/13 16198

賴溪松｜成功大學電機工程學系、計算機與網路中心

鍾沛原｜成功大學資通安全研發中心

「陽光、空氣、水」是人類賴以生存的三大要素，但現在可能要加上第四要素—網路，相信這點不會有人反對，尤其是對時下的年輕人而言。現在的網路功能已不可同日而語，幾乎和小叮噹的百寶袋一樣，可以實現所有的願望，更為「秀才不出門，能知天下事」做了最好的註解。許多商機也因為網路而蓬勃發展，尤其在不景氣的狀況下，反而「宅宅向前衝」，宅經濟概念產業硬是在逆境中突圍，這是當年網路發明者始料未及的。

多數的網路服務主要是網站的型態，這也刺激全球網站數量年年衝高，目前早已超過 1 億大關。然而，就像市場上總有黑心商品或不良品一樣，網站中也有黑心網站或不良網站。但是食品安全有相關標準來把關，網站安全至今仍無可以遵循的統一標準，來保護使用者的個人電腦和資訊安全。

舉個簡單的例子，三聚氫胺毒奶事件爆發，導致含有這成分的食品下架，已購買商品的消費者可以要求退費。可是過去發生不少網站安全事件，甚至造成使用者資料外洩的損失，卻鮮有網站所屬公司提出賠償或彌補的措施。目前，還有待政府積極地制定相關法規，給予廣大的網路使用者最佳的保障。畢竟有問題的食品不見得天天吃到，但有問題的網站可能你每天使用而不知。因此，在你上網時，問問自己：「我現在使用的網站安全嗎？」

網站安全小常識

以下 4 題是非問題，試著回答看看，對或錯請打「○」或「×」：

（）我定期更換網站上的個人密碼，並且密碼設定為英文字母、數字和符號至少8位元的組合，因此我的密碼非常安全。
（）我的電腦安裝了防火牆和防毒軟體，並且定期更新相關修補程式，但我的電腦仍舊不夠安全。
（）我儲存在個人部落格上的私密日記和照片，只有自己或有我提供密碼的死黨才能夠讀取瀏覽。
（）知名網站的安全防護很周全，只瀏覽這些網站就不會有被駭客攻擊的危險。

上述 4 題，除了第２題是「○」外，其他 3 題都是「×」，你答對了幾題呢？如果能答對 3 題以上，表示你的資安觀念還不錯。為什麼看似安全的行為，卻沒辦法避免駭客的攻擊？何況這些都是一般人平時上網站的操作！以下針對各題做解釋。

密碼真的是「密」碼嗎　到底怎麼樣的密碼設定才夠安全？亂數超過 8 位？10 位？實際上，無論多複雜的密碼，都是可以破解的。密碼的長度和更換頻率，只是降低風險的手段。但駭客是否真的會遵照遊戲規則，乖乖地猜測你的密碼直到破解為止？不要被電影情節誤導了，真正高明的駭客不會浪費時間猜測密碼，而是直接讀取儲存密碼的網站資料庫。

透過這樣的方式，無論使用者多麼勤勞地換密碼，設定多麼複雜的亂數組合，只要取得資料庫中記錄密碼的檔案，一切都迎刃而解，並且是一次取得多人的密碼，相當經濟實惠。因此，當你使用的網站有資料庫防護的漏洞時，等於是把你的密碼自動奉送給駭客。

防護、修補可靠嗎　電腦安裝防毒軟體、防火牆夠安全嗎？定期更新修補程式是不是就能保障不受駭客的威脅？從相關的新聞報導就能了解，我們所使用的各項防護工具，僅能提供「已知」攻擊的防禦，對於新種的未知威脅，幾乎是束手無策，僅能等它發生後才進行補救。此外，由於駭客技術的精進，不少攻擊的手法已經藉由正常的連線來掩飾惡意的行為！

舉例來說，保全會在家中的門窗和其他可能的入口設置感應器，以偵測任何可能的入侵行為。但是最後小偷還是順利地潛入家中盜竊，事後發現主要原因在於那天出門時門窗沒鎖，感應裝置沒啟動。當你瀏覽那些有防護漏洞的網站時，駭客就可以藉機入侵你的電腦，而且防毒軟體或防火牆都無法察覺，這都是天天發生的事實。

部落格個人空間隱密嗎　過去就有不少報導個人部落格密碼遭破解，隱私的資料和照片外流的新聞事件。這些事件都指出網站的安全漏洞和疏失，網站管理者確實得付出更多的心力提升網站的安全。

