微軟公司网站1月底出現嚴重當机及斷線風波,不但再度突顯网站的安全問題,引爆專家更指出,連技術挂帥的微軟都在劫難逃,遑論其他网站,未來類似事件恐怕將層出不窮。
專家表示,微軟网站遭到攻擊,雖然不致傷害整体网路世界,更不會危及网站在電子商務日益吃重的角色。但是對微軟來說,未來發展网路策略上勢必更吃力,其他企業也從中學到寶貴的一課:必須提升本身的网站設計。
佛瑞斯特研究公司分析師霍伊說,「從手頭上的數据,并未發現消費者對所有网站都已經喪失信心,只不過微軟的金字招牌的确因此蒙塵。
微軟去年8月向外界公布.NET方案,目的就是要從純粹的軟体公司轉型為网路公司,讓公司部分最熱門的軟体從桌上型電腦走進网路。微軟既然大張旗鼓地進軍网路世界,1月底网站服務中斷的事件至少造成相當負面的企業形象問題。
問題原本只是工程師1月30日的無心之過,到了2月1日及2日卻演變為几起駭客攻擊事件,造成微軟的入口网站MSN、新聞网站MSNBC及旅游网站Expedia都無法供网友使用。
其實,去年2月7日就有不少知名网站發生服務中斷事件,包括雅虎、有線電視新聞网网站及亞馬遜网路書店都曾經遭到駭客攻擊。
著有《揪出駭客》 (Hacking Exposed)一書史坎布雷,把駭客攻擊网站形容為「向商家店面丟石頭,或開車衝撞商場的櫥窗。商家雖然可以預先防范,但是如果歹徒有心,還是能夠遂其伎倆。」
网路專家承認,网站不太可能完全免于駭客攻擊,但是至少在設計网站時可遵循一些原則,盡量減少遭到駭客攻擊的机率。
麻州的瑪朱网路公司就開發出新技術,可以偵測及降低网站遭駭客攻擊的机率。公司執行長藍敦說,關鍵在于网站能否大幅提升本身的可利用性及穩定度。
專家表示,微軟网站停擺,其實是出自老問題,但是企業如今已經調整因應的策略。网路安全顧問拉許說,從微軟的遭遇可知,縱使是网路設計的規格問題,也可能造成嚴重的當机。由于系統愈來愈复雜,因此,网站不但得准備多個后備系統,也得具備迅速恢复网路正常作業的能力。
專家更指出,网路安全簡直就是一場和駭客的軍備競賽,网路基本設備愈先進,蠢蠢欲動的駭客就愈傷腦筋。
實体商家為了防范汽車撞進門面,會在店面前鋪設水泥柱。史坎布雷說,企業网站也該有一些預防措施。他說,有些网站開站前就未雨綢繆,為一些意想不到的事件預作准備。
例如,网站通常擁有好几個伺服器,也設有多個監測裝置。總之,專家表示,這些都是電子商務時代的基本消費;网站愈可靠,客戶群才會愈信任這個网站。
霍伊以超級杯美式足球賽為例說,這种耗費鉅資的運動盛會,主要電視网又同步轉播,絕對不能因為一座人造衛星或傳輸線路的問題,導致全球觀眾看不到比賽實況。因此,相關單位勢必架設多重防護网,宁愿備而不用,而不能用而不備。
此外,用來尋找特定网站伺服器的軟体,也被人發現存有重大瑕疵,更是网路安全的基本致命傷。
PGP安全公司研究主管麥格狄屈說,電腦駭客可以利用這些軟体的瑕疵,挾持网站伺服器,再占地為王,利用這些伺服器攻擊其他网站。
大部分企業都使用一种名為伯克萊网域名稱 (BIND)的軟体,尋找本身网站伺服器隸屬的网域。例如,网友想上PGP安全公司的网站時,會在電腦鍵入,如果PGP公司不提供网域名稱服務 (DNS),网友的瀏覽器根本無法尋找這家公司的网站。
BIND軟体的4版及8版都有問題,其中只有4..8版、8.2.3版及9.1版的錯誤已經更正。因此,專家建議企業最好把BIND軟体升級到9版或更后期的版本。
──原載《經濟日報》
相關文章