System thwarts Internet eavesdropping
http://www.physorg.com/news138885925.html
August 25, 2008
共享 Wi-Fi 與其他無線電腦網路的成長,增加了網際網路通訊的竊聽風險,不過卡內基美隆大學(CMU)的電腦科學學院與工程學院設計出一種廉價系統,能阻撓這些中間人(Man-in-the-Middle,MitM)攻擊。
此系統,稱為 Perspectives(洞察力、透視圖),也能避免受到最近揭露的、關於 DNS 軟體瑕疵的攻擊。
研究者 -- David Andersen,電腦科學助教授、Adrian Perrig,電子與電腦工程以及公共政策副教授,還有 Dan Wendlandt,電腦科學博士生 -- 將 Perspectives 包含至熱門瀏覽器 Mozilla Firefox v3 的外掛中,那可在 http://www.cs.cmu.edu/~perspectives/firefox.html 免費下載。
Perspectives 利用一組友善的網站,或「公證人(notaries)」,那能協助驗證金融服務、線上零售業者以及其他需要安全通訊的交易網站。透過獨立查詢所要求的目標網站,這些公證人能檢查每一個(公證人)在回應時,是否收到同樣的認證資訊(稱為數位憑證)。如果一個以上的公證人報告其認證資訊不同於瀏覽器與其他公證人所收到的,一位電腦使用者將有理由懷疑有某位攻擊者正危害此連接。
憑證管理機構(CA),例如 VeriSign、Comodo 與 GoDaddy,已經在幫忙驗證網站並減少中間人攻擊的風險。Perspectives 系統在這些例子中提供額外的安全衡量,但對於數量愈來愈多、沒有使用憑證授權的網站而言,亦特別有用,而且能增加較為便宜之「自簽(self-signed)」憑證的使用。
"當 Firefox 使用者點選一個使用自簽憑證的網站時,他們會得到一個安全錯誤訊息,那使許多人感到困惑," Andersen 說。然而,一旦 Perspectives 被安裝到瀏覽器中,若該網站是合法,它就能自動凌駕安全錯誤網頁而不會打擾使用者。
該系統亦能偵測憑證管理機構中的某一個是否已被騙去驗證一個假網站,並警告 Firefox 使用者該網站十分可疑。"Perspectives 為網際網路瀏覽提供額外的一層安全性," Perrig 說。"對於具有安全意識的使用者而言,那是一種有意義的慰藉。"
Andersen 表示,使用無線連接到網際網路數量增加,也使 MitM 攻擊的風險增加。當攻擊者哄騙一位電腦使用者相信,自己與目標網站,例如銀行,已建立起安全的連線時這種事就會發生。實際上,電腦使用者正與攻擊者的電腦通訊,在轉送使用者與目標網站之間的通訊時,它能夠竊聽。
Andersen 說,當透過公共 Wi-Fi 連接時,"要讓某人說服你經過他們的電腦真的相當、相當、相當容易。" 例如,當某位使用者認為他連上機場或咖啡店的「熱點」時,事實上可能連到就在幾步之外的、某個人的筆電。"有許多人甚至不知道他們已經被攻擊了," 他補充。
絕大部分的網際網路通訊,例如標準的 HTTP 網站,都不安全,除了那些需要使用 SSL 加密的網站以及那些使用 SSH 協定的網站之外,那需要帳號與密碼的使用、需要網站以一種數位憑證(一種所謂的公開金鑰,那用來加密)證明它們自己為真。
電腦使用者通常不需要意識到這種安全資訊交換的存在。除了某件事不太對勁時,瀏覽器會出現一個對話框,例如:Unable to verify the identity of XYZ.com as a trusted site。
"絕大部份的使用者都沒被告知:遇到這些情況該怎麼辦," Wendlandt 說。"有許多人只是聳聳肩,接著繼續他們的連線,這有可能使他們自己暴露在攻擊中。"
在七月所揭露的 DNS 軟體漏洞為電腦使用者呈現出不一樣的問題,但那亦為 Perspectives 所處理。DNS 的瑕疵能對 ISP 發出攻擊,導致使用者連到惡意網站而非他們正在尋找的合法網站。"有了 Perspectives,即便客戶端的 ISP 已成了攻擊的犧牲品,客戶端還是能夠偵測到自造假網站所收到的公開金鑰與公證人所傳回的結果相互矛盾," Wendlandt 說。
※ 相關報導:
* 銀行業網站在設計上的安全漏洞頗為普遍
* 研究:E-amil 行銷中的個人資訊可能適得其反
* 研究者揭露英國晶片卡詐騙新風險
* 『隱私國際』公佈 2007 年報告
* 虛擬貨幣恐引發新金融犯罪
* 「流氓」DNS 的數量持續攀升
10 則留言:
警破五千萬筆個資盜取案/Best Western 遭駭
◆ 竊5千萬筆個資 馬扁「搜」得到
【聯合報╱記者張榮仁/台北報導】 2008.08.27
刑事警察局昨天偵破歷來最大宗個資盜取案。陳光著、徐苑玲夫妻勾結大陸駭客入侵政府機關、電信公司盜取個資,查獲五千萬筆個資的龐大資料庫,上自馬英九總統、下至庶民百姓,幾無一倖免。
警方調查,陳光著集團至少從健保局、教育部、戶政、各家電信公司、東森購物等多處管道入侵盜取個資,同一人的個資被重複盜取,因此累計達五千萬筆,超出台灣兩千三百萬人口數一倍多,是歷年破獲最大宗盜取個資集團,依妨害電腦使用罪、詐欺、洗錢等罪嫌送辦。
陳光著集團除盜取個資,還將個資拼圖整合,且建立搜尋引擎以方便使用這個龐大個資資料庫,甚至還可以「模糊搜尋」。只要在姓名欄輸入關鍵字,立即跑出一長串資料,馬英九、前總統陳水扁的資料庫都可搜尋到,「想得到的人都有」。
