男子黃伯晏洞悉網路漏洞，盜用中國信託、中華商業銀行的網路銀行網頁，申請註冊架設相同的網站，讓民眾誤信登入，趁機截取密碼、帳號後，再憑此轉帳至人頭帳戶，被害人多達六百多人。刑事局偵九隊昨天逮捕黃嫌。黃坦承犯案近一年，得款數萬元，全案刻由警方偵辦。
警方說，黃伯晏盜用申請的網址，是把原網址中間再加個「─」牽引號，一般民眾根本無法區別。例如中國信託商業銀行的網址是ＷＷＷ．ＣＨＩＮＡＴＲＵＳＴ．ＣＯＭ．ＴＷ，黃則是申請為ＣＨＩＮＡ─ＴＲＵＳＴ矇騙。

警方表示，駭客黃伯晏所使用的手法統稱為「網路釣魚」。此名詞是來自所謂「飛客」及「釣魚」的結合，是目前網路犯罪中最常出現的手法，此手法私下也被稱之為「網路豬籠草」。換言之，只要一不小心誤入該網站輸入帳號密碼資料，接下來所有的機密資料及銀行存款都被吞噬一空。

刑事局偵九隊日前曾破獲一個「網路釣魚」的詐騙網站，當時銀行都稱並沒有任何被害人，嫌犯也說並未使用盜得的帳號密碼犯案。不過警方陸續接獲被害人指控，強調自己銀行內的帳款憑空消失。警方追查發現，當事人都有使用網路銀行的習慣，可能是網路銀行出了問題。

警方進一步上網發現，在輸入搜尋「中國信託」、「中華商業銀行」後，出現許多雷同的網頁，才驚覺可能是樁網路盜領案。而該網頁係遭歹徒複製，然後向「亞太」線上服務公司和ＰＣＨＯＭＥ資訊服務公司，以假的信用卡卡號線上申請網站網址，並繳納費用。

警方指出，民眾以該網頁登入後，即被歹徒取走帳號、密碼。歹徒再利用連接轉址至真正的網站，民眾完全不知情。警方根據上網瀏覽的紀錄，發現點入該網頁的人數相當多，於是展開追查，查出在高雄縣的黃姓男子涉有重嫌。

刑事局偵九隊二組昨天前往男子黃伯晏家中搜索，其父母相當驚訝兒子居然是個網路駭客。而黃嫌坦承從今年初開始陸續犯案，並擔心被銀行發現，所以每次都採取小額轉帳，並且隔一時日才犯案。

警方發現，黃嫌家中擺放許多中、英文的駭客書籍，並且精通駭客技巧，卻把聰明的腦筋用在違法。警訊後，已依詐欺等罪嫌將他移送法辦。

取締盜版「大執法」後，這次微軟決定換個角度，推出正版使用Windows的增值計畫（WGA），從消極、被動的取締，改為積極、主動鼓勵使用。只是Windows售價居高不下，可能導致電腦病毒的流竄加遽，或是將使用者推往Linux陣營。
大陸的盜版率高達92%，只要這些盜版者，每年有一成轉為正版使用者，微軟在大陸的營收最少就成長兩位數。

此次微軟決定針對視窗作業系統的簡體中文版，進行正版增值，也就是改變過去對盜版使用者「睜一隻眼，閉一隻眼」的態度，雖然還沒有「不再寬貸」的強硬態度，但也顯示微軟認為消費者已經習慣視窗作業系統了，過去撒的網，現在應該可以「收網」了。

固然在尊重智慧財產權的前提下，要求消費者使用正版軟體本應是理直氣壯，不過微軟因有全球統一訂價策略，使得在先進國家看似可以接受的價格，到了不同市場，就顯得「高不可攀」，消費者也自然流向盜版市場。

根據外電報導，微軟在泰國已有調整價格的跡象，若成真，更合理的價格，將成為杜絕盜版的重要策略之一，也才能真正回歸市場機制。在此之前，由於大陸官方高舉Linux旗幟，一旦微軟引起消費者反彈，將把市場大餅，拱手讓給Linux作業系統。

