電 腦 網 路 犯 罪 與 安 全 你 用 網 路 銀 行 嗎? 28% 的 美 國 消 費 者 每 週 至 少 有 3 次 是 透 過 電 話 網 路 或 分 行 以 存 取 其 網 路 銀 行 報 告 書 冒 用 銀 行 名 義 所 發 出 的 電 子 郵 件 要 求 更 新 網 路 銀 行 密 碼 及 資 料 網 路 詐 騙 的 集 團, 專 門 製 作 與 知 名 網 站 幾 可 亂 真 的 假 網 站, 或 假 借 中 國 信 託 名 義 發 送 email 收 集 客 戶 個 人 機 密 資 料 ~ 資 料 來 源 : 中 國 信 託 ~ 2
你 利 用 網 路 買 東 西 嗎? 美 國 商 務 部 報 告, 網 路 零 售 銷 售 量 從 2000 年 2730 萬 美 金 到 2004 年 增 加 325% 接 近 8820 萬 美 金 假 賣 場, 盜 用 帳 號 成 為 新 的 犯 案 手 段, 更 有 惡 質 騙 徒 以 假 帳 號 截 標 ~ 資 料 來 源 : 花 蓮 縣 警 局 ~ 歹 徒 以 資 料 拼 圖 手 法, 將 已 蒐 集 而 來 的 會 員 帳 號 與 密 碼, 不 斷 以 人 工 登 入 方 式, 企 圖 測 試 每 一 組 帳 號 與 密 碼 所 歸 屬 的 網 站 ~ 資 料 來 源 : 內 湖 分 局 ~ 3
打 成 績 自 己 來 美 國 加 州 橙 縣 18 歲 高 中 生 康 恩 (Omar Khan) 涉 嫌 夜 闖 校 園, 再 駭 進 學 校 電 腦 竄 改 自 己 的 成 績, 案 發 後 被 以 多 項 罪 名 移 送 法 辦, 若 罪 名 全 部 成 立, 最 重 可 處 38 年 徒 刑 ~ 資 料 來 源 : 聯 合 報 2008/06/20~ 台 北 縣 板 橋 重 慶 國 中 傳 出 了 駭 客 入 侵 學 校 電 腦 系 統, 竄 改 學 生 成 績 的 事 件 一 位 老 師 進 入 學 校 電 腦 資 料 庫 準 備 輸 入 學 生 成 績 的 時 候, 發 現 成 績 有 誤, 一 開 始 她 以 為 是 系 統 的 問 題, 沒 想 到 後 來 學 校 資 訊 人 員 上 網 查 看, 竟 然 發 現 二 三 年 級 所 有 學 生 的 第 一 次 段 考 成 績, 全 都 被 改 成 85 分 ~ 資 料 來 源 : 東 森 NowNews 2002/10/30~ 4
資 通 安 全 注 重 的 三 種 資 料 類 型 機 密 資 料 只 允 許 經 授 權 的 人 存 取, 禁 止 非 經 授 權 者 存 取 或 閱 讀 例 如 軍 事 情 報 以 及 有 關 國 家 安 全 的 資 料 敏 感 資 料 政 府 機 構 及 企 業 等 具 敏 感 性 之 資 料 (e.g. 戶 政 資 料 ) 正 確 資 料 保 護 該 資 料 的 正 確 性 及 有 效 性, 禁 止 該 資 料 被 破 壞 偽 造 以 及 篡 改 (e.g. 交 易 資 料, 學 籍 資 料 ) 5
我 們 周 遭 的 電 腦 系 統 與 網 路 網 路 銀 行 自 動 化 的 超 級 市 場 結 帳 系 統 網 路 課 程 網 路 購 物 網 路 旅 遊 資 源 6
這 些 系 統 有 哪 些 漏 洞? 應 該 採 取 哪 些 步 驟 來 確 保 這 些 系 統 的 安 全? 如 何 保 護 這 些 個 人 資 訊? 7
網 路 安 全 很 嚴 重 嗎? 沒 有 人 可 以 緊 跟 我 的 電 腦 天 快 塌 了! 中 庸 8
安 全 性 威 脅 的 形 態 惡 意 軟 體 MALicious software Trojan hourses 間 諜 軟 體 入 侵 未 經 授 權 進 行 系 統 資 料 存 取 阻 斷 服 務 攻 擊 (DoS) Denial of Service attacks 癱 瘓 系 統, 使 系 統 無 法 提 供 服 務 9
