2008年3月26日 星期三

隨身碟感染的總結(Summarizing USB Device Infection)

這兩天在ZDNet上連續看見兩篇文章《網路流傳的隨身碟防毒招數有效嗎?》,《開源碼隨身碟防毒軟體》,原文應為OSSF的《避免隨身碟病毒,只需 1 招

其實我原本看到前篇時(ZDNet將其分成兩篇),心裡就有個疑問,那如果已經中毒的怎辦,直到後半段刊出後,我才發現,原來它著重的是預防,讓我心裡的疑問頓時消失不少。

這個隨身碟防毒KAVO系列的話題,在網路上也延燒的夠久了!直到現在,各家防毒軟體都可以認出它的蹤跡,仍然無法制止它的擴散,最大的感染源應該是人手一顆的隨身碟。無論是預防或是治療?我一直在想,這應該已經喚醒使用者的某些觀念了吧!?實際上卻不然...


如果你有看了OSSF的文章之後,它針對現在網路上常見的解決方法,都有蠻深入的說明,最後再補上它們利用Ruby寫的程式來加以預防,我看完之後「喜憂參半」。

的是,它解決了很多網路上使用者的疑惑,而且也告訴大家預防的重要性;的是,如果每種不同的惡意程式,都得在電腦裝上不同的軟體來檢測,在還沒解決問題前就先把自己的電腦給拖垮了吧!(如果都採用常駐的模式)

因為這個惡意程式的狀況比較特殊,一般防毒軟體來說,很難有根治的方法,防毒軟體原則上不會越權去更動你的登錄檔資料(頂多是監控)。

如果能夠把相關的惡意程式都完整的清除,就算登錄檔沒有修正,頂多是覺得使用起來比較不方便(多數使用者感覺不深,如果太深,惡意程式不就很快被發現了嗎?)

早先,我自己對這次的感染事件,一路從只能挨打,到現在不慌不忙的處理,也看過它變種不少次,但是使用者觀念真的變好了嗎?如果有跟一定量的使用者打過招呼的人,應該就能夠理解我所說的狀況,真該歸功於隨身碟的發展嗎?

我們只能夠憑藉著各式軟體(防毒軟體、xx殺木馬幫手、USB xxxx、kavo xxxx...等),幫使用者阻擋預防清除解毒,一但有人中獎,免不了就是要使用者去旁邊休息一下,我們再手工幫它處理(我知道有很多工具可以用,我還是用手動解決)。

因為這種惡意程式滲透的途徑太多,例:郵件轉寄(最大宗)、挾帶程式碼惡意網站(次之)、檔案傳遞、甚至P2P的檔案...等,都是入侵的管道,如果能夠把這些滲透的管道都封鎖,應該能避免大規模的爆發(如果真的能夠封瑣的話...)。

除此之外,就是使用者的教育宣導,這部份如果你「親身」體驗過的話,除了「明文禁止嚴刑峻罰」之外,再多的教育跟宣導,經常都會流於看笑話恫嚇表面功夫而已,我想這應該是資安宣導固有的特殊文化吧!

我覺得針對隨身碟感染惡意程式病毒這件事,早應該跳脫該怎麼預防清除,而是該如何加強使用者的觀念,不然最後還是只能「有錢的出錢買設備、買工具沒錢的出力耗時間、練腳力」,再不然就是來個統一禁用USB,話說回來,據說未來滑鼠跟鍵盤都只用USB,準備跟PS/2告別,那以後連滑鼠跟鍵盤也一起禁用嗎?(這不太可能吧!?)

根據惡意程式的特性,就算是網路磁碟機也具備相似的特性,所以除了封鎖USB之外,難不成連網路磁碟機也禁用嗎?還是大家都用FTP還是WEB SITE來傳輸共用檔案?我一直相信一昧的禁用不是解決問題的方法。

但是大部份的IT人員,還是得用禁止的手段來解決吧!很多時候我們所做的事,都是「不問經過,只要結果」。(如果沒出事,一般使用者或上司也不在意過程!)

最後,希望隨身碟的風波能早點落幕,如果沒意外的話,這應該是這系列的最後一篇文章(如果沒有什麼新手法又出來...),不過,有了這次經驗之後,我想會有更多惡意程式的製造者,會往這個模糊地帶進攻,所以各位IT業的同好們,下次如果有什麼新的發展,還請不吝賜教,這樣才能在大量爆發之前,先準備好解決之道,這才是網路最大的力量吧!