【新聞】CA點名多家P2P軟體藏危機
記者馬培治/台北報導 23/04/2007
在爆發警察機關與企業因使用FOXY造成資料外洩事件後,CA(組合國際)進一步檢測多款P2P軟體後指出:受測14款P2P軟體「全部有問題」。
FOXY引發的資料外洩事件再度引起社會對P2P軟體安全性的討論,CA今(23)日發表資安警訊,指出包括FOXY、BitComet、 eDonkey、Utorrent、Ares、Azureus、BearShare、Lphant、Shareaza、Hamachi、exeem lite、Fpsetup、Morpheus、iMesh等共14款常見P2P檔案分享交換軟體,全部都存在安全威脅。
而這些P2P軟體的潛在威脅來源包括可能會覆寫檔案、為檔案重新命名、刪除檔案,或被第三方植入惡意程式等,但執得注意的是,一種名為API HOOK、可用來隱藏真正執行程序的技術,卻廣泛被P2P軟體採用,「背後隱藏很大的資安風險,」CA技術顧問林宏嘉表示。
所謂API HOOK技術,趨勢科技技術顧問簡勝財解釋其為一種程式語法,可用來攔截、中斷或是監聽程式指令,為微軟在其作業系統中提供之介面,讓軟體開發商可藉此執行作業系統部份功能,且廣泛被使用於各種軟體上,他舉例指出,該公司的防毒軟體也利用此一技術,來監聽、掃瞄通過記憶體中的檔案。
林宏嘉則補充,API HOOK技術可用於改變API執行結果,亦即能夠隱藏檔案、目錄、登入檔機碼,乃至系統真正執行的程序。透過API HOOK,可使某些程式在背景執行,「使用者無法察覺,也難以得知軟體究竟在電腦上做哪些事,」他說。
根據CA的測試,包括FOXY、BitComet、eDonkey、Lphant、Shareaza、Utorrent以及exeem lite,都採用了API HOOK技術,林宏嘉表示,雖然API HOOK技術本身具中立性,也不是電腦病毒或惡意程式,「卻可被用來隱藏攻擊者的行為及目的,類似高隱密性的Rookit,」他說。
不過,目前並沒有證據顯示上述軟體採用API HOOK技術的目的在進行非法行為,但資安專家的確藉由分析特定軟體的程式碼以及行為,發現不合理之處。
以FOXY來說,CA資安專家分析道,該軟體利用API HOOK技術隱藏真正分享之路徑,程式碼中甚至還允許撥號至本機(Dial in)的遠端連結(Remote Access Service),他表示,雖然允許遠端連結在P2P軟體中並非FOXY獨有,「但P2P軟體的程式碼允許他人以撥接方式連回,相當不符常理,」他表示。
除了P2P軟體本身採用的技術可能隱藏安全風險,資安專家亦警告使用者小心綠色軟體可能帶來的風險。
所謂綠色軟體(Greenware),是指在網路上免費發放,具有檔案小、不必安裝、節省系統資源等好處的軟體,且大部分皆開放原始碼,供人修改或增加功能。
但顯然駭客也看上此點,將部分P2P軟體之程式碼改寫,提供所謂加強版或綠色版的免安裝版本,吸引使用者下載使用,甚至避過企業內部不准員工私自安裝軟體的規定,但實際上卻在這些版本中植入惡意程式。
CA便發現一款「綠色版」的FOXY軟體,會將使用者的整個硬碟分享出去,林宏嘉分析道,可能有不少使用者使用的是綠色版軟體,還以為很安全,「實際上綠色軟體可能一點都不綠!」他說。
資安專家提醒,P2P軟體的安全性絕非僅透過分享資料夾的設定就能避免資料外洩,林宏嘉便說,某些P2P軟體所採用的技術,很難讓人確知到底在傳些什麼資料出去,他建議,企業可部署主機端入侵防禦系統(Host-Based Intrusion Prevention System, HIPS),搭配基本的防毒、防間碟及防火牆等機制,確保安全。
資料來源:
http://taiwan.cnet.com/news/software...0117183,00.htm
No comments:
Post a Comment