安全廠商指出，包括視頻共享網(wǎng)站如YouTube，以及如MySpace一類可分享、交流媒體文件的社交網(wǎng)站，吸引許多網(wǎng)友在上面大量交換、下載文件，可能助長(zhǎng)偽裝的惡意程序散布，成為病毒天堂。

趨勢(shì)科技表示，2006年底出現(xiàn)了第一只概念驗(yàn)證（proof of concept, POC）型態(tài)的木馬程序“TROJ_MPEXPL.A”，該程序會(huì)利用“XMPlay v3.3.0.4”播放程序的安全弱點(diǎn)，使用者執(zhí)行該程序后，便可能被攻擊者通過(guò)特制的ASX文件散播，發(fā)動(dòng)緩沖區(qū)溢位（buffer overflow）攻擊，遠(yuǎn)程攻擊者便可趁機(jī)在受感染的系統(tǒng)上執(zhí)行任何文件。

所謂概念驗(yàn)證型態(tài)的病毒，指該病毒是為了證明某種感染方式可行而被設(shè)計(jì)，本身不一定有害，但其感染方式一旦被證明為可行，往往會(huì)引起仿效，出現(xiàn)其它利用同一概念設(shè)計(jì)的病毒。

趨勢(shì)技術(shù)臺(tái)灣地區(qū)支持部技術(shù)總監(jiān)王應(yīng)達(dá)解釋，發(fā)現(xiàn)此木馬程序的意義在于，證實(shí)新技術(shù)的存在后，未來(lái)這種利用播放程序弱點(diǎn)，或其它偽裝成媒體文件的惡意程序?qū)��?huì)越來(lái)越多。而在Web 2.0風(fēng)潮下，網(wǎng)友大量分享媒體文件，恐會(huì)助長(zhǎng)此類病毒散布。

Web 2.0并沒(méi)有清楚的定義，但一般用來(lái)區(qū)別單向、靜態(tài)的Web 1.0，強(qiáng)調(diào)其互動(dòng)、多元、開放、共享與使用者的主動(dòng)性。

但令人擔(dān)憂的是，各式各樣打著Web 2.0互動(dòng)分享精神的網(wǎng)站大受歡迎，在改變網(wǎng)絡(luò)使用者習(xí)慣的同時(shí)，也可能為信息安全開了后門。

賽門鐵克臺(tái)灣區(qū)技術(shù)顧問(wèn)總監(jiān)王岳忠指出，以往安全的概念是要“筑城墻”來(lái)保護(hù)自己計(jì)算機(jī)的安全，但互動(dòng)分享精神主張的卻是要“打破城墻”，兩種概念是完全相反的，當(dāng)然會(huì)嚴(yán)重威脅安全。

王應(yīng)達(dá)補(bǔ)充說(shuō)，在日益普遍的博客上，RSS等技術(shù)也會(huì)讓使用者更不設(shè)防地連上自認(rèn)安全的網(wǎng)頁(yè)，增加安全風(fēng)險(xiǎn)。王岳忠解釋，過(guò)去的病毒來(lái)源主要是email和瀏覽網(wǎng)站，在Web 2.0時(shí)代，威脅的來(lái)源、形式則更多更廣。

威脅本質(zhì)變化不大

不過(guò)，通過(guò)社交網(wǎng)站進(jìn)門的許多安全威脅，看在專家眼里，也不過(guò)是換湯不換藥。

CA臺(tái)灣區(qū)技術(shù)顧問(wèn)林宏嘉就不認(rèn)同Web 2.0及社交網(wǎng)站會(huì)帶來(lái)所謂新的安全威脅，因?yàn)閮烧吆鸵话憔W(wǎng)站并沒(méi)有明顯的界限，他說(shuō)。

林宏嘉舉例，在社交網(wǎng)站上最普遍的安全問(wèn)題就是通過(guò)社交工程(social engineering)像是惡意程序在交換、下載文件過(guò)程中無(wú)意間被傳布與執(zhí)行，導(dǎo)致詐騙、網(wǎng)釣(phishing)攻擊。“但這些都不是新的攻擊行為，跟網(wǎng)釣郵件、電話詐騙一樣，天天都在發(fā)生�！彼�說(shuō)。

他指出，社交網(wǎng)站風(fēng)潮導(dǎo)致其安全性問(wèn)題被進(jìn)一步突顯。許多攻擊手法“只是換地方發(fā)生罷了，”他說(shuō)。

林宏嘉認(rèn)為，把病毒、網(wǎng)頁(yè)全部在網(wǎng)關(guān)端擋掉，看似合理，但卻不可能擋掉所有威脅。他還說(shuō)，不論是各家廠商宣稱可判斷網(wǎng)站安全性的公式、或內(nèi)容過(guò)濾機(jī)制，都有其限制，永遠(yuǎn)都可能有新的威脅逃過(guò)封鎖。他認(rèn)為，除了基本的防御以外，使用者行為的管理或?qū)Π踩�的自覺(jué)也相當(dāng)重要。

王應(yīng)達(dá)亦認(rèn)為，就安全的角度來(lái)看，安全威脅的本質(zhì)并沒(méi)有太大的變化。他補(bǔ)充，使用者在網(wǎng)上的行為，才是引發(fā)危害的關(guān)鍵。

他以企業(yè)中的網(wǎng)絡(luò)使用為例解釋，企業(yè)很難真正限制員工以公司電腦連上可能有安全漏洞的社交網(wǎng)站，員工行為難測(cè)，便會(huì)成為防護(hù)的隱憂。

為了防止員工使用社交網(wǎng)站導(dǎo)致的風(fēng)險(xiǎn)，他建議應(yīng)該把安全防護(hù)拉到最前線，采用網(wǎng)關(guān)端（gateway）的防護(hù)，通過(guò)網(wǎng)站過(guò)濾機(jī)制封鎖黑名單上的危險(xiǎn)網(wǎng)頁(yè)，讓員工根本無(wú)法瀏覽。

賽門鐵克則主張Security 2.0概念提供消費(fèi)者保護(hù)。王岳忠說(shuō)，一般使用者除了確保計(jì)算機(jī)設(shè)備本身的安全（device protection），還需要加上互動(dòng)過(guò)程的防護(hù)（interaction process protection），讓使用者通過(guò)軟件確知自己上的網(wǎng)站安不安全。

標(biāo)簽： 安全 漏洞 媒體 企業(yè) 網(wǎng)絡(luò) 網(wǎng)站 問(wèn)題 信息安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。