資訊安全最新訊息

更新日期：2007-5-17

資安訊息

一、向網路詐騙say no！　　消息來源：資安人科技網 2007/05/14　TOP

網路詐欺(Online fraud)已經走向集團化經營，嚴重影響民眾對對電子商務的信心，尤其是銀行的網路交易行為。這些日益增多的惡意行為，已構成建立詐欺偵測與預防機制的動機，而新訂立的聯邦指導方針給了安全管理人員一個支點，讓他們得以應用新的技術與流程，來保障企業安全。

越來越多狡詐的網路釣魚及詐欺手法，來得真不是時候。

「這些網路詐欺的技術越來越熟練了。」LeeCarter說道。他是一家位於鹽湖城的網路銀行Zion的總裁。「以往要抓出這些手法還算容易，因為這些詐欺郵件通常粗製濫造，用句或文法錯誤。但是現在，這些偽造的信件越來越真實，容易讓人誤信，而且他們會模仿目標的口吻來撰寫偽造內容。」

已有數十家廠商踏進這塊領域，提供各種技術，其中包含一些創新想法，像是利用即時對買家的回撥電話進行確認。還有一些技術，能讓鍵盤側錄程式更難截取使用者的姓名、密碼與銀行帳號。

在這領域的三大廠分別為VeriSign、RSA Security(EMC)及Entrust。目前這些廠商的產品，都符合「聯邦金融機構檢查委員會」(FFIEC, Federal Financial Institutions Examination Council)所訂定的方針，而這些產品，也可應用在非金融機構的電子商務上。除了這三大廠商外，其他小廠也都有自己特有的產品，可滿足FFIEC指導方針或電子商務應用上。

該怎麼選擇符合自己需求的產品？並不是一件簡單的事，這些廠商的網站上大多介紹這些應用的架構願景，較少著墨在產品資訊，遑論產品價格的細節。我們採訪了數家廠商，並與使用者溝通，提出一些參考建議，讓您可以依據企業的需求來選擇所需要的解決方案。

反詐欺問題並不簡單

FFIEC指導方針特別明確地建議，金融機構要為轉帳、與任何客戶身分、帳戶資料之存取行為，建立起強健的認證機制與詐欺偵測機制。由於金融交易隨時都在進行，因此需要具備即時的偵測與預防機制。如果沒有這樣，當事後發現詐欺行為後，銀行並無法阻止一個鑽石耳環或是高檔電視的出貨。

「值得慶幸地，實體商品並不像金錢轉帳一樣地即時，因此電子商務網站還可利用事後偵測機制，而不需像銀行一般需利用客服人力的支援，還得在交易過程中隨時注意是否有任何詐騙行為。」反詐欺產品廠商Cydelity CEO，Bob Ciccone說道。

較讓人頭痛的是，新的認證機制還未能普及到使用者身上。「目前視網膜掃描、指紋辨識等生物認證技術，人們對它的期待就像電視影集「24反恐任務」一樣，但是事實卻未必如此。」，產業分析機構「451group」的資深分析師，Nick Selby說道。這些技術目前尚未廣泛地應用在市場上。

「E*Trade目前使用RSA公司的SecureID技術，來保護其白金會員的交易安全。值得注意的是，這種應用其實是為了開闢市場，而非必要的安全預算」，Selby說道。「如果你用了鎖來保護客戶的帳戶，客戶會覺得比較安全。但是對每一個用戶都配發這些硬體的Token裝置，實在是不切實際而且昂貴。」

FFIEC所制定的方針與相關文件都是為了增加網路銀行的安全性，並增加網路釣客與身分竊賊的困難度，過去幾個月，這些銀行或是商行所採用的技術，也讓那些重視網路詐欺的電子商務公司獲得了許多寶貴的參考價值。

尋找適當的解決方案

我們評估了一些目前銀行所採用的新技術。也深入了解三大廠商所提供的解決方案，有的銀行採用部份技術，而有些採用他們的整體方案，來建立詐欺偵測機制。

由於產品價格分布極廣，以及一些客製化因素，我們暫時先不討論價格。另外，第三方電子商務前端付款處理機制這邊也不予以評估，事實上許多電子商務交易公司像是2Checkout.com與CheckFree，也使用了許多本文所提的解決方案。

本文點出了面對網路詐欺的重要問題，可提供給想使用這些方案的公司作為參考。

用戶端程式的安裝

有些產品需要在主機上安裝特定的用戶端程式(client software)、cookies、flash物件，而有些產品則不需這麼麻煩(稱作Zero touch)。看起來好像無關緊要，但公司沒辦法預料用戶端電腦會有什麼限制，客戶有可能擋掉部份用戶程式或是隨時會更改電腦設定。

