[新型網路重大漏洞「資料隱碼」]
一、內政部警政署刑事警察局與國內新波科技公司針對一種新型攻擊手法
經過數月共同合作研究,特別發佈網路安全警訊。刑事局表示國內政府網站
與電子商務網站目前普遍存在某種漏洞:當網路管理人員發現網站資料庫被
攻擊的時候,從資料庫存取記錄可能會發現,攻擊資料庫的電腦竟然是自己
的網站主機!不少網管人員懷疑是網站主機被安裝木馬後門,其實,它可能
是被一種新發現的安全漏洞『資料庫隱藏程式碼』所攻擊,簡稱為『資料隱碼
(SQLInjection)』攻擊。這種攻擊方式,顛覆以往攻擊者僅篡改網站網頁內容
的系統管理者觀念,而嚴重威脅內部資料庫內容的安全。它的攻擊原理是:攻
擊者利用正常查詢網站資料之時,將攻擊資料庫的指令夾藏於網站查詢命令中。
攻擊者可以穿透防火牆,並繞過身分認證機制,取得資料庫權限,於入侵資料
系統之後,進而竊取資料或破壞資料庫。這種資料庫攻擊手法於去年六月被提出,
並於九月份在美國駭客年會被廣泛討論,現在全世界的駭客都已經知道這種攻擊
手法。它可以使用Apache、IIS、Domino、Netscape的網站系統,透過ASP、PHP、
JSP程式碼,攻擊破壞各種SQL資料庫,包括MS-SQL、MySQL、Oracle、Sybase、
DB2等等,幾乎已經包括國內九成以上網站資料庫系統,且經瞭解七成以上大部
分均可輕易被攻擊入侵
二、兩年前,刑事警察局與網路安全公司新波科技共同合作,致力將各種網路
安全技術,應用於網路犯罪偵防。同時在刑事警察局的指導下,新波科技引進
國外網路安全技術,逐步改良成為各項網路安全產品,以符合國內網路環境需求,
並能夠自動提供網路攻擊者的犯罪痕跡,刑事警察局便能夠以科學辦案的精神,
蒐集網路犯罪者的各種犯罪證據與線索。在此次『資料隱碼』漏洞的技術轉移
過程中,刑事警察局與新波科技的警民合作模式,就是由新波科技先引進『資料隱碼』
攻擊技術與偵防技術,經過數月的研究分析後,在網路安全問題尚未擴散之前,
仿效美國聯邦調查局處理重大網路安全事件機制發佈警訊。美國聯邦調查局與
主要網路安全或防毒公司密切合作,一經發現重大網路安全事件,即由聯邦調
查局及其全球五十餘國駐外單位,於第一時間向各大資訊、網路公司,政府或
私人企業,同時發布網路安全事件警訊,提供處理意見及因應之道,避免事件
擴大。刑事局偵九隊即曾多次接獲美國聯邦調查局駐日本東京辦事處緊急通知,
旋即轉知國內相關單位。此次『資料隱碼』重大資訊安全事件,刑事警察局即
循美國聯邦調查局處理模式發布警訊,提供國內各相關單位及網站處理,尤其
是各電子商務及提供網路銀行之網站應特別加強網路安全檢查及適切處置。
三、刑事警察局資訊室與偵九隊研究人員,協同新波科技,針對國內網站進行
分析研究發現:絕大部分的國內大型電子商務網站、與各級政府網站都普遍存
在這種漏洞。其中包括已經投入大量人力金錢,架構網路安全環境的知名企業
電子商務網站與中央部會、直轄市與縣級政府網站等。更驚人的是,某些電子
商務網站已經安裝防火牆與防毒軟體系統,並使用網路交易安全機制,確認網
路交易的身分認證權限。但是網路攻擊者卻可以使用「資料隱碼」漏洞,輕易
破壞這種交易安全的身份認證機制,進而讓整個電子商務資料庫,陷入網路交
易紀錄混亂的窘況,嚴重威脅國內金融秩序。
四、根據刑事警察局資訊室資訊安全專家與新波科技的研究人員說明,如果攻
擊者採用這種『資料隱碼』攻擊的手法,駭客攻擊過程如下:(1)先連結網站,
(2)輸入一般參數,(3)輸入攻擊指令。並進一步評估,『資料隱碼』攻擊可
能造成的影響有:(1)取得假身份認證,(2)攻擊資料庫內容,包括修改,
刪除與建立新資料庫。(3)執行系統指令,包括CMD指令,TFTP指令,NET指令,
啟動/關閉木馬程式等等。對國內網站的影響可能有:(1)電子商務網站的漏洞,
包括有假冒身分認證購物交易或假冒網路銀行帳戶身分,進行非法轉帳交易等情
事。(2)政府網站的危害,包括有動態網頁內容被修改,或是假冒網站維護人員
的登入。(3)公文網站的威脅,包括有公文資料庫被篡改或刪除,或是機密公文
外洩,這些在國外皆曾發生過,國內相關單位應加以防範。
五、有鑑於過去國內年輕學生,對網路駭客充滿不正確的幻想,導致許多學生誤
觸法網。刑事警察局在此呼籲,年輕網路族群千萬不要心存僥倖,認為入侵資料
庫或破壞網站可能沒有人知道。刑事警察局與新波科技合作已經擁有工具能夠蒐
集相關證據與線索,並追查網路犯罪者的來源。網路犯罪者如果使用『資料隱碼』
攻擊網站資料庫,除了要依刑法與電子資料保護法求處刑期之外,還要面對被害人
依照民法提出損害賠償,年輕學子不可因為想出風頭而得不償失。如果國內網站資
料庫維護人員,想要確定自己的網站是否有相關漏洞,可以向刑事警察局資訊室或
新波科技要求協助,(02)2761-7556或(02)2517-0577。或是上網查詢
http://www.cib.gov.tw或
http://www.DiamondI....com.tw。
[摘錄於新波科技]
