最近幾個月來,網站被植入惡意連結的事件層出不窮,幾乎每天都有網站受害,而且,這些網站並非只是小型網站,有些大型網站也不能幸免於難。甚至,有些網站在事件爆發後仍久未處理。

為何這類型事件會如此頻繁地發生呢?是駭客太厲害了嗎?本期的封面故事,我們深入追蹤這個事件,發現並不見得是攻擊者的厲害。熟悉這類攻擊手法的資安專家告訴我們,這些攻擊事件仍然是以常見的攻擊手法得逞的,只是攻擊目標轉移至網路伺服器,在網頁中植入了惡意程式連結,導向至惡意網站,自動下載惡意程式安裝在瀏覽該網頁的電腦。

資安專家說,這類攻擊大多數仍舊是利用作業系統、網站伺服器、應用程式的漏洞,並不是「高手」的作為,很可能只是利用現成的攻擊軟體。這些漏洞大多數都是已公布的資訊,甚至軟體廠商也提供了漏洞修補程式。

既然都是已知的漏洞,為何還讓駭客有機可乘?甚至在資安專家持續公布受害網站、提醒大家注意的情況下,此類事件還是層出不窮。深究其因,這個事件突顯了臺灣網站安全的極大危機。

現今要架設網站非常容易,因為有許多輕易就可取得的軟體套件,只要找個有經驗的工程師外包處理,企業不必雇用專職資訊人員,也可以架設企業網站或電子商務網站。

這種一次外包網站開發模式,是多數臺灣中小型企業所採用的方法。在網站安全威脅還不嚴重的情況下,這種方法既經濟又快速,但是,在今日網站安全威脅加劇的狀況下,這種方法讓網站安全顯得漏洞百出。

因為採取一次外包網路開發模式,許多臺灣的網站是乏人照顧的,因而即使軟體廠商已經公布了漏洞修補程式,有許許多多的網站並不會立即修補這些漏洞,如此就讓駭客有了可乘之機。這個問題的嚴重程度,由多個網站在被攻擊數月後仍未見修改即可看出。

對於無法雇任專人專職開發網站,許多中小企業主心中也有頗多無奈。經營者既想透過網站來做生意,就希望營造一個顧客能常光顧的環境,網站安全能做好當然是更好,但總無奈於沒錢雇任專職資訊人員。

現在,或許網站經營者還可以在這般無奈下持續維持網站的經營,但是,可預見的將來,如果你沒辦法做好網站的資訊安全,不論你有多麼地無奈,顧客就是上不了門。

首先發難的是網路界令人敬畏的Google,因為Google開始掃描全球的網站,針對其安全風險給予評價,若該網站的安全風險過高,Google將採取一連串的措施來告知搜尋引擎使用者,使用者將無法直接連結該網站。

在我們截稿的當下,以Google搜尋「王建民 ESPN」,在Google的搜尋結果中,「ESPNSTAR中文網」連結下面,Google就直接註明了:「這個網站可能會損害您的電腦。」,即便我們發現ESPN中文網已經修正了安全漏洞,但Google對於這個網站的安全評價仍未立即修正。

在Google之後,其他組織也打算這麼做。不論目前這種做法是否有爭議,但所透露的訊息是再明顯不過了:未來,網站不安全,顧客就上不了門。

專欄作者

熱門新聞

Advertisement