辦案人員現場測試,該集團建置資料庫,姓名、身分證字號、住址、住家電話、行動電話、電子信箱是基本資料,有些還包括學歷、年收入、家庭成員等,個人私密資料「應有盡有」,甚至比政府機關的資料庫還詳細。
偵九隊說,入侵駭客來自大陸,以中、北部大學網站當跳板入侵政府機關。辦案人員抽絲剝繭查出在台主嫌,是有詐欺等前科的陳光著(卅二歲)、徐苑玲(廿三歲)夫婦,結合電信包商余鈺群、電腦工程師王溫志、詹富程及手下游騏鴻信犯案。
警方專案人員昨天前往台北縣三重、汐止、淡水及台北市龍江路等地搜索,拘提陳光著等六嫌到案,查扣電腦主機、周邊設備、伺服器(內有五千萬筆個資)、無碼手機、人頭卡、網路電話。
警方調查,陳光著夫婦勾串大陸駭客盜取個資,除轉賣詐欺集團,也運用來詐騙、盜刷信用卡、盜辦王八卡電話「一魚多吃」,單日進帳近百萬元。余、王等嫌坦承受雇陳光著夫婦架設詐欺平台或竄改來電顯示,但陳光著、游苑玲夫婦否認不法。
◆ 5千萬筆個資被盜 總統也受「駭」
【蕭承訓/台北報導】 2008-08-27 中國時報
國安大漏洞!刑事局昨天破獲兩岸駭客聯手入侵政府機關網站盜取個人資料、販賣牟利,包括現任總統馬英九、卸任總統陳水扁和王卓鈞、侯友宜等國安情治首長的個人資料,只要花三百元,全都一覽無遺。警方說,查獲的資料庫多達五千多萬筆,而且「只要想到的人都有」,相當驚人!
至於大陸駭客的身分,警方不排除是對岸網軍所為,員警強調,國安系統曾遭大陸駭客入侵,當時查出是在大陸福州,但不管如何防堵都無效。
警方透過該網頁的模糊搜尋,鍵入總統府、國安局、調查局、地檢署、警政署等機關名稱,立刻列出成串所有機關員工的個人資料,其中健保局流出的資料,清楚交代家庭成員背景以及年收入,一旦落入綁匪手中,後果不堪設想。
兩岸駭客聯手 入侵政府網站
有趣的是,員警嘗試搜尋名模林志玲所屬的「凱渥」經紀公司,卻是查無資料。
警方表示,目前發現大陸駭客入侵的網站有中華郵政、健保局、教育部、東森購物、中華及遠傳等多家電信公司,並且懷疑駭客還入侵戶、役政系統,簡直已到了無孔不入的境界。
刑事局偵九隊是在去年四月接獲中華郵政公司報案,指稱其網路郵局遭駭客入侵,並將數十名客戶的存款盜領,警方追查發現駭客攻擊來自中國,研判台灣應有共犯接應。
只要花三百元 資料鉅細靡遺
員警發現歹徒全用「人頭」掩護,並入侵國內各大專院校的伺服器做為跳板,甚至認為網路電話無法被監聽,所有聯絡都是透此管道,經過員警抽絲剝繭,鎖定旗下成員追查、監控;赫然發現該集團不只盜取個資販賣,還盜刷購物換現金,每日進帳至少三、四百萬元。
警方調查,卅二歲的陳光著(曾有妨害電腦前科)與在大陸綽號「阿哲」的曾姓男子合作,由曾某在大陸駭取個資,再由陳赴大陸取件返台,交給電腦工程師王溫志架設網站、輸入資料,民眾只要花三百元買點數加入會員,便可上網查資料。
警方說,上門買個資的除了詐騙集團,還有補習班購買學生資料,由於銷路不錯、個資又豐富,在網路上迅速打響名號。該資料庫還提供更新服務,員警輸入刑事局長黃茂穗的資料,不只找到新資料,還有黃舊家電話。甚至指揮偵辦本案的板橋地檢署檢察官,其同僚資料也在其中。
刑事局昨天兵分多路搜索查緝,逮捕陳光著、徐苑玲夫婦等六人,起出偽造台胞證、人頭卡及現金一百多萬元。陳嫌到案後否認犯案,但其他共犯坦承在陳嫌指示下協助犯罪。
◆ 最大個資盜取案》侵網郵、盜存款 洗錢也是他
【聯合報╱記者張榮仁/台北報導】 2008.08.27
中華郵政公司去年四月報案,指網路郵局有數十名客戶被盜領兩百多萬元,奇怪的是,歹徒用贓款購買網路遊戲點數;刑事局深入追查,原來歹徒將點數轉賣線上遊戲玩家洗錢。
刑事局偵七隊從這件網路郵局盜領案抽絲剝繭,意外查出歷年最大盜取個資案,逮捕陳光著集團。
辦案人員表示,網路銀行提供便捷使用特性,但也成為駭客絕佳的攻擊標的,各家金融機關對於網路銀行都設有防火牆及安全檢核機制防止駭客入侵;本案大陸駭客如何突破中華郵政網路郵局的安全防護,仍待深入調查。
偵七隊查出,陳光著集團透過大陸駭客入侵中華郵政的網路郵局,盜領兩、三百萬元後,購買台灣索尼網路購物商城的遊戲點數,向網路玩家表示如果購買三萬點遊戲點數,就可以加入會員,藉買賣遊戲點數洗錢。
辦案人員說,網路駭客入侵,最基本的手法是不停的試,一試再試找出安全防護的漏洞,因此網路銀行業者必須不斷更新防火牆,網路銀行的使用者也要有警覺性,不時更換密碼,才能確保不被駭客入侵。
網路郵局客戶發現存款短少,報警追查。警方監控陳光著集團一年,意外發現陳嫌除了盜轉網路郵局的存款,還侵入政府機關網站盜取個資,再運用個資詐騙、盜刷信用卡、盜辦王八卡電話,也把個資轉賣詐騙集團同行。
偵七隊發現,陳光著透過遊戲點數洗錢後,幾乎每個月都往返大陸一、兩次,和大陸曾姓同夥分贓,也從大陸帶回最新的個資「更新資料庫」,篩選「信用好」的對象出來,作為詐騙集團行騙對象,也提供補教業者招生之用。
◆ 網路平台洗錢 攜款闖小三通
【蕭承訓/台北報導】2008-08-27 中國時報
前總統陳水扁家族海外帳戶現金洗錢案炒得沸沸揚揚,刑事局昨天破獲的兩岸駭客集團,卻是利用網路遊戲的虛擬貨幣平台洗錢,主嫌陳光著還把新台幣兌換成人民幣,透過小三通管道帶到大陸洗錢分贓,手法特殊。
警方說,該集團去年入侵網路郵局系統,將數十個帳戶的錢盜轉到S0─NET網路購物商城購買遊戲點數,然後再利用該遊戲點數到交易平台換取現金。不過郵局在去年六月宣稱,該公司的網路郵局系統正常運作,並未發現駭客入侵現象。