有些廠商能讓企業選擇自己適合的方案，因為這些企業對於用戶端程式有自己一套政策規範。用戶端程式的安裝與否其實有好有壞，不需安裝用戶端程式(clientless)的方案需要較多時間來確認詐欺主機。在用戶端主機上利用cookie或是瀏覽器物件(像是ActiveX或JavaScript)之類的技術在用戶端主機儲存一些資訊，可以更容易地確認客戶使用該主機的情況與電子商務交易行為。也能讓網站管理者蒐集相關濫用該主機的行為。但如果使用者將自己電腦上的cookie或是ActiveX關閉，就無法使用這類方案了。

多數小廠偏向使用clientless的方案，而三大廠則是兩種方案都提供給用戶選擇。「我們有完全不需安裝用戶端程式的解決方案，用戶在維護上較為方便，也減低支援的負擔，」VeriSign產品主任Kerry Loftus說道。

目前所有偵測詐欺產品，都利用個人每筆交易之常用習慣與特徵來進行分析，像是在每天的特定時間、每周的特定日期，用戶利用使用特定IP位置、特定ISP、特定地點、特定瀏覽器來進行交易的這類特徵資訊。當然也會考量那些有時在家或是辦公室進行交易的用戶行為，將這些例外記錄在使用者的特殊需求。這些詐欺偵測機制可以蒐集這些行為，並找出潛在的異常，像是某個使用者從別的國家登入或突然改變了瀏覽器的版本。

是否會改變現有架構

根據現有的環境架構，用戶需考量，如果增加這些防詐欺機制是否會改變現有交易流程、電子商務伺服器是否支援。像是有些產品在主機上不需任何用戶端程式以及或儲存cookie資訊、而有些產品可直接套用在產品線中，不需修改產品流程與相關電子商務程式碼。通常，希望能夠快速上手的企業都不希望動到他們的伺服器。

舉例來說，Covel ight Sys tems、Ent rus t與Cydelity的產品，可放置在DMZ區，擷取伺服器流量並且進行分析。

「你只需要在span port中將流量導出來，或是使用實體的network tap。不需要寫程式，也不需在任何應用程式上進行修改。」Covelight公司的CTO，Garth Somerville說道。

其它如Corillian公司和RSA公司的Adaptive Authentication，則是需要在線上應用系統上，插入JavaScript或是.NET程式碼，連上詐欺主機或是認證系統。

偵測能力

針對詐欺行為偵測的能力，我們的評鑑結果大致分為兩類，「良好」與「優良」。這些產品是否真的能判別出哪一筆是詐欺的交易行為，還是僅是阻擋掉那些來自可疑主機的登入行為？舉例來說，網路釣客偷取用戶到銀行的帳戶登入資料是有跡可循的，首先他們會偽造一份電子商務網站的網頁，將其放置在一個受駭主機上，接著他們會蒐集email清單，然後大量發送釣魚信件，最後那些不小心的用戶點選了釣魚信件的連結，便引導他們到受駭主機上的假電子商務網站。

Corillian公司的產品，便可偵測出這類釣魚信件，卻不需在用戶端架設任何硬體設備，而其他家的產品則需要在用戶伺服器的內部網路中來蒐集相關資訊。Corillian在Internet接取點處放置監控裝置，並且檢查是否有類似大量發信的惡意釣魚信件行為。接著會警告用戶這可能是一個釣魚網站的攻擊行為，並且阻擋對該受駭主機的存取，避免使用者意外地去連結。

「我們藉由追蹤相關惡意行為，像是複製整個網站頁面等其他細節，因此我們可以抓到那些還在線上的釣魚網站。」Corillian的CSO，Greg Hughes說道。「在網路釣客發送出釣魚信件之前，我們便抓到它們。」

強化的身分認證方式

有些產品則使用被動分析的方式。當偵測到異常，再將告警資訊送到中央監控系統上。這三家大廠併購了不少公司，因此這方面也有許多解決方案。「在一系統平台上，我們可以提供各種認證方式。」Entrust公司的CTO，Chris Boyce說道。Entrust公司去年買下Business Signatures，而RSA公司則併購了PassMark Security和Cyota。

像是Passmark這類技術是設計在使用者登入之前，利用更多的個人資訊或流程來進行驗證，像詢問使用者事先設定好的問題，其他像是Corillian公司的Intelligent Authentication、VeriSign公司的VIP FraudDetection，可以回撥至使用者的家裡或行動電話，要求輸入PIN碼之後才能繼續驗證。Bharosa則是使用了JavaScript技術，利用螢幕小鍵盤(Image map)的方式來阻絕鍵盤側錄程式。

