現今網路應用的手法與技巧，多半因使用的普及而逐漸多樣化，雖然因此帶來更多的資源與效益，但隨之而來的是資安問題受到嚴重地威脅。這些威脅除了病毒、駭客、木馬程式、蠕蟲、到垃圾信件等，這些我們耳熟能詳的資安問題泛濫外，間諜軟體（Spyware）及網路釣魚（Phishing）新一代惹人厭的網路應用紛紛出籠。其中，間諜軟體更與廣告軟體（Adware）和有害軟體（Malware）交相糾葛，至今還難以分清。

由於上述這些網路應用的手法日益翻新，使得發作影響於無形、傷害程度日益激增。相較於過去，這些有害軟體僅止於對OSI網路協定Layer 1至Layer 3低層位置的威脅，現今隨著個人或機構對防火牆使用的觀念提升，威脅逐漸轉往Layer 4至Laye7的高層協定，特別是最貼近個人運用的應用層Layer 7。它們利用個人的心防輕忽而入侵得逞，今日的Spyware、Phishing正是此等手法的最佳代表。

今次，筆者將和讀者一起分享近年來最令企業頭疼的「Spyware」，並將它是如何產生的？威脅何在？威脅的方法與程度又如何？等問題，於本文中作詳細介紹。

Spyware從何演進成形？

相信大家對共享軟體（Shareware）這個名詞並不陌生。一直以來，許多的小型軟體業者，將其發展的軟體以共享軟體方式來銷售，使用者雖可下載使用，不過卻是以30天體驗，或部分功能無法行使（使用者付清費用後才可取得完整版使用，不過費用大約介於數十至數百美元之間）等條件性的使用。此種軟體開發銷售方式持續多年，但是近年來由於破解技術及P2P交換風盛行，使許多共享軟體業者難再以相同方式求生存，只好另謀開源方式。因為Internet的普及，業者便在軟體上加入連網廣告機制，並向企業、機構販售廣告版位。

然而此一方法逐漸無法滿足廣告主，使得軟體業者將廣告機制分眾化，即在軟體內加入對使用者習慣、偏好的瞭解機制，然後再給予最適切的網路廣告，顯現出投其所好的廣告內容，這即是今日常言的廣告軟體（Adware）。

當然！此種設計也是種體貼作法，有時也會得到使用者的好感，且在行使此機制前已有知會過使用者，在獲得使用者同意後才會以此方式執行。如挪威的Opera瀏覽器，即是先通知使用者願不願意在輸入Google關鍵字搜尋後，也允許於未註冊版的Opera瀏覽器上，其廣告欄位顯現出與關鍵字對應的廣告。如(圖一)。

《圖一　未註冊版的Opera瀏覽器會有連網廣告的設計，且在徵得使用者同意後，於Google關鍵字搜尋時，也對應顯示與關鍵字相關的網路廣告，不僅廣告效果更佳，有時也能讓使用者省去一些消費需求上的搜尋心力。》

但是，不見得所有的軟體業者都如此謹慎行使此種機制，有時業者也可能只在授權條款中聲明，然多數人多半直接按「同意」而不知自己已同意將偏好訊息送出。多數人對此段聲明程序的輕忽，事後於新聞中揭露後，才引起眾多反彈。

確實，不見得人人都希望自己的偏好、消費習慣等被得知，認為這是隱私權的侵犯，如此Adware就從純廣告軟體被看成有害軟體（Malware），甚至更進一步的，若軟體業者有更蓄意的想法，則可以進行更深層的威脅，例如強制修改使用者的軟體設定，如IE瀏覽器遭到綁架，強制將首頁連結至某一網址、將使用者個人的更進一步資訊進行回傳，或者啟動鍵盤側錄程式（load keystroke logging software），以此竊取使用者的輸入，從而洩漏帳號、密碼等重大隱私，甚至大開系統後門（open backdoor），引入更多的威脅入侵，這時就成為貨真價實的Spyware了！

如何防範Spyware？

在瞭解Spyware的手法與威脅後，該如何才能達到防制效能？我想，應從最基礎的心防開始，人人在安裝軟體前要多花點時間閱讀一下授權內容，且拒絕安裝可疑、不明的軟體，軟體不單是指下載後的點按安裝，有時在網頁瀏覽過程中就會受到提示，要求同意即時下載安裝，並於瀏覽器內執行的小程式，如ActiveX、小型應用程式（Java Applet）、延伸程式（Browser Extension），或外掛程式（Plug-In）等，這些都可能是Spyware。

Spyware的入侵不單是安裝軟體、瀏覽網頁，連信件收發也可能發生。有些電子信件收發程式在開啟某信件後，即會順帶將該信的指令檔（Script）開啟，如*.vbs、*.js的Windows批次執行檔（Windows Scripting Hos，WSH）便會立即執行，結果可想而知。另外，各位也別認為只要是Web介面的電子信件就一定安全，連瀏覽網頁都可能遭入侵，那麼更別說收發Web型信件也是途徑之一。