警方發現,民眾上網查詢資料,必須先以陳嫌指定的「人頭」身分購買遊戲的點數,陳嫌再以該點數到遊戲平台換取現金,一元的點數可換成現金約九角,這樣的洗錢模式,難以追查。
由於另名主嫌在大陸,陳嫌常透過金廈小三通,夾帶鉅額人民幣闖關,就在警方查緝的前天,陳才透過地下匯兌匯出現金四百萬元,昨天還有一百萬元來不及洗出,遭警查獲。
警方表示,陳嫌入侵網站盜取的個人資料都是真的,但主嫌陳光著的身分卻「攏是假的」!又是「阿忠」、又是「小王」,經常變換。
為了掩飾身分,陳嫌還勾結電信包商余玉群買賣人頭電話卡,打通電信公司員工詹富程等人架設竄改來電顯示的電信平台,並且更改申登電話的地址,讓警方找不到落腳地點。
昨天員警找到陳嫌在北縣三重落腳處所,就是陳以親友名義所租的房子,其他成員昨天看到陳嫌,還叫他「王仔」,根本不知道其真實身分。
※ 嗯... 虛擬貨幣也可以洗錢。
◆ 全球最大連鎖酒店Best Western遭駭客入侵 800萬顧客資料恐外洩
鉅亨網查淑妝‧台北綜合報導 2008/08/26
全球最大連鎖酒店集團「最佳西方(Best Western)」上周四(8/21)得知,其網上預約系統遭駭客入侵,據報過去12個月曾入住該集團酒店的 800萬名顧客資料可能外洩。
《香港文匯報》綜合外電消息,一份報紙最先報導了這則消息,「最佳西方」集團則在前晚證實事件。被盜資料包括住址、電話及信用卡資料,並已在一個由俄羅斯黑幫控制的地下網站出售,估計黑市價值28億英鎊。
據報入侵者來自印度,他利用木馬程式入侵集團電腦盜取資料。集團發言人韋德表示,因應網站的系統設定,駭客「應該」不會掌握到所有顧客資料。他又表示已與信用卡公司合作,防止信用卡資料被濫用。
韋德補充,集團的北美團隊正在進行調查,並已迅速停止了被入侵的賬戶,系統亦已在上周五修復,他呼籲擔心受影響的客戶可以聯絡他們。集團目前正在追尋入侵紀錄,包括出售該批資料的地下網站。
曾是駭客、現為電腦保安專家的伊拉斯謨形容,如此大型的私隱資料被盜是「罕見」的,假如資料落入俄羅斯犯罪集團手中,將會在歐洲造成新一浪的「犯罪潮」。
「最佳西方」是全球最大連鎖酒店集團,在全球80個國家中擁有超過4000間酒店。
※ Best Western 表示只有德國柏林一家旅館遭駭,而且被盜資料有限。
* Best Western plays down impact of hack attack - The Register
http://www.theregister.co.uk/2008/08/26/best_western_hack/
* AP: Best Western rebuts claims of massive data breach
http://ap.google.com/article/ALeqM5gB9CcifcC42N12KIlIV60GL8UymgD92Q84MG0
* Best Western says data breach even smaller than first thought
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9113499
國際太空站 電腦中毒了
【聯合報╱編譯陳世欽/報導】 2008.08.28
美國航空暨太空總署(NASA)證實,今年7月帶到國際太空站的幾部筆記型電腦,事前已被名為Gammima.AG的電腦病毒侵襲。
英國廣播公司(BBC)27日報導,專家去年8月首次在地面發現這種病毒。它潛伏於電腦中,伺機竊取熱門線上遊戲的登錄者密碼及姓名等資料,將它們回傳一部中央伺服器。病毒目前鎖定10種線上遊戲,其中多數在遠東地區非常熱門,包括「黃易」等台灣玩家熟悉的遊戲。
太空總署表示,這不是電腦病毒首次進入太空,專家正在調查國際太空站內的筆電遭到病毒侵入的過程。這些筆電負責管理太空站的營養計畫,並供太空人定期傳回電子郵件。據指出,這些電腦並未加裝防毒軟體。
太空新聞網站SpaceRef.com率先報導此事。NASA強調,國際太空站的指管系統安全無虞。
國際太空站並未與地面直接連線,地面資料傳至太空站前,一律必須接受防毒掃描。專家認為,病毒可能利用電訊或某一位太空人自有的隨身碟進入太空站。
全球電子犯罪檢察官網路網站今天推出
中央社 2008-08-29
(中央社記者康世人新加坡二十八日專電)明年三月起,全球負責打擊電子犯罪的檢察官將可利用一個入口網站,處理網路與電子犯罪問題並進行交流。英國皇家檢控服務署開發的全球電子犯罪檢察官網路(GPEN)網站,今天正式在國際檢察官協會年會推出。
英國皇家檢控服務署指出,這個網站將建置全球打擊電子犯罪檢察官資料庫,並提供留言板,讓檢察官彼此透過網路分享經驗。
此外,GPEN也提供虛擬電子犯罪檢察官學院,提供最新訓練資料。
英國皇家檢控服務署認為,透過這個網站,全球檢察官可以分享打擊電子犯罪的經驗,同時也可避免資源重疊和浪費,透過網路加速打擊電子犯罪檢察官的培訓工作,同時進行跨國合作。
今天開幕的第十三屆國際檢察官協會年會,共有自一百多個國家的五百多名檢察官與會,美國、英國、澳洲、南韓與新加坡等國的檢察總長,也出席這場會議。
國際檢察官協會是於一九九五年六月在聯合國維也納辦事處成立的非政府組織,主要是因為販毒、洗錢和詐欺等跨國犯罪案件日益快速增加,因此有必要加強國際間的司法合作,透過合作以更快的速度和效率追蹤犯罪資產和其他跨國問題。
目前,國際檢察官協會共有一百二十八個組織會員,包括檢察官、檢察機關和犯罪預防組織,代表了全球一百三十個國家的二十萬名檢察官。
色情垃圾郵件無人管 「轉e馬總統」?