越是複雜的認證方式，客服中心所接到客戶電話就越多。廠商經常愛舉Bank of America的例子，那時他們大量更新設備，採用新規劃的RSA/PassMark的 SiteKey認證機制，結果客服電話大量增加，許多使用者也很排斥這項要人選取圖像的新技術，還有要在使用者電腦中存放cookie來記錄登入資訊。「自從採用Corillian公司的Intelligent認證機制後，最大的衝擊便是大量的客訴電話。」，威斯康辛大學的網際網路主管Eric Bangerter說道。「許多客戶對這套系統如何運作感到好奇，少數用戶對這感到不滿，也不太感謝這套新開發的安全機制。」Corillian的產品追蹤PC的使用資訊，(像是IP位址、ISP、使用來源國家)，來決定使用者是否合法地在合理情況下使用電腦來存取銀行帳戶。這些銀行機構建立線上協助機制來解決客訴問題，並且試著告知增強認證機制的好處。

「普遍來說，客戶並不積極地想建立更強的認證機制。」RSA的安全解決方案副總裁Amir Orad這麼說道。

即時報表能力

有些產品可以即時地產生報表，而有些則利用晚間來進行批次處理。端看使用哪一種產品、想要產生什麼樣的報表、系統如何發送告警訊息、廠商要怎麼為客戶提供24X7的監控服務。Covelight、Bharosa以及RSA的Fraud Action都很適合做即時分析。

「如果偵測機制沒有整合在系統中，那你就得從系統記錄檔中找出異常的詐欺行為」VeriSign的Loftus說道。「所以有多即時就得看你多久處理一次系統紀錄，如果你真的需要做到完全即時，那還是得在應用系統中加入一些機制。」

協防能力與人工智慧

另一個挑戰是，如何將這些詐騙IP位址和相關詐騙站台的資訊，與其他廠商分享，並讓程式接收來保護使用者，這很類似防毒軟體的病毒採樣小組彼此合作來防範病毒擴散。若有這樣的機制，得以讓各大廠商或電子商務處理機構，開發新的對抗方式。

RSA的產品便具備這樣聯合防禦機能，而VeriSign的產品也有相同的機制。「由於我們有龐大的用戶可提供資料庫，因此，60%的詐騙可由網路上直接阻擋。RSA的Orad說到。而另一頭，CheckFree的FraudNet則與分析夥伴Actimize合作，提供在其電子交易網路上的即時詐欺行為分析。

整合是一大挑戰

最後，廠商是否提供足夠安全的認證機制、身分管理機制、詐欺偵測機制，並且將這些進行良好的整合？或者你能否在同一架構中，採用不同廠商的方案呢？這三大廠目前仍在努力地整合旗下的解決方案，像是當他們的詐欺監測產品發現了一個異常狀況，便須回傳給認證系統，再由認證系統發送新的挑戰問題給使用者。看看這些大廠最近併購產品的速度，相信他們仍有很大的努力空間。

而小廠則持續地強化其身分認證系統，並與詐欺監測系統整合。但是發展的目標卻不會再擺在那些大廠所開發的產品線上了。

David St rom是自由作家，是Tom's Hardware and Network Computing 雜誌的主編及發言人。

二、安全上網－虛擬世界，真實威脅　　　　　消息來源：資安人科技網 2007/05/07　　　　TOP

您是否想像過，如果足不出戶，您將如何維持每天的生活以及處理各類生活中的事項？姑且不論這樣的生活是否健康，網路技術及應用的快速發展，已經讓人們從工作、教育、人際關係的維繫，到各項食衣住行育樂生活機能，都能透過網路來完成。在過去，「秀才不出門，能知天下事」指的是人們透過傳播媒體對資訊的掌握，而今日，網路這個更勝一籌的資訊交流管道，不僅使人們能知天下事，更能辦天下事。

網路為人們帶來了許多方便性，也改變了人們許多生活模式，網路所衍生的交易行為涵蓋了金流、物流、資訊流的交換，根據一項報告數字，美國人民於2006年耶誕假期，網路線上交易的金額即高達75億美金，較2005年成長了50%，如此龐大且持續成長的金額當然會引起惡意人士的覬覦之心，相較於真實世界的犯罪行為，發生於虛擬世界的電子犯罪有著更高的報酬，而且更不容易被發現，對不法之徒而言無異是一個新的犯罪天堂。面對處心積慮想從網路上獲取不法利益的壞份子，單純的使用者明顯處在一個不利的資訊環境，但是使用者也不盡然是毫無招架之力，就像現實生活中碰到安全問題所採取的保全措施及應有的警覺心，虛擬世界的安全防護也有因應之道，我們將從使用者最常見的上網行為，包括網頁瀏覽、E-mail、即時通訊、網路銀行、線上遊戲、網路拍賣等來探討上網時會碰到的安全威脅及自保之道，以及各項網路服務業者在一連串安全威脅下，如何提供使用者一個安全的上網環境。