所以，除了對軟體安裝、下載、網頁瀏覽、信件收發都要保持戒心，才能防止Spyware入侵外，最好是直接將危險的網址、信件進行阻隔，防止被瀏覽或開啟。不過無人能保證一定能將所有威脅阻絕於外，因此還必須時時進行內部的偵測、掃瞄、檢視，好讓偷渡成功的Spyware在尚未得逞前先被揪出、刪除與隔離。

倘若Spyware尚未被偵出與刪除，網管人員也需即時攔截可疑資訊的傳出。因為這可能是Spyware正將使用者的機密資訊準備回傳或洩漏。因此真正嚴密的Spyware防範，在環節上必須是入侵阻絕、常駐監測，和洩漏禁止等三者兼備，在來源上也須兼顧使用者最常應用的Web（http）、File（ftp）、Mail（smtp/pop3）。

務實佈建「抗Spyware」環境

關於個人系統的Spyware防制，現有的個人防毒軟體與防火牆多半已延伸顧及。然更嚴肅與更大構面的是資管、網管人員，如何在企業、機構的現有資訊環境中，導入全面性的Spyware防禦能力，且必須在不影響原環境運作的情況下完成佈建及執行。為了更貼近現實，我們以情境方式來舉例說明。

首先，路由器（Router）連接企業外的Internet，之後先進行低層協定的威脅把關，即是透過防火牆（Firewall），接續著便是高層協定的把關，這時可用一部Windows伺服器，於其上裝設Trend Micro的InterScan Web Security Suite（IWSS），最後再將網路資源連往企業前端環境的工作站（Workstation）、桌上電腦（Desktop）、行動電腦（Laptop）上。

IWSS會進行HTTP、FTP的監控把關，過濾、封鎖來自Web、File的可疑威脅，不僅防範Spyware也能阻絕Phishing，而且監控把關的執行相當快速，對網路應用的存取影響幾乎微乎其微，從使用上全然無法感受出差異。所以網管、資管人在評估反Spyware、Phishing系統時，必須格外重視對原有存取環境的效能影響性。如(圖二)。

《圖二　Trend Micro IWSS如何與現有資訊環境中的防火牆、代理主機/網頁快取、硬體防毒牆等協同整合運作，並且可擴充網頁內容管理能力及統整性管理工具。》

加強網址過濾能力

要進一步封鎖Spyware，最好是連可疑的威脅網址都加以禁止，特別是該網址並非企業商務之用時，如成人網站、聊天網站等，即便該網頁不是危險網站，也可能為企業帶來其他困擾。例如員工會神遊性蹺班，以上網為樂而影響正務效率，或者運用網路資源進行違法行為，如洩漏公司機密、私售公物等，所以必須加入網頁內容管理（Web Content Management，WCM）的能力。有效運用IWSS，可選擇擴接網址過濾模組（URL Filtering module），以此禁止可疑、有害網址的存取，不單是防止員工非公務之用，也防止Spyware入侵，同時也防止Spyware回傳資訊（回傳網址被禁止存取）。

現在絕大多數的企業都已導入目錄服務（Directory Services），不僅是作為帳號系統之用，也包括存取控制、權限管理，目前幾乎所有的目錄服務都遵循LDAP 3.0以上的標準而設計，尤其以Windows 2000 Server後的Microsoft Active Directory（MS-AD）為最多，而IWSS可完整且密切地透過LDAP與MS-AD結合。

再者，企業為了加速網頁瀏覽、降低連外頻寬的倚賴，多半也會建置代理主機/網頁快取（Proxy/Cache）系統，現在的Proxy/Cache設備多已支援ICAP（Internet Content Adaption Protocol）1.0的規範，如Cisco的ICAP Server、Blue Coat Systems的SGOS、Network Appliance的NetCache等Proxy/Cache系統。

IWSS支援ICAP業界標準協定，得以與支持標準ICAP的代理網頁快取系統緊密整合，實現高效率的過濾掃描效能，除此之外，IWSS也支援單機模式（Standalone Mode）以及依賴模式（Dependent Mode）以滿足企業的部署需求，單機模式可以被部署在企業無代理網頁快取系統的網路環境之下，而依賴模式可以被部署在企業有不支援ICAP的代理網頁快取系統的網路環境之下。

防範E-Mail來源的Spyware

關於Web型態信件的Spyware防護已由IWSS專責，但若是從信件附檔直接發作的資安威脅，就不是IWSS所能構及，此方面可用Trend Micro的OfficeScan企業版（Corporation Edition）來防護。

