专家露一手 网络“骇客现形”

据自由时报报道，网际网络网网相连，是个宝库，也是个犯罪的“乐园”，不肖骇客可以从中发掘或许“价值连城”的玩意，或侵入只有特定人士才能一窥究竟的资料库或网站，这些听起来似乎莫测高深、不可思议，然而拆穿他们的手法后，有时会发觉仅是“如此而已”，但这些“奥妙”存乎一心，如何制止与防范，或正可由此下手。

国内线上游戏“仙境传说RO”传出遭骇客“侵权”，复制收费网页，企图从中窃取玩家帐号与密码，其方式是将官方网站上的收费介面直接复制，将它连结至私人的网站上，并且佯称是官方网站人员，误导购买点数卡的玩家上线登录点数，然后从中窃取他们的帐号与密码。

这名骇客甚至还公然在各大游戏网站张贴广告连结，散播点数卡的收费期限截止等不实讯息，诱使玩家上当。

业者表示，线上游戏所需的点数卡，须上线登录才能使用，骇客熟知这样的消费习性，干脆直接复制一个假的登录页面，若不知情的玩家前去登录，帐号与密码即因而“外流”。

对受骗的玩家来说，个人帐号、密码被窃取，可能让自己拥有的虚拟宝物遭盗用，不肖人士则可藉由转卖虚拟宝物而实际获利；或是这些帐号、密码会低价“贱卖”给其他玩家，影响到原有玩家应有的权利。

“HackingExposed”（骇客现形）作者之一的陈彦铭最近在“骇客实战研习营”中，则亲自示范骇客“获利”的作业模式与手法。

其中之一是将某个购物网站的原始档叫出，存到自己的电脑中，再利用文件编辑软体如“记事本”，开启该原始档，透过“寻找”的功能，找出欲购买商品的“标价”，和所有与该数字有关的内容，然后将这些标价数字改为1元，再进行“存档”的动作。

接着由浏览器开启更改后的原始档，虽然会发现网页中的商品图片部分无法显现，但是商品的价格已变成1元，接着点选“加入购物车”（AddaCart）的按钮，会见到购物清单中的商品价格正是1元，我们还可填写欲购的数量，其实这个漏洞仍在某些购物网站中，并未加以修补。

陈彦铭说明，上述漏洞，都是来自同一家公司，其专门提供购物网站所应用的程式，只要使用同样程式的购物网站，照理说都会有相同的问题。

虽然有机会以1元，购买原本上千或万元的商品，不过陈彦铭特别提醒，商家也不是浑然不觉，发现这种诡异的状况，一定会追查原因和破坏的来源，所以用1元买商品很可能仅是“一时之快”，之后警察若找上门来，可要面对后续的法律责任。

陈彦铭另外示范，利用Google搜寻引擎找出使用者所设的密码提示，他解释，这是因为网站的疏忽，将这些资料放置在未经保护处理的电脑中，因而Google的“搜寻机器人”主动至各网站搜集资料时，就“顺便”将这些资料罗列在Google里，偏偏有些使用者所设定的密码提示答案，根本就是密码本身，于是让骇客有可趁之机，只要将帐号和密码试一试，立刻破解。

此外，陈彦铭还提供一个前几年发生的实际案例：当时俄国骇客专门对网络上的银行或赌场下手，先将锁定目标的IP位址找出，再试试网站所使用的网页伺服器是否为微软的IIS，由于IIS有些漏洞，骇客便能放入“后门程式”以掌控电脑。

接着便是找出该银行或赌场网络服务的客户名单和对应的密码，再跟受害公司联络，进行勒索恐吓，表明若不付钱，便将这份名单公开，破坏其声誉。

不过，“魔高一尺，道高一丈”，接获受害公司报案的美国联邦调查局FBI，展开反制行动，利用网络追踪的技术，找出两位俄国骇客的真实身份，再策动一个“诱捕”的行动，设立一家假公司，佯称要提供骇客优厚的工作机会，骇客“不察”，欣喜地飞到美国，结果一下飞机，立刻遭FBI逮捕。

◇防骇机密资料不外泄。

尽管网络经常暗藏遭人入侵威胁，不肖骇客随时伺机而动，不过一般网络族也不用因此杯弓蛇影、甚至因噎废食，不敢在网络上进行任何活动，其实只要注意一些原则，做好基本防护措施，就可享受网络快捷的便利。

在Foundstone资讯安全顾问陈彦铭示范下，让网友了解到网络上一些细微的漏洞，扩大自身的不安全感。不过，他反而认为，自己并不忧虑在网络上购物会导致机密资料外泄，但经常在网站上购物的他，为了保护自己的重要资料，必须要遵守一些原则。

陈彦铭指出，增加通行码或密码（Password）被破解的困难度、提高门槛，是防范骇客的第一步，比如说，一般银行提款卡的四位数字密码，相较起来就容易破解，因为总共为1万组的组合，如果真的要一个个试，花点时间就会猜到。

所以，密码的字元要愈多愈好，最好设到系统能接受的上限，可能的话，所设的密码中，最好夹杂英文、数字或特殊符号，愈复杂被破解的可能性愈低，不过自己可要记得密码才行。

同时，重要的资料不要放在网站中，如信用卡号码及相关资料，现在不少网站会提供“一次登记、下次免输入资料”的服务，陈彦铭建议，最好不要使用这类系统，因为这会把一些个人的机密资料，直接储存于网站的伺服器或资料库中，为了避免风险，宁可麻烦点，有必要再输入一次。

值得注意的是，现今搜寻引擎的功能可说十分强大，骇客很可能会透过搜寻引擎进行一些特别资料的搜寻，以找出线索，再经由这些线索，完成进一步的破解机密，或破坏扰乱系统的行动；为增加资料的安全性，基本原则就是提高被寻获的困难度，同时不要将个人的重要资讯放在网络上，徒增被“骇”的机会。

此外，资讯安全软体厂商看好宽频网络应用的趋势，纷纷推出标榜防毒又防骇的产品，使用者可以比较参考一番，再决定要在个人电脑上采取哪种防护措施。

赛门铁克日前推出“诺顿网络安全大师2003中文版”，宣称除整合诺顿防毒2003、个人防火墙2003最新功能外，再加强“入侵侦测”、“隐私权控管”及“内容过滤”等功能，建构出个人网络式防御保护机制，五者交叉运作，应能让骇客、病毒虫进不来，重要的个人机密资料，未经允许也无法送出，同时还可追踪骇客所在的位置。

至于趋势科技新上市的“PC-cillin2003”，则强调“主动式病毒预警通知”功能；尚标榜延续防毒、防骇双管齐下的概念，提供“主控式个人防火墙”，除具备骇客入侵侦测功能外，当连线上网时，可即时监控、过滤与追踪任何形式的网络资料传输或交换；并能避免电脑遭到来自网站的恶性程式“挟持”，阻绝特洛伊木马程式的袭击，不至于成为病毒的帮凶。 看中国网站 禁止建立鏡像網站。返回正版看中国网站。

短网址: 版权所有，任何形式转载需本站授权许可。 严禁建立镜像网站.