在2008年的OWASP(The Open Web Application SecurityProject)亞洲年會中,許多講者都不約而同地表示,Web2.0時代的來臨,不但讓使用者上網瀏覽的經驗變得更加多元,也連帶使駭客的攻擊手法愈趨多樣化,更叫人防不勝防。如今Web2.0所代表的意義,是過去那種由服務供應商高度管控的「網站(Website)」型態,變成自由且多元的「服務平台(ServicePlatform)」,而「使用者」的角色,則成了服務的最核心位置。
Web 2.0讓每個人都成為主角

Web 2.0的訊息、情報、服務,不再是Web1.0那種由上而下、由中心而外的傳遞方式,而全部改由使用者,以及使用者與來訪者互動,所共同創造的價值、意義和服務。服務平台的價值,完全由使用者自行貢獻與創造,管理者本身僅需負責讓平台能穩定地運作,無須創造內容與訊息,例如YouTube、Wikipedia、Flickr、Facebook、Blogspot,以及在台灣具有廣大用戶的Yahoo!奇摩知識+和無名小站,都是Web 2.0橫掃網路世界的最好證明。

在這股浪潮下,使用者對於自己的部落格也好,或是Facebook也罷,都能享有高度的自主性,而平台服務供應商也樂得開放更自由的網頁編寫語法,讓使用者的網頁呈現,以及應用程式的混搭(Meshup)能更不受限。問題在於,當供應服務的管理者傾向開放,而絕大多數的使用者通常不具備訊息安全與資料外洩危機意識時,網路的安全漏洞,也緊跟著多樣化、自由化的腳步一同愈開愈大。

你有多自由 駭客就有多自由

以最近Websense Security Lab發表的1件研究報告為例,GoogleSites、Gmail、YouTube、Blogspot等眾多Web-based服務,皆存在許多點閱綁架(Clickjacking)、SQLInjection以及跨網站腳本攻擊)弱點,駭客更可經由多重網站的重新導向(Redirection),一步步將網頁瀏覽者引入網路陷阱當中,最後造成許多個人資料外洩的悲劇。

受害者通常不局限於一般使用者,企業同樣也是苦主。先前Websense亞洲與中東區副總裁Tim Lee來台時就曾表示,許多大量倚重高知識員工的企業,根本無力、也因為害怕招致員工反彈,而未禁止員工利用公司網路瀏覽社交網站與部落格。

舉例來說,有人能想像1家媒體的主管,下令禁止所有員工利用公司網路上網查找資料嗎?正因為這樣的禁令往往無法執行,所以Web 2.0時代所帶來的資安風險,非常容易由員工轉嫁到企業身上,最終導致企業重要資料外流。

Google是代罪羔羊?

SecTheory執行長Robert 「RSnake」 Hansen在最近的1場演講當中,也披露Google Gadget長年以來的點閱綁架漏洞,並直指Google就是因為沒有正視他所提出的漏洞,才會導致類似的攻擊行為在近年來有愈演愈烈的趨勢。

然而Google有錯嗎?當然有,但問題不可能只出在它身上,因為同樣的漏洞Facebook也發生,世界上許多有名的部落格社群,不也一再發生同樣的慘事?

筆者認為,Google不過是個倒霉鬼,雖然以它身為全球每日承載量最大的網路服務供應商,因為沒有積極修補漏洞而受到這樣的批評,不但應該,也是活該,但是重點在於,如果只把這筆帳全部算在Google頭上,其實也太小看當代的資安威脅;當前的問題,應該要由整個Web 2.0世代共同面對與承擔。

誰想回到Web 1.0?

以現況來說,還有使用者可以接受自己的部落格僅能使用少數的語法、無法外掛應用程式,而且也不能使用RSS訂閱嗎?當我們每天使用即時通訊軟體與電子郵件,和朋友、客戶互動,並利用社交網站與親人、朋友聯繫感情時,可曾想過每1個環節,都存在社交工程(SocialEngineering)攻擊手法介入的可能性嗎?

現在從8歲到80歲的上網人口,都會使用部落格,也同樣都利用層層的點選(click)行為,在虛擬世界中擴大自己的知識脈絡與人際網路。但是,當社交工程手法無所不在,所有網頁幾乎點選即受駭,大量應用程式存在安全漏洞的同時,我們還有辦法從Web2.0時代,回到那如今看起來陽春無比,甚至接近網路洪荒時期的Web1.0時代嗎?相信可以接受的人不會太多,因為「由奢返儉難」的道理,在網路瀏覽行為上也同樣適用。

資服業者保障有限 唯有人人自保才是王道

當然,隨著駭客與病毒威脅愈趨猛烈,資服業者也不斷地精進防駭技巧。雖然以成果來看,目前資服業者能為使用者提供的安全保證有限,但由於多數使用者的網路安全知識,長期處於貧乏的狀態,所以,資服業者能做的保護,可發揮的成效自然有限。

既然在Web2.0的時代,「每1位」使用者都取代了管理員,成為網路上具有高度自主性的個體,那麼,就更應該具備保護自己,並共同維護整體網路社群安全的知識與概念。當代的網路資安威脅,無法完全由資服業者解決,每1位使用者都應該具備更全面的安全防護常識,才能減低在網路上容易受到的威脅與風險。

原文出處:Domino網路日記本

e2785587 發表在 痞客邦 PIXNET 留言(0) 人氣()