雲端服務中對密碼保護壓縮檔的防毒掃描

好段時間前，來自 Ars Technica 網站的一則消息：Microsoft is scanning the inside of password-protected zip files for malware，其內容描述一名安全研究員，發現他在 SharePoint 上保存的 ZIP 壓縮檔，即便有加上密碼保護，似乎仍會被雲端服務嘗試解開，並對裡頭的檔案進行防毒掃描，若是偵測到有惡意程式便會遭到封鎖。雖然微軟官方並未公開表述其解開壓縮檔密碼保護的方式，然而估計其中一種可能性，仍是透過某種經過蒐集的密碼清單來進行嘗試。

儘管 DR 並未對文中所描述的情形做實際的驗證，不過這至少表示，如今使用者心裡恐怕不能再期待，只要將檔案打包成壓縮檔，並加上密碼，就能夠確保在進行輸送或保存時，不會因為任何的安全掃描機制，而有資料破損的風險。就 DR 先前曾在某防毒軟體代理商工作的經驗來說，將待分析的惡意程式樣本，打包成密碼保護的壓縮檔，再進行傳遞或保存，確實是相當常見的作法。所以倘若未來有更多的雲端服務，對壓縮檔採取更加積極的掃描動作，那麼安全研究員能夠保存樣本的途徑及方式，就會變得更加有限。或者最至少就是不能再使用太簡單的解壓縮密碼，比方說業界常見的「infected」。

另一方面，文中也部份地提及了一些資源及重要觀念。例如 EICAR 這支無害的惡意程式測試檔，當初 DR 在為客戶做教育訓練時，都有說明可以使用這支測試檔，來驗證防毒軟體的即時防護或攔截能力是否奏效。以及 ZipCrypto 是容易被破解的加密演算法，倘若 ZIP 壓縮檔需要較高安全性的密碼保護，則應使用 AES-256 加密方法。