Google列出危险网站,安全风险评价摊在用户眼前
发布日期:2007-06-12 浏览次数:
根据Google在线安全部落格最新资料,截至5月21日,Google安全小组已检测1千2百万个可疑连结,其中约1百万个网页连结判定为会产生路过下 载(Drive-by-download)恶意程序的行为。恶意网页的侦测结果,现已经反映在Google搜寻处理中,不少台湾常见网站也因为被视为恶意 网站,尽管具优先的检索排名,使用者却无法直接点选浏览。
Google安全小组发布恶意网站分析报告说明Google的判定方法。主要从已索引(2006/3/21至2007/3/21止)的数十亿网页 连结中,以简单启发式算法(Simple heuristics)选出其中450万个有效网址进行深度分析,在虚拟环境中执行IE浏览器,透过自动程序浏览这些网址,监控虚拟环境的系统变动如所有 档案与注册码的异动,来找出有问题的网址。
采连坐原则判定,纳入第三方连结内容的影响
Google采路过下载的恶意程序判定原则,指在追踪网址的浏览过程中,若可不需使用者同意,仍会自动下载或执行恶意程序,Google就会将此 连结判定为恶意连结。另外也考虑网址生命周期,存在时间超过一周的恶意连结,才被Google视为是有效恶意连结。Google判定方式具有连坐效应。在 一个网站中,除网站企业主所提供的内容外,还可能包括使用者贡献的内容、第三方串连广告以及其它来源所提供的网页内嵌小工具(Widget)。
依据浏览结果判定的优点是,不需进行网页内容程序代码的判读,分析速度较快,涵盖面也较完整,贴近使用者实际浏览时的状况。即使恶意程序经过编码,难以直接辨识,但会产生恶意程序下载时,也会被侦测出来。
连坐效应进一步还运用在Google搜寻结果中。Google以网站为基础,当网站中多数网址或主要网址均遭判定为恶意连结时,以此网站会被判定为恶意网站,于搜寻结果中,所有该网站的相关连结都将被加上恶意网站的警告标示,同时也限制使用者直接开启这些连结。
Google将企业网站安全风险直接摊在使用者眼前
这就是所谓的Google网站安全警告服务:直接于搜寻结果中,针对已被检测出恶意程序的网站,会于网址下方,直接标示恶意网页的警告,提醒检索 的使用者避免进入该网页,甚至会阻止使用者直接点选搜寻结果清单中的连结。使用者若想浏览该网址,需自行于将网址复制到浏览器网址列中执行,才能进行浏 览。对使用者而言,企业网址若未能通过Google的安全检测,即使出现在搜寻结果清单中,浏览便利性也大幅降低,等同降低使用者对该企业网站的使用意 愿。
过去这类被入侵的网站案例,多流传于网络安全的特定几个技术论坛或部落格中,台湾少数资深安全技术网站的站长也定期汇整出高风险网站清单,例如 「大炮开讲」部落格站长邱春树,他经常汇整各方发现受害网站,建立网站黑名单并定期追踪修复情形。一方面提醒网友避开危险网页,同时希望提醒网站企业主修 复网站。这些高风险网站名单,仅流传于少数技术社群,或原本已具高防护力的网络使用者。除少数机敏性信息服务的企业体,例如金融业,会慎重因应与处理相关 网站安全漏洞外,对多数网站的企业主而言,不见得能直接感受到网站入侵的杀伤力与安全修正的迫切性。甚至质疑社群的侦测结果。
企业需面对金融信息等级的安全期待
Google对恶意网站的警告,不仅是宣示企业网站的安全风险,还将原本专属于特定服务网站中,高机密敏感信息的安全风险,复制到每一个被贴上恶 意网站标签的网页。对使用者而言,是否浏览这个被宣告具恶意程序的企业服务,不仅考虑该服务内容的敏感性,还需担忧是否会因浏览这个恶意网页,而导致个人 数据、信用卡数据、银行账号密码等敏感数据的外泄。
比如说,当使用者透过搜寻引擎查询电视节目表时,若发现该节目表网页遭入侵,成为恶意网页,使用者就会面临抉择,是否愿意冒着泄漏个人信用卡数据的风险,来查询待会要看的电视节目名称,若相同功能但安全的连结一起并列,使用者会打开哪个连结,结果显而易见。
过去使用者无法得知企业网站的安全程度,往往不易唤起使用者潜在的安全顾虑。Google将风险的关连性显现使用者的浏览器画面中,使用者检视连 结的同时,自然会察觉到安全上的顾虑,进而评估选择的后果。也就是说,企业网站不论内容为何,都将受到使用者高规格的安全标准,甚至会被视为与个人隐私资 料或金融数据同等价值的信息。企业将面临新的挑战,以本身的服务内容,来规画网站的安全设计,已不能满足使用者,更需从使用者经验过的最高信息安全规格审 视自身网站。
恶意网站警告及时性不足,解除费时恐有争议
趋势科技技术顾问戴燊肯定Google的做法,他认为这将使企业主动面对网站资安问题。但他表示:「恶意网站警告的及时性是关键,能否迅速发现,达到警告使用者的效果。或者企业移除恶意程序后,能否迅速解除,维护企业网站的商誉,配套措施必须完整才不易引起争议。」
目前Google辨别恶意网站的速度,平均每天可处理30万个可疑连结,存在超过一周的恶意网址,才纳入警告范围。以Google数十亿网页索引量,短期内恐难以及时发现恶意网站。
目前市面上亦有不少防护工具,可提供恶意网页警告机制,如IE浏览器、Yahoo!工具列、McAfee的SiteAdvisor或多数防毒软件 等。但采取与Google不同的做法,多数针对使用者所浏览的单一网页进行检查,当出现路过下载恶意程序的行为时,会提醒使用者危险,同时拒绝连结。 Google采连坐管制方式,可能会导致过多连结不易浏览,引起使用者反弹,扩大了恶意连结的影响效果。
对Google误判或已修复的网站,网站主需自行申请第三方机构复查,结果送Google后,才能移除警告标示。申请程序未提供中文版,企业主恐 怕不易于短时间内立即解除状况,商誉受损时间恐会比恶意程序实际影响维持更久。短期可能会引发网站企业主对网站安全检测评鉴以及相关安全防御机制的需求。 企业主不得不越来越重视上线前安全检查、平时维运的安全监控与防护机制,避免遭入侵后耗时解决引起的损失。