新服務新威脅

WWW的崛起創造出一個新名詞「Internet Surfing」，包羅萬象的資訊瞬間吸引了眾多使用者的目光，隨著寬頻網路成為趨勢以及Web應用程式技術的發展，更多的服務透過Web應用呈現在使用者面前，政府單位、企業組織、團體以及個人，無不積極建置自己的Web服務，做為資訊交流、服務提供的平台，人們可以在網路上處理事務、進行線上交易、購物等。而電子郵件和即時通訊的應用也改變了現代人的聯絡方式，可以說是行動電話/電話之外，現代人互相聯絡的最重要管道，舉凡公務、私人訊息、聊天、資訊分享，透過E-mail、Instant Message都可以立刻傳送給對方。因為Web、E-mail、即時通訊等Internet服務如此普遍及廣泛的在各方面被應用，因此也被駭客做為入侵及竊取資料的管道，利用釣魚信件、垃圾郵件、病毒、木馬程式等工具進行惡意行為，而瀏覽器的安全漏洞、Web應用程式撰寫的安全缺失以及釣魚網站等安全問題，使得使用者在上網時面臨更多的威脅。

「網路釣魚」是網路犯罪集團慣用的手法，通常冒用知名的銀行、交易網站之名，傳遞假造的訊息，利用電子郵件、即時通訊等社交工程，誘騙使用者連結到假造的網站填寫資料以詐取個人資料或帳號密碼。對於釣魚網站，各單位無不極力防堵，例如信用卡發卡組織與安全公司合作的「防止網路釣魚計畫」，透過持續不斷的監控信用卡資料交易網站、釣魚行為以遏阻網路釣魚詐騙，但是面對釣魚網站快速的成長速度，使用者仍需提高警覺小心受騙。

為了能夠安心使用Internet服務，建議使用者注意下列事項：

●更新瀏覽器，定期修補瀏覽器安全漏洞。

●不要隨意開啟即時通訊傳送的檔案，最好和對方確認後再動作，因為檔案可能是對方受到病毒或惡意程式感染後所自動傳送。

●刪除可疑電子郵件，防止網路釣魚、病毒、木馬程式。

●選擇有SSL認證的交易網站，防止釣魚網站詐騙。

●對於不熟識的網友保持警戒心。

●不要轉寄垃圾郵件。

●小心瀏覽語音分享的網站。

●若一定要經由網路交易，建議使用的信用卡額度不要太高。

●為避免遭溢波攔截，網路交易時最好避免使用無線上網。

●使用的電腦一定要定期檢查防毒防火牆等軟體，將風險降至最低。

網路銀行安全面面觀

網路銀行的出現提供使用者一個新的管道，可以更方便的使用金融服務，而各家銀行也發現到網路銀行所帶來的好處，並積極的開發及利用這個管道，提高客戶使用滿意度、滿足客戶需求，並透過網路銀行來降低營運成本。

滙豐銀行Direct Banking資深副總裁陳民康表示，網路銀行提供了隨時隨地24小時的金融服務，解決了許多人因事務繁忙而無法臨櫃處理的困擾，目前台灣約440萬人使用網路銀行，使用人口在過去幾年中呈倍數成長，雖然ATM的設置已甚為普遍，但是網路銀行提供了更便捷的服務，讓銀行客戶可以從家中、辦公室就可以使用金融服務。對銀行而言，網路銀行可以擴大客戶群，並且透過流程自動化為銀行節省營運成本，而銀行也可將節省的成本支出回饋到客戶，客戶和銀行都能利益均霑。

但在網路銀行為銀行和客戶帶來好處的同時，也存在著安全威脅，滙豐銀行 Direct Banking副總裁鍾宜蓉表示，目前網路銀行使用上的安全威脅，對使用的客戶而言，必須擔心是否連結到一個真正的銀行網站，而不是釣魚網站，這也是目前網路銀行最常見的安全威脅之一，而個人資訊在傳遞的過程中是否受到保護，包括銀行是否有善盡保護客戶資料的義務？是否提供足夠的交易安全機制？都是網路銀行使用者關切的重點，而使用者本身的不良網路使用習慣，在不自覺中洩漏個人的重要資訊，也是網路銀行在使用上的安全缺口。