另外正版windows增值計畫，還將帶來一項後遺症，因為愈來愈多的駭客，鎖定微軟的程式漏洞展開攻擊。過去微軟透過一再提醒使用者下載修補程式，以進行「防駭」，未來盜版使用者將無法獲得修補程式，將成為防範電腦病毒的一大漏洞。難怪最近又傳出，微軟在盜版者下載修補程式的部分，將會有所放寬。

【記者何佩儒／台北報導】

防毒軟體大廠賽門鐵克，昨（20）日遭到網路安全研究員的點名「吐槽」，指出賽門鐵克的安全漏洞，將會讓駭客藉此入侵，並關閉其安全防護功能，賽門鐵克表示，這位研究員所言並非事實，因為那只是賽門鐵克產品上的設計，讓使用者可對系統設定進行更改。

賽門鐵克亞太區資訊安全技術顧問林育民表示，Secunia網站上所說的漏洞會導致其自動保護功能關閉，並不是事實，因為那是賽門鐵克原本在諾頓產品上的設計，就是設計具備電腦存取權限的使用者，可以對系統的設定進行更改，讓使用者可以關閉CCApp.exe的程式，此時電腦畫面右下角的諾頓電腦小圖示會消失不見，但事實上，所有防毒功能依然正常運作，用戶的電腦是處於被保護的狀態，只能說是畫面顯示不正常而已。

據瞭解，在日前的一場駭客大會中，就有駭客提出，可以運用防毒軟體的漏洞，關閉其防護功能，並當場進行示範。不久就有網路安全網站，開始在網站中警告，賽門鐵克的程式漏洞，很容易成為惡意使用者攻擊的管道，並關閉其防護功能。

在駭客的攻擊手法中，除了不斷變種，一侵入受害者的電腦，就先關閉其防毒軟體的功能，也是一種常見的手法，包括稍早的「悲慘世界（My Doom）」，就有關閉防毒軟體或防火牆的特性。

【賽迪網訊】據網路安全網站Secunia日前發出的警告，賽門鐵克公司知名的諾頓防病毒軟體（Norton AntiVirus）存在一個安全漏洞，導致其自動保護功能關閉。

諾頓防毒軟體（Norton AntiVirus）是賽門鐵克推出的互聯網安全產品，也是目前市場上最流行的。安全警告指出，惡意用戶可以利用防毒軟體自身的漏洞輕易地關閉其自動保護功能，而當初設計該功能的目的是能夠即時識別並阻止任何可疑的攻擊行為。

公告表示，“任何未經授權的用戶都可能利用產品中的漏洞強行關閉自動保護功能，並且可以下載或執行一些惡意檔。正常情況下惡意檔都會被防病毒檔監控並阻止。”

目前存在漏洞的產品是諾頓互聯網安全2004（Norton Internet Security 2004），而諾頓互聯網安全2004專業版（Norton Internet Security 2004 Professional）和賽門鐵克諾頓殺毒2004（Symantec Norton AntiVirus 2004）也可能存在漏洞。

安全研究員丹尼爾•米里斯克（Daniel Milisic）最先發現這一漏洞，上周他就對賽門鐵克的諾頓防毒軟體進行過批評。米里斯克說，“賽門鐵克竭力向家庭用戶、特別是一些企業用戶推銷如此劣等的防毒軟體理應受到譴責，用戶本來以為他們使用的是完全信得過的產品……難以想像賽門鐵克的產品如此低劣。”

ZDNet媒體駐澳大利亞記者就以上問題與賽門鐵克公司取得了聯繫，但該公司拒絕進行評論。賽門鐵克的一位元發言人告訴ZDNet記者，公司將在“24小時內得知更多情況”。

目前常見的身份認證方式主要有三種，最常見的是使用用戶名加口令的方式，但這也是最原始、最不安全的身份確認方式，非常容易由於外部洩漏等原因或通過口令猜測、線路竊聽、重放攻擊等手段導致合法用戶身份被偽造；第二種是生物特徵識別技術（包括指紋、聲音、手跡、虹膜等），該技術以人體唯一的生物特徵為依據，具有很好的安全性和有效性，但實現的技術複雜，技術不成熟，實施成本昂貴，在應用推廣中不具有現實意義；第三種也是現在電子政務和電子商務領域最流行的身份認證方式--基於USB Key的身份認證。

