2015 年 7 月 14 日,全球企業普遍採用的 Microsoft Windows Server 2003 在服役了將近 12 年之後,終於功成身退。對於數以百萬計的企業伺服器來說,這表示未來將不再有安全更新可用,進而陷入嚴重的資安風險當中。現在,我們又快要面臨另一個伺服器作業系統即將功成身退的局面,那就是:Windows Server 2008 與 Server 2008 R2,這兩個版本很快就會在 2020 年 1 月 14 日終止支援。
儘管如此,許多企業的日常營運仍非常仰賴 Windows Server 2008 來運作,例如:目錄伺服器、檔案伺服器、DNS 伺服器,以及電子郵件伺服器,這些都是企業關鍵應用程式所可能用到的內部服務,包括:Active Directory、檔案分享、內部網站等等。
今日世界已經遠遠超越機械裝置與單純邏輯的時代,我們可透過程式設計對一個複雜系統的各個不同層次進行邏輯改造,從裝置的主機板元件和微處理器到企業內及雲端上的系統皆然。這無疑地能讓效率和生產力提升至原本無法達到的境界。但是,凡事都有優缺點,軟體的缺點包括:
不僅如此,當功能被設計成軟體的形式,也意味著擁有裝置的使用者可自行修改功能。任何人,不論是裝置持有人或駭客,都能經由公開的資訊來了解系統的內部運作。
在許多情況下,軟體有正當的理由必須更新。有時,軟體更新是為了提供原本已宣傳、但出貨時卻來不及加入的功能。因此,裝置開箱、連上網路、下載最新軟體以獲得最新功能,對今日的消費者來說就像家常便飯。但像這樣的更新不一定每次都很順利,有時候功能遠比預期還晚推出,或者功能根本就不如原先所預期。
除此之外,一些透過更新取得的功能,也可能導致不預期或不良的後果。例如:Spectre 漏洞最初的修正就會導致某些系統的效能變慢。除了 CPU 效能問題之外,有些案例是儲存效能也受到影響,而這又可能進一步影響系統的其他效能,因為資料讀取速率突然變慢。
大體而言,裝置能自動更新對使用者來說是件好事。許多裝置軟體所發生的問題,可透過更新來修正當然最好。只不過,軟體更新有時候也可能反而讓裝置變得無法使用。這樣的問題通常是因為更新規劃不當,或是硬體上的變異所造成。例如裝置用到一些不良 (或仿冒) 的晶片 (這樣的情況並非罕見),所以才會讓裝置在更新後出現異常行為,甚至變成磚塊 (完全不能用)。
繼續閱讀
雖然網路釣魚活動在2019年上半年顯得較為平靜,但它仍是網路犯罪分子的主要攻擊武器。最新的例子是Heatstroke網路釣魚(Phishing)活動。
Heatstroke使用了圖像隱碼術(Steganography)等複雜的技術,不只是冒用合法網站等多樣化的社交工程手法。Heatstroke操作者鎖定受害者的私人郵件地址,尤其是免費信箱,其中包括了科技產業的主管和員工。由於免費信箱安全防護和垃圾郵件過濾機制比較薄弱,而且私人郵件也常被用來驗證社群媒體和電子商務網站,以及作為Gmail和企業帳號的備用帳號。特別是Gmail帳號;取得權限的攻擊者也可以存取受害者的Google雲端硬碟,甚至可能會危及連結帳號的Android裝置。因此,跟防護較高的企業郵件帳號比起來,這些免費郵件帳號是攻擊者偵察及收集目標情報更好的起點。
Heatstroke操作者使用下列策略來隱藏自己的踪跡:
被偷的帳密會用圖像隱碼術(Steganography)(將資料隱藏或嵌入到圖檔裡)送到特定的郵件地址。我們在研究過程中監測到兩個相似的釣魚套件 – 一個針對Amazon使用者,另一個則會竊取PayPal帳密。
繼續閱讀系統由軟體所掌控的另一個結果是,掌控系統的人可以透過程式化來改變系統在各種狀況下的行為。很多產業都會有一些廠商會透過推播的方式來幫客戶更新軟體,但有些時候客戶並不領情。
一個例子就是廠商假借按計畫逐步淘汰的名義,強迫客戶提早更新。他們可能在產品設計上動手腳,讓產品在經過幾年之後就自然故障,確保客戶會定期汰舊換新。近年來,我們經常看到廠商透過軟體方式來達到這項目的,刻意不讓某些裝置升級至最新軟體,或者操弄裝置的特定功能,如電池續航力。
一般來說,軟體的檢驗是一項相當困難的工作,前述案例即可證明。掌握軟體的人若想操弄軟體或隱藏某些狀況,通常都能很有效地達到目的。這在真空管與拉桿的時代就很難辦到。