惡 意 軟 體 具 有 惡 意 目 地 的 軟 體 病 毒 通 常 是 藉 由 電 子 郵 件 散 布 消 耗 系 統 資 源 而 造 成 網 路 變 慢 或 停 止 駭 客 用 來 竊 取 網 際 網 路 用 戶 金 融 及 個 人 資 料 的 Downadup ( 或 稱 Conflicker Kido ) ) 蠕 蟲 病 毒, 過 去 四 天 來 入 侵 全 球 各 地 的 聯 網 電 腦 ~ 資 料 來 源 : 中 時 電 子 報 ~ 微 軟 公 司 2009/02/12 宣 布 懸 賞 25 萬 美 元, 要 捉 拿 製 造 或 釋 出 電 腦 病 毒 Conficker 的 元 凶 ~ 資 料 來 源 : 聯 合 新 聞 網 ~ 10
惡 意 軟 體 具 有 惡 意 目 地 的 軟 體 特 洛 依 木 馬 (Trojan horses) 以 古 老 的 木 馬 屠 城 故 事 而 命 名 敘 利 亞 第 一 夫 人 阿 絲 瑪 的 個 人 電 腦 被 以 色 列 軍 情 人 員 侵 入, 竊 取 敘 利 亞 總 統 巴 夏 爾 的 情 報 以 色 列 軍 情 人 員 使 用 特 洛 依 木 馬 程 式 記 錄 她 的 電 腦 訊 息, 包 括 她 跟 巴 夏 爾 的 電 郵 往 返 和 網 上 聊 天 內 容 全 都 被 駭 ~ 資 料 來 源 : 聯 合 新 聞 網 2005/06/06~ 企 業 防 毒 及 反 垃 圾 郵 件 軟 體 廠 商 Sophos 指 出 有 一 種 特 洛 伊 木 馬 病 毒 LegMir-Y, 專 門 竊 取 多 人 網 路 遊 戲 天 堂 的 使 用 者 名 稱 及 密 碼 ~ 資 料 來 源 : 數 位 之 牆 ~ 11
惡 意 軟 體 具 有 惡 意 目 地 的 軟 體 間 諜 軟 體 你 的 一 舉 一 動 都 被 監 視 了 Cookies Key logger ( 鍵 盤 側 錄 程 式 ) 12
入 侵 Hacking or cracking 入 侵 系 統 以 取 得 系 統 資 源 的 攻 擊 一 定 要 透 過 電 腦 攻 擊 才 能 入 侵 嗎? 社 交 工 程 某 人 向 一 家 公 司 會 計 部 門 宣 稱 自 己 是 公 司 的 技 術 支 援 人 員, 其 宣 稱 受 到 系 統 管 理 者 的 指 示 進 行 系 統 維 修, 請 其 提 供 使 用 者 帳 號 與 密 碼 撥 號 攻 擊 (war-dialing) 駕 駛 攻 擊 (war-driving) 13
阻 斷 服 務 攻 擊 (DoS) Denial of Service attacks 得 不 到 你 的 心, 讓 你 無 法 愛 別 人 攻 擊 者 沒 有 要 存 取 系 統, 只 是 阻 擋 合 法 使 用 者 存 取 系 統 14
網 路 上 常 見 的 攻 擊 病 毒 全 新 與 變 種 的 病 毒 未 經 授 權 的 系 統 存 取 DoS 攻 擊 入 侵 員 工 的 誤 用 15
基 本 的 資 訊 安 全 術 語 人 物 駭 客 白 帽 駭 客 黑 帽 駭 客 ( 怪 客 ) 灰 帽 駭 客 腳 本 小 子 (Script kiddies) 有 道 德 的 駭 客 ( 尋 找 系 統 錯 誤 是 學 習 該 系 統 的 最 佳 途 徑 ) 肉 腳 級 的 駭 客 16
基 本 的 資 訊 安 全 術 語 裝 置 防 火 牆 過 濾 網 路 訊 務 代 理 伺 服 器 (Proxy server) 隱 藏 內 部 主 機 的 IP 位 址 入 侵 偵 測 系 統 (Intrusion Detection System) 監 視 訊 務 以 找 出 攻 擊 意 圖 17
