維護單位:

                 高苑科技大學

                 電子計算機中心

                 行政諮詢組 

 

        校內分機:

                 1635

                 1645

 

        意見反映與問題諮詢:

                 高苑科技大學討論區

 

  防毒軟體安裝說明

 

企業與個人風險管理─密碼篇

 

 老是使用同一組簡單密碼的朋友要注意了!最近在全球網路非常流行的 Kido 變種蠕蟲透過內建的密碼字典,猜測使用者在電腦中所設定的密碼,遭到密碼破解的電腦將自動被加入網路犯罪組織中,成為僵屍電腦網的成員之一;接下來,駭客就可以開始隨心所欲的利用這些受感染的電腦發出大量的垃圾郵件。

 

 到底該如何避免在不知不覺中成為駭客的助手呢?網路資訊這次特地請到知名防毒專家,卡巴斯基防毒軟體台灣區總代理奕瑞科技分享正確的防護知識,帶大家一起向網路駭客說「不」!

 

Q1:何謂僵屍電腦網?

 

e Ray Secure Ans

 僵屍電腦網是由數個受到後門程式感染的電腦所組成,而駭客能藉由遠端遙控的方式,控制受感染的電腦。值得注意的是,殭屍電腦網路的強大電算能力,便是網路犯作者強而有利、非法賺取金錢的有效工具。

 

 僵屍電腦網的擁有者,所能控制的電腦,包括地區、城市、甚至超越國界。然而以此方式所建構而成的網際網路,能讓惡意使用者以匿名的方式進行操控,造成這些電腦已受感染的使用者通常無法察覺,這也是遭感染且為網路罪犯控制的電腦被稱為僵屍電腦的原因,而由受感染電腦所構成的網路則稱為僵屍網路,又大多數的僵屍電腦都來自家庭使用者的個人電腦。

 

Q2:僵屍電腦網的運作方式大致為何?

 

e Ray Secure Ans

 網路罪犯可利用僵屍網路從事相當多的犯罪活動,小至傳送垃圾郵件大至攻擊政府網路。傳送垃圾郵件是僵屍網路最常見也最簡單的應用。專家預估有超過 80% 的垃圾郵件是由僵屍電腦寄出。僵屍網路的租用對象通常是那些寄送垃圾郵件者,這些人才了解僵屍網路的真正價值。每位垃圾郵件發送者每年平均可賺 50,000100,000美元。透過數千台電腦構成的僵屍網路,垃圾郵件發送者在極短的時間內,從受感染電腦寄送好幾百萬封郵件。

 

 竊取的地址可轉賣給垃圾郵件發送者,僵屍網路的擁有者也能直接拿來寄發垃圾郵件。隨著僵屍網路的持續擴大,便能收集到越多新的地址。勒索是僵屍網路來賺取不法所得的第二種常見方式,主要是利用十多台甚至是幾千萬台電腦進行DDoS(分散式阻斷服務)攻擊,亦即將假要求的資料流從受傀儡蟲感染的電腦中傳送到遭受攻擊的網路伺服器。因此,伺服器將會出現超載而無法使用。網路罪犯通常會向伺服器擁有者索取費用,作為停止攻擊的報酬。

 

Q3僵屍電腦網對於現今網路安全的威脅嚴重性?

 e Ray Secure Ans

現今,僵屍網路是網路上主要的非法營利來源,一旦落入網路罪犯的手中,便成了強大的犯罪利器,只要一想到僵屍網路技術正逐步進化,安全專家對於未來的資訊安全就深感不安。

 僵屍網路的簡易操作性與易得性,讓他們的威脅與日劇增,可能在不久的將來,即使是幼童也能輕鬆管理這些程式。此外,在這發展完善且架構健全的機器人網路市場中,入手價格則相當低廉。

 對建構國際性僵屍網路有興趣的人,不見得都是網路罪犯,這種僵屍網路也可以為政府或個人所用,在緊繃的情勢下施加政治壓力。另外,對受感染電腦的匿名控制權,也可以用來激起網路的對立,只要透過其他國家的電腦對另一國的伺服器策動一波網路攻擊,便能達到此目的。

 由無數資源甚至是幾百萬台受感染電腦組成的網路,可以構成極大的威脅性,幸好目前這種可能性尚未被完全發展出來。

 不難想像,每十位熟人或朋友之中便有一個人的電腦有可能是僵屍網路的一部份,而這個人有可能就是你!

 

Q3:政府有推出什麼法令來抑制這些罪犯嗎?

 

e Ray Secure Ans

 由於近來垃圾郵件的氾濫所帶來的災害已經越來越猖獗,各國也開始擬定法規希望能抑制垃圾郵件量,日前,台灣行政院院會在326通過的「濫發商業電子郵件管理條例草案」就是針對垃圾郵件所擬定的方案。

 

 未來收到濫發商業郵件的收信人,只要將信件列印出來,向NCC公告的財團法人投訴,財團法人便可向網際網路接取服務提供業者(ISP)調取資料,累積滿二十人之後,送NCC審查,以每封500元至2000元的金額,向違法的發信人請求民事損害賠償,而這些被網路罪犯所利用的僵屍電腦的 IP 若遭追查,此電腦使用者即便不知情也可能遭惹到不必要的麻煩

 

 

Q4:我們應該如何避免成為駭客跳板?

e Ray Secure Ans

 目前統計報告中顯示,在駭客的字典密碼中包括好幾組使用者最喜歡、也最經常採用的密碼,例如:passwordpassword1231234567 … 等等,所以,想要避免遭到網路罪犯集團利用,最基本的資訊安全觀念:「不要使用太容易猜測的密碼」,如果想要增強防護措施,經常性的更換密碼也是一個非常好的方式,另外,定期修補系統與軟體漏洞、安裝最新版本的防毒軟體並更新防毒資料庫等等,都可大幅降低遭到網路罪犯利用的機會。

 

 然而,針對密碼的設定,奕瑞科技也教大家一些小撇步,請使用者務必妥善管理帳號密碼,最基本的幾個要點如下,設定至少8個字元包含英文、數字與符號,密碼不要是一組有意義的英文單字或者數字,不要使用與個人或公司身分相關的資料(如電話、身分證字號或者統編),並且至少每7天定期更換密碼。另外還要記得定期修補系統與軟體漏洞,安裝最新版本的防毒軟體並更新防毒資料庫,將可大幅度的降低電腦遭到網路犯罪集團操控的機會。

 

 本文章轉載自「奕瑞好報」