close
(一) 刑事警察局日前接獲數學校、企業通報表示遭到不明網路攻擊行為,疑似使用SQL指令漏洞(隱碼攻擊)成功取得管理者權限,入侵十餘個網站,竊取帳號密碼等資料,雖沒有察覺到明確的損害情形,卻十分擔心外洩資料衍生不良後果。經偵九隊人員受理後分析犯罪手法,此種入侵型態很像學生所為,極有可能基於入侵者本身研究需要,而隨意入侵他單位的電腦主機。刑事警察局局長侯友宜特別指示 網路專責偵九隊擴大積極偵辦,在長達數個月調查及電腦紀錄清查結果,並在偵九隊成員專業技術縝密研析下,始釐清事件來龍去脈,最後鎖定就讀於北部某知名大學的張姓學生。該學生駭客到案後表示:最大的心願是成為最厲害的「電腦工程師」。(二) 警方於這三天來連日約談涉案的張姓學生,果然發現目前國內學生普遍欠缺資訊法律相關觀念,讓警方訝異的是,該名學生自認為「因有興趣於追查資訊安全漏洞問題,故基於提醒網路管理者相關的資安問題,所以,我會想在測得相關漏洞及成功取得相關帳號密碼後,再告訴該網站的管理者存在漏洞。」然而,未經授權入侵已是不對,任何事後解釋均屬枉然。怎可在取得他人帳號密碼後,冒用身分侵入再給予「冠冕堂皇」的理由,說是為了替資訊安全領域近一份心力。說穿了,僅僅是合理化自己的行為罷了。雖說資訊入侵犯罪,並非殺人放火,卻有可能讓原本心性純正的學生,為了刺探他人電腦隱私,沈溺在網路駭客世界中。有鑑於警方發現國內入侵者的年齡層已日漸降低,這些入侵者甚至以成功入侵做為自我肯定的一種方式。諸不知,這樣的入侵舉動反而會令自己惹上不必要的刑事糾紛。雖然目前尚未發現該駭客利用已竊資料進行進一步販售或分享等動作,由於受害單位不乏學校及民間企業等單位,侵害層面極廣。(三) 警方在調查本案過程中發現,目前國內知名大學資訊、理工科系老師在要求學生寫作業時,部分資質不錯的學生,會利用撰寫程式機會,上網擷取探討資安漏洞問題的相關程式函數原始碼,並加入自己的作業中。雖然作業本身乃基於研究性質,但並不能因此而合理化未經同意入侵他人電腦的行為。根據警方多年來調查經驗發現,這些學生駭客常為了證明本身能力或電腦研究成果而撰寫程式,恣意入侵別人系統,意欲取得帳號密碼後再告知被害網管人員。其實,這樣的觀念根本不對,未經授權的入侵工作,僅會造成被害者的恐慌,也是屬於違法的行為,警方特別呼籲:學校等教育單位應更加注重「資訊倫理」與「資訊法律」等議題,避免在學學生為了課業或興趣,踰越法律界線。(四) 臺灣地區駭客網站及資安論壇經常密切討論相關入侵技術,並不定時公布國內各機關單位可能存在系統、資料庫或程式漏洞,由於相關漏洞各受害單位往往未能即時修補,被害當時也未必知悉,致相關稽核紀錄不足,而且。一般程度的資訊駭客只要於各知名網路搜尋引擎輸入特定關鍵字,便可找出許多網站連結,從中獲取相關攻擊工具程式、操作方式及說明。即使不會運用,只要懂得投入心思尋找,還是可以尋求解答。透過網友的協助成功入侵他人網路主機的事件也不在少數,但在別人指導下的攻擊作法,也只是抄襲別人先前用過的攻擊技巧而已,沒有創造性,也沒有研究價值,只是陷自己在法律邊緣徘徊而已。有時未修補的知名漏洞,反而是機警管理者故意留下的陷阱,引誘那些現學現賣的網友上鉤,這樣的陷阱也經常成為初學攻擊者之真實、典型、失敗的「葬身之處」。(五) 目前絕大多數政府與企業電子商務網站都整合了SQL資料庫系統,提供使用者上網時填寫個人資料、進行資料查詢或金融交易等功能。「SQLInjection」俗稱「資訊隱碼」攻擊,為資料庫查詢植入攻擊之一種,多半是利用網頁程式設計者忽略檢查使用者輸入內容所造成的安全瑕疵。有心者可趁填寫資料或是查詢資料的同時,在空白欄位上夾帶惡意的SQL查詢指令,以進行非法、未授權的資料查詢與修改動作。值得注意的是,SQLInjection既非資料庫系統本身的漏洞,更非任何作業系統或是網站伺服器本身的漏洞。簡單的來說,它是網頁程式設計人員在撰寫網頁程式、如ASP、PHP、JSP、CGI等網頁程式時,忽略加入「InputValidation」輸入值正確性檢查的功能以及未做好資料庫權限控管,進而造成入侵者得以夾帶惡意指令闖關,甚至略過防火牆與身分認證的層層安全關卡的一種「程式漏洞」,直接登堂入室竊走資料庫系統內的客戶交易資料、信用卡資料、甚至是盜轉帳等非法行為。(六) 由於入侵者乃是以一般合法使用者的身分登入瀏覽網站,因此防火牆或是入侵偵測系統更是難以發現SQLInjection之類的攻擊行為。根本解決之道,唯有程式設計者在設計網頁程式時,多注重安全的考量才是。(七) 以前的駭客會區分「會破壞」與「不會破壞」兩種,現今有人區分成「曾被警察抓」與「不曾被警察抓」兩種。目前更有人不僅以「曾被警察抓」為職志,更認為這是一種「出名」與「自我肯定」的機會,甚至以此為豪,無懼「刑案前科」可能帶來得負面影響。更有人主張,國內電腦犯罪刑責不重,未滿18歲以前也因「年幼無知」可被原諒故可「為所欲為」,亦可藉此賺些外快,甚至可因此闖出名號,這樣的錯誤觀念正影響個我國蠢蠢欲動的電腦駭客界。警方將在近日陸續約談幾個專注於網路偏差行為的少年駭客,期許適時導正他們的錯誤想法,導引向正確的學習道路。此外,警方特別呼籲:未經他人同意便進行漏洞測試且抓取他人電腦主機檔案、帳號及密碼等資料,實際上已屬違法,更不是什麼可喜可賀的榮耀事。如何走向正途,精研對人民福祉、社會公義有幫助的科技新品,才是「電腦工程師」值得驕傲的事。轉載自:http://www.cib.gov.tw/
徵信社,徵信
徵信社,徵信
全站熱搜
留言列表