對銀行的客戶而言，最關心的是個人資訊和財產是否受到妥善的保護，延伸到網路銀行的使用上，同樣面臨相同的問題，因此銀行在如何認證使用者，並且將嚴謹的安全機制以及預警監控機制應用在網路銀行，都是和實體銀行同等的重要，而滙豐銀行Direct Banking也在安全和方便取得平衡，透過雙重保護提供客戶一個安全的交易環境。

贏家？輸家？

隨著寬頻用戶數量持續成長，以及線上遊戲引人入勝的劇情、畫面和遊戲內容，線上遊戲成為時下熱門的一項休閒娛樂，網路遊戲人口也不斷成長，也因為線上遊戲吸引眾多玩家的投入，遊戲中所產生的虛擬貨幣、寶物在現實世界中成為具有價值的商品，也衍生出外掛、盜取帳號、寶物及詐欺等犯罪行為，對玩家造成威脅。

代理國內多項熱門線上遊戲的智冠科技表示，整個遊戲產業普遍遇到的資安問題可歸納為兩個部份，對於業者可管轄的部份，為了遊戲的公平性與玩家的安全性，除了委請國內知名安全公司協助規劃整體資安解決方案，並配合公司資安部門的政策與行動方針，執行各項安全措施，包括定期執行弱點稽核掃描及滲透測試，隨時更新防毒程式與主機修補更新，佈署入侵防護系統阻擋駭客攻擊，建置Web Firewall阻擋網站攻擊，委託7×24的SOC中心監看所有資安設備與通訊，安排公司資安小組人員接受資安技能訓練，主動蒐集及分析外掛程式，並通知玩家外掛內隱藏的後門警訊與解法，主動要求玩家定期更新密碼並注意相關資安警訊等，並且和資訊安全軟體公司CA合作推出反間諜程式防護軟體，目的就在提供玩家一個安全的遊戲環境。

而在遊戲玩家部份，常見的資安威脅包括使用外掛程式導致帳號密碼被竊，駭客利用監視器側錄被害者輸入之帳號密碼，瀏覽器未即時更新導致被植入後門木馬，或是帳號密碼直接寫在電腦中而被駭客發現並竊取，與他人共用角色或帳號，或是被惡意人士以社交工程或惡意行為所詐騙。

對於外掛程式，智冠科技表示，遊戲業者都採取禁止使用的態度，除了外掛本身破壞了遊戲的公平性之外，使用外掛雖圖得一時的方便，然而對於個人自身使用的電腦安全危害卻是無窮，因此呼籲所有接觸線上遊戲的玩家，切勿使用非官方程式進行遊戲，才是對於自身電腦資訊安全最大的防護。

而針對線上遊戲所衍生的線上交易行為，對會員反應帳號被盜或舉發各類不法之情事，都會對其電磁記錄進行清查追蹤，若經查證會員帳號內電磁記錄涉及收受贓物或造成他人損失，將會暫停使用者的帳號使用權並回收遭不當轉移之電磁記錄，以及蒐證資料並分析帳號狀況，對於善意購得該電磁記錄者，會進行案情了解及處理；而針對惡意危害遊戲中平衡之玩家，則將蒐證資料送交檢警單位以追究刑責，玩家切勿因貪小便宜而誤觸法網。對於遊戲世界中虛擬貨幣、寶物在現實世界的交易行為，遊戲業者大都採取禁止的態度，並有相關規則予以規範。

網路拍賣已成詐騙新戰場

網路拍賣已成為一個蓬勃的交易市場，從原本只是二手貨、個人物品交易的平台，成為現今商品交易的一個虛擬市場，吸引消費者到此尋寶，也吸引人們在網路拍賣上尋求商機及致富的機會。隨著網拍交易愈來愈熱絡，相關交易制度也被建立起來，但在網路拍賣交易也隱藏著交易安全的威脅。

Yahoo!奇摩電子商務服務事業部社群與會員關係發展經理李全興表示，之前在網路拍賣所碰到的安全威脅問題主要都是詐騙事件，也就是所謂的收款不出貨，而隨著網拍交易愈來愈蓬勃，很多新型的詐騙並不在拍賣平台上發生，而是歹徒把使用者當成詐騙的目標，例如劫標性的案例，歹徒會觀察買賣家的行為，然後假冒賣家對得標者發出信件，通常內容以近日要出國等理由，要求買家先行匯款，並且可以給予折扣，利用人性貪圖小利的心態，誘使買家上當匯款，對此Yahoo!奇摩也有提供新的功能去防堵此類的詐騙，如使用買賣留言版，透過這個需要買賣雙方登入才能留言的管道，可以防止交易被第三者介入，在經過Yahoo!奇摩的宣導及買家警覺性提高之後，此類事件已經減少，但是歹徒仍積極尋找新的詐騙管道，例如利用買賣雙方議價時，買家所留下的聯絡方式便讓歹徒有可趁之機，歹徒假稱為其他的賣家，以提供更具折扣的價格誘使買家上當。