基 本 的 資 訊 安 全 術 語 活 動 飛 客 入 侵 (Phreaking, 盜 撥 ) 利 用 惡 意 且 大 多 是 違 法 的 方 式 來 躲 避 為 通 訊 帳 單 訂 單 轉 帳 或 其 它 服 務 付 費 (Raymond, 2003) 認 證 (Authentication) 站 住 口 令 誰? 稽 核 (Auditing) 查 看 log file 看 看 你 做 了 什 麼 18
資 訊 安 全 的 基 本 需 求 有 效 性 (Availability) 機 密 (Confidentiality) 不 可 否 認 (Non-repudiation) 稽 核 (Audit) 資 訊 安 全 基 本 需 求 鑑 別 (Authentication) 存 取 控 制 (Access Control) 完 整 性 (Integrity) 19
保 密 性 或 機 密 性 確 保 資 訊 的 機 密, 防 止 機 密 資 訊 洩 漏 給 未 經 授 權 的 使 用 者 機 密 性 資 料 內 容 不 能 被 未 經 授 權 者 所 竊 知, 僅 能 被 授 權 者 所 存 取 存 取 包 括 讀 出 瀏 覽 及 列 印 另 外 資 料 是 否 存 在 於 系 統 也 是 一 項 很 重 要 資 訊 可 透 過 資 料 加 密 程 序 來 達 到 資 料 的 保 密 性 或 機 密 性 20
完 整 性 資 料 內 容 僅 能 被 合 法 授 權 者 更 改, 不 能 被 未 經 授 權 者 篡 改 或 偽 造 資 料 完 整 性 必 須 確 保 資 料 傳 輸 時 不 會 遭 受 篡 改, 以 保 證 資 料 傳 輸 內 容 之 完 整 性 數 位 簽 章 可 用 來 確 保 資 料 傳 輸 過 程 中, 不 會 被 駭 客 篡 改 及 偽 造, 以 確 保 資 料 之 完 整 性 21
鑑 別 性 (Authentication) 包 括 身 分 鑑 別 (Entity Authentication) 及 資 料 ( 或 訊 息 ) 來 源 鑑 別 (Data or Message Authentication) 訊 息 來 源 的 鑑 別 是 要 能 確 認 資 料 訊 息 之 傳 輸 來 源, 以 避 免 惡 意 的 傳 送 者 假 冒 原 始 傳 送 者 傳 送 不 安 全 的 訊 息 內 容 一 般 利 用 數 位 簽 章 或 資 料 加 密 等 方 式 來 解 決 訊 息 的 來 源 鑑 別 問 題 身 分 鑑 別 使 用 者 身 分 的 識 別 是 要 能 快 速 且 正 確 地 驗 證 使 用 者 身 分 為 了 預 防 暴 力 攻 擊 的 惡 意 侵 犯, 對 於 使 用 者 身 分 鑑 別 的 時 效 性 比 起 訊 息 驗 證 要 來 得 嚴 謹 22
可 用 性 (Availability) 確 保 資 訊 系 統 運 作 過 程 的 正 確 性, 以 防 止 惡 意 行 為 導 致 資 訊 系 統 毀 壞 (Destroy) 或 延 遲 (Prolong) 23
不 可 否 認 性 (Non-Repudiation) 在 資 訊 安 全 需 求 中, 對 於 傳 送 方 或 接 收 方, 都 不 能 否 認 曾 進 行 資 料 傳 輸 接 收 數 位 簽 章 及 公 開 金 鑰 基 礎 架 構 (Public Key Infrastructure, 簡 稱 PKI) 對 使 用 者 身 分 及 訊 息 來 源 做 身 分 鑑 別 及 資 料 來 源 鑑 別, 並 可 再 與 使 用 者 在 系 統 上 的 活 動 進 行 連 結, 以 達 權 責 歸 屬 及 不 可 否 認 性 24