除此之外，使用者的觀念也需要有所調整。思考一下，在部落格上和在日記本內寫日記，差異在哪？日記本寫完鎖在抽屜內，和部落格寫完用密碼鎖上，效用有何不同？我們必須釐清真實和虛擬世界的差異，你無法限制瀏覽網站的人數，卻可以控制進出個人房間的人員，安全的風險有著極大的落差。如果你要上傳私密照片到網站上，就得承受可能的駭客威脅，而且從種種的跡象顯示，破解密碼並不是太困難的事。

知名網站夠安全嗎　一般人都知道，大廠的品牌比較可靠，網站也是如此。知名網站為了吸引更多的使用者，在安全防護上較為用心。然而，根據 Google 的調查，全球共有超過 10％的網站很危險。甚至有研究報告指出，每天共可檢測出近 30,000 個含有惡意程式的網站，其中竟然高達 80％是合法網站。這代表使用者依賴、信任的網站，隨時處在被駭客攻陷的危機中。

若以經濟規模的理論來看，攻擊知名網站能達成的效應，遠高於數個不知名網站的總和。因此，這些廣受使用者愛用的網站，必然是駭客最優先攻擊的標的。「人怕出名，豬怕肥」，這些網站每天遭受的威脅，可能是以上千甚至上萬筆來計算，相對地也提高了使用者的風險，這並非危言聳聽。過度信任網站管理者的防護功力，是一廂情願的想法，畢竟沒有一個廠商可以大言不慚地誇口其產品禁得起任何駭客的攻擊。縱然是全球最大的「微軟」，仍是十分積極地投入資安的研究，並且時常公布最新的修補資訊。

談到這裡，相信聰明的你應該了解「網路如虎口，謹慎小心用」的道理。對於那些常常使用購物網站、部落格和網路遊戲的重度網路使用者，碰到和個人私密資料有關的動作時，更該留意，畢竟上路還得考駕照，上網卻鮮少有人告訴你使用網站的二三事。

網站為何不安全

這並不是在倡導網站不安全的觀念，而是希望所有的使用者能正視網站安全的議題。我們相信網站管理者都致力維護網站安全，但「沒有任何一個網站始終都是安全的」卻是個不爭的事實。

既然網站安全值得存疑，到底網站為什麼不安全呢？近幾年，根據國際研究組織 OWASP（Open Web Application Security Project）的調查統計，SQL Injection 和 XSS 攻擊分別是排名 10 大網站安全威脅的前兩名，受影響的網站數量相當多。接下來將針對這兩項攻擊手法的原理進行說明。

SQL Injection 攻擊　又稱「資料隱碼」攻擊，主要是針對網站疏於檢驗使用者輸入字串的內容，讓駭客藉由這個漏洞，以資料庫語法跳過網站的驗證機制，趁機竊取網站機密資料，例如使用者帳號密碼，造成網站和使用者的損失。這種類似在網站上直接撰寫程式語法的攻擊，主要目標是網站主機和後端資料庫。由於網站設計者在開發網站時的疏忽，造成網站的門戶大開，駭客可以大方地以管理者姿態，存取、複製他想要的資料。

XSS 攻擊　XSS 全名是 cross-site scripting，又稱「跨網站字串」。它和 SQL Injection 最大的差異，在於 SQL Injection 的主要攻擊對象是網站，但 XSS 的攻擊範圍擴大到一般使用者，竊取的不只是網站的資料，還包含個人電腦的資料和掌控權，無所不取。這是近期最嚴重的網站攻擊手法，讓使用者從間接受害變成直接的受害人。

現在的網站注重互動性，因此在瀏覽時，網站多會要求使用者執行指定的 script（程式碼）。而 XSS 就是利用這項動作，藉由植入程式碼，讓使用者在不知情的狀況下連結到駭客設計的惡意網頁，並下載其中的惡意程式，在使用者的電腦中安裝後門、木馬，甚至是 Botnet（殭屍網路）病毒。由於感染對象是網站使用者，因此受害的範圍和速度超過 SQL Injection，榮登 10 大威脅之首。其實，這也是網站管理者的疏失，讓駭客輕易地植入程式碼，導致難以收拾的後果。

擁有上述漏洞的網站多不多？你可以瀏覽公告「網站淪陷清單」的網站，就知道一天中有多少個網站遭到駭客的攻擊！這樣的情況告訴我們兩件事情。

架設網站很簡單，架設安全網站很困難—網站並非架設完畢就大功告成！開發過程中的安全考量，後續的持續防護，是確保網站安全的重要因素。然而，安全並非口號，而是需要實質的投資，但又有幾間公司願意如此呢？

