【大紀元2014年04月18日訊】【大紀元記者徐傑d多倫多綜合報導】心臟流血(heartbleed)安全漏洞最近引發人們恐慌。加拿大聯邦政府稅務局(CRA)的互聯網報稅系統遭到攻擊,近千加拿大人的SIN號(工卡號)被竊取,政府和銀行以及企業機構等已高度戒備。
計算機安全專家表示,CRA的工卡號被盜只是加拿大互聯網系統的心臟流血安全漏洞的「冰山一角」,問題將層出不窮,加拿大人要做好應對更大的「漏洞」的準備,並採取適當的安全防護措施。
900工卡號被盜僅是「冰山一角」
心臟流血漏洞簡稱心血漏洞或心血蟲,是互聯網上廣泛使用的計算機安全軟件程序OpenSSL出現的一個嚴重設計錯誤而讓黑客有機可乘。惡意攻擊者通過該漏洞讀取互聯網服務器或客戶端的內存信息,從而獲得如服務器SSL私鑰等敏感信息。
據《國家郵報》報導,「目前,我們看到的(心血漏洞)只是冰山一角。」 亞伯塔計算機及軟件系統安全專家John Zabiuk說:「心臟流血問題可能是歷史上最大的互聯網安全漏洞。」
Zabiuk在阿爾伯塔埃德蒙頓職業技術學院(NAIT)教授計算機安全課程,教學生如何防止計算機黑客襲擊。他認為,CRA官員有很大可能會發現更多工卡號成為「心血蟲」的犧牲品。「事實上,超過三分之二的互聯網計算機系統受到心臟流血安全漏洞的影響。」他說:「我們將看到更多的全漏洞問題浮出水面。」
Zabiuk指出,心臟流血安全漏洞已經存在2年時間。900個工卡號是CRA在線報稅系統在過去2周受到6個小時攻擊過程中的犧牲品。他說:「在這之前,問題已經出現2年時間,不知道有多少工卡號出了問題?」
Zabiuk認為,在發現問題後,加拿大稅務局及時採取了行動,如關閉在線報稅系統等。加拿大政府互聯網計算機系統在上週末已經恢復正常運行,包括CRA的E-file和Netfile在線報稅系統。
不過,多倫多大學全球事務學院公民實驗室博士後Christopher Parsons則認為,加拿大政府對「心血漏洞」問題反應遲鈍。政府對互聯網系統的安全意識沒有私人部門(如企業)的安全意識高。例如,雅虎公司在CRA的「心血漏洞」事故之前已經對公司的互聯網軟件系統做了全面的防護,安裝了相關的軟件補丁。
Zabiuk指出,修復心血漏洞的方法很簡單,就是對計算機系統運行OpenSSL軟件補丁。但是,問題是現在有數以萬計的計算機系統受到影響,對他們進行修復不是一件容易的事情。
預防心血漏洞方法
由於加拿大稅務局等政府部門的互聯網計算機系統遭到心血漏洞侵蝕,私人敏感信息(如工卡號、銀行帳號和信用卡號等)可能已經洩漏或被竊取,加拿大人應該提高警惕。《金融郵報》報導說,互聯網計算機用戶可以使用下面幾個方法來避免成為心血漏洞的受害者或減少受害幾率。
第1個方法是加強你的計算機的安全防護,使得黑客難於攻擊。計算機安全防護方法包括:安裝信得過的最新防病毒軟件,並定期掃瞄你的計算機系統。使用自動軟件更新功能對計算機操作系統和網頁瀏覽器進行定期更新。
不要打開來歷不明的郵件及其附件,如文件和圖片等。不安裝不可信的軟件。不點擊任何不可信的互聯網連接。
CRA提醒加拿大人:任何以CRA收稅員名義發電子郵件向你索取工卡號的做法,或告訴你要給你退稅、請你點擊一個連接並輸入工卡號的做法,均是欺詐行為。
訪問互聯網或進行網購時要特別小心。避免使用可疑或沒有名聲或信譽低的網頁,使用有信譽的大零售商的網頁如亞馬遜公司網頁購物,以及使用公認的在線付賬系統如PayPal。