其他的安全威脅，雖然不是發生在網拍的交易平台，但也會對使用者造成危害，例如利用網路釣魚、木馬程式竊取帳號及密碼。目前發生於平台的詐騙雖比較有方法去控制，但隨著平台被使用及使用者愈來愈廣泛的情況下，網路拍賣仍會是歹徒覬覦的目標，並且透過各種管道翻新詐騙手法。

Yahoo!奇摩除了持續在網頁上宣導，也透過拍賣的社群關係，結合賣家共同宣導網拍交易的安全事項，除了以往所宣導的網路拍賣安全，也開始教導使用者如何安全使用網路，提醒使用者必須小心處理自己的網路行為以及使用者的責任，以賣家為例，賣家的帳號可能比自己所認知的更有價值，因為其帳號內的資訊可能包含了所有的交易資料、買方的聯絡資料或帳戶記錄，若被竊取將會對其他使用者造成危害。

社交工程是網路拍賣交易中最常見的陷阱，對此Yahoo!奇摩公關主任吳苑如補充道，使用者必須提高對個人資料的警覺性，包括姓名、身分證字號、帳號密碼、金融卡及信用卡號碼、地址、聯絡電話等，一旦洩露出去，除了成為被詐騙的對象，也可能成為被歹徒利用的犯罪工具，因此使用者必須培養良好的網路使用習慣。

反求諸己　

使用者的安全責任

身處在資訊網路的時代，使用者必須體認到一個事實，網路世界就如同真實世界一般，一樣有詐騙、陷阱和不懷好意的人，使用者在要求業者提供更安全的服務和網路使用環境的同時，也要反求諸己。真實世界裡，安居樂業的人民除了仰賴警察、法律、鄰里守望相助等提供人身財產的保護，大家也都知道要隨時警覺、注意財不露白、小心門戶的道理。面對網路世界的安全威脅，對大多數的使用者而言，在便利的網路使用環境和安全的網路使用環境存在著一道艱澀難懂的技術門檻，要求使用者對安全負起責任似乎是強人所難，但是不代表使用者就可以把所有責任都歸咎於廠商、業者不夠盡心盡力於保護客戶的資料及財產。撇開過於技術性的問題不說，一般使用者可以從些小地方做起，避免一些網路安全上的威脅。

強化個人電腦安全防護

卡內基美隆大學電腦危機處理中心(CERT, Computer Emergency Response Team)針對個人電腦的使用提供下列的安全建議：

叮嚀1：安裝和使用防毒程式

叮嚀2：更新系統修補程式

叮嚀3：讀取電子郵件及附檔時必須提高警覺

叮嚀4：安裝和使用防火牆軟體

叮嚀5：備份重要的檔案和目錄

叮嚀6：使用強健的密碼

叮嚀7：下載和安裝程式時必須小心謹慎

叮嚀8：安裝和使用防火牆設備

叮嚀9：安裝和使用檔案加密程式以及做好存取控制

小心謹慎，趨吉避凶。資訊安全與方便之間的拉鋸，似乎很難找到平衡點，對於一些資訊安全的要求，不論是不瞭解或是覺得太過煩瑣而刻意忽略，可能為自己帶來風險。使用者在進行網路行為時，必須時刻小心網路釣魚及社交工程的詐騙、注意即時通訊及點對點檔案分享軟體使用上的安全威脅、不下載非法的影音檔案、妥善保管個人資料及不輕易洩露身分資料，多一份注意能讓您在上網的同時多一份安全保障。

資訊安全威脅不斷演進，資訊安全防護技術也與時俱進，使用者必須跟上腳步，瞭解最新的威脅和詐騙手法，主動採取防護措施，養成良好上網行為，在外在威脅環伺的情況下，為自己的上網安全築下一道防火牆。

三、Web應用程式安全－從良好的程式開發習慣開始　消息來源：資安人　2007/04/30　　　　　　　　TOP

開發人員往往因為專業領域的不同，對安全開發能力的掌握較為不足，可透過教育訓練和開發輔助工具來改善。

開發語言

每個程式語言都有其特性，但是多數的開發者對其所擅長之開發語言所掌握的安全認知往往不足，開發者最為常見的錯誤為使用了教科書中的範例或是沿襲了特定書籍的編寫風格。殊不知範例程式碼有可能是書籍作者為了讀者方便閱讀而精簡其範例，甚至作者本身因為專業領域不同，本身的安全開發能力較為薄弱，以致從安全性的角度來檢視其範例程式碼，往往都是有待加強的結果。

