專家露一手 網路「駭客現形」

人氣 10
標籤:

(//www.tvsmo.com)
【大紀元12月6日訊】網際網路網網相連,是個寶庫,也是個犯罪的「樂園」,不肖駭客可以從中發掘或許「價值連城」的玩意,或侵入只有特定人士才能一窺究竟的資料庫或網站,這些聽起來似乎莫測高深、不可思議,然而拆穿他們的手法後,有時會發覺僅是「如此而已」,但這些「奧妙」存乎一心,如何制止與防範,或正可由此下手。

  自由時報12月6日報道,國內線上遊戲「仙境傳說RO」傳出遭駭客「侵權」,複製收費網頁,企圖從中竊取玩家帳號與密碼,其方式是將官方網站上的收費介面直接複製,將它連結至私人的網站上,並且佯稱是官方網站人員,誤導購買點數卡的玩家上線登錄點數,然後從中竊取他們的帳號與密碼。

  這名駭客甚至還公然在各大遊戲網站張貼廣告連結,散播點數卡的收費期限截止等不實訊息,誘使玩家上當。

  業者表示,線上遊戲所需的點數卡,須上線登錄才能使用,駭客熟知這樣的消費習性,乾脆直接複製一個假的登錄頁面,若不知情的玩家前去登錄,帳號與密碼即因而「外流」。

  對受騙的玩家來說,個人帳號、密碼被竊取,可能讓自己擁有的虛擬寶物遭盜用,不肖人士則可藉由轉賣虛擬寶物而實際獲利;或是這些帳號、密碼會低價「賤賣」給其他玩家,影響到原有玩家應有的權利。

  「Hacking Exposed」(駭客現形)作者之一的陳彥銘最近在「駭客實戰研習營」中,則親自示範駭客「獲利」的作業模式與手法。

  其中之一是將某個購物網站的原始檔叫出,存到自己的電腦中,再利用文件編輯軟體如「記事本」,開啟該原始檔,透過「尋找」的功能,找出欲購買商品的「標價」,和所有與該數字有關的內容,然後將這些標價數字改為1元,再進行「存檔」的動作。

  接著由瀏覽器開啟更改後的原始檔,雖然會發現網頁中的商品圖片部分無法顯現,但是商品的價格已變成1元,接著點選「加入購物車」(Add a Cart)的按鈕,會見到購物清單中的商品價格正是1元,我們還可填寫欲購的數量,其實這個漏洞仍在某些購物網站中,並未加以修補。

  陳彥銘說明,上述漏洞,都是來自同一家公司,其專門提供購物網站所應用的程式,只要使用同樣程式的購物網站,照理說都會有相同的問題。

  雖然有機會以1元,購買原本上千或萬元的商品,不過陳彥銘特別提醒,商家也不是渾然不覺,發現這種詭異的狀況,一定會追查原因和破壞的來源,所以用1元買商品很可能僅是「一時之快」,之後警察若找上門來,可要面對後續的法律責任。

  陳彥銘另外示範,利用Google搜尋引擎找出使用者所設的密碼提示,他解釋,這是因為網站的疏忽,將這些資料放置在未經保護處理的電腦中,因而Google的「搜尋機器人」主動至各網站蒐集資料時,就「順便」將這些資料羅列在Google裡,偏偏有些使用者所設定的密碼提示答案,根本就是密碼本身,於是讓駭客有可趁之機,只要將帳號和密碼試一試,立刻破解。

  此外,陳彥銘還提供一個前幾年發生的實際案例:當時俄國駭客專門對網路上的銀行或賭場下手,先將鎖定目標的IP位址找出,再試試網站所使用的網頁伺服器是否為微軟的IIS,由於IIS有些漏洞,駭客便能放入「後門程式」以掌控電腦。

