[轉貼]CA(組合國際)點名多家P2P軟體藏危機

在爆發警察機關與企業因使用FOXY造成資料外洩事件後，CA（組合國際）進一步檢測多款P2P軟體後指出：受測14款P2P軟體「全部有問題」。
FOXY引發的資料外洩事件再度引起社會對P2P軟體安全性的討論，CA今(23)日發表資安警訊，指出包括FOXY、BitComet、eDonkey、Utorrent、Ares、Azureus、BearShare、Lphant、Shareaza、Hamachi、exeem lite、Fpsetup、Morpheus、iMesh等共14款常見P2P檔案分享交換軟體，全部都存在安全威脅。
而這些P2P軟體的潛在威脅來源包括可能會覆寫檔案、為檔案重新命名、刪除檔案，或被第三方植入惡意程式等，但執得注意的是，一種名為API HOOK、可用來隱藏真正執行程序的技術，卻廣泛被P2P軟體採用，「背後隱藏很大的資安風險，」CA技術顧問林宏嘉表示。
所謂API HOOK技術，趨勢科技技術顧問簡勝財解釋其為一種程式語法，可用來攔截、中斷或是監聽程式指令，為微軟在其作業系統中提供之介面，讓軟體開發商可藉此執行作業系統部份功能，且廣泛被使用於各種軟體上，他舉例指出，該公司的防毒軟體也利用此一技術，來監聽、掃瞄通過記憶體中的檔案。
林宏嘉則補充，API HOOK技術可用於改變API執行結果，亦即能夠隱藏檔案、目錄、登入檔機碼，乃至系統真正執行的程序。透過API HOOK，可使某些程式在背景執行，「使用者無法察覺，也難以得知軟體究竟在電腦上做哪些事，」他說。
根據CA的測試，包括FOXY、BitComet、eDonkey、Lphant、Shareaza、Utorrent以及exeem lite，都採用了API HOOK技術，林宏嘉表示，雖然API HOOK技術本身具中立性，也不是電腦病毒或惡意程式，「卻可被用來隱藏攻擊者的行為及目的，類似高隱密性的Rookit，」他說。
不過，目前並沒有證據顯示上述軟體採用API HOOK技術的目的在進行非法行為，但資安專家的確藉由分析特定軟體的程式碼以及行為，發現不合理之處。
以FOXY來說，CA資安專家分析道，該軟體利用API HOOK技術隱藏真正分享之路徑，程式碼中甚至還允許撥號至本機(Dial in)的遠端連結(Remote Access Service)，他表示，雖然允許遠端連結在P2P軟體中並非FOXY獨有，「但P2P軟體的程式碼允許他人以撥接方式連回，相當不符常理，」他表示。
除了P2P軟體本身採用的技術可能隱藏安全風險，資安專家亦警告使用者小心綠色軟體可能帶來的風險。
所謂綠色軟體(Greenware)，是指在網路上免費發放，具有檔案小、不必安裝、節省系統資源等好處的軟體，且大部分皆開放原始碼，供人修改或增加功能。
但顯然駭客也看上此點，將部分P2P軟體之程式碼改寫，提供所謂加強版或綠色版的免安裝版本，吸引使用者下載使用，甚至避過企業內部不准員工私自安裝軟體的規定，但實際上卻在這些版本中植入惡意程式。
CA便發現一款「綠色版」的FOXY軟體，會將使用者的整個硬碟分享出去，林宏嘉分析道，可能有不少使用者使用的是綠色版軟體，還以為很安全，「實際上綠色軟體可能一點都不綠！」他說。
資安專家提醒，P2P軟體的安全性絕非僅透過分享資料夾的設定就能避免資料外洩，林宏嘉便說，某些P2P軟體所採用的技術，很難讓人確知到底在傳些什麼資料出去，他建議，企業可部署主機端入侵防禦系統(Host-Based Intrusion Prevention System, HIPS)，搭配基本的防毒、防間碟及防火牆等機制，確保安全。
資料來源：Taiwan.CNET.com : 新聞專區 : 企業軟體 : CA點名多家P2P軟體藏危機
恐怖喔~ 綠色版的FOXY讓你臉綠綠喔 ?