* 調查:台灣地區一年1101億件網路垃圾郵件
* 垃圾郵件》色情無人管 「轉e馬總統」
* 垃圾郵件》來源追不到 求償條款虛設
◆ 調查:台灣地區一年1101億件網路垃圾郵件
中央社 2008-12-08
(中央社記者黃慧敏台北7日電)台灣網際網路協會調查指出,台灣地區每人每天平均收到29封垃圾郵件,估計一年約有1101億件垃圾郵件在網路上流竄。
台灣網際網路協會指出,到2008年為止,台灣地區經常上網人口達1014萬人,網路普及率達44%;隨著網際網路發展普及,電子郵件已成民眾重要溝通管道,根據協會調查,每人每天平均收到29封垃圾郵件,估計台灣一年約有1101億件垃圾郵件在網路上流竄。
台灣網際網路協會表示,網際網路業者與ISP業者為了攔截垃圾郵件,還必須支付軟體版權費用,以及後端程式維護費用;另外,民眾刪除電子郵件的時間成本,則難以估算。
台灣網際網路協會表示,儘管今年垃圾郵件較2006年減少,但業者研發的軟體依然無法100%攔截,必須不斷付出更多研發費用,才能保障網路使用安全。
台灣網際網路協會等單位多年來致力協助政府與業者之間溝通,以建立業者對於電子郵件寄送應共同遵守的行為規範。
國家通訊傳播委員會(NCC)與台灣網際網路協會也將在明天公布「垃圾郵件痛苦指數」,並邀請學者專家商討如何管理電子郵件濫發行為。
◆ 垃圾郵件》色情無人管 「轉e馬總統」
【聯合報╱記者陳俍任/台北報導】 2008.12.08
台灣網際網路協會統計,台灣經常上網人口為一千零四萬人,但全台每年到處流竄的垃圾郵件高達一千一百億封,平均每人每天收到廿九封,對垃圾郵件的平均痛苦指數更高達百分之六十三點九。
尤其垃圾郵件中以色情廣告占大宗,更讓許多家長忍無可忍。上班族陳先生因為使用的中華電信Hinet信箱每天「情色不斷」而決心自力救濟,上個月起天天把收到的色情郵件轉寄給交通部長毛治國、NCC主委彭芸與中華電信董事長呂學錦等人,要他們好好的管一管。
但結果是所有單位的回應都非常「制式」,NCC更直言「色情郵件非我們所管」,指新訂的濫發商業電子郵件管理草案不管色情郵件,民眾陳情的色情郵件都已轉給刑事局處理,但至今沒一封有下文。陳先生決定繼續每天轉寄這些色情郵件到政府相關部門與中華電信高層的信箱,如果政府置之不理,還要轉寄到馬英九總統的信箱。
據了解,陳先生以「一個家有小學生的家長」身分,表達對中華電信與主管機關的憤怒,他指擔心女兒使用電子郵件時,被這些色情信件汙染,更讓人不解的是,九成五的色情垃圾郵件,中華電信都已打上spam的標籤,協助識別刪除,為何中華電信不能在用戶同意下直接過濾,卻要用戶、甚至小朋友得看見那些不堪入目的字眼。
對此,中華數據分公司協理郭國燦指出,技術上雖可以做到將大多數的色情垃圾郵件分類,公司內部也討論過「在消費者授權下、主動過濾這些郵件」,但是依照現行法律對個人隱私權的保護,並未賦予ISP業者權限,而且未來NCC新訂的濫發商業電子郵件草案,也指出除非有害系統,否則不得拒絕傳送。
NCC法律事務處科長蘇勇吉指色情郵件已涉及刑法妨害風化罪,收到陳情案都會轉給刑事局辦理,但九成以上色情郵件都從國外發送,刑事局要追這些案子也大多數使不上力。
※ 找不到來源?看來又多了一門新行業。
◆ 垃圾郵件》來源追不到 求償條款虛設
【聯合報╱記者陳俍任/台北報導】 2008.12.08
網路色情擋不住,用戶把關當自強。新版濫發商業電子郵件管理條例草案目前仍在行政院審查,最快要到明年新會期才會送立院,但即使能通過,恐怕「春光依舊在」。
NCC指出,新版草案鎖定管理網路服務提供ISP的業者,民眾一旦收到垃圾信,可向發信者求償五百到兩千元,中華電信等ISP業者若不願提供垃圾信來源,違者可罰三萬到卅萬元。
問題是連NCC都承認,垃圾信有九成五是自國外發送,來源根本找不到,處罰形同虛設,更別提小朋友閱讀色情郵件所造成無形後遺症與傷害。
網管專家林俊佑指出,目前多數民眾使用Outlook收信,這樣的收信方式是把全部郵件收到軟體中閱讀,很難擋得住垃圾郵件。就他所知,目前以Google信箱擋垃圾郵件的效果比較好。
林俊佑建議民眾多使用線上信箱(Web Mail)。Hinet、mail2000等線上收信系統業者都會另架一個AP應用程式來過濾有害郵件,但也只是將色情郵件主動丟到垃圾信夾中,使用者仍看得到。