存 取 控 制 資 訊 系 統 內 每 位 使 用 者 依 其 服 務 等 級 而 有 不 同 之 使 用 權 限 服 務 等 級 愈 高 者 其 權 限 愈 大 ; 相 反 地, 服 務 等 級 愈 小 者 其 權 限 愈 小 存 取 控 制 主 要 是 根 據 系 統 的 授 權 策 略, 對 使 用 者 做 授 權 驗 證, 以 確 認 是 否 為 合 法 授 權 者, 防 止 未 授 權 者 存 取 電 腦 系 統 及 網 路 資 源 25
稽 核 資 訊 系 統 不 可 能 達 到 絕 對 安 全 ( 百 分 之 百 ) 我 們 必 須 藉 由 稽 核 紀 錄 (Audit Log) 來 追 蹤 非 法 使 用 者, 一 旦 發 生 入 侵 攻 擊 事 件, 可 以 盡 快 找 到 發 生 事 件 之 原 因, 讓 回 復 系 統 (Recovery) 及 未 來 能 偵 測 此 類 入 侵 的 手 法, 防 止 系 統 再 一 次 被 入 侵 26
達 到 網 路 安 全 的 形 式 周 圍 式 安 全 方 法 小 公 司 資 料 重 要 性 較 低 的 環 境 適 用 Firewall, Proxy server, IDS 階 層 式 安 全 方 法 周 圍 安 全 + 每 一 系 統 安 全 主 動 與 被 動 混 合 式 安 全 性 方 法 27
中 華 民 國 電 腦 處 理 個 人 資 料 保 護 法 民 法 第 195 條 則 揭 示 隱 私 為 人 格 權 的 一 種, 當 不 法 侵 害 他 人 之 身 體 健 康 名 譽 自 由 信 用 隱 私 貞 操, 或 不 法 侵 害 其 他 人 格 法 益 而 情 節 重 大 者, 被 害 人 雖 非 財 產 上 之 損 害, 亦 得 請 求 賠 償 相 當 之 金 額 1995 年 8 月 11 日 公 布 施 行 的 電 腦 處 理 個 人 資 料 保 護 法 1999 年 7 月 14 日 公 布 施 行 的 通 訊 保 障 及 監 察 法 第 6 條 明 訂 : 凡 個 人 資 料 之 蒐 集 或 利 用, 應 尊 重 當 事 人 之 權 益, 依 誠 實 及 信 用 方 法 為 之, 不 得 逾 越 特 定 目 的 之 必 要 範 圍 資 料 來 源 :~ 徐 振 雄, 網 際 網 路 法 第 七 章 ~ 28
電 腦 處 理 個 人 資 料 保 護 法 簡 稱 個 資 法 所 謂 電 腦 處 理 個 人 資 料, 係 指 自 然 人 之 姓 名 出 生 年 月 日 特 徵 指 紋 婚 姻 身 份 證 編 號 職 業 財 務 等 足 資 識 別 該 個 人 的 資 料 本 法 的 重 點 如 下 : 不 論 公 務 或 非 公 務 機 關, 對 於 個 人 資 料 的 蒐 集 利 用 都 必 須 尊 重 當 事 人 的 權 益, 並 不 得 逾 越 特 定 目 的 之 必 要 範 圍 資 料 處 理 時, 除 應 與 蒐 集 之 特 定 目 的 相 符 外, 當 事 人 有 請 求 維 護 資 料 的 正 確 性 停 止 利 用 或 刪 除 該 資 料 的 權 利 保 有 個 人 資 料 檔 案 者, 有 指 定 專 人 負 責 防 止 個 人 資 料 被 竊 取 竄 改 毀 損 滅 失 或 洩 漏 的 義 務, 違 反 者, 當 事 人 得 對 其 提 出 損 害 賠 償 訴 訟 29
隱 私 權 未 通 知 當 事 人 並 取 得 其 同 意 之 前, 資 料 持 有 者 不 得 將 當 事 人 為 特 定 目 的 所 提 供 的 資 料 運 用 在 另 一 個 目 的 上 30
