|
是誰破解了我的電腦
◎魯明德
壹、案情摘要
這兩個月陸續發生了兩件看似影響不大的事,但是,見微知著,這些資訊安全的小疏失,往往會造成單位意想不到的損失,資訊管理者不可不察。
第一個案例發生在總統府,總統府為了拉近與民眾的距離,於今(98)年7月18日起推出馬總統的治國週記,不料馬上被網友發現總統府已預錄未來兩週的治國週記,而且把預錄的治國週記放到著名的影音網站YouTube上供人瀏覽。這讓總統府相當尷尬,很多媒體競相報導總統府的網站被「破解」了!
第二個案例則是8月間,新竹某明星高中的學生惡作劇,幫他同學上大學入學分發委員會的網站填寫分發志願,因為只填了一個臺大醫學系,而造成他的同學高分落榜。警方查出後以「妨害電腦使用罪」移送地檢署偵辦。
這兩件事乍看之下,風馬牛不相及,但是,究其根源,均為系統對於資訊安全的防範不夠所肇生的事端。本文將透過這兩個案例的解析,讓讀者了解資安事件發生的原因及資訊安全簡單的防範之道。
貳、案例解析
在第一個案例中,媒體的報導大都是馬總統治國週記網站被網友破解,究竟網友是怎麼「破解」總統府的網站?難道總統府的網站是不設防的嗎?其實不然,從媒體的報導中,可以發現:治國週報的影音檔,它的檔名是以發行時間做為檔名,而我們在瀏覽網頁時,在IE的網址列上,會把網址及檔案的路徑都顯示出來,所以,網友只要在網址上,依日期自行修改檔名,再按下Enter鍵,如果該檔名的檔案存在,就可以瀏覽了。所以,這種行為既沒有入侵網站,更談不上破解。
第二個案例就更奇特了,大學入學分發委員會進行選填志願的網站,考生只要輸入:身分證字號、准考證號碼、繳款號碼和通行碼,驗證通過就可以進入該網站填志願。根據《聯合報》的報導顯示:學校會把應屆畢業生的身分證字號、准考證號碼印成一整本,同學彼此都查得到,而繳款號碼及通行碼,可以從「大學考試入學分發相關資訊」本子上查到。
我們平常到提款機去領錢,一定要輸入帳號、密碼,讓系統確認提款人的身分,這是確保存款戶錢財安全的必要手段。我們在許多場合都可以看到這樣的提示警語:密碼不要寫在提款卡上,也不要用生日或容易讓人猜到的數字當密碼;這些都是在確保密碼的安全性。
上網填寫志願攸關考生權益,為了確認身分,考生必須輸入帳號、密碼,以驗證其身分,大學入學分發委員會採用身分證字號、准考證號碼、繳款號碼和通行碼同時輸入,做為驗證的工具,看似非常安全,不料,這些都可以讓有心人看到,這跟把密碼寫在提款卡上有什麼不同?
參、資訊安全防範之道
由於資訊科技的普及與快速發展,電子化企業已是目前的趨勢;對資訊的依賴愈深,資訊無法運作時,對企業的傷害也就愈大,所以資訊安全可說是每個企業的命脈。資訊安全的攻防就像矛與盾一樣,雙方都在不斷精進自己的武器。但是,隨著資訊產品的價格愈來愈便宜、功能愈來愈強,沒有什麼安全機制是不能被破解的,只是時間的長短而已;所以,對資訊安全來說,沒有「最安全」,只有「更安全」。
目前的網頁大多採用3-tier的架構,網頁所顯示的資訊,都來自後端的資料庫(Database);在資料庫的運用上,通常是透過結構化查詢語言(Structured
Query Language, SQL)進行。而最常發生在應用程式之資料庫層的安全漏洞就是SQL Injection。
SQL Injection是在輸入的資料字串之中夾帶SQL指令,設計不良的程式會忽略做SQL Injection的檢查,這些夾帶進去的指令就會被資料庫伺服器(Database
Server)誤認為是正常的SQL指令而執行,因而招致破壞;只要是支援批次處理(Batch)SQL指令的資料庫伺服器,都有可能受到此種手法的攻擊。因此,在設計系統時,一定要事先防範SQL
Injection。
密碼是進入系統的鑰匙,就像家裏大門的鑰匙一樣,一旦落到有心人士手上,家裏就門戶大開,即使有數道鐵門,都是沒有用的。入侵者最常用來竊取使用者密碼的方式就是暴力攻擊法(Brute
Force Attack),藉由程式來測試所有可能的密碼組合,進而找到使用者的密碼。
為了避免自己的密碼遭到暴力攻擊法的攻擊,必須要有足夠的複雜度,像以生日或與自己有關的數字、文字做為密碼,就很容易被破解。但是,複雜的密碼又不容易記,現在很多企業的系統,除了要求定期更換密碼外,還要有足夠的複雜度。在此,筆者提供兩個方法供讀者建立複雜度足夠又不易忘記的密碼。
第一個方式是截頭去尾,先設計一個句子,再把句中的母音去掉,如「I love Mjib」,去掉母音後剩下lvmjib,再加上大小寫就可以組合出很多個密碼。第二個方式是使用拼音,同樣先設計一個句子,再用它的中文輸入法做為密碼,如「我愛清流」,用倉頡輸入就是hqibbpeeqmbeyiu,也可以加上大小寫或結合截頭去尾法,就可以產生很多組密碼。
肆、結論
對資訊的依賴愈深,資訊安全就愈重要,而世界上沒有一個系統是不會被破解的;維護資訊安全,除了在系統設計時就要加以規劃外,我們使用者也要有基本的認知,才能共創雙贏。
(作者任職於華創車電技術中心股份有限公司電動車研發部)
|