OfficeScan會在桌上電腦、行動電腦上安裝代理程式，以進行最末端的資安把關，如此無論E-Mail伺服器是在企業內還是企業外，是企業的信件帳號、個人的信件帳號都可以進行防護，甚至不是透過企業內的網路環境也能防護。例如用無線或自行撥接等方式與Internet連通，另外連PC與PDA的同步都能防護。如此，即便Spyware已經潛入，並且知道企業連外網路已有把關機制，而企圖自行另闢連通路徑來洩漏個人私密或商業機密，如自行啟動撥接或啟動無線，也一樣會被OfficeScan攔截。

OfficeScan也能與Trend Micro Network VirusWall（防毒牆，硬體式防毒設備）進行資安上的協同整合運作，也能與前述的Trend Micro Control Manager（軟體式資安管理工具）進行資安上的統整管控。如(圖三)、(圖四)。

《圖三　Trend Micro OfficeScan能顧及企業、機構資訊環境中的最後一道資安防護，阻絕各種連通路徑的威脅侵擾，包括遠端使用者、VPN連通等也在防禦範疇內。》

結論

由文中我們得知，對於Spyware的協定防範在於HTTP、FTP，和POP3/SMTP；對於裝置防範則在於Server、PC（Desktop/Laptop），和PDA；至於路徑防範則在於Router的進出、Dial-up的進出，與Wireless的進出…等。再者，要為企業或機構現有的資訊環境加入Spyware，也包括網路釣魚的防禦力，必須相容於環境中既有的目錄服務、路由器、防火牆、防毒牆、管理軟體、代理主機、網頁快取等，不僅要無礙現有運作的相容，還要密切地整合協同運作，資安一切就貴在「周密」、「嚴密」。

《圖四　Trend Micro Control Manager能提供完整、一致、的資訊環境管理，無論是病毒、測試性病毒、木馬程式、甚至是玩笑程式（Joke）等都能加以監督管控。》

註：網路釣魚（Phishing）一詞是由現有一般釣魚（Fishing）所轉化衍生成，Ph與F為同樣發音方式，以此來區別網釣與真正生活中的釣魚。

＜作者任職於趨勢科技亞太區國際行銷部產品行銷經理＞

延 伸 閱 讀

間諜軟體Spyware是一種隱藏於你個人電腦中的軟體。此類軟體的安裝及執行，既不會先行知會用戶，亦不會事前要求取得用戶的許可，便會無聲無息地透過網路把你的個人資料傳送出去。相關介紹請見「什麼是間諜軟體Spyware？」一文。 根據Dell與Internet Education Foundation公佈的最新調查報告，美國有90％以上的電腦被安裝間諜軟體，而大部分用戶不知道如何檢測和清除它們。IEF是從事與網際網路相關教育的非營利團體。你可在「調查：美九成以上電腦被安裝間諜軟體」一文中得到進一步的介紹。 今年上半年間諜軟體據軟體的調查結果顯，1月至6月間對200萬台個人電腦進行了檢測，總計檢測出5480萬個間諜軟體，平均每台個人電腦內安裝有26.5個間諜軟體。在「平均每台PC有26.5個間諜軟體」一文為你做了相關的評析。 間諜軟體應該和垃圾郵件及網路釣魚騙術一樣，已經到人人都要喊打的時候了，微軟及資訊安全公司也應重視這類軟體所帶來的安全隱憂，盡速提供真正有效的解決方案。在「間諜軟體人人喊打」一文為你做了相關的評析。

最新消息

美國市調公司TNS和隱私保護團體TRUSTe於23日公佈美國消費者在假期旺季網上購物計劃的調查結果。結果顯示，由於擔心個人信息被盜和洩露隱私，今年的假期旺季可能有多達58％的消費者減少在網上購物，且這一比率明顯高於去年的49％。 相關介紹請見「因安全問題，美國58％消費者考慮減少網上購物」一文。 上週五（1日）微軟董事長Bill Gate在舊金山表示，該公司計畫推出自家的反間諜軟體產品。Gates表示，微軟將提供持續更新的軟體產品，以偵測惡意的應用程式。你可在「微軟將提供反間諜軟體產品」一文中得到進一步的介紹。 著眼於網路犯罪的日益猖獗與隱私權的維護，美國加州州長阿諾史瓦辛格(Arnold Schwarzenegger)不久前簽署了一項反間諜軟體(antispyware)法案。該法案認定未經同意置放隱藏軟體到他人的電腦中，是一種犯罪的行為。這些隱藏於使用者中執行的軟體，可能用來窺視使用者的瀏覽行為，或追?所鍵入的資料，如果據此來取得重要的密碼等資料，就會損及使用者的利益。在「美國加州制定打擊Spyware條款」一文為你做了相關的評析。 打擊間諜軟體已經成了許多廠商的當務之急，據CNET網站報導，Yahoo將推出新版下載工具列，可協助偵測並移除用戶電腦上的間諜軟體，或不肖檔案。在「:Yahoo推出間諜軟體防堵工具 」一文為你做了相關的評析。

相關網站	ICAP論壇官方網站。 Trend Micro網站。 台灣思科網站。