資安課程的缺乏不要過於苛責這些網站程式的撰寫者，他們知道網站安全的重要性，但過去所學的課程卻缺乏資安的訓練，這仍待教育單位的努力。回想一下，你上過的電腦課，有多少節是和資訊安全有關的呢？

如何安全地上網

要安全上網的最佳辦法，就是不要上不安全的網站！但是，我們無法清楚哪些是安全的網站？哪些是不安全的網站？因為沒有一個網站是絕對安全的！在新的漏洞或攻擊手法尚未出現之前，以下的幾種方法或許能提供你「短暫」的保護。

不上高風險網站　儘量不要瀏覽所謂的「特定類別網站」，例如色情網站、駭客網站、論壇網站（提供音樂、電影等非法檔案分享）等。這類網站有個共通點，在於網站使用者都會下載網站或其他使用者提供的軟體和檔案，這提供駭客散播惡意程式（病毒）的機會。尤其這些網站多半經營不合法的業務，因此無從判定下載的資料是否正常或隱含其他非使用者預期的程式。

筆者並非意指這類型的網站都被駭客利用，但受攻擊的風險的確比其他網站高。請不要一廂情願地認為，自己電腦上的所有操作行為都會徵詢你的同意。事實上，駭客可以輕易地在你的電腦上安裝、存取、傳送任何檔案，而你根本無法阻止。甚至假造對話視窗來騙取你的核准，到時候你的電腦會很順從地聽命別人下的命令，而不是你的！

定期更新修補程式　不要認為定期更新防毒軟體病毒碼，就足以保障個人電腦的安全，防毒軟體只是資安防護的基本配備。以瀏覽器為例，不同的瀏覽器每年都有超過 20 ~ 30 個以上的新漏洞被發現，有的甚至上百。

但諷刺的是，無論是大公司還是小公司的產品，漏洞修補程式的公告時間平均超過 1 周，最長達半年以上。縱然如此，你仍不能忘記定期進行修補程式的更新（包含作業系統、瀏覽器、應用軟體等）。這不是個簡單的工作，有份研究報告指出，超過 52％的 IE 使用者沒有使用最新版本。至於其他的瀏覽器，Firefox 有 17％、Safari 有 35％、Opera 有 44％的使用者仍在使用舊版本。你是不是其中之一呢？（資料來源：http://www.techzoom.net/publications/insecurity-iceberg/index.en）

不要隨意點選信件中的連結　不要輕易相信 mail 的內容，尤其是那些聲稱網站作業需要，要求你點選連結並進行相關輸入動作的信件，十有八九是偽造的mail，目的只是希望你連結到駭客設計的「釣魚網站」（phishing）。這種網站完整地複製目標網站，讓使用者誤以為該網站的真實性，並藉由使用者在釣魚網站上的操作，取得受害者在真實網站的帳號密碼，甚至是其他隱私資料。

為了讓使用者連上釣魚網站，並執行輸入個人資料的動作，攻擊者往往假冒真實網站管理者，透過 Email 寄送仿造的網站公告，要求使用者點選信件內的網站連結，到該網站中進行指定的動作。由於使用者點選連結會看到假以亂真的網站畫面，很容易就相信這個網站是真正的網站。

這種類似詐騙集團的攻擊手法，只要使用者疏於查證，幾乎無一倖免。而自身的帳號密碼等資料，就隨著在假網站上輸入的過程，輕易地拱手給人，等下次再使用真正的網站時，可能連登入的權限都沒有了。就算這封信件真是網站管理者發出來的，種種經驗告訴我們，自行輸入網址遠比點選信件連結來得安全。畢竟現在要仿冒特定寄件者帳號寄出信件，並不是特別難。

善用瀏覽器「我的最愛」功能　利用「我的最愛」功能，把固定使用的網站連結記錄在電腦中，能省去不少麻煩，也能降低因懶惰而點選信件中連結的可能。但須留意一開始加入「我的最愛」的網址是正確的網站，而非釣魚網站！

網站服務改變了人類的生活習慣，帶來了更便利的生活，但就是因為便利，無形中也增加了惡意者侵犯我們權益的機會。本文的主要目的，並不是指責網站管理者的疏失，也非道出駭客的種種攻擊行為，而是希望喚起使用者對於自身資安責任的意識。唯有使用者了解到網站安全的重要性，才能夠督促政府單位、業界及資訊從業人員致力於提供更安全的使用環境，確保廣大使用者的權益。

資料來源

《科學發展》2009年10月，442期，46 ~ 53頁

科發月刊(5210)

資訊科技與生活：網站安全停看聽

推薦文章