阿碼科技在其開發自動化的原始碼檢測工具過程中，初期選擇了PHP程式語言作為檢測對象，其資訊安全研究團隊則於PHP語言常用的伺服器環境變數($ _Server Array)共35個，找出了14個變數是具有潛在風險性的，比例約為五分之二，比例之高不可不重視。開發者若是在使用這些環境變數前，沒有先使用過濾函數或是安全化函數就直接進行資料庫檢索(SQL Query)或是輸出至網頁上面，那麼很容易造成SQL 隱碼攻擊 (SQL Injection)或是跨站腳本攻擊(Cross-Site Scripting / XSS)。

範例一：

http://HOST/PATH/FILENAME.php/[弱點]

PHP的環境變數中，最為常見且風險性最高當屬$ _[‘PHP_SELF'] 。 $ _[‘PHP_SELF']的語意相當特別，使用該變數之結果會獲得該PHP程式之路徑名稱及檔案名稱。同時，也容許添加斜線後再添加其他的內容。由於多數的開發者並不曉得這一點，所以常見的程式碼如下：

echo $ _[‘PHP_SELF’];

這段程式若被惡意攻擊者添加斜線及HTML語法或是JavaScript語法，則足以形成跨站腳本攻擊(Cross-Site Scripting / XSS)。

範例二：

http://HOST/PATH/[弱點]/

早期介紹Web應用程式安全性的文章，多數都會強調三種來自外部的資料—GET/POST/COOKIE (簡稱為GPC)需要特別過濾後才能使用；隨著Web 2.0時代的來臨，有一項很受歡迎的內容分類方式，tag。傳統上使用tag時，還是使用Request(GET/POST)來傳遞；目前則有越來越多的Web 2.0內容網站則是解析(Parsing)整個統一資源識別符(URI)，將其中的路徑名或是檔案名稱作為tag，目前線上的內容平台像是Blog、Album、Video Share…等等，使用tag為分類方式則已成為主流。但是對開發人員來說，URI的來源來自伺服器環境變數，並非傳統的GPC，以致多數的開發人員都忽略掉這是一個來自外部的資料，很可能受到了篡改，而惡意攻擊者則可以製作一個包含特殊語法的URI對應用程式做請求來達到特定的攻擊方式。

協同開發

單一專案多人開發，及單一人力參與多專案, 這些多人多專案的協同開發方式普及程度越高，則注重安全性的專案經理人越是擔憂。開發團隊中在招聘成員時, 往往是以特定領域的專業背景作為招聘與否的主要因素，甚少會以其產出原始碼之安全性作為參考依據。若以程式碼安全性作為人力素質之評量方式之一，那麼成員安全認知不足或是團隊安全認知不均確實是安全性難以確保的主因。

在此舉個筆者觀察到的現象，有時候在對一些網站做檢測時，可以發現大型且知名的入口網站絕大部份都有足夠的安全認知，其Web應用程式都有嚴格的把關其資料輸入與輸出，並將特定的中介字元(Meta-char)做安全化的轉換。但是，總有些許的功能或是模組會遺漏了安全檢查的動作。這說明了資安的認知從以前的不足，而現況則是不均；在此建議專案經理人，如何提升及確保開發團隊整體的資安認知, 可列為2007年年度目標之一。

源碼複用

新專案的成案，採用開放原始碼專案作為專案雛形(Prototype)以評估專案可行性，這在軟體業界早已不是新聞。但是評估人員的考量方向多數是功能導向式的思考，並未涵蓋開放原始碼專案之安全性。常常見到IT人員或是RD人員將開放原始碼專案修改成符合規格所需之軟體，卻沒有注意到新的專案也繼承了舊的安全缺陷而持續殘留。或是使用開放原始碼專案作為專案函式庫或模組，其所撰寫之Web應用程式本身相當安全，但是卻忘記對第三方函式庫或模組檢視安全性或是追蹤安全弱點並予以持續修正。

品質確保

Web應用程式安全作為專案品質管理的一部份，確保方式可分為教育訓練及開發輔助工具兩種方法。國內目前較為傾向採用教育訓練的方式，一來是以前確實沒有良好的開發輔助工具能夠同時確保品質及安全性，二來是教育訓練的成效較為難以量化，對開發人員來說，教育訓練較為輕鬆，亦可逃避專案經理人的監督。隨著軟體安全產業的進化，越來越多的工具廠商致力於整合專案管理，程式碼安全性稽核，及教具式導向開發工具。筆者認為教育訓練間隔過長，亦不易與軟體安全開發生命週期(SDLC)結合；教育訓練提升開發團隊安全認知，而工具則可以較短週期性來督促開發團隊的撰寫習慣，使其安全開發實務更為扎實，兩者相輔相成，不可偏廢。