USB KEY結合了現代密碼學技術、智慧卡技術和USB技術，是新一代身份認證產品，它具有以下特點：

1、 雙因數認證

每一個USB Key都具有硬體PIN碼保護，PIN碼和硬體構成了用戶使用USB Key的兩個必要因素，即所謂"雙因數認證"。用戶只有同時取得了USB Key和用戶PIN碼，才可以登錄系統。即使用戶的PIN碼被洩漏，只要用戶持有的USB Key不被盜取，合法用戶的身份就不會被仿冒；如果用戶的USB Key遺失，拾到者由於不知道用戶PIN碼，也無法仿冒合法用戶的身份。

2、 帶有安全存儲空間

USB Key具有8K-128K的安全資料存儲空間，可以存儲數位證書、用戶密鑰等秘密資料，對該存儲空間的讀寫操作必須通過程式實現，用戶無法直接讀取，其中用戶私鑰是不可導出的，杜絕了複製用戶數位證書或身份資訊的可能性。

3、 硬體實現加密演算法

USB Key 內置CPU或智慧卡晶片，可以實現PKI體系中使用的資料摘要、資料加解密和簽名的各種演算法，加解密運算在USB Key內進行，保證了用戶密鑰不會出現在電腦記憶體中，從而杜絕了用戶密鑰被駭客截取的可能性。支援RSA，DES ,SSF33和3DES演算法。

4、便於攜帶，安全可靠

如拇指般大的USB Key非常方便隨身攜帶，並且密鑰和證書不可導出，Key的硬體不可複製，更顯安全可靠。

USB Key身份認證系統的應用方式：

1、基於衝擊-回應的雙因數認證方式

當需要在網路上驗證用戶身份時，先由用戶端向伺服器發出一個驗證請求。伺服器接到此請求後生成一個亂數並通過網路傳輸給用戶端（此為衝擊）。用戶端將收到的亂數通過USB介面提供給ePass，由ePass使用該亂數與存儲在ePass中的密鑰進行MD5-HMAC運算並得到一個結果作為認證證據傳給伺服器（此為回應）。與此同時，伺服器也使用該亂數與存儲在伺服器資料庫中的該客戶密鑰進行MD5-HMAC運算，如果伺服器的運算結果與用戶端傳回的響應結果相同，則認為用戶端是一個合法用戶。

密鑰運算分別在ePass硬體和伺服器中運行，不出現在用戶端記憶體中，也不在網路上傳輸，由於MD5-HMAC演算法是一個不可逆的演算法，就是說知道密鑰和運算用亂數就可以得到運算結果，而知道亂數和運算結果卻無法計算出密鑰，從而保護了密鑰的安全，也就保護了用戶身份的安全。

2、基於數位證書的認證方式

隨著PKI技術日趨成熟，許多應用中開始使用數位證書進行身份認證與數位加密。數字證書是由權威公正的第三方機構即CA中心簽發的，以數位證書為核心的加密技術，可以對網路上傳輸的資訊進行加密和解密、數位簽名和簽名驗證，確保網上傳遞資訊的機密性、完整性，以及交易實體身份的真實性，簽名資訊的不可否認性，從而保障網路應用的安全性。

PKI即公共密鑰體系，即利用一對互相匹配的密鑰進行加密、解密。每個用戶擁有一個僅為本人所掌握的私有密鑰（私鑰），用它進行解密和簽名；同時擁有一個公開密鑰（公鑰）用於檔發送者加密和接收者驗證簽名。當發送一份保密檔時，發送方使用接收方的公鑰對資料加密，而接收方則使用自己的私鑰解密，這樣，資訊就可以安全無誤地到達目的地了，即使被第三方截獲，由於沒有相應的私鑰，也無法進行解密。

用戶也可以採用自己的私鑰對資訊進行加密，接收者用發送者的公鑰解密，由於私鑰僅為用戶本人所有，所以就能夠確認該資訊確實是由該用戶發送的，此過程稱之為數字簽名。

USB Key作為數位證書的存儲介質，可以保證數位證書不被複製，並可以實現所有數位證書的功能。

USB Key在電力行業的應用

電力行業是國民經濟的基礎產業，是關係到國計民生的行業。電力行業的資訊化從 60-70年代開始的電廠自動化監控開始，到現在已經有30多年。隨著電力行業的不斷發展，電力的關鍵業務不斷增長，因此資訊化應用也不斷增強，網路系統中的應用越來越多。同時，隨著Internet技術的發展，建立在Internet架構上的跨地區、全行業系統內部資訊網開始逐步建立，網上應用著各種電力業務及辦公系統。顯而易見，電力資訊網路系統的網路安全問題愈來愈顯得重要。

