◆ 天才駭客蘇柏榕 替黑幫盜資料
蔡旻岳/台北報導 中國時報 2007.09.22
曾入侵總統府網站、被警方喻為電腦天才而主動吸收協助辦案的網路駭客蘇柏榕,又重蹈迷途復出犯案了!這次他是被黑幫吸收,夥同林姓少年各自以專精的電腦技巧,利用學術網站作為掩護,侵入中華電信公司等知名網站,非法取得多達上千萬筆的會員資料販售圖利。
刑事局科技犯罪防制中心表示,在網路上暱稱「odin」的林姓高二生、以及暱稱「cb」的蘇柏榕兩人,犯案新手法堪稱國內首見,係以學術網路為骨幹,將跳板主機隱藏於台灣學術網路內,並利用木馬程式、網站漏洞侵入各大知名網站非法取得資料後,存放在國外網站主機,用以規避追查,電腦技術之高超讓警方大為詫異。
主機藏交大 利用學術網站犯罪
刑事局日前接獲台灣深藍學生論壇網站報案,指稱他們的會員資料庫一夕間全遭駭客入侵竊走,警方介入清查後,發現入侵來源竟是交通大學的網址,經派員前往訪查,發現一名數學系學生的宿舍竟藏放著伺服器主機。
警方訪談該名交大學生,輾轉查出全案疑由一名有黑道背景的中間人,介紹蘇柏榕與該名學生認識後,再由蘇嫌藉機混入宿舍內安裝伺服器作案。警方研判,心思細膩的蘇柏榕顯然是相中學校網站頻寬大、學術網路不易發現及學生不易被懷疑等優勢逃避查緝。
刑事局還循線查出蘇嫌在這段期間,又連續入侵中華電信公司、批踢踢實業坊、卡提諾論壇、EZ PEER、PC HOME、GOOGLE、無名小站、艾噹諾學院、雅虎及桃園縣部分國中學籍資料庫,其中中華電信公司用戶帳戶及密碼有兩百四十多萬筆遭竊、批踢踢實業坊則超過五十萬筆,部分網站則連程式都被搬走。
十九校國中生資料 賣給補習班
警方表示,蘇嫌這次不再是獨行駭客,還吸收了在北區就讀高中二年級的林姓少年,刑事局經多日調查,二十一日見時機成熟,分別前往台北縣、桃園縣、苗栗縣等地查緝,當場帶回蘇嫌及林姓高中生,並查扣現金存款單據、四台桌上型電腦、三台筆記型電腦、硬碟及隨身碟一批,將進一步過濾電腦資料,林嫌落網後已坦承將桃園地區十九所國中學生的個人資料以十七萬元的代價賣給補習班,蘇嫌則堅不吐實,警方將全案先移送,並持續追查幕後教唆的黑幫份子。
◆ 高二駭翻總統府 鬥智走偏鋒
蔡旻岳/台北報導 中國時報 2007.09.22
「總統府指示,定四月一日愚人節為國定假日。」三年前,一句掛在總統府網站上的駭客留言,震驚了國安系統,後來在刑事警察局的追緝下,當年仍在唸建國高中二年級的蘇柏榕,由父親陪同出面投案,這名少年所展現的電腦天份,讓警方驚嘆,也讓黑道垂涎,從此,蘇柏榕的生涯就在黑白一線間不斷拔河。
擁有超強破解電腦程式功力的蘇柏榕,因長期躲在自我的世界中,不善言語,但對密密麻麻的數字卻又天賦異秉,在警方的眼中宛如「駭客雨人」。
這名「駭客雨人」國中時,即曾侵入基測電腦,竊走五十萬筆國中考生成績單,販賣給補習班業者,唸建中時,他又四度侵入大考中心,竊走一百五十萬筆考生資料,同樣是賣給補習班。這次竊取上千萬筆網站個資,目的還是為了賣錢,蘇嫌把自己卓越的天份,如此賤賣糟蹋,是讓警方最為心痛之處。
十九歲入侵總統府網站一事,讓蘇柏榕打響知名度,也成為「竹聯幫」極欲網羅的目標,黑道經常前往他台北縣住處騷擾,企圖吸收他竊取個人資料提供給詐欺集團,最後被刑事局科技犯罪防制中心及時察覺,而將他帶回輔導看管。
當時刑事局警務正林建隆,每天與蘇柏榕朝夕相處,防制中心主任李相臣還幫他出大學考試報名費,蘇柏榕卻只考了數學及物理兩科,就主動放棄,讓想熱心輔導他走入正途的警方大失所望,後來蘇嫌還是考上了大學,但是又休學。更令警方訝異的是,蘇柏榕月初才剛與刑事局幹員恢復聯繫,一起吃牛排、談天,竟在月底又因故技重施而被捕,讓雙方在警局見面,彼此都感到相當尷尬。
◆ 系統洩密刑案資料恐遭盜賣
張君豪/板橋報導 中國時報 2007.09.22
不肖員警盜賣民眾資料「賺外快」時有所聞,日前基層員警發現,北縣刑事警察所使用「刑事犯罪資料網站查詢系統」因程式設計問題,竟會洩露使用者的帳號及密碼。不少警員擔心若有心人士鑽程式漏洞取得密碼,將可冒用他人身分查詢刑案機密資料。
