我是江民達人!!

http://news.networkmagazine.com.tw/security/2009/11/07/16070/

本次在京都舉辦的AVAR（亞洲防毒研究者協會）會議，乍看之下偏向是眾多研發人員彼此交流意見的技術研討會，但其實不全然如此。因為在數年來的資安架構與技術發展之下，其實眾多研究者已經發現，真正帶來嚴重後果的攻擊事件，只有少數是因為最新型的攻擊或無人得知的漏洞所引起，事實上，有許多攻擊或入侵事件之所以產生，最主要的原因都在於使用者的錯誤行為或認知，進而造成相當大的危害。

Kaspersky研究室的資深安全研究員Stefan Tanase在會議中便明白指出，在Web 2.0時代雖然讓使用者享有相當高的便利性與彈性，但相對的，也將威脅推進至Threats 2.0，特別是眾多病毒會跟著Twitter與Facebook一同增加擴散。

Web 2.0網站釋出API鼓勵開發，也鼓勵了惡意威脅

奈良先端科學技術大學院大學 情報科學研究所教授 山口英

目前看來，Web 2.0最大的特色就是拋下了作業系統、螢幕大小甚至是設備的差異，只要擷取適當的程式碼，透過AJAX或Flash改寫之後，我們可以隨時隨地透過任何可連網裝置登入網站。而以台灣地區而言，包含Nokia、Motorola或是HTC等都已經可以快速且順利的登入Facebook或Plurk，且已經逐漸成為使用者生活中必做之事。

「我們可以發現攻擊或依附社交網站的惡意程式數量逐日增加，在2008至2009年可說是一個蓬勃發展的階段，Stefan Tanase也特別提出警告：「而使用者在不知情的狀況下，就可能會被AdWare或是內嵌於特定元件的惡意程式感染，並造成難以彌補的損失。」

或許有人會認為，已經裝了防毒軟體為什麼還會遭受病毒侵擾？其道理很簡單，在瀏覽網頁之時，防毒軟體會認為該行為是使用者允許，而其網址也是合法的，在這種狀態之下，絕少部分防毒軟體還會去檢查網頁中所包含的第三方連結或套件，也因此造成資安漏洞。

「現今資訊環境整合了基礎設備、應用服務及網路，從原先『單一』架構變成『網路化』架構」，奈良先端科學技術大學院大學情報科學研究所教授山口英表示，「在這種複雜的環境下，信任成為相當困難的一件事情，不單我們無法信任別人，他人也同樣無法完全信任自己。因此需要透過認證、密碼檢核或是其他方式確認身分無誤，才能夠確保使用者在網路上的安全性。」

不單網頁，文件也會受害

在Web 2.0時代，廣泛傳輸的不只是網頁，另外還有為數眾多的電子文件，像是Word、Execl、PowerPoint或是PDF等，不單只是公司內部文件往來之用，就連個人書信有時都會採取夾檔方式傳送更多樣化的內容。CAL-HCL研究員Setyendra Teppalavalasa便以PDF檔案為例，解釋病毒如何依附於PDF中，並藉由檔案傳輸而擴散到各地。

事實上，PDF的漏洞一直是被人忽略的，因為相較於其他文件格式，PDF不但檔案較為完整，同時也相對安全，但這項特點已經逐漸被破壞了。

「PDF格式在Adobe公司開發之後，由於其可攜性與便利性，已經成為眾多文件的主要標準格式，」Steyendra Teppalavalasa表示：「但是潛藏在其中的威脅卻一直未受重視，以致於2007年至2009年間，PDF與相關程式的漏洞不斷被發現，2009年所發現的漏洞（9起）甚至是2007年的2倍多（20起）。」

畢竟程式只要有存在的一天，過去產生之漏洞就隨時會有被揪出來的風險。而駭客更是鎖定人群密集之事物，因為使用者越多就越有利可圖。

法律規章才是最重要的防禦

左起開始為警察廳代表齊藤正憲，總務省代表中野正康，經濟產業省山田安秀。

當技術已經發展到一定規模與成熟度，惡意軟體能夠造成的威脅都可以在短時間受到控制，但為什麼還是有那麼多危害產生？關鍵就在於多年來不斷強調的「使用者知識與心態」及「政府法律規範」上。

日本在近幾年來，已經在警察廳、總務省及經濟產業省等單位，編列了多件數億元鉅額專案，希望在未來3至5年內，能夠落實民眾資訊安全教育、增加監控與回應能力、強化安全管理機制並提供各種技術化計量措施，以期能達到全面且完整的資訊安全體系。

「網路犯罪有一定的模式跟體系，目前來說只要有利益可圖就會犯罪，」警察廳齊藤正憲表示：「唯一的方式就是透過警覺、預防、回報與杜絕，才能夠讓網路犯罪不再蔓延擴散出去。」

日本政府花費鉅資建立數件3至5年不等的專案，希望透過這些專案強化使用者認知與能力，增加執法人員的工具及效率，並與產業界結盟避免因法規限制而造成過多影響。目前已完成第一步，第二階段計畫將會在2011年完成。