隨著電力行業全面的資訊化，資訊安全也成為了當今不可忽視的課題。為了保證資訊安全，決策者在網路建設之初，常常就會不惜重金花在購買防火牆，防病毒軟體，等相關的軟硬體設施。這一切措施旨在保護電力資訊系統的資料安全，所謂安全，就是指有相應許可權的人員可以接觸和操作相應的資料，任何人無法接觸到未被授權給他的資料。然而，資訊系統中的資料終歸要為人所用，如果有人偽造了相應許可權人的身份，那麼投入再多的安全防護體系一樣形同虛設。因此用戶身份認證系統是資訊安全體系的第一道關。

USB KEY在電力企業實現的功能分析：

1． 企業內網

☆ Windows智能卡登陸

☆ 企業OA

☆ 檔、硬碟等資料加密

☆ 郵件加密

☆ 數字簽名

2． 電力專網

☆ SSL VPN（虛擬專用網）

☆ 電子印章

☆ 數字證書

☆ 數據簽名

3． 互聯網

☆ 網上身份認證

☆ 訪問安全站點

☆ 郵件安全與簽名

身份認證技術能夠廣泛應用於電力企業的多種應用系統，如電力OA系統、電力行銷業務系統、電力客戶服務系統、電力銀行聯網系統、電力網上營業廳系統等。通過使用身份認證技術不僅使得企業的安全認證得到有效保障，而且極大的提升了企業的管理效率。

【日經BP社報導】美國當地時間10月18日，網路安全諮詢公司美國iDEFENSE宣佈，在多家軟體發展商的殺毒軟體中發現了安全漏洞（英文）。由於部分閘道與用戶端殺毒軟體並不檢查做過手腳的ZIP格式壓縮檔的內容，如果這些ZIP檔含有病毒就無法檢測出來。

　　iDEFENSE所指的銷售商之一美國Computer Associates（CA）在公開其產品“eTrust Antivirus”系列等中的安全漏洞的同時，還發佈了安全更新（英文）。同時，iDEFENSE表示，賽門鐵克、Bitdefender、趨勢科技及熊貓軟體的最新版產品不存在上述漏洞。

　　雖然iDEFENSE指出多家開發商的殺毒軟體存在上述安全漏洞，但開發商自己公開相關資訊的目前只有CA一家。據CA的資訊稱，正如 iDEFENSE所指出的那樣，如果ZIP檔做了手腳，有時閘道型及用戶端殺毒軟體會不進行檢查。不過，如果ZIP檔中含有病毒等，在解壓縮時可以檢測出來。

　　CA解釋說，這一漏洞的原因該公司產品中包含的解壓縮庫（Arclib.dll）存在缺陷，同時已公開了升級該解壓縮庫的升級程式。

　　iDEFENSE發佈的資訊稱，除CA之外，麥咖啡（McAfee）、卡巴斯基（Kaspersky）、Sophos、Eset、RAV的產品中都存在上述安全漏洞。麥咖啡與Eset等產品如果更新為最新的DAT檔（病毒特徵），就可以消除上述安全漏洞。（記者：勝村 幸博）

【賽迪網訊】分頁瀏覽是瀏覽器中最常見的功能之一。10月20日，研究公司Secunia警告稱，該功能中存在安全漏洞，並可能使用戶受到欺騙性攻擊。

　　Secunia稱，該漏洞會對用戶的Mozilla、Mozilla Firefox、Netscape、Opera、 Camino、Konqueror、Avant Browser與Maxthon等瀏覽器產生影響。
　　該漏洞針對分頁瀏覽功能，分頁瀏覽能夠使用戶在同一個瀏覽器視窗打開多個頁面。
　　據Secunia稱，故障表現為即使用戶正在另一個Tab中瀏覽不同的網頁，有的非啟動Tab也有可能生成對話方塊。
　　Secunia公司警告稱，瀏覽器未指明哪一個Tab將產生對話方塊，這使得用戶可能向惡意網站披露資訊，或者下載並運行自認為來源可靠的惡意程式。
　　該漏洞影響的瀏覽器版本有Mozilla 1.7.3、Mozilla Firefox 0.10.1、Camino 0.8、Opera 7.54、Konqueror 3.2.2-6、Netscape 7.2、Avant Browser 9.02 build 101、Avant Browser 10.0 build 029與Maxthon (MyIE2) 1.1.039。
　　Secunia的安全評級機構根據瀏覽器的不同將這些漏洞評為“中等危險”級或“輕度危險”級。該公司建議用戶在Tab對非信任頁面打開時，即使是信任的頁面也不要瀏覽。
　　Secunia敦促用戶解除JavaScript，直到廠商解決該漏洞為止。

