现今网路应用的手法与技巧，多半因使用的普及而逐渐多样化，虽然因此带来更多的资源与效益，但随之而来的是资安问题受到严重地威胁。这些威胁除了病毒、骇客、木马程式、蠕虫、到垃圾信件等，这些我们耳熟能详的资安问题泛滥外，间谍软体（Spyware）及网路钓鱼（Phishing）新一代惹人厌的网路应用纷纷出笼。其中，间谍软体更与广告软体（Adware）和有害软体（Malware）交相纠葛，至今还难以分清。

由于上述这些网路应用的手法日益翻新，使得发作影响于无形、伤害程度日益激增。相较于过去，这些有害软体仅止于对OSI网路协定Layer 1至Layer 3低层位置的威胁，现今随着个人或机构对防火墙使用的观念提升，威胁逐渐转往Layer 4至Laye7的高层协定，特别是最贴近个人运用的应用层Layer 7。它们利用个人的心防轻忽而入侵得逞，今日的Spyware、Phishing正是此等手法的最佳代表。

今次，笔者将和读者一起分享近年来最令企业头疼的「Spyware」，并将它是如何产生的？威胁何在？威胁的方法与程度又如何？等问题，于本文中作详细介绍。

Spyware从何演进成形？

相信大家对共享软体（Shareware）这个名词并不陌生。一直以来，许多的小型软体业者，将其发展的软体以共享软体方式来销售，使用者虽可下载使用，不过却是以30天体验，或部分功能无法行使（使用者付清费用后才可取得完整版使用，不过费用大约介于数十至数百美元​​之间）等条件性的使用。此种软体开发销售方式持续多年，但是近年来由于破解技术及P2P交换风盛行，使许多共享软体业者难再以相同方式求生存，只好另谋开源方式。因为Internet的普及，业者便在软体上加入连网广告机制，并向企业、机构贩售广告版位。

然而此一方法逐渐无法满足广告主，使得软体业者将广告机制分众化，即在软体内加入对使用者习惯、偏好的了解机制，然后再给予最适切的网路广告，显现出投​​其所好的广告内容，这即是今日常言的广告软体（Adware）。

当然！此种设计也是种体贴作法，有时也会得到使用者的好感，且在行使此机制前已有知会过使用者，在获得使用者同意后才会以此方式执行。如挪威的Opera浏览器，即是先通知使用者愿不愿意在输入Google关键字搜寻后，也允许于未注册版的Opera浏览器上，其广告栏位显现出与关键字对应的广告。如(图一)。

《图一 未注册版的Opera浏览器会有连网广告的设计，且在征得用户同意后，于Google关键词搜寻时，也对应显示与关键词相关的网络广告，不仅广告效果更佳，有时也能让用户省去一些消费需求上的搜寻心力。》

但是，不见得所有的软体业者都如此谨慎行使此种机制，有时业者也可能只在授权条款中声明，然多数人多半直接按「同意」而不知自己已同意将偏好讯息送出。多数人对此段声明程序的轻忽，事后于新闻中揭露后，才引起众多反弹。

确实，不见得人人都希望自己的偏好、消费习惯等被得知，认为这是隐私权的侵犯，如此Adware就从纯广告软体被看成有害软体（Malware），甚至更进一步的，若软体业者有更蓄意的想法，则可以进行更深层的威胁，例如强制修改使用者的软体设定，如IE浏览器遭到绑架，强制将首页连结至某一网址、将使用者个人的更进一步资讯进行回传，或者启动键盘侧录程式（load keystroke logging software），以此窃取使用者的输入，从而泄漏帐号、密码等重大隐私，甚至大开系统后门（open backdoor），引入更多的威胁入侵，这时就成为货真价实的Spyware了！

如何防范Spyware？

在了解Spyware的手法与威胁后，该如何才能达到防制效能？我想，应从最基础的心防开始，人人在安装软体前要多花点时间阅读一下授权内容，且拒绝安装可疑、不明的软体，软体不单是指下载后的点按安装，有时在网页浏览过程中就会受到提示，要求同意即时下载安装，并于浏览器内执行的小程式，如ActiveX、小型应用程式（Java Applet）、延伸程式（Browser Extension），或外挂程式（Plug-In ）等，这些都可能是Spyware。

Spyware的入侵不单是安装软体、浏览网页，连信件收发也可能发生。有些电子信件收发程式在开启某信件后，即会顺带将该信的指令档（Script）开启，如*.vbs、*.js的Windows批次执行档（Windows Scripting Hos，WSH）便会立即执行，结果可想而知。另外，各位也别认为只要是Web介面的电子信件就一定安全，连浏览网页都可能遭入侵，那么更别说收发Web型信件也是途径之一。