每位警員都有自己的帳號與密碼,只要上線查詢資料就會留下紀錄,警方如發現異常,即可循線逮人。一旦帳號被冒用,被害員警恐代人受過,真正盜賣資料者反逍遙法外,惟是否有人鑽此漏洞盜賣資料仍有待調查。
員警擔心帳號密碼被冒用
基層刑警反映,刑事局「刑事犯罪資料網站查詢系統」因設計瑕疵,在多人共用電腦狀況下,若之前使用者查詢完畢未登出系統,有心人將可利用程式瑕疵輕鬆取得帳號、密碼等相關資訊。
系統洩密的瑕疵在於:不管任何人使用這套系統,只要趁未登出狀態下,進入「刑案知識庫」查詢犯嫌犯罪紀錄,點選犯罪資料的「詳細」選項,然後再將滑鼠游標放在其項下的「縮影編號」上,瀏覽器的路徑欄就會將登入系統員警的帳號、密碼顯示得一清二楚。
程式設計疏失問題大
基層員警還發現,只要在「縮影編號」選項上按滑鼠右鍵開啟「內容」功能,連接資料庫路徑端也會洩漏登入者帳號、密碼。
程式設計師指出,該選項原本應該顯示的是資料庫路徑,卻「意外」秀出使用者帳號密碼,應是程式設計疏失,
員警擔心一旦忘記登出系統,屬於業務機密的帳號資料將遭他人一覽無遺,倘若不肖同仁盜取他人帳號資料,用來非法調閱民眾資料「賺外快」,將造成「別人違法,責任我背」。
刑事局資訊室主任林肖荷表示,已針對該系統取樣測試,分析局本部、台北市及北縣工作子機,發現台北縣有上百台刑事工作電腦有此瑕疵,但同樣的執行程序,在刑事局及北市電腦上只會顯示亂碼。
軟體未及更新捅紕漏
資訊室前晚歷經1小時比對測試,終於找到原因,林主任解釋,縣警局資訊室安裝北縣刑事工作電腦軟體時,未將JAVA軟體更新到最新版,才導致應該攔阻的帳號、密碼等機密大剌剌秀在螢幕上。
刑事局資訊室將會盡快幫北縣電腦軟體升級,以解決系統洩密瑕疵,並呼籲員警養成不用立即登出的習慣,並定期安裝更新程式,才能有效避免密碼外洩。
◆ 代客打仗 傭兵年產值4兆
【聯合報╱編譯王先棠╱報導】 2007.09.22
「傭兵」是很少人關注的當紅新興產業。英國獨立報指出,各種民營傭兵集團,至少在全球五十個國家參與作戰與後勤運補任務,一年總產值已高達一千兩百億美元(約台幣三兆九千八百億元)。
在西非國家奈及利亞,民間傭兵突擊隊與攻擊油井的叛亂分子猛烈交火。在阿富汗,保全公司人員協助化解一次次暗殺卡薩總統的企圖。在南美哥倫比亞,民營公司的飛行員為古柯田噴灑農藥時,還得閃躲游擊隊的子彈。在兩伊邊境,私人公司的阿帕契直升機搭載美軍特種部隊執行秘密任務。
美國布魯金斯研究所學者辛格說,企業化的「民營軍隊」可能是全球成長最快速的產業,美軍攻打伊拉克更使傭兵企業名正言順地發展壯大。
冷戰時期,美、蘇兩強分別監控自己的勢力範圍,傭兵機構無用武之地,但是一九九○年代初冷戰落幕後,各種異議團體與極端民族主義分子動作頻繁,國際和平岌岌可危,各國急需軍事專業人員,然而一般國家的常備官兵持續縮編,傭兵集團於是趁勢崛起。
伊拉克境內的美軍任務與教派衝突,讓傭兵企業有機會展露身手,大撈一筆。據估計,伊拉克境內已有四萬八千名傭兵,在作戰中喪生者超過八百人,至少有三千三百名傭兵受傷。
學者表示,現在的傭兵集團極力擺脫「傭兵」標籤,自稱「民營軍事公司」,或者乾脆放棄「軍事」一詞,改稱「保全」公司。
獨立報指出,伊拉克戰爭的每個階段都有傭兵參與,從訓練、入侵前的演習到後勤補給,無所不包。科威特多哈軍營是美軍攻伊跳板,也由民營承包商一手打造完工。
如今,不僅軍隊「民營化」,傭兵集團「代客打仗」,在波士尼亞、剛果民主共和國等動盪不安的戰地執行人道救援的慈善機構,也非常依賴這些民營軍事公司來維護人員的安全。
※ 愈來愈像漫畫中描繪的景象了。
* 星草擬科研個人資料保護法
* 新軟體:從你的上網習慣找出你
* 美新行業 為客戶上網消除個人資料
* 網友厭倦了? 網路購物成長遇瓶頸
* 調查:網路像叢林/Apache 地位開始動搖
* PTT破大洞 人人都變站長
* 多核心 CPU 之攻擊
* 德國新法案讓安全專家深陷迷霧
* 中國的 GFW 是在騙人嗎?
* 當兵4年 換美國公民身分?
* 義大利黑幫 惡勢冠全球
* 全球7大不穩定因素加劇 國際衝突難免
沒有留言:
張貼留言