有些防毒軟體會附送擋垃圾郵件程式,但林俊佑測試發現效果都不佳,他建議習慣在Outlook收信的用戶,利用「郵件」選項下的「從建立郵件規則」選項,針對郵件名稱與主題來過濾郵件,只是,現在的色情郵件「標題每天變、來源無孔不入」,還是難以百分之百的過濾。
※ 不過小學生真該禁用 e-mail,以免夜長夢多。相關報導:
* 全球垃圾郵件 每日710億封 - 資安之眼
http://www.itis.tw/node/2283
* A Closer Look at McColo - Security Fix
http://voices.washingtonpost.com/securityfix/2008/11/the_badness_that_was_mccolo.html
* 專家:新版垃圾郵件管理條例草案 執行不易 - 資安之眼
http://www.itis.tw/node/2337
* Tracking the source of email spam
http://www.rahul.net/falk/mailtrack.html
* Spam Slayer: Tracking Spam to Its Source - PC World
http://www.pcworld.com/article/118164/spam_slayer_tracking_spam_to_its_source.html
澳過濾網站 網友罵翻
【黃文正/綜合十四日外電報導】 2008-12-15 中國時報
澳洲政府計畫施行一項全國性的網路內容過濾(Web Filter)測試,要求ISP網路服務供應商封鎖約一萬個內含非法內容的網站。這項措施乃今年五月開始實施,而規模達八千二百萬美元的網路安全計畫之一,其目的在保護兒童,並防範成人非法下載兒童色情圖片或恐怖分子資料等。
然而,該計畫令網路人權團體和科技界群起反彈,抨擊此項措施並無法有效阻絕非法內容,只會減低瀏覽器的上網速度而已。上個月,澳洲通訊部長康洛伊邀請網路服務供應商和行動通訊業者共同參予網路過濾的實際測試,預定本月正式展開。通訊部將參照測試結果,決定最後的施行計畫。
在社交網站Facebook聊天室上,網友們砲火猛烈,數千名網友計畫在本周末參加抗議行動;此外,GetUP!網站也有八萬五千多名網友連署請願,一個網路人權組織怒批,此舉「嚴重威脅我們的民主價值」。澳洲最大的網路服務供應商之一iiNet執行長懷特指出,網路過濾措施恐成效不大,因它無法有效監管「點對點技術」(peer-to-peer,簡稱P2P)或資料分享網站上的非法行為,而大部分兒童色情照片或不法內容,都是在其中流竄交換。
※ 澳洲也學中國啦。
◆ NCC盼電郵管理條例速通過 管理垃圾郵件有依據
中央廣播電台╱呂欣憓 2008-12-15
國家通訊傳播委員會(NCC)主委彭芸15日到立法院專案報告「防範商業電子郵件氾濫問題」,彭芸表示,NCC已經擬定「濫發商業電子郵件管理條例草案」,希望儘速通過,才能有管理垃圾郵件的法源依據;此外,多名立委要求中華電信應該免費提供「色情守門員」,過濾色情郵件,不過彭芸表示,如果大家覺得「色情守門員」收費太貴,可以建議降價。
台灣人每人每天平均收到將近30封垃圾郵件,這個問題在立法院交通委員會持續受到關注,NCC主委彭芸在報告中指出,除了建立ISP (Internet Service Provider)業者自律機制,並加強國際合作之外,NCC研擬的「濫發商業電子郵件管理條例草案」,建立發送行為規範,以及對業者適度的督導管理,收信的受害民眾可以採取團體訴訟機制,對業者或廣告主提起民事求償,並輔以行政罰則,彭芸希望法案速審議通過,讓政府管理垃圾郵件有法源依據。彭芸說:『但是因為欠缺法規現狀下,部份措施之採行沒有充分規範依據,為期商業電子郵件管理得早日納入法規常軌,我們當然希望濫發商業電子郵件管理條例草案,能夠儘速審議通過。』
而在色情電子郵件的問題上,多名立委表示,國外ISP業者都能有效過濾色情郵件,但國內的中華電信卻要民眾另外付費新台幣99元,才能過濾色情郵件,並不合理,要求改為免費基本功能。彭芸則表示,如果大家覺得收費太貴,或許可以建議降價,中華電信則表示,會參考NCC的想法後,再做決定。
※ 寧願自由上網也不要搞成澳洲那樣!
