网路病毒传播与侦防机制策略研究-中华民国资讯学会.doc

網路病毒傳播與偵防機制策略研究 高大宇、王旭正 中央警察大學資訊管理研究所 摘要 資訊科技的快速發展非但吸引政府機關、資訊安全專家及犯罪團體的注意，也成為現代資訊犯罪新穎攻擊手法的依據。如病毒程式或電腦駭客可透過網際網路的延伸與蔓延，攻擊全世界的各個電腦系統，所造成的潛在危害不僅難以估計，亦暴露出資訊系統本身存在的安全問題。如何有效抑制電腦(網路)病毒未經合法授權的侵入攻擊已成一極需解決的嚴重議題。本文依據偵辦電腦病毒與網路入侵等實例案件，來探討病毒傳播的途徑與偵防方法，並透過CIH車諾比病毒的深入介紹，能激起電腦使用者安全防護上的省思。 壹、前言 因為工作上的關係經常會遇到民眾利用電腦來從事一些犯罪行為，就會想起書本上對電腦處理原理的另類解釋：「GARBAGE IN, GARBAGE OUT」(垃圾進，垃圾出)，電腦本身只會依據人們給它的規則與邏輯去作運算或處理，並不會真實地判斷事物。即使我們在操作電腦系統新增功能時，螢幕出現：「該筆資料未重覆！」或「資料已新增！」，我們是否真該相信螢幕所出現的訊息？在電腦程式設計的過程中，APPEND(新增)與DISPLAY(顯示)是兩種不同的指令，螢幕出現「資料已新增！」訊息是因為程式設計者下達了DISPLAY(顯示)指令，至於APPEND(新增)指令是否真的亦有執行，則需檢視原始程式或資料庫檔案始能知悉。 相同的情形反映在電腦病毒上，我們亦可思索以下的問題：當掃毒軟體於螢幕上出現「本電腦未發現病毒！」字樣時，我們是否就真的相信沒有病毒？一般掃毒程式只不過是依據程式設計者給予它的邏輯，去判斷電腦中是否有病毒的特徵而已，並很難具有偵測未來病毒程式的功能。猶記得民國八十年三月六日所爆發的米開朗基羅病毒，因很多掃毒程式無該病毒之病毒碼，亦無法得知該病毒的唯一識別碼，使得當天有很多人的硬碟均被破壞[4]。其病毒防治原理為根據某一部份的特徵(即唯一識別碼)，去比對每一個可執行之程式，有該特徵者則判定為該病毒，但因病毒隻數過多而經常造成誤判，面對新病毒，則往往因不知其特徵，使電腦檔案早已中毒而不自知。 現代社會的運作模式不出經濟學上的兩大原則：供給和需求，例如有盜匪才有警察，有電腦病毒才有防毒軟體。電腦病毒存在於世上，每年不定期造成電腦毀壞事件也不知凡幾，雖然每次碰到後都咬牙切齒，推託於防毒軟體的不爭氣，終究得怪自己亂拷貝來路不明的檔案。而最近的CIH車諾比電腦病毒事件讓我們更加注意高科技電腦資訊所衍生的問題，雖然這只是茶餘飯後閒聊的話題，也會隨著人們的記憶逐漸淡忘，但在這新聞事件的背後，卻讓我們思考什麼是網路病毒？什麼是CIH車諾比電腦病毒？有鑑於目前國內的研究學者鮮少對利用網路入侵的電腦病毒偵防機制作深入探討，為使相關權管單位與執法機關於未來處理網路病毒案件時能更為駕輕就熟，我們僅以偵辦電腦病毒與網路入侵等案件所累積的實務經驗，從「網路病毒之偵防機制」角度來研究電腦病毒相關案件的偵防策略。我們希望藉本研究的成果，達成下列目的： 1.瞭解電腦病毒與網路病毒的特性與關係。 2.作為國內相關權管單位與執法機關處理有關電腦病毒案件時的參酌。 3.提供一般電腦使用者防護網路病毒（或電腦病毒）的依據。 貳、電腦病毒與網路病毒 電腦病毒藉由網路的延伸觸角，擴大了感染範圍，也加深了危害網路使用者的可能性，如此之感染方式，我們稱之為網路病毒感染。網路病毒的潛在影響同時也激起網路安全的防護省思。早期，對於電腦安全的探討，大家總認為原版的電腦軟硬體廠商均會致力於確保電腦系統某種程度的安全，只要使用者不到公眾網路下載程式及執行共享軟體，就能免於病毒感染電腦及程式執行錯誤的發生[3,6]，因為使用來路不明的程式軟體容易感染電腦病毒或木馬程式，對於電腦系統潛藏的危害將會加深。事實上，共享軟體是有不安全的潛在隱憂，但正版的電腦軟硬體有時依然會有一些錯誤臭蟲(BUGS)的存在，在遇到某些特殊狀況時，這些錯誤臭蟲依然可能會毀損電腦檔案或是反應出錯誤的結果。如西元一九九四年被披露的INTELL PENTIUM 處理器(PROCESSOR)浮點數問題(在多次除數運算下，會導致明顯的錯誤結果)，便是因為品質不良程式設計所產生的錯誤結果，只是當軟體運作異常而無法發現真實原因時，我們通常會認定為該系統可能感染了破壞性病毒[6]。 一、電腦病毒 在本文中所採用的電腦病毒定義為「能藉本身程式碼進行感染、潛伏、隱藏及發作的小程式」[3,5]。當觸發事件(TRIGGER EVENT)發生時，便開始透過各種方法侵入使用者的電腦，達成其惡作劇或破壞資料的目的。身為電腦的使用者，只要瞭解電腦病毒的各種特性，將有助於我們對抗電腦病毒，並讓所造成的災害減到最低。就電腦病毒的基本特性而言，具有啟動性、複製性、傳播性及寄居性等四大特性[4,5,7]，其分述