微軟的黑色星期五

強化Windows安全性的轉機

2月13日黑色星期五，是許多人認為不吉利的日子，至少不是微軟的好日子，因為Windows 2000的部分原始碼遭到外洩。

在討論區和P2P工具上，很容易就可以找到203MB的壓縮檔，解壓縮後約660MB，內容包括Windows的Kernel、TCP/IP及應用程式的原始碼，雖然不可能編譯出完整的Windows 2000作業系統，但卻會對資訊安全造成很大的影響。開放原始碼促進微軟加強系統安全性

目前大多數的微軟伺服器是使用Windows 2000 Server作業系統，加上Windows XP和Windows Server 2003也共用部分程式碼，有人預期會有大規模的漏洞被發現，但也有人認為，只有外洩這些程式碼，並不會找出太多的漏洞。

敦陽科技資訊安全事業處資訊安全顧問林佶駿表示，作業系統的原始碼會讓駭客更了解系統內部的運作，找出新的弱點（漏洞），製造更有威力的病毒和後門程式。

就資安角度來看，林佶駿認為在短期內，微軟作業系統的安全威脅將會增加，因為會有一些新的漏洞會被找出，但卻不被公布，從長期角度來看，會有更多專家針對Windows的漏洞提出建議，促進微軟強化系統安全性。另外，微軟的原始碼應該可以佳惠許多開放原始碼計畫。

其實這不是微軟第一次發生原始碼外洩，早在DOS時代，就曾傳出類似的事件，而且微軟也不是唯一一家，包括Sun OS/Solaris 2.5、Cisco IOS、BSDi及Checkpoint Firewall等軟體，都曾有過原始碼外洩記錄。

有非法的原始碼檢閱方法，自然也有合法檢閱的管道，微軟的共享原始碼計畫（Shared Source Initiative）已經實施了4年，允許企業、政府機關、商業夥伴及學術機構檢視微軟作業系統及應用程式的原始碼。史上傳播第一快病毒MyDoom

如果你還有印象，去年1月25日，SQL Slammer引爆第一波蠕蟲攻擊，今年的第一波則晚一天，1月26日，MyDoom（又稱Novarg或Mimail.R）的災情就不斷傳出，更被喻為史上傳播第一快的蠕蟲，主要的原因是，病毒與垃圾郵件相結合的戰術奏效，成功的欺騙許多使用者。

MyDoom主要是透過電子郵件傳播，感染主機並取得電子郵件名單後，又再發送將其他人，增加郵件伺服器的負擔，降低網路速度，加上它具備代理伺服器的特性（proxy server），使得每臺受感染的主機都成為新的病毒郵件「源頭」。此外，MyDoom會開啟和監聽TCP 3127埠到3198埠的網路流量，允許未經授權的遠端存取行為（後門），還會在預定時間內，對特定網站發動DoS攻擊，可以說是「一魚三吃」。

與先前的病毒相比，MyDoom的騙術更加高明，除了讓電子郵件看起來像是一堆亂碼，並隨機變化郵件的主旨和附件名稱，增加使用者辦識的難度。儘管如此，MyDoom的郵件主旨還是有規可循，大都是Hi、hello、Mail Delivery System及Server Report等純英文主旨，並附加doc、text、file、data、test等文件名，和pif、scr、exe、cmd、bat、zip等檔案格式，檔案大小為22258 bytes。

在一般的情況下，很少有垃圾郵件會有附加檔案，而且我們大多接收中文電子郵件，加上基本的安全防護觀念，應該都可以避免中毒的厄運。

未來，類似MyDoom這樣的蠕蟲，將是對企業和政治性網站發動攻擊的最好武器，因為它可以利用數以萬計的電腦發動大規模的攻擊，值得注意的是，MyDoom很可能只是一個煙幕彈，因為我們不知道哪些電腦有它所留下來的後門，駭客可能用它來做些什麼事。文⊙陳世煌