駭客入侵提款機 30分鐘偷3億
【聯合晚報╱國際新聞組/綜合報導】 2009.02.06
美國聯邦調查局(FBI)5日宣布,一個國際電腦駭客集團去年11月8日在短短半個小時內,以偽造銷帳卡在全世界49個城市的130台ATM提款機同步領走900萬美元(約台幣3億多元)。FBI形容這起盜領案是有史以來最大規模、協調最一致的ATM攻擊行動。
FBI指出,該集團作案手法是先由駭客侵入亞特蘭大「環球支付」(RBS World Pay)薪資銷帳卡公司的電腦資料庫,取得複製數百張ATM卡的資料,然後在美東時間11月8日午夜過後不久,由幾十個負責領錢者在紐約、芝加哥、蒙特婁、莫斯科及香港等城市的ATM同時作案。安全專家警告,由於涉案駭客仍然逍遙法外,類似作案方式可能再度發生。
RBS WorldPay公司去年12月23日表示,駭客竊取資料庫內150萬名客戶的資料,也可能偷走了110萬名客戶的社安號碼。該公司強調,將賠償所有銷帳卡被複製客戶的損失,並在事發後立即將這些薪資銷帳卡作廢及更改個人密碼。
FBI亞特蘭大辦公室發言人拉沙魯斯說:「此案是全國性協調行動,某方面也屬於國際性。雖然電腦攻擊時有所聞,但該案特別之處在於攻擊的範圍、時機和協調性。」
盜卡集團通常藉由在ATM加裝讀卡機,以獲得磁條內資訊,並以側錄方式攝下被害人的密碼,很快便可複製偽卡,在加油站等地消費。
專家表示,避免磁條遭複製的最好方法,就是在卡上改用智慧晶片。
目前已有逾65個國家使用智慧晶片的技術,而美國為了避免付出修改ATM機器的龐大成本,至今仍在使用磁條卡片。安全顧問歐費瑞爾說:「我們仍在使用容易被複製的老掉牙磁條卡片,使罪犯極為輕鬆複製和竊取身分資料。」
※ 失業潮讓高科技犯罪增加了不少動力。相關報導:
* Global ATM Caper Nets Hackers $9 Million in One Day - Wired.com
http://blog.wired.com/27bstroke6/2009/02/atm.html
* Data Breach Led to Multi-Million Dollar ATM Heists - Security Fix
http://voices.washingtonpost.com/securityfix/2009/02/data_breach_led_to_multi-milli.html?hpid=sec-tech
49城ATM 駭客集團半小時盜3億
【聯合報╱編譯林沿瑜╱報導】 2009.02.07
去年十一月八日的午夜,全球四十九個城市的一百卅台自動提款機同時被盜領,一百張偽卡,半個小時作業時間,損失金額高達九百萬美元(約台幣三億元)。
美國聯邦調查局五日宣布,蘇格蘭皇家銀行支付機構,美「員工薪水卡」發卡公司「環球支付」(RBS WorldPay)」去年遭駭客入侵,以致駭客集團能以偽卡領走鉅款。聯調局表示,這起盜領案是有史以來規模最大、協調最良好的「攻擊」ATM行動。
「員工薪水卡」是一種具有銀行帳戶功能的提款卡,雇主可以將員工的薪資直接存入公司交付的銀行,員工再透過「員工薪水卡」提取現金,省去員工到銀行開戶的麻煩。
遺憾的是,「環球支付」去年遭網路駭客入侵,一百五十萬筆客戶資料慘遭竊取,讓駭客得以進一步製造偽卡,在世界各地提款機輕易盜領九百萬美元。
犯罪集團去年十一月八日午夜過後不久,只動用了半個小時、約一百張偽卡,每次提領五百美元,並突破每日提款次數及上限。不僅地域橫跨紐約、芝加哥、蒙特婁、莫斯科及香港等大城,同時下手的提款機超過一百卅台。
詐領案在去年十一月發生,不過發卡公司遲到去年十二月廿三日才寫信告知「受災戶」。至目前為止,亞特蘭大和費城已有兩家律師事務所提起集體訴訟,認為公司沒盡到保護個人資料之責。
犯罪集團目前仍逍遙法外,不過聯邦調查局已公布若干可疑盜領人照片,希望民眾指認,並希望透過這些盜領人揪出幕後的主腦。電腦界人士認為,有九百萬美元入袋,犯罪集團應會暫時避風頭,緝拿恐怕不易。
◆ 駭客人侵》百人受害 150萬人心驚
【聯合報╱編譯林沿瑜╱報導】 2009.02.07
駭客集團入侵美國「員工薪水卡」發卡公司「全球支付」竊取個資,盜領三億台幣,至今仍餘波蕩漾。首先,失竊個資達一百五十萬筆,並非只是被製成偽卡的約一百筆;其次,駭客不僅成功入侵網站,還突破了自動提款機領款金額的限制,埋下了另一隱憂。
安全人員警告,攻擊行動可能再度展開。「全球支付」去年十二月廿三日也坦承,駭客竊取資料庫內一百五十萬名客戶的資料,也可能連帶偷走了一百一十萬名客戶的社會安全號碼。
雖然「全球支付」強調將賠償所有受害客戶的損失,並在事發後立即將這些「員工薪水卡」作廢、變更密碼,不過一百五十萬人處在身分遭盜用的風險之中。
此外,詐領案在短短半個小時內執行完畢,若以報載所稱每次提領上限五百美元計算,則九百萬美元必須提領一萬八千次,顯見犯罪集團已破解提款機每日或每次的提領金額上限。
詐領集團動員能力也很驚人,詐領人遍及四十九個城市、超過一百卅台提款機,這至少一百卅人形成的「詐領集團」成員平均在每個城市詐領的可能不到三人,人員散布範圖之廣令人吃驚。
美國聯邦調查局幹員羅斯說,「我們看過不少ATM提款機詐領案,但類此規模前所未見,有橫跨全球四十九個城市、超過一百卅台提款機遭殃,...所以你可以想見涉案的人數,以及這項行動的規模。」
