2010年重大信息安全事件回顾：Stuxnet的喧嚣与真相

2010年，有一种蠕虫病毒，号称史上最先进病毒，让伊朗的核计划进程倒退两年。但对于大多数电脑用户来说，Stuxnet的危害无疑被夸大了许多，它既不偷盗数据，不促销假防病毒软件，也不会大量传送垃圾讯息。而且Stuxnet只是利用了现成的技术而已。

2010年间最受安全产业关注的议题Stuxnet(编按：2010 年11月Stuxnet蠕虫攻击伊朗核电厂，锁定水库、油井、电厂等重要基础设施。大多数Stuxnet的攻击目标出现在伊朗，引发意图破坏核子设施的阴谋论说。)。毫无疑问的是，Stuxnet是一款高度精良的恶意软件，其开发动用了大量资源，不管是在时间，金钱或人力等方面来看。但就冲击度而言，多数的使用者并未受显明的影响。没错，Stuxnet的确散布到世界上许多的系统中，但对几乎是所有受到感染的系统来说，它并不是个大问题。它既不偷盗数据，不促销假防病毒软件，也不会大量传送垃圾讯息。 作者：Macalintal (趋势科技信息安全分析经理)

说Stuxnet预告了恶意软件威胁影响「真实世界」机构的新世代来临，也不完全正确。早在2003年，Slammer蠕虫就打击了俄亥俄州一个核能机构，并关闭了一个监视系统。而DOWNAD/Conficker蠕虫攻击了多个高知名度机构如医院（甚至影响了MRI磁核共振造影），执法单位，甚至不同的军事机构。

要说Stuxnet，可以说它的独特性在于，第一次有人决定花时间，刻意以特定供货商的SCADA系统监控与数据抓取功能软件（Supervisor Control And Data Acqusition，简称SCADA）平台做为攻击目标。其技术过去就已经存在，欠缺的是进行的动力。

这类的恶意软件攻击数量少也远在今日的威胁情势之外。目前资料窃盗仍是最大的问题。趋势科技每日所发现的恶意软件中，大多数皆属数据偷盗型恶意软件。今日所见的每一件Stuxnet感染，皆相对地会发现上千件牵涉到偷盗数据的恶意软件，如Zeus和SpyEye。

从Stuxnet我们可学到两个教训。对那些和被Stuxnet视为目标类似的企业控制系统来说，这应该是一记警钟。Stuxnet攻击的“软”目标皆未受到良好的防护。这些系统之所以未受到良好防护，是因为他们是位在网络的“内部”，可能被认为其区域防护已足够。网络的安全性其实取决于其最弱的环节。因此，企业控制系统中的计算机和网络皆需要全面强化。

第三者的应用程序最常被做为入侵破坏的目标，例如Adobe Flash和Adobe Reader，因此如果不能将这两者自系统中移除的话，最好是将两者随时更新。对可移除式装置如USB记忆碟的攻击也不能等闲视之，且需加以防范。这将不会是迅速，简单或便宜就可以解决的。

不过对负责重要系统的用户而言，来自Stuxnet的危险必须要被放在适当的内容中。凭证窃盗软件是远比Stuxnet更重大的威胁。除此之外，要记得针对重要系统而来的威胁很可能目标就单只是该系统。一般的使用者更常看到的威胁类型，会是凭证窃盗和假防病毒软件类的恶意软件。

Stuxnet终归是享受了大量的媒体关注。它最主要的是对系统管理者在防护重要系统，甚至那些他们认为不会受恶意软件威胁的系统，产生警告作用而非是实际的威胁。这个问题必须要被囊括在更大的恶意软件威胁内容中，这类的威胁每日皆可见到上万新数量的产生，绝大多数都是在偷盗用户的数据。