[新型网路重大漏洞「资料隐码」]
一、内政部警政署刑事警察局与国内新波科技公司针对一种新型攻击手法
经过数月共同合作研究,特别发布网路安全警讯。刑事局表示国内政府网站
与电子商务网站目前普遍存在某种漏洞:当网路管理人员发现网站资料库被
攻击的时候,从资料库存取记录可能会发现,攻击资料库的电脑竟然是自己
的网站主机!不少网管人员怀疑是网站主机被安装木马后门,其实,它可能
是被一种新发现的安全漏洞『资料库隐藏程式码』所攻击,简称为『资料隐码
(SQLInjection)』攻击。这种攻击方式,颠覆以往攻击者仅篡改网站网页内容
的系统管理者观念,而严重威胁内部资料库内容的安全。它的攻击原理是:攻
击者利用正常查询网站资料之时,将攻击资料库的指令夹藏于网站查询命令中。
攻击者可以穿透防火墙,并绕过身分认证机制,取得资料库权限,于入侵资料
系统之后,进而窃取资料或破坏资料库。这种资料库攻击手法于去年六月被提出,
并于九月份在美国骇客年会被广泛讨论,现在全世界的骇客都已经知道这种攻击
手法。它可以使用Apache、IIS、Domino、Netscape的网站系统,透过ASP、PHP、
JSP程式码,攻击破坏各种SQL资料库,包括MS-SQL、MySQL、Oracle、Sybase、
DB2等等,几乎已经包括国内九成以上网站资料库系统,且经了解七成以上大部
分均可轻易被攻击入侵
二、两年前,刑事警察局与网路安全公司新波科技共同合作,致力将各种网路
安全技术,应用于网路犯罪侦防。同时在刑事警察局的指导下,新波科技引进
国外网路安全技术,逐步改良成为各项网路安全产品,以符合国内网路环境需求,
并能够自动提供网路攻击者的犯罪痕迹,刑事警察局便能够以科学办案的精神,
搜集网路犯罪者的各种犯罪证据与线索。在此次『资料隐码』漏洞的技术转移
过程中,刑事警察局与新波科技的警民合作模式,就是由新波科技先引进『资料隐码』
攻击技术与侦防技术,经过数月的研究分析后,在网路安全问题尚未扩散之前,
仿效美国联邦调查局处理重大网路安全事件机制发布警讯。美国联邦调查局与
主要网路安全或防毒公司密切合作,一经发现重大网路安全事件,即由联邦调
查局及其全球五十余国驻外单位,于第一时间向各大资讯、网路公司,政府或
私人企业,同时发布网路安全事件警讯,提供处理意见及因应之道,避免事件
扩大。刑事局侦九队即曾多次接获美国联邦调查局驻日本东京办事处紧急通知,
旋即转知国内相关单位。此次『资料隐码』重大资讯安全事件,刑事警察局即
循美国联邦调查局处理模式发布警讯,提供国内各相关单位及网站处理,尤其
是各电子商务及提供网路银行之网站应特别加强网路安全检查及适切处置。
三、刑事警察局资讯室与侦九队研究人员,协同新波科技,针对国内网站进行
分析研究发现:绝大部分的国内大型电子商务网站、与各级政府网站都普遍存
在这种漏洞。其中包括已经投入大量人力金钱,架构网路安全环境的知名企业
电子商务网站与中央部会、直辖市与县级政府网站等。更惊人的是,某些电子
商务网站已经安装防火墙与防毒软体系统,并使用网路交易安全机制,确认网
路交易的身分认证权限。但是网路攻击者却可以使用「资料隐码」漏洞,轻易
破坏这种交易安全的身份认证机制,进而让整个电子商务资料库,陷入网路交
易纪录混乱的窘况,严重威胁国内金融秩序。
四、根据刑事警察局资讯室资讯安全专家与新波科技的研究人员说明,如果攻
击者采用这种『资料隐码』攻击的手法,骇客攻击过程如下:(1)先连结网站,
(2)输入一般参数,(3)输入攻击指令。并进一步评估,『资料隐码』攻击可
能造成的影响有:(1)取得假身份认证,(2)攻击资料库内容,包括修改,
删除与建立新资料库。(3)执行系统指令,包括CMD指令,TFTP指令,NET指令,
启动/关闭木马程式等等。对国内网站的影响可能有:(1)电子商务网站的漏洞,
包括有假冒身分认证购物交易或假冒网路银行帐户身分,进行非法转帐交易等情
事。(2)政府网站的危害,包括有动态网页内容被修改,或是假冒网站维护人员
的登入。(3)公文网站的威胁,包括有公文资料库被篡改或删除,或是机密公文
外泄,这些在国外皆曾发生过,国内相关单位应加以防范。
五、有鉴于过去国内年轻学生,对网路骇客充满不正确的幻想,导致许多学生误
触法网。刑事警察局在此呼吁,年轻网路族群千万不要心存侥幸,认为入侵资料
库或破坏网站可能没有人知道。刑事警察局与新波科技合作已经拥有工具能够搜
集相关证据与线索,并追查网路犯罪者的来源。网路犯罪者如果使用『资料隐码』
攻击网站资料库,除了要依刑法与电子资料保护法求处刑期之外,还要面对被害人
依照民法提出损害赔偿,年轻学子不可因为想出风头而得不偿失。如果国内网站资
料库维护人员,想要确定自己的网站是否有相关漏洞,可以向刑事警察局资讯室或
新波科技要求协助,(02)2761-7556或(02)2517-0577。或是上网查询
http://www.cib.gov.tw或
http://www.DiamondI....com.tw。
[摘录于新波科技]