Conficker蠕蟲釀重災 微軟懸賞25萬美元緝兇
NOWnews.com 記者蘇湘雲/綜合報導 2009/02/14
微軟在去年10月針對其Server service發布MS08-067安全更新修補一漏洞,但是駭客已鎖定此漏洞持續散布蠕蟲病毒,平均每日有50萬台電腦感染到這隻代碼為Conficker的W32.Downadup.A蠕蟲,每日有超過170萬台電腦受到攻擊,累積到今年1月中旬,已有超過9百萬台電腦傳出災情!遏止災情持續擴大,微軟12日宣布,如果提供線索讓散播這種電腦蠕蟲者因爾遭到逮捕並被定罪的人,將致贈賞金25萬美元。
在這一波嚴重的網路毒災中,微軟最先發現的是一隻名為Win32/Conficker.A的蠕蟲,大多散布在企業內部,後來家庭用戶也開始傳出災情,此蠕蟲會隨機攻擊網路上的電腦,當受到攻擊時,該電腦即會下載蠕蟲的複本,並偽裝為JPG檔案以及儲存在系統內的DLL檔案匣中,並自動修補系統記憶體中的API漏洞,以確定這台電腦不會被其他駭客掌控。今年1月,微軟更發現了Conficker蠕蟲的變種Win32/Conficker.B,會自動破解網路分享密碼,將惡意程式複製到網路分享資料夾,並進一步感染其他使用者。
微軟同時也組成專業調查團隊繼續追蹤調查,微軟正與ICANN、VeriSign、AOL、Symantec、F-Secure、ISC、M1D Global、Public Internet Registry及Global Domains International等合作,追蹤釋毒的黑手元兇。
ICANN首席網路安全顧問拉特瑞(Greg Rattray)認為,要想擊敗Conficker或Downadup之類的殭屍電腦網路攻擊,最好的辦法是電腦安全社群及網域名稱系統社群攜手合作。
根據IDG引述Hostexploit編輯評論指出,通常撰寫一隻病毒所得的報酬為1萬美元,25萬美元的高額獎金具有讓駭客圈窩裡反的效果,在此之前,微軟抓到Sasser、Blaster與Sobig蠕蟲的作者,消息便是來自作者的友人所密報。而目前估計,全球微軟電腦用戶已傳出Conficker災情的國家,包括台灣、美國、德國、西班牙、法國、義大利、中國及日本等。
※ 它並不可怕,可怕的是人們對於資訊安全的疏忽。
* Microsoft offers $250,000 reward for Conficker arrest - CNET News
http://news.cnet.com/8301-1009_3-10163084-83.html
* ESET NOD32 香港 - Confused about Conficker?
http://www.eset.hk/html/475/1036/
* Conficker Worm
http://www.iss.net/threats/conficker.html
◆ 網路防駭 美政府加強
【聯合晚報╱國際新聞組/綜合報導】 2009.02.13
美國國會眾院國內安全委員會主席湯普生12日向彭博資訊表示,美國政府、電力系統與金融機構的電腦系統,每天遭到數百次攻擊,做案者主要是中國政府的駭客與獨行(freelance) 駭客。
湯普生說,歐巴馬政府本月9日表示將展開60天政府網路安全作業檢討,前述問題將是討論要點,歐巴馬總統表示將指派電腦安全主管,直接向總統負責。湯普生支持這個做法。
中國駐美大使館發言人王保東用電郵發表聲明,否認中國政府涉及電腦攻擊。他說:「有關中國政府幕後主使駭客攻擊美國電腦系統的說法,完全不實,誤導美國民眾。」他並表示,中國政府致力於取締駭客及打擊網路犯罪。
湯普生表示,駭客攻擊金融電腦系統的目標,包括貨幣交易。鑑於目前金融體系陷入危機,此種攻擊破壞力尤大。湯普生並指出,供電體系的電腦系統,也有若干弱點。他說:「我們已把電力系統弱點的警告資訊,提供給全美各發電廠。」
垃圾信 每封最高罰2,000元
◆ 比美國嚴格 比歐盟寬鬆
【經濟日報╱記者/余麗姿】 2009.02.27
推動立法四年的濫發商業電子郵件管理條例,從國家通訊傳播委員會(NCC)還沒成立前,政府就著手立法管理,經二屆NCC委員,三次大修改終於出爐,我方管理尺度介於美國與歐盟之間,希望兼顧電子商務發展、個人隱私權保護。
美國對商業電子郵件管理,採取「Option-out」制度,當收信人不想收到郵件,通知對方寄件人不要再發送,比較鼓勵電子商務發展。
但歐盟則是「Option-in」,電子商務業者不能寄發廣告信,必須先寄通知,收信人願意收,發信人才能寄出第一封廣告信。
日本最近也改成歐盟作法,比較保障消費者穩私權,NCC為考量我國電子商務起步較慢,且一下子比照歐盟作法,廣告主付出成本大量墊高,採取美國、歐盟之間的權衡作法,即為「默示拒絕制度」,可寄首封廣告信,收信人沒回覆,不得再寄。
濫發商業電子郵件,我國與其他國家相同,僅能立法管理垃圾信來源為國內業者,還有九成為來自海外的商業電子郵件,這九成的高比例,讓各國主管單位都相當苦惱,僅能彼此加強合作。
◆ 垃圾信 每封最高罰2,000元
【經濟日報╱記者余麗姿、蘇秀慧/台北報導】 2009.02.27
台灣推動立法管理垃圾郵件,行政院會昨(26)日通過「濫發商業電子郵件管理條例」草案,未來發信人或廣告主發出首封商業電子郵件後,必須取得收信人回覆同意才能續發,否則收信人可請求民事損害賠償,每封郵件最高求償2,000元。
