駭客使用Fuzzy手法找漏洞成趨勢

今年陸續發生多起駭客利用應用程式的漏洞，在其更新程式（patch）出現之前，發動零時差攻擊（Zero Day Attack）。而根據資安專家觀察，駭客多是利用Fuzzy手法，系統性的找出應用系統的可能漏洞。

所謂的Fuzzy手法，其實就是模糊理論，駭客用黑箱測試方式，以資料探勘技術進行資料比對、分類，篩選減少比對的資料量。駭客每次修改應用程式的2個位元組，如果該版本會造成系統當機，便會予以保留；未來只需要針對這些應用程式版本，進行研究，就有機會找出可用的漏洞。

長期觀察各種系統漏洞，並在今年6月全球率先回報微軟Word漏洞的行政院研考會技服中心專案經理翁世豪表示，以往駭客往往必須碰運氣，或者是拿到程式原始碼（即白箱測試），才有辦法找出應用系統的漏洞；但現在駭客透過這種Fuzzy方法論，往往只需要自行寫某些自動化執行程式，便可系統性的測試應用系統的漏洞；相較以往駭客必須拿到原始碼才能找到更多程式漏洞，找程式漏洞的門檻也較以往低。

翁世豪說，近期微軟被發現的各種Word、Excel和PowerPoint漏洞，因為在短期內、系統性的被發現，駭客採用Fuzzy方法論發現程式漏洞的可能性最高。翁世豪認為，程式系統開發廠商與人員，首先是過濾各種可能的攻擊來源，利用電腦模擬的虛擬環境，將可疑的漏洞程式置入做測試；其次，則是讓程式弱點不被觸發，意即監控各種常見的弱點行為，例如緩衝區溢位（buffer overflow）等；第3則是進行災害控管，不論是將受駭系統即時還原，或者是透過資安監控中心進行監控，都可有效降低駭客利用Fuzzy手法找漏洞，所引爆的資安威脅。文⊙黃彥棻