  接著便是找出該銀行或賭場網路服務的客戶名單和對應的密碼,再跟受害公司聯絡,進行勒索恐嚇,表明若不付錢,便將這份名單公開,破壞其聲譽。

  不過,「魔高一尺,道高一丈」,接獲受害公司報案的美國聯邦調查局FBI,展開反制行動,利用網路追蹤的技術,找出兩位俄國駭客的真實身份,再策動一個「誘捕」的行動,設立一家假公司,佯稱要提供駭客優厚的工作機會,駭客「不察」,欣喜地飛到美國,結果一下飛機,立刻遭FBI逮捕。

  ◇防駭 機密資料不外洩。

  儘管網路經常暗藏遭人入侵威脅,不肖駭客隨時伺機而動,不過一般網路族也不用因此杯弓蛇影、甚至因噎廢食,不敢在網路上進行任何活動,其實只要注意一些原則,做好基本防護措施,就可享受網路快捷的便利。

  在Foundstone資訊安全顧問陳彥銘示範下,讓網友瞭解到網路上一些細微的漏洞,擴大自身的不安全感。不過,他反而認為,自己並不憂慮在網路上購物會導致機密資料外洩,但經常在網站上購物的他,為了保護自己的重要資料,必須要遵守一些原則。

  陳彥銘指出,增加通行碼或密碼(Password)被破解的困難度、提高門檻,是防範駭客的第一步,比如說,一般銀行提款卡的四位數字密碼,相較起來就容易破解,因為總共為1萬組的組合,如果真的要一個個試,花點時間就會猜到。

  所以,密碼的字元要愈多愈好,最好設到系統能接受的上限,可能的話,所設的密碼中,最好夾雜英文、數字或特殊符號,愈複雜被破解的可能性愈低,不過自己可要記得密碼才行。

  同時,重要的資料不要放在網站中,如信用卡號碼及相關資料,現在不少網站會提供「一次登記、下次免輸入資料」的服務,陳彥銘建議,最好不要使用這類系統,因為這會把一些個人的機密資料,直接儲存於網站的伺服器或資料庫中,為了避免風險,寧可麻煩點,有必要再輸入一次。

  值得注意的是,現今搜尋引擎的功能可說十分強大,駭客很可能會透過搜尋引擎進行一些特別資料的搜尋,以找出線索,再經由這些線索,完成進一步的破解機密,或破壞擾亂系統的行動;為增加資料的安全性,基本原則就是提高被尋獲的困難度,同時不要將個人的重要資訊放在網路上,徒增被「駭」的機會。

  此外,資訊安全軟體廠商看好寬頻網路應用的趨勢,紛紛推出標榜防毒又防駭的產品,使用者可以比較參考一番,再決定要在個人電腦上採取哪種防護措施。

  賽門鐵克日前推出「諾頓網路安全大師2003中文版」,宣稱除整合諾頓防毒2003、個人防火牆2003最新功能外,再加強「入侵偵測」、「隱私權控管」及「內容過濾」等功能,建構出個人網絡式防禦保護機制,五者交叉運作,應能讓駭客、病毒蟲進不來,重要的個人機密資料,未經允許也無法送出,同時還可追蹤駭客所在的位置。

  至於趨勢科技新上市的「PC-cillin2003」,則強調「主動式病毒預警通知」功能;尚標榜延續防毒、防駭雙管齊下的概念,提供「主控式個人防火牆」,除具備駭客入侵偵測功能外,當連線上網時,可即時監控、過濾與追蹤任何形式的網路資料傳輸或交換;並能避免電腦遭到來自網站的惡性程式「挾持」,阻絕特洛伊木馬程式的襲擊,不至於成為病毒的幫兇。
(//www.dajiyuan.com)

相關新聞
立委建議設駭客學校因應中共資訊戰
超限戰的資訊戰破壞威力強大須全面戒備
星國發布加強網際網路銀行保安新指導原則
台灣反駮中共駭客、電波侵台 為何不處理﹖
如果您有新聞線索或資料給大紀元,請進入。
評論