台灣網際網路協會統計,平均每人一天收到29封「垃圾郵件」,在可複選下,其中七成四與情色暴力相關,七成為網路購物。NCC指出,垃圾郵件包括商業與政治、宗教等非商業郵件,首次立法管理的是商業電子郵件。
國家通訊傳播委員會(NCC)官員說,國際間其他國家也相同,各國約有九成濫發商業電子郵件來自國外,一成為國內,該條例實施後,國內一成問題將解決,國外的濫發商業電子郵件,則需透過國際或業者互助。
NCC所訂的商業電子郵件,指的是發信人以行銷商品或商業服務為目的,透過網際網路傳送電子郵件,只要內容涉及銷售商品、有金錢交易的服務,例如提供銀行貸款、代客服務等,都為商業電子郵件。
NCC官員說,政治行銷或宗教郵件等不屬於商業電子郵件,但若是內容有銷售行為,一樣列為商業電子郵件管理。發信人發商業電子郵件時,主旨欄要加註「商業」、「廣告」,讓人辨識。
NCC指出,根據中華電信Hinet、Seednet等十多家ISP業者去年統計,一年濫發的商業電子郵件約有1,053多億封,被擋掉800多億封,還有二成五沒有擋掉。條例實施後,若業者沒有做防堵措施,將罰3萬至30萬元罰鍰。
NCC表示,商業電子郵件管理,將採取「默示拒絕機制」,發信人或廣告主可發出第一封郵件,明定內容要載明免費回傳及聯絡機制,收信人未回傳視為拒絕繼續接收,若廣告主續發將負損害賠償責任。
收信人可將該封郵件儲存,儘速向財團法人團訟機構提起民事損害賠償,達到20人門檻後,團訟機構依條例,可向ISP業者、發信人、廣告主或廣告代理商調查個人資料,業者不得拒絕,否則也將開罰。
◆ 亂槍打鳥 失邊客要付代價
【聯合報╱張瑞雄/東華大學資工系教授】 2009.02.27
行政院院會昨天通過「濫發商業電子郵件管理條例」草案,未來收到濫發商業郵件的收信人,可向違法的發信人請求每封違法電子郵件新台幣五百元至二千元的民事損害賠償金額。草案也包含了收信人可以團體訴訟的權利和「默示拒絕」機制,亦即發信人應在首次傳送時就說明,若收信人未回傳就視為拒絕繼續接收,因此收信人要拒絕後續來信,不需對發信人有任何回應。
將重點放在讓垃圾郵件的發信人付出代價,而非只是一直強調要用過濾軟體來阻擋它是一個非常正確的立法方向,因為即使網路服務廠商可以百分之百的攔截垃圾郵件,一旦送出整個網路已經付出了傳送的代價。
不過即使有了法律,電郵的使用者也不要高興太早,美國早在二○○五年就通過了類似的法案,除了賠償還課以刑責,但顯然地每年垃圾郵件的數量還是一直上升,因為最困難的是抓到發垃圾郵件的源頭,這牽涉到網路轉信的種種技術和機制,也需要跨國的合作,每年能抓到的幾希?
解決垃圾廣告郵件的問題比防堵網路病毒還難,病毒還有蛛絲馬跡可循,使用者對垃圾廣告郵件根本是束手無策。最笨也最有效的方法就是將你願意接收郵件的寄信者正面表列,但很顯然你會錯過很多有趣或有用的郵件。
另外一種就是負面表列,即建立你不想接收的來源名單,問題是電子郵件寄信者的千變萬化讓此法不太實際。目前各家的攔截軟體就各顯神通,依經驗法則來判斷,所以難免出錯,不是讓你的收信匣仍是充滿垃圾郵件,要不就是讓你重要的郵件被當作垃圾刪掉了。
垃圾郵件之所以那麼多,主要是其幾乎不需要什麼成本,所以有人提出電子郵件郵資的觀念,就是每寄一封電郵要付一點點郵資,那麼大量發送垃圾郵件者就要考慮其成本和可能的回收了。但這付費的觀念一直無法推行,因為一來這需要國際的合作,二來很多公益團體靠發送郵件來募款或做聯絡做善事,收費對他們可能是很大的負擔。
雖然有困難,但電子郵件收費可能是防止垃圾郵件唯一可行的方法,但可以不用事先在寄信時就收費。廣告寄信者事先交一筆保證金,只要收信者沒有抱怨說這是垃圾郵件,就可以不用收費,否則費用就從保證金中扣除,這樣也會讓真正的網路廣告業者好好選擇其發信的對象,不會亂槍打鳥。而且交保證金也會讓寄信人的身分無法保密,讓執法單位有跡可循。
立法表示政府有注意到事情的嚴重性,這是好事,雖然或許抓不到幾個失邊客(spammer,即發送垃圾郵件之人),但知道自己每收一封垃圾電郵可能就可獲得二千元的賠償,那麼在刪垃圾郵件時或許就不會罵聲連連了。
◆ 減緩垃圾郵件開罰散播者 專家:有難度
中廣新聞/陳奕華 2009.02.27
垃圾郵件氾濫,政府計畫立法管理,未來使用者可向垃圾郵件散佈者求償,不過專家認為,追查發信源頭難度高,因為多是駭客入侵使用者電腦作為發送跳板,而且不少廣告郵件IP位址是來自國外,求償不易。
行政院通過「濫發商業電子郵件管理條例」草案,條例規定,如果沒有獲得收信人同意,連續發送廣告信件就違法,未來民眾可以向濫發垃圾郵件請求損害賠償,透過這項規定,希望減緩垃圾郵件氾濫狀況,不過專家觀察這項政府美意,落實上可能有難度。
趨勢科技技術顧問簡勝財表示,很多垃圾郵件來自駭客組織或營利集團,透過入侵他人電腦發送,因此未必找的到真正的主謀,其次寄發郵件的IP位址可能來自國外,不一定罰的到。
專家表示,如果要罰廣告郵件提供的公司,或許還有機會,不過要考慮到如果公司的IP位址來自國外,不一定找的到或者罰到它,另一個考量是,一般人對於垃圾郵件的定義模糊,要去辦定是否為垃圾郵件也是困難點之一,不過這項規範的立意良善,要改善垃圾郵件問題,還需要政府與民間業者共同努力。
※ 以上所有言論不代表本人立場。
Perspectives 有時候也會誤判...
張貼留言