資安風暴

連資安廠商也自身難保，這個上個禮拜我們才報導過的事情，在這個禮拜又發生了，好幾起鎖定特定目標的攻擊事件接踵而至，儼然是一場全球資安風暴。

在前兩個禮拜，資安公司RSA爆出網站被入侵，一些與SecurID雙因素認證產品有關的資料被人偷走了，嚴重影響了RSA在資安業界屹立不搖的地位。這個禮拜，換成另一家知名的資安公司McAfee，被YGN這個白帽駭客組織爆出網站上的多個漏洞。

McAfee以防毒防駭等軟體知名，甚至，McAfee還提供網站安全驗證服務。時常可以看到一些網站會掛上「McAfee Secure」的標章，以昭告使用者該網站經過McAfee驗證是安全的網站。然而，今天McAfee自己的網站卻被指出有多個漏洞，其中甚至有許多網站都深感頭痛的XSS（Cross-site Scripting）跨站指令攻擊的風險。

不只McAfee顏面無光，知名的開源資料庫MySQL，也被自稱為TinKode的駭客以SQLInjection資料隱碼手法攻破，包括管理員與主管在內的35個帳號全部被公開，而其中產品主管所使用的密碼竟然只是4個數字。同一個駭客接著又以資料庫隱碼手法攻進昇陽的網站，公布了資料庫的相關資料，在前一個禮拜，他們還駭進了防毒軟體Nod32的公司網站。

如果你還有印象的話，在今年初喧騰一時的WikiLeaks事件中，美國有一家資安公司HBGar y，曾經揚言要揭發在背後支援WikiLeaks的駭客集團Anonymous的成員名單，結果引來Anonymous的攻擊，使得HBGary公司執行長的5萬封郵件全數被公開。

這些事件，既突顯了針對性攻擊的嚴重性，亦指出了網站應用安全防護在整個安全防護網上的脆弱。

曾經有一位資安專家跟我說，他的電腦都不裝防毒軟體的，我聽了還以為是玩笑話，他接著說，如果駭客真的非要偷他的資料不可，那麼一定會針對他的情況擬定攻擊手法，所用攻擊程式也絕不會是一般常見的工具，而一些只能掃描已知安全威脅的資安軟體，就完全派不上用場，有裝等於沒裝。

他說的情況在政府單位曾經發生過，雖然對於一般人而言可能過於極端，一般人最好還是要安裝該有的防護措施，但這個說法卻點出了資安防護上的一個大盲點：不要以為有了防毒軟體、防火牆等等的措施，就不怕被入侵了。資安防護從來就不是一件容易的事，從這些資安公司被入侵的案例來看，若駭客以高超的手段、複雜的手法（上自DNS攻擊，下至社交工程），那麼既有的防護體系若有任何的弱點，可能就會讓駭客得逞了。

所以，要做好安全防護，不僅是部署防護設備，也要更加重視應用程式的安全，上述的資料庫隱碼攻擊、跨站指令攻擊，都是利用網頁程式的漏洞而得逞的。關於這方面的探討，最近幾期的「程式人」單元，就在教導撰寫程式時如何避免SQL Injection、XSS的問題。（請見第36頁）

此外，本期封面故事所探討的行動應用安全，亦是企業必須及早面對的新風險。隨著企業員工開始使用iPhone、Android等智慧型手機，企業得開始評估來自手機的風險，例如手機可能外洩資料，或是3G網路連線能否被有效管制，這些都有可能為未來帶來風險。（請見第24頁）