全 球 許 多 國 家 已 制 定 反 垃 圾 郵 件 法 日 本 2002 年 特 定 電 子 郵 件 法 及 反 垃 圾 郵 件 法 歐 盟 2003 年 隱 私 電 子 通 訊 法 美 國 2003 年 底 垃 圾 郵 件 管 制 法 案 等 等 臺 灣 則 於 2004 年 底 由 國 家 通 訊 傳 播 委 員 會 (NCC) 擬 發 防 止 濫 發 商 業 電 子 郵 件 管 理 條 例 法 案, 並 即 將 宣 佈 實 施 該 法 案 規 定, 業 者 在 未 經 使 用 者 同 意 下, 不 得 濫 發 電 子 郵 件, 否 則 最 高 可 罰 個 人 新 臺 幣 2000 元 企 業 2000 萬 元 與 垃 圾 郵 件 可 能 相 關 者, 還 有 隱 私 權 隱 私 權 乃 不 受 他 人 任 意 干 擾 之 權 利 電 子 郵 件 信 箱 的 住 址 31
妨 害 電 腦 使 用 罪 法 務 部 決 定 在 刑 法 增 列 妨 害 電 腦 使 用 罪 章 其 中 最 重 的 是 屬 於 公 訴 罪 性 質 的 製 作 供 妨 害 電 腦 使 用 之 程 式 罪 電 腦 犯 罪 專 章 列 在 刑 法 增 列 第 卅 六 章 妨 害 電 腦 使 用 罪 刪 除 電 磁 記 錄 擬 制 為 動 產 之 規 定 修 正 提 高 不 正 利 用 自 動 付 款 設 備 最 之 刑 度 修 正 刪 除 干 擾 電 磁 記 錄 規 定 增 訂 妨 害 電 腦 使 用 罪 章 增 訂 無 故 入 侵 電 腦 罪 增 訂 保 護 電 磁 記 錄 之 規 定 增 訂 干 擾 電 腦 系 統 及 相 關 設 備 罪 增 訂 製 作 專 供 電 腦 犯 罪 用 之 程 式 罪 增 訂 部 分 條 文 告 訴 乃 論 之 規 定 32
刑 法 : 第 358 條 規 定 : 無 故 輸 入 他 人 電 腦 密 碼 破 解 保 護 措 施 者, 處 三 年 以 下 有 期 徒 刑, 得 併 科 十 萬 元 以 下 罰 金 第 359 條 規 定 : 無 故 變 更 取 得 或 刪 除 他 人 電 磁 紀 錄 者 ; 處 五 年 以 下 有 期 徒 刑 拘 役 得 併 科 廿 萬 元 以 下 罰 金 第 360 條 規 定 : 干 擾 電 腦 程 式 或 相 關 設 備 者, 處 三 年 以 下 有 期 徒 刑, 得 併 科 十 萬 元 以 下 罰 金 第 361 條 規 定 : 製 作 專 供 妨 害 電 腦 使 用 之 電 腦 程 式 即 電 腦 病 毒 者, 處 七 年 以 下 有 期 徒 刑 33
虛 擬 寶 物 與 貨 幣 竊 盜 刑 責 2002 年 八 月, 臺 北 地 方 法 院 針 對 虛 擬 寶 物 竊 盜 的 案 例, 首 度 作 出 判 決 該 被 告 除 依 刑 法 觸 犯 竊 盜 罪 外, 並 觸 犯 詐 欺 得 利 罪, 判 處 罰 金 2500 元 緩 刑 二 年, 得 易 服 勞 役 因 被 告 竊 取 之 電 磁 記 錄 ( 虛 擬 寶 物 裝 備 及 貨 幣 ), 必 須 利 用 遊 戲 伺 服 器 所 虛 擬 之 空 間, 方 能 支 配 使 用, 無 法 經 由 單 機 複 製, 故 被 告 藉 由 遊 戲 伺 服 器 將 被 害 人 所 持 有 支 配 之 上 述 電 磁 記 錄 取 為 己 有 行 為 依 刑 法 第 323 條 及 第 320 條 第 1 項, 即 成 立 竊 盜 罪 在 本 案 當 中, 被 告 未 經 被 害 人 同 意 即 輸 入 其 帳 號 密 碼, 使 遊 戲 公 司 誤 以 為 是 被 害 人 上 線 而 提 供 服 務 之 行 為 依 刑 法 第 339 條 第 2 項, 則 成 立 詐 欺 得 利 罪 34
網 路 安 全 是 一 個 持 續 發 展 的 領 域 你 將 需 要 三 個 層 級 的 知 識 第 一, 選 修 課 程 充 實 自 己 基 本 的 技 術 第 二, 詳 細 地 學 習 所 使 用 的 系 統, 包 含 系 統 所 有 的 優 點 與 缺 點 最 後, 保 持 處 於 持 續 發 展 之 威 脅 與 漏 洞 的 最 新 狀 態 35