所以，除了对软体安装、下载、网页浏览、信件收发都要保持戒心，才能防止Spyware入侵外，最好是直接将危险的网址、信件进行阻隔，防止被浏览或开启。不过无人能保证一定能将所有威胁阻绝于外，因此还必须时时进行内部的侦测、扫瞄、检视，好让偷渡成功的Spyware在尚未得逞前先被揪出、删除与隔离。

倘若Spyware尚未被侦出与删除，网管人员也需即时拦截可疑资讯的传出。因为这可能是Spyware正将使用者的机密资讯准备回传或泄漏。因此真正严密的Spyware防范，在环节上必须是入侵阻绝、常驻监测，和泄漏禁止等三者兼备，在来源上也须兼顾使用者最常应用的Web（http）、File（ftp）、Mail（ smtp/pop3）。

务实布建「抗Spyware」环境

关于个人系统的Spyware防制，现有的个人防毒软体与防火墙多半已延伸顾及。然更严肃与更大构面的是资管、网管人员，如何在企业、机构的现有资讯环境中，导入全面性的Spyware防御能力，且必须在不影响原环境运作的情况下完成布建及执行。为了更贴近现实，我们以情境方式来举例说明。

首先，路由器（Router）连接企业外的Internet，之后先进行低层协定的威胁把关，即是透过防火墙（Firewall），接续着便是高层协定的把关，这时可用一部Windows伺服器，于其上装设Trend Micro的InterScan Web Security Suite（IWSS），最后再将网路资源连往企业前端环境的工作站（Workstation）、桌上电脑（Desktop）、行动电脑（Laptop）上。

IWSS会进行HTTP、FTP的监控把关，过滤、封锁来自Web、File的可疑威胁，不仅防范Spyware也能阻绝Phishing，而且监控把关的执行相当快速，对网路应用的存取影响几乎微乎其微，从使用上全然无法感受出差异。所以网管、资管人在评估反Spyware、Phishing系统时，必须格外重视对原有存取环境的效能影响性。如(图二)。

《图二 Trend Micro IWSS如何与现有信息环境中的防火墙、代理主机/网页快取、硬件防毒墙等协同整合运作，并且可扩充网页内容管理能力及统整性管理工具。》

加强网址过滤能力

要进一步封锁Spyware，最好是连可疑的威胁网址都加以禁止，特别是该网址并非企业商务之用时，如成人网站、聊天网站等，即便该网页不是危险网站，也可能为企业带来其他困扰。例如员工会神游性跷班，以上网为乐而影响正务效率，或者运用网路资源进行违法行为，如泄漏公司机密、私售公物等，所以必须加入网页内容管理（Web Content Management，WCM）的能力。有效运用IWSS，可选择扩接网址过滤模组（URL Filtering module），以此禁止可疑、有害网址的存取，不单是防止员工非公务之用，也防止Spyware入侵，同时也防止Spyware回传资讯（回传网址被禁止存取）。

现在绝大多数的企业都已导入目录服务（Directory Services），不仅是作为帐号系统之用，也包括存取控制、权限管理，目前几乎所有的目录服务都遵循LDAP 3.0以上的标准而设计，尤其以Windows 2000 Server后的Microsoft Active Directory（MS-AD）为最多，而IWSS可完整且密切地透过LDAP与MS-AD结合。

再者，企业为了加速网页浏览、降低连外频宽的倚赖，多半也会建置代理主机/网页快取（Proxy/Cache）系统，现在的Proxy/Cache设备多已支援ICAP（Internet Content Adaption Protocol ）1.0的规范，如Cisco的ICAP Server、Blue Coat Systems的SGOS、Network Appliance的NetCache等Proxy/Cache系统。

IWSS支援ICAP业界标准协定，得以与支持标准ICAP的代理网页快取系统紧密整合，实现高效率的过滤扫描效能，除此之外，IWSS也支援单机模式（Standalone Mode）以及依赖模式（Dependent Mode）以满足企业的部署需求，单机模式可以被部署在企业无代理网页快取系统的网路环境之下，而依赖模式可以被部署在企业有不支援ICAP的代理网页快取系统的网路环境之下。

防范E-Mail来源的Spyware

关于Web型态信件的Spyware防护已由IWSS专责，但若是从信件附档直接发作的资安威胁，就不是IWSS所能构及，此方面可用Trend Micro的OfficeScan企业版（Corporation Edition）来防护。