四、在星巴克無線上網容易被「駭」　消息來源：中時電子報　2007/04/24　　　TOP

加州巴沙迪那市一家星巴克咖啡店裡，不少人正利用無線網路科技上網，但他們不曉得韓福瑞‧鍾正靜悄悄地使用駭客程式，竊看他們的電腦。

幾桌之外，有位男子在打筆記型電腦；鍾表示，該男子準備創業。角落裡那對男女情侶呢？鍾說，他倆正要結婚。

鍾不是通靈者，他只是用自己的東芝牌筆記型電腦，駭進咖啡店的無線上網連結；他用的是線上抓下來的免費軟體「網路嗅探器」(sniffer)，五分鐘內就做得到。想從辦公室或家中翱遊網路，公共式的「無線保真」(Wireless Fidelity,簡寫為Wi-Fi)無線傳輸技術真的很便利。只是用戶得小心，上網時，可能有人悄悄窺探著。

《洛杉磯時報》廿二日報導，鍾的窺看行為大多只限制在追蹤店內其他人瀏覽的網站，與網址相應的數字不斷飛掠鍾的電腦螢幕，他才曉得那對情侶正在看辦喜事的網站。

突然，「在加州申辦有限公司」的字串出現於鍾的螢幕。鍾表示，幾桌外使用筆記型電腦的男子正使用 Google 搜尋引擎而鍵入那串字眼。

詢問那位廿歲男子奧澤是不是真的搜尋「在加州申辦有限公司」，他像被敲了一棒，猛然搖了一下頭，回問說：「有人在用網路嗅探器嗎？」他是電腦圈內人，正打算開居家布置公司。他表示，自己覺得有點兒像呆瓜，因為他曉得，在公共場合使用程式，是能夠駭進別人無線連網中的電腦。

提供Wi-Fi訊號給星巴克的公司是「美國 T-Mobile公司」，該公司管理的無線上網「熱點」(HotSpot)約七千六百個，包括咖啡店、飯店及機場，遍及全美。公司官網警告，在熱點上網，有可能被駭客攔截，本質上並不安全。然而，上述警告寫得小小的，跟其它十八個公司網頁混在一塊兒。

T-Mobile公司行銷部主管謝爾曼表示，公司提供免費程式「連結管理員」，來改善上網的隱私安全。但《洛杉磯時報》指出，該程式似乎有點兒神秘兮兮，名稱本身沒提到保護安全，而且下載連結點跟其它幾個項目放在同一個下拉式選單當中；程式只支援使用視窗作業系統的電腦，蘋果麥金塔系統不相容。Wi-Fi提供無線上網的自由，但如果不想讓別人知道你在想什麼，就別在公開場合瀏覽某些網站。鍾表示，自己觀察他人上網、到一個又一個網站，幾乎就能讀懂對方心思。

五、是榮譽，更是責任！第一屆資安貢獻獎得獎名單揭曉！　消息來源：資安人　2007/04/19　　TOP

「2007年資安貢獻獎」頒獎典禮於4月16日Info Security Taipei 2007台北國際資訊安全科技展上午九點三十分頒發，並邀請行政院研考會副主委陳俊麟擔任頒獎人。於頒獎典禮後並舉辦「得獎者成功經驗交流」座談會，由得獎者與現場聽眾進行經驗分享交流。

「2007年資安貢獻獎」，邀請產、官、學界專家，評選出於資安領域有特殊及卓越貢獻的單位，從政府、金融、高科技等產業中，綜合各報名單位在資安管理系統範圍、推動過程的落實度、持續稽核改善、主管實際參與度以及資安人員主動積極度各項評審指標的表現，評選出對資安工作或產業推動有卓越貢獻的單位。在評選委員對各報名單位嚴苛的檢視及討論後，「2007年資安貢獻獎」評選出八個單位，獲得「2007年資安貢獻獎」。獲獎單位在資安工作推動的決心，以及秉持著提供良善資安環境的責任感，讓評審委員們印象深刻且一致肯定。評審委員們除了對獲獎者以予肯定，也賦予了獲獎者必須要在資安工作持續推動的重責大任，並期望所有資安從業人員一起努力，共同為台灣的資安環境加油！

得獎名單：

政府組：法務部資訊處、檔案管理局、台北縣政府、財政部財稅資料中心

民間組：台灣大哥大、關貿網路股份有限公司、群益證券、工業技術研究院