網絡安全事件簿(3)資安威脅闖進校園

男女朋友彼此的學校距離遙遠，雙方都常會因猜忌與不安而產生想要監控對方的企圖，這是大學男女交往常常會面臨到的問題。最常見的監控方法不外乎打電話、突襲檢查、安排眼線等；對於有資訊背景或有相關常識的大學生而言，似乎多了一種選擇－侵入對方學校的主機伺服器，設法取得管理者權限，藉此檢查對方電子郵件內容，或取得對方即時通訊軟體的對話記錄檔案，達到類似徵信甚至「抓姦」的效果。這種日常生活經常上演的戲碼，某種程度上已透露出校園安全的隱憂。

內憂：無法嚴格規範不守規矩的學生
學術單位象徵著一定開放程度的自由空間，學校在制定網路安全策略時，無法像企業一樣對員工與其他使用者做出嚴格的規範；在這樣的背景下，又要肩負防止惡意攻擊的責任，學校的資訊安全部門處於極為兩難的境地。而校園資訊安全的威脅來自兩個層面，一個是校園內部，另一個則來自校外的攻擊。

內部的安全威脅來自於學生本身。學生由於年少輕狂，時間又多，對於利用自身資訊能力來展現自我價值，可說是樂此不疲，因此架設FTP站臺、下載/上傳非法檔案等，在學術網路的世界中屢見不鮮；又有甚者，透過PHP來讀取某些資料、入侵校園主機竊取機密資料等也是大有所在，許多還更牽涉到法律問題。除了這些具有資訊背景的學生高手之外，一般的同學常常因為缺乏防護觀念，在休假離開/返回校園之際，將病毒透過筆記型電腦帶回了學校的宿網，因此引起病毒在學術網路中擴散，這些難以徹底防範的安全事件，都讓學校頭疼不已。

外患：學網淪為入侵他國網路的跳板
除了內部威脅之外，許多來自外部的攻擊或破壞行為，更是讓人防不勝防。由於學術網路的頻寬夠大，往往招致來自校外的駭客入侵主機，竊取教學內容、專利資訊或是學生資訊等等。

近年來七月份總會出現一則提醒大家注意國際駭客的新聞，內容提及由於正值學校單位的暑假期間，許多國際駭客抓準學生大量使用網路資源所產生的漏洞，大舉入侵臺灣學術網路系統，也由於源頭難以追蹤，臺灣學術網路也成為駭客攻擊其他國家網路系統的跳板。

為了維護學術自由的理想之餘，同時兼顧安全防護，一些基本的網安策略，如以帳號及密碼來管理學術網路使用者，絕對是需要學校單位確實執行的。

漏洞入侵花樣多
漏洞發生的問題很多，包括錯誤或不安全的設定，以及程式撰寫未考慮周詳是最常發生的原因。例如常聽到的Buffer Overflow、SQL Injection 都是因為在欄位輸入的時候，程式沒有詳細的檢查與限制，才會導致這樣的結果。此外，不安全的設定，也是造成校園系統帳號密碼外洩的原因之一。舉例來說，現在網路有許多以網頁為操作管理介面的免費軟體，甚至開放原始碼的系統，非常容易安裝及使用，卻忘記把網站伺服器上面的磁碟資料夾索引（directory indexing）關閉，所以入侵者可以直接瀏覽網站的資料夾，檢視內容，甚至可以把整個記錄帳號密碼的檔案抓走，造成系統的資訊外洩。甚至有可能被搜尋引擎的spider程式收錄，提供駭客方便的查詢管道。

遭到入侵，輕者主機癱瘓，重者吃上官司
學術網路一旦遭受攻擊，會產生情況與程度不一的不同結果。不管是遭受到DoS（Denial of Service，阻斷服務）/ DDoS（Distributed Denial of Service，分散式阻斷服務）、被蠕蟲（Worm）或木馬程式（Trojan）感染，還是受到垃圾郵件（Spam） / 網路釣魚詐騙（Phishing）。

手法引誘成功，結局多半不外乎是主機受到癱瘓、控管或毀損，只是受害情形有天壤之別；輕者也許只要清除有問題的檔案、重新安裝作業系統與應用程式即可，重者有可能導致機密資料永久毀損，甚至因此賠上學校信譽或吃上官司。

DoS攻擊是一種很簡單但也很有效的進攻方式，能夠利用合理的服務請求來佔用過多的服務資源，使合法用戶無法得到原本的服務。DDoS攻擊則是一種基於DOS特殊形式的攻擊，駭客透過對大批主機系統與設備的控制，讓它們同時對目標發動Dos攻擊，破壞性遠勝於單純的Dos。許多時候主機無法提供你應有的服務機制，很有可能就是受到這種攻擊而導致資源耗盡所產生的結果。

蠕蟲是針對電腦程式所設計之病毒，會透過網際網路傳播，有別於一般電腦病毒，蠕蟲並不具備竄改程式的能力，但通常會夾帶別種更具破壞性的電腦程式、四處傳播。木馬程式一如木馬屠城記以木馬掩人耳目，能攻其不意而逞其陰謀。木馬程式就像披著狼皮的羊一般，讓系統使用者或管理者在沒有察覺的情況下，輸入系統使用者代號及密碼，而導致入侵，讓主機系統受他人掌控。在線上遊戲或其他正常網路行為的掩飾之下，系統往往就此遭受攻陷。

垃圾郵件與網路釣魚類似，都是透過未經許可擅自寄送的商業郵件，詐騙網友的個人資料，達到騙取機密資訊的目的。垃圾郵件不一定涉及詐欺，但所有的網路釣魚則都是駭客惡意設下的一種騙局。經過許久以來的經驗傳承，幾乎所有人都已經能夠意識到一般垃圾郵件的手法，但新型態的網路釣魚騙局卻在HTML頁面直接使用了合法公司網站的圖檔，讓人很難加以判別真偽，也因此掉入了數位陷阱之中。

不過正所謂「姜太公釣魚－願者上鉤」，許多受到入侵的學術網路主機系統，還是源於學生不正當的網路使用習慣所造成，下一篇我們將針對氾濫的校園資安威脅來源，提出有效與實際的防護建議。

作者／林佶駿
Juniper Networks新興科技部門技術經理，曾任職臺灣電腦網路危機處理中心（TWCERT）、鈺松國際資深技術顧問，敦陽科技資訊安全事業處資訊安全顧問。擁有美國CERT/CC講師認證、CEH講師認證、CISSP證照。

曾發表多項安全弱點，協助執行電腦犯罪鑑識，擁有豐富的網路安全滲透測試服務經驗。