(http://www.epochtimes.com)
【大纪元4月23日讯】台湾刑事局侦九队今天发布重大网路安全事件讯息。侦九队表示,目前已在全球网路骇客中逐渐普及的资料隐码(SQLInjection )攻击,国内有八成以上的政府及电子商务网站仍未有防范方法,呼吁各网站应注意并洽询相关单位防范。
据中央社4月22日报导,刑事局表示,刑事局侦九队在两年前即与网路安全公司新波科技共同合作,发现目前国内各大网站仍普遍存有漏洞,极易被骇客以新型的﹁资料隐码﹂方式攻击得逞,进而造成资料库被破坏或是被假造交易纪录造成损失。
刑事局相信国内有不少网站管理者曾有过在追查骇客时,却发现发动攻击的主机是自己的网站主机,以往在遭遇到这类攻击时,一般网路管理者都会认为自己的网路主机已被安装木马程式,但现在也有可能是遭到新型的﹁资料库隐藏程式码﹂攻击所致。
刑事局表示,骇客利用﹁资料隐码﹂攻击时,攻击者通常在利用正常查询网站资料时,将攻击资料库的指令夹藏在查询命令中,以此避过网路防火墙,同时绕过身份认证机制,取得资料库权限,在入侵系统后,进而窃取资料库内容或是破坏资料库。
这种攻击方式在去︵九十︶年六月就已被发现过,在去年九月间于美国举行的骇客年会更被广泛讨论,目前全世界的骇客都已经知道这种攻击手法,而这种攻击手法可以成功攻击国内九成以上的网站资料库系统,其中七成可以被轻易入侵,可能导致造成假冒身份购物、非法转账、危害、篡改、偷窃政府网站资料或机密公文资料等。
在刑事局与新波科技公司合作研究后,目前已有破解﹁资料隐码﹂攻击与侦防技术,在网路安全问题尚未扩散前,仿效美国联邦调查局处理重大网路安全事件机制模式,先行发布讯息警告网站管理者与网路使用者。
刑事局同时提醒将入侵网站资料库视为重大成就的网路骇客,刑事局对﹁资料隐码﹂攻击方式已有防治之道,骇客若被循线逮捕的话,除可依刑法与电子资料保护法法办求刑外,还要面对各大网站可能的民事损害赔偿官司,希望骇客不要心存侥幸
(http://www.dajiyuan.com)
相关文章
