專家露一手 網路「駭客現形」

據自由時報報導，網際網路網網相連，是個寶庫，也是個犯罪的「樂園」，不肖駭客可以從中發掘或許「價值連城」的玩意，或侵入只有特定人士才能一窺究竟的資料庫或網站，這些聽起來似乎莫測高深、不可思議，然而拆穿他們的手法後，有時會發覺僅是「如此而已」，但這些「奧妙」存乎一心，如何制止與防範，或正可由此下手。

國內線上遊戲「仙境傳說RO」傳出遭駭客「侵權」，複製收費網頁，企圖從中竊取玩家帳號與密碼，其方式是將官方網站上的收費介面直接複製，將它連結至私人的網站上，並且佯稱是官方網站人員，誤導購買點數卡的玩家上線登錄點數，然後從中竊取他們的帳號與密碼。

這名駭客甚至還公然在各大遊戲網站張貼廣告連結，散播點數卡的收費期限截止等不實訊息，誘使玩家上當。

業者表示，線上遊戲所需的點數卡，須上線登錄才能使用，駭客熟知這樣的消費習性，乾脆直接複製一個假的登錄頁面，若不知情的玩家前去登錄，帳號與密碼即因而「外流」。

對受騙的玩家來說，個人帳號、密碼被竊取，可能讓自己擁有的虛擬寶物遭盜用，不肖人士則可藉由轉賣虛擬寶物而實際獲利；或是這些帳號、密碼會低價「賤賣」給其他玩家，影響到原有玩家應有的權利。

「HackingExposed」（駭客現形）作者之一的陳彥銘最近在「駭客實戰研習營」中，則親自示範駭客「獲利」的作業模式與手法。

其中之一是將某個購物網站的原始檔叫出，存到自己的電腦中，再利用文件編輯軟體如「記事本」，開啟該原始檔，透過「尋找」的功能，找出欲購買商品的「標價」，和所有與該數字有關的內容，然後將這些標價數字改為1元，再進行「存檔」的動作。

接著由瀏覽器開啟更改後的原始檔，雖然會發現網頁中的商品圖片部分無法顯現，但是商品的價格已變成1元，接著點選「加入購物車」（AddaCart）的按鈕，會見到購物清單中的商品價格正是1元，我們還可填寫欲購的數量，其實這個漏洞仍在某些購物網站中，並未加以修補。

陳彥銘說明，上述漏洞，都是來自同一家公司，其專門提供購物網站所應用的程式，只要使用同樣程式的購物網站，照理說都會有相同的問題。

雖然有機會以1元，購買原本上千或萬元的商品，不過陳彥銘特別提醒，商家也不是渾然不覺，發現這種詭異的狀況，一定會追查原因和破壞的來源，所以用1元買商品很可能僅是「一時之快」，之後警察若找上門來，可要面對後續的法律責任。

陳彥銘另外示範，利用Google搜尋引擎找出使用者所設的密碼提示，他解釋，這是因為網站的疏忽，將這些資料放置在未經保護處理的電腦中，因而Google的「搜尋機器人」主動至各網站蒐集資料時，就「順便」將這些資料羅列在Google裡，偏偏有些使用者所設定的密碼提示答案，根本就是密碼本身，於是讓駭客有可趁之機，只要將帳號和密碼試一試，立刻破解。

此外，陳彥銘還提供一個前幾年發生的實際案例：當時俄國駭客專門對網路上的銀行或賭場下手，先將鎖定目標的IP位址找出，再試試網站所使用的網頁伺服器是否為微軟的IIS，由於IIS有些漏洞，駭客便能放入「後門程式」以掌控電腦。

接著便是找出該銀行或賭場網路服務的客戶名單和對應的密碼，再跟受害公司聯絡，進行勒索恐嚇，表明若不付錢，便將這份名單公開，破壞其聲譽。

不過，「魔高一尺，道高一丈」，接獲受害公司報案的美國聯邦調查局FBI，展開反制行動，利用網路追蹤的技術，找出兩位俄國駭客的真實身份，再策動一個「誘捕」的行動，設立一家假公司，佯稱要提供駭客優厚的工作機會，駭客「不察」，欣喜地飛到美國，結果一下飛機，立刻遭FBI逮捕。

◇防駭機密資料不外泄。

儘管網路經常暗藏遭人入侵威脅，不肖駭客隨時伺機而動，不過一般網路族也不用因此杯弓蛇影、甚至因噎廢食，不敢在網路上進行任何活動，其實只要注意一些原則，做好基本防護措施，就可享受網路快捷的便利。

在Foundstone資訊安全顧問陳彥銘示範下，讓網友瞭解到網路上一些細微的漏洞，擴大自身的不安全感。不過，他反而認為，自己並不憂慮在網路上購物會導致機密資料外泄，但經常在網站上購物的他，為了保護自己的重要資料，必須要遵守一些原則。

陳彥銘指出，增加通行碼或密碼（Password）被破解的困難度、提高門檻，是防範駭客的第一步，比如說，一般銀行提款卡的四位數字密碼，相較起來就容易破解，因為總共為1萬組的組合，如果真的要一個個試，花點時間就會猜到。

所以，密碼的字元要愈多愈好，最好設到系統能接受的上限，可能的話，所設的密碼中，最好夾雜英文、數字或特殊符號，愈複雜被破解的可能性愈低，不過自己可要記得密碼才行。

同時，重要的資料不要放在網站中，如信用卡號碼及相關資料，現在不少網站會提供「一次登記、下次免輸入資料」的服務，陳彥銘建議，最好不要使用這類系統，因為這會把一些個人的機密資料，直接儲存於網站的伺服器或資料庫中，為了避免風險，寧可麻煩點，有必要再輸入一次。

值得注意的是，現今搜尋引擎的功能可說十分強大，駭客很可能會透過搜尋引擎進行一些特別資料的搜尋，以找出線索，再經由這些線索，完成進一步的破解機密，或破壞擾亂系統的行動；為增加資料的安全性，基本原則就是提高被尋獲的困難度，同時不要將個人的重要資訊放在網路上，徒增被「駭」的機會。

此外，資訊安全軟體廠商看好寬頻網路應用的趨勢，紛紛推出標榜防毒又防駭的產品，使用者可以比較參考一番，再決定要在個人電腦上採取哪種防護措施。

賽門鐵剋日前推出「諾頓網路安全大師2003中文版」，宣稱除整合諾頓防毒2003、個人防火牆2003最新功能外，再加強「入侵偵測」、「隱私權控管」及「內容過濾」等功能，建構出個人網路式防禦保護機制，五者交叉運作，應能讓駭客、病毒蟲進不來，重要的個人機密資料，未經允許也無法送出，同時還可追蹤駭客所在的位置。

至於趨勢科技新上市的「PC-cillin2003」，則強調「主動式病毒預警通知」功能；尚標榜延續防毒、防駭雙管齊下的概念，提供「主控式個人防火牆」，除具備駭客入侵偵測功能外，當連線上網時，可即時監控、過濾與追蹤任何形式的網路資料傳輸或交換；並能避免電腦遭到來自網站的惡性程式「挾持」，阻絕特洛伊木馬程式的襲擊，不至於成為病毒的幫凶。 看中國網站 禁止建立鏡像網站 。

短网址: 版權所有，任何形式轉載需本站授權許可。 嚴禁建立鏡像網站。