《國家郵報》報導說,使用Chrome訪問互聯網的用戶可以安裝Chromebleed應用程序。在訪問一個網頁前,該應用程序可以告訴你該網頁是否已經受到「心血漏洞」的感染。
你的銀行、信用卡和其他私人帳號要使用安全係數高的密碼,如由隨機選擇的大小字母、數字和特殊符號組成的密碼,並定期更改密碼。避免用你的生日、母親的婚前名、簡單的數字和任何私人信息做密碼。◇
========================
擔心SIN號被盜?有辦法對付
【大紀元記者李平編譯報導】近日,加拿大稅局(CRA)網站遭心臟流血(Heartbleed)網絡安全漏洞攻擊導致900個社會保險號(SIN)失竊一事被媒體披露後,引起人們對SIN號安全的擔心,身分被盜問題也再次成為公眾關注焦點。
SIN,即社會保險號,又稱工卡號,共9個數字,是每個人在加拿大就業、享受政府計劃和領取政府福利的數字身分。如落入他人手中,可能會被濫用,身分也可能被盜。
加拿大隱私專員辦公室(OPCC)網站上說,SIN號可能是打開個人 信息之門的關鍵。如落入他人之手,就可被用於盜取身分,加上其他個人信息,還可以被用於申請信用卡或開銀行帳戶、租車或設備、或酒店入住等,到時候留下的一大堆賬單、費用、壞支票和稅費等,就由被盜之人來承擔。
加拿大反欺詐中心(CAFC)數據顯示,去年共1.9473萬加人報身分被盜,損失總計110億之多。無論SIN號是否被盜,都要注意保護好自己的個人信息和身分信息。
*減少風險
SIN號只能提供給僱主、銀行或政府相關機構等合法索取機構。有權索取個人SIN號的政府部門可查詢http://www.priv.gc.ca/resource/fs-fi/02_05_d_02_e.ASP網站。永遠不要通過電話或郵件透露自己的SIN號,最好不要隨身攜帶,盡量記住這9個數字,然後將卡存放在安全保密的地方。
*被盜後怎麼辦?
一旦發現SIN丟失或被人不當利用,立即聯繫加拿大服務部。改名、更換國籍時,或配偶去世後代表配偶,也要聯繫服務部。如身分已經被盜,立即報警,並索取報警報告副件。
然後聯繫債權人,如銀行、信用卡公司等,報廢信用卡,申請新卡,記住要設定新的PIN碼。用筆記下防範欺詐的所有步驟,記下和誰通過話等。如懷疑身分被盜,CAFC是最好的求助對象。
*監控郵件
銀行和信用卡賬單,仔細查看,看是否有異常交易或消費活動,注意賬單寄送週期。注意不要漏掉任何看起來似乎非常普通的發票,檢查是否有篡改跡象,如信封被撕開或郵箱鎖被打壞等。為了了解當事人及其更多信息,詐騙分子通常手段之一是將郵件地址轉至他處。
*檢查信用報告
聯繫加拿大2家全國性信用局:TransUnion 或Equifax,索取一份免費信用報告。如支付一定費用,這2家信用機構還會提供一份信用定期跟蹤報告,在有人利用你的名字開新帳戶或信用卡之時提醒。
OPCC建議,通常情況下,一致建議人們每年查看一次自己的信用報告,看是否準確。TransUnion 或Equifax2家機構和其他保險機構還提供身分盜用欺詐保險。
*經常更改密碼
經常更換密碼,提高密碼難度。在最近的心臟流血安全漏洞攻擊中,以及當前網絡時代,定期更改密碼最關鍵的,但許多人卻不太重視。
更改密碼時,不要用母親娘家的姓,不要用寵物的名字,或街道名字或自己最喜歡的體能團隊名字,即最好不用別人能輕易猜到的東西。不同網站,可以考慮用不同的密碼,這樣,如一個被盜,其他網站密碼仍能保持安全。◇
(責任編輯:林妍)