OfficeScan会在桌上电脑、行动电脑上安装代理程式，以进行最末端的资安把关，如此无论E-Mail伺服器是在企业内还是企业外，是企业的信件帐号、​​个人的信件帐号都可以进行防护，甚至不是透过企业内的网路环境也能防护。例如用无线或自行拨接等方式与Internet连通，另外连PC与PDA的同步都能防护。如此，即便Spyware已经潜入，并且知道企业连外网路已有把关机制，而企图自行另辟连通路径来泄漏个人私密或商业机密，如自行启动拨接或启动无线，也一样会被OfficeScan拦截。

OfficeScan也能与Trend Micro Network VirusWall（防毒墙，硬体式防毒设备）进行资安上的协同整合运作，也能与前述的Trend Micro Control Manager（软体式资安管理工具）进行资安上的统整管控。如(图三)、(图四)。

《图三 Trend Micro OfficeScan能顾及企业、机构信息环境中的最后一道资安防护，阻绝各种连通路径的威胁侵扰，包括远程用户、VPN连通等也在防御范畴内。》

结论

由文中我们得知，对于Spyware的协定防范在于HTTP、FTP，和POP3/SMTP；对于装置防范则在于Server、PC（Desktop/Laptop），和PDA；至于路径防范则在于Router的进出、Dial-up的进出，与Wireless的进出…等。再者，要为企业或机构现有的资讯环境加入Spyware，也包括网路钓鱼的防御力，必须相容于环境中既有的目录服务、路由器、防火墙、防毒墙、管理软体、代理主机、网页快取等，不仅要无碍现有运作的相容，还要密切地整合协同运作，资安一切就贵在「周密」、「严密」。

《图四 Trend Micro Control Manager能提供完整、一致、的信息环境管理，无论是病毒、测试性病毒、木马程序、甚至是玩笑程序（Joke）等都能加以监督管控。》

注：网路钓鱼（Phishing）一词是由现有一般钓鱼（Fishing）所转化衍生成，Ph与F为同样发音方式，以此来区别网钓与真正生活中的钓鱼。

＜作者任职于趋势科技亚太区国际行销部产品行销经理＞

延 伸 阅 读

间谍软体Spyware是一种隐藏于你个人电脑中的软体。此类软体的安装及执行，既不会先行知会用户，亦不会事前要求取得用户的许可，便会无声无息地透过网路把你的个人资料传送出去。相关介绍请见「什么是间谍软体Spyware？」一文。 根据Dell与Internet Education Foundation公布的最新调查报告，美国有90％以上的电脑被安装间谍软体，而大部分用户不知道如何检测和清除它们。 IEF是从事与网际网路相关教育的非营利团体。你可在「调查：美九成以上电脑被安装间谍软体」一文中得到进一步的介绍。 今年上半年间谍软体据软体的调查结果显，1月至6月间对200万台个人电脑进行了检测，总计检测出5480万个间谍软体，平均每台个人电脑内安装有26.5个间谍软体。在「平均每台PC有26.5个间谍软体」一文为你做了相关的评析。 间谍软体应该和垃圾邮件及网路钓鱼骗术一样，已经到人人都要喊打的时候了，微软及资讯安全公司也应重视这类软体所带来的安全隐忧，尽速提供真正有效的解决方案。在「间谍软体人人喊打」一文为你做了相关的评析。

最新消息

美国市调公司TNS和隐私保护团体TRUSTe于23日公布美国消费者在假期旺季网上购物计划的调查结果。结果显示，由于担心个人信息被盗和泄露隐私，今年的假期旺季可能有多达58％的消费者减少在网上购物，且这一比率明显高于去年的49％。 相关介绍请见「因安全问题，美国58％消费者考虑减少网上购物」一文。 上周五（1日）微软董事长Bill Gate在旧金山表示，该公司计画推出自家的反间谍软体产品。 Gates表示，微软将提供持续更新的软体产品，以侦测恶意的应用程式。你可在「微软将提供反间谍软体产品」一文中得到进一步的介绍。 着眼于网路犯罪的日益猖獗与隐私权的维护，美国加州州长阿诺史瓦辛格(Arnold Schwarzenegger)不久前签署了一项反间谍软体(antispyware)法案。该法案认定未经同意置放隐藏软体到他人的电脑中，是一种犯罪的行为。这些隐藏于使用者中执行的软体，可能用来窥视使用者的浏览行为，或追?所键入的资料，如果据此来取得重要的密码等资料，就会损及使用者的利益。在「美国加州制定打击Spyware条款」一文为你做了相关的评析。 打击间谍软体已经成了许多厂商的当务之急，据CNET网站报导，Yahoo将推出新版下载工具列，可协助侦测并移除用户电脑上的间谍软体，或不肖档案。在「:Yahoo推出间谍软体防护工具 」一文为你做了相关的评析。

相关网站	ICAP论坛官方网站。 Trend Micro网站。 台湾思科网站。