交大說明諾貝爾網站被駭事件的初步調查
文/蘇文彬 (記者) 2010-10-29
因駭客已刪除相當Log紀錄,交大嚐試復原硬碟中的資料,按線索追查駭客身份與入侵來源,希望能對外澄清。
對於諾貝爾網站遭到來自交通大學學術網路IP的攻擊,交大初步調查指出,駭客是以較少使用的學士服租用系統的IP位址當跳板,目前正追查入侵來源希望能揪出駭客外,明年也計畫以虛擬IP來降低類似的風險。
這起事件起源於諾貝爾和平獎網站被發現遭不明駭客入侵,並植入一個利用Firefox零時差漏洞的惡意程式,使用者若以FireFox瀏覽器瀏覽網站可能遭植入木馬。挪威電信指出IP位址來自台灣的交通大學。
由於適逢諾貝爾和平獎頒給中國異議人士劉曉波引發國際政治風波,部份國外媒體認為攻擊背後可能隱含政治意圖,駭客可能來自中國網軍。
目前Mozilla已經修補相關漏洞,而諾貝爾獎網站也已經修復正常。而交大對於被捲入這起事件則感到意外,並已向挪威方面取得IP位址,內部正積極追查線索,希望找出駭客真正身份對外澄清。
交通大學資訊中心主任蔡錫鈞表示,駭客是利用學士服租用系統,研判駭客經過觀察發現該系統較少使用而入侵,作為跳板入侵諾貝爾和平獎網站,植入木馬程式以竊取個人資料,駭客攻擊背後意圖有很多種可能,目前難以判斷其用意為何。
據瞭解,駭客在事發後已刪除Log紀錄以防止追查,交大動員研究生及老師,包括網路組、校務資訊組、技術發展組等10人成立調查小組,由具資安專長的副主任協助,希望回復硬碟中被刪除的資料以追查駭客身份。
蔡錫鈞表示,由於交大的學術網路頻寬大,加上網路IP位址多達6萬5千個,管理上並不容易,成為駭客入侵的目標。交大觀察,特別是週末較少使用的IP常發現異常流量及使用行為,大多是駭客觀察、入侵的結果。交大明年計劃以虛擬IP代替單位的實體IP位址,降低被駭客或有心人士入侵的風險。
由於這次駭客植入諾貝爾和平獎網站的惡意程式為Symantec.exe,正好是資安大廠賽門鐵克的英文名稱,因此賽門鐵克也與交大聯絡,希望掌握獲得部份資料方便調查。
為防範入侵,除了推動虛擬IP降低駭客入侵風險,蔡錫鈞指出,交大也會加強管理維護及更新工作,補強系統漏洞避免再次被攻擊,也會教育使用者應有的警覺性。
http://www.ithome.com.tw/it...php?c=64227