安全漏洞CN-VA04-107
發佈日期：2004-10-22
漏洞類型：繞過安全機制,系統訪問
漏洞評估：高危

受影響版本：

Microsoft Internet Explorer 6
　　　
漏洞描述：

　　IE的兩個漏洞可被利用危害用戶系統,繞過Microsoft Windows XP SP2內的安全機制,聯接到本地資源。
　　1. 對來自網路對本地資源的嵌入HTML代碼的圖片或媒體文件拖放事件缺少足夠的確認。這個漏洞會被利用(比如惡意網站)在用戶系統中植入任意的HTML文檔,從而允許在本地執行任意腳本代碼。
　　相關漏洞：MS04-038
　　注：XP SP2不允許在本機啟動腳本執行。

　　2. 安全區限制錯誤,一個嵌入式HTML幫助(比如在惡意網站上)控制指向一個特別構造的索引文件(.hhk),該索引文件可執行本地的HTML文檔。
　　注：繞過了SP2中的本地lockdown安全特徵。

　　這兩個漏洞結合ActiveX Data Object(ADO)模型可以寫任意文件的不恰當的行爲時,可被利用來危害用戶系統。這種情況已經在打過所有補丁的Microsoft Windows XP SP2+IE 6.0系統中得到確認。

解決方案：

　　禁止啟動腳本或者使用其他瀏覽器。
　　如何禁用IE中的活動腳本：
　　http://support.microsoft.com/?scid=kb%3Bzh-cn%3B154036&x=3&y=10

參考資訊：

　　http://secunia.com/advisories/12889/

漏洞提供者：

　　Secunia

其他資訊：

　　CVE編號：
　　首次發佈日期：2004-10-22　　
　　修訂次數：0

漏洞報告文檔編寫：
　　CNCERT/CC

【日經BP社報導】美國Red Hat於當地時間10月23日關於假冒該公司名義的冒名郵件發出了警告。該郵件假冒該公司的Red Hat Security Team，誘使用戶從特定的URL下載補丁檔（程式）。如果執行該程式，將擅自註冊具有管理員許可權的用戶，同時通過電子郵件發送該電腦的資訊。該公司呼籲用戶注意驗證郵件或程式的數位簽名。

　　冒名電子郵件的主題為“RedHat: Buffer Overflow in 'ls' and 'mkdir'”。該郵件用英文寫有“發現利用管理員許可權（root許可權）執行任意程式的危險的安全漏洞，請立即安裝補丁檔（critical- critical update）。”

　　保存補丁檔的鏈結為某大學電腦的URL。如果按指示下載並執行為裝成補丁檔的程式，則將擅自追加擁有管理員許可權的用戶，並向某郵件位址發送該電腦的系統資訊。目前該鏈結已被關閉。

　　該冒名郵件已發送給多位非特定用戶。對此Red hat強調，“Red Hat Security Team不會向非特定多數發送正式通知（只發送給註冊用戶）。”

　　該公司同時提醒用戶注意，“正式通知只由[email protected]發送”，“電子郵件用GPG添加數位簽名”（與該公司GPG鍵相關資訊），此外“該公司發佈的補丁檔（升級包）也有數位簽名，安裝前請務必予以確認。”

　　假冒供應商並將惡意程式偽裝成升級包的“手段”本身並非首創。早在幾年前便發現偽裝成來自美國微軟郵件並發送惡意程式及其鏈結的冒名電子郵件。此外還曾出現偽裝成補丁程式的病毒。因此微軟很早就通過Web網頁宣佈，“本公司從未通過電子郵件直接發佈軟體。”（記者：勝村 幸博）