(http://www.epochtimes.com)
【大紀元7月21日訊】(中央社記者韋樞台北二十一日電)近日在紐約舉行的年度駭客大會中,駭客激進團體發表了一支Camera/Shy的免費自由軟體,利用「影像處理手法」將機密文件資料藏在gif 影像檔內,再放置在網站上供人下載,或用電子郵件傳送,不但可以輕易躲過防火牆,且不曝露身份,各企業應提高警覺。
日前喧騰的政府單位以及企業機密資料洩漏事件,引起政府相關單位及企業的關注,並開始注重資訊傳遞的管控,加強郵件檢查、安全事件稽核與存取管控,不過駭客團體公布的Camera/Shy免費自由軟體是以開放的程式碼型態公佈,這種新型的洩秘手法,可能遭有心人士利用,作為非法散播機密檔案的工具。
精誠公司發布新聞提醒各界,這個軟體會利用「影像處理手法」將機密文件資料藏在gif 影像檔內,再將gif 影像檔放在公開網站上供網友下載,或是以不重要的主旨透過電子郵件傳遞一般圖片的手法,可以輕易通過防火牆、入侵偵測,而且不會曝露身份,企業必須密切注意此種新興的資訊傳遞手法,預防或阻絕資料洩密事件再次發生。
精誠公司分析,Camera/Shy的程式是由一個倡導線上隱私權的激進駭客團體所發表,它運用了一項稱之為LSB steganographic的技術來進行 AES-256 bit加密。因為它的設計據稱是為了紀念某一位中國異議人士,且主要目的是用來躲避稽核,因此可以將文字加密並隱身於一個普通的gif影像檔內。
當這個檔案被公佈在網站後,任何人只要用瀏覽器點選影像檔,便可以看到隱藏於影像檔之內的資訊;製作這個影像檔的人也可以進一步要求點選的人必須輸入密碼之後才能「分享」資訊,進而輕易地進行「安全、秘密」的資訊傳遞。
這支程式已經開始在一些熱中於線上隱私權的團體間秘密留傳,如果程式被當成犯罪工具,後果將無法預料;除了資料可以毫無痕跡地進行傳遞,它還會自動銷毀瀏覽器上的快取以及歷史瀏覽記錄,因此看過影像檔的人也不會被發現。
此外,Camera/Shy還可以輕易地將一整篇網頁轉譯成gif 檔,或者在網頁中自動搜尋是否含有加密過後的gif 檔,這種功能如果被用於企業的網站,難保企業或政府機關的機密資料不會被竊。更重要的是,目前市面上所有安全防護工具包括防火牆、入侵偵測、漏洞掃瞄、郵件內容檢查等工具沒有辦法針對這樣的影像處理手法進行預防。因此精誠公司呼籲企業及政府單位應該未雨綢繆及早因應並防止這一類新型犯罪手法的發生。
(http://www.dajiyuan.com)
