全球大小事

【美聯社紐約24日電】加州「身分竊盜資源中心」(Identity Theft Center，簡稱TRC)24日表示，近年兒童逐漸成為身分竊盜者覬覦的目標。而聯邦貿易委員(FTC)的報告也指出，2005年至2007年有3萬4000件身分竊盜案，受害者是18歲以下的孩童。專家並提供家長保護孩童身分的方法。 身分竊盜案件一般涉及信用卡濫用等金融問題，大多數民眾認為兒童個人資料不會被盜用和濫用。但TRC創辦人琳達‧佛利 (Linda Foley)表示，兒童身分竊盜案例已屢見不鮮。她說：「我們只看到冰山一角，問題嚴重程度還不得而知。」 加州TrustID身分保護公司執行長麥提克(Scott Mitic)表示，受身分竊盜影響的兒童人數，之所以沒有明確數據，原因之一是這種犯罪通常暗地進行多年後才被發現。另外，逾半數案例中，竊盜者為兒童的家長或親人。曾被父親盜用身分的瓦爾道(Randy Waldron)表示，在申請大學時才發現真相，自己名下竟有高達2250萬元債務。他說：「我花了好幾年時間，並付了3萬元律師費，才洗刷清白」。 以下是保護孩童身分的方法。第一，要教育兒童不要隨便提供個人資料，特別在網路上。第二，印有帳戶或社安資料的文件，要確實撕碎後丟棄。第三，參加社團或校外活動，如須提供身分查核，應注意防範個人資料外洩。第四，若認為有詐欺可能，可致函Equifax、Experian 和TransUnion等信用通報單位，查明兒童身分是否被冒用，再尋線追查。如懷疑身分已遭竊，可向社安署索取兒童名下收入證明，如顯示有工資收入，代表身分已被盜用。 欲知詳細資訊可查詢網站www.idtheftcenter.org或www.ssa.gov/mystatement。

新浪科技讯 北京时间8月31消息，据国外媒体报道，微软首席隐私战略官彼得·库伦(Peter Cullen)周四表示，谷歌的隐私保护策略比微软落后10年。 　　库伦说：“谷歌是一家伟大的公司，也推出了一些伟大的产品，但在隐私保护等方面，谷歌仍处于微软7年或10年前的水平。” 　　库伦是微软可信赖计算部门负责人，该部门主要负责解决产品中出现的可能威胁安全与隐私的漏洞。库伦认为，谷歌并不重视其产品的隐私保护问题，例如备受指责的“街景”服务。 　　库伦说：“微软有40多名全职和400多名兼职员工致力于隐私保护工作，而谷歌则没有这么重视。隐私是微软所考虑的核心问题之一，在产品设计之初就考虑到了隐私问题，而不是在出现问题之后再去弥补。” 　　库伦称，谷歌在搜索广告占有主导地位，因此希望谷歌将来能加强隐私保护力度。他说：“一旦某家企业在某个领域占据了绝大多数的市场份额，那么就会接踵而至。” 　　对此，谷歌尚未发表任何评论，但谷歌地图应用工程师拉尔斯·拉斯姆森(Lars Rasmussen)今年早些时候曾对这种指责嗤之以鼻。拉斯姆森说：“很多照片是任何人拿着相机都可以拍摄到的。但我们非常重视隐私，如果有人认为隐私被侵犯，可以告诉我们，我们会立即删除。”

全球規模最大的資安合作組織FIRST論壇，日前在溫哥華舉辦今年度的論壇議程。大會給予中華民國代表團成員的識別證稱呼「中華台北」 (右)，但FIRST官網對台灣資安組織的介紹，國別卻仍稱「Taiwan,Province ofChina」 (左)。

特殊節日或活動期間已成為社交工程網路攻擊模式最熱門的發動時機！除了全球運動焦點的北京奧運之外，2008下半年可預見的網路犯罪高峰還包括開學熱潮、美國總統大選、足球與美式橄欖球比賽，以及每年12月的年終購物季。資安專家特別提醒網友留意相關主題式攻擊活動。 　社交工程已成為駭客發動網路攻擊最主要手法。趨勢科技資深技術顧問戴燊認為，未來半年這種趨勢將會繼續發展；網路犯罪者尤其將利用特殊時機發動攻擊，而接下來第 1個被利用的時機，就是即將展開的北京奧運。 　趨勢科技日前就針對 1隻假藉奧運開幕式檔名Word檔散播的惡意木馬程式，對使用者提出警告。趨勢科技資深技術顧問簡勝財表示，此木馬程式主要訴求為呼籲支持西藏的各方團體抵制奧運；使用者一旦開啟檔案，遠端攻擊者將獲目標系統的完整控制權，或導致應用程式意外終止。 　而在奧運之後，戴燊預期，緊接而來的開學熱潮、美國總統大選、足球與美式橄欖球比賽，以及每年12月的年終購物季，都將是網路犯罪者藉以發動攻擊的特殊時機，使用者一定要特別留意相關主題式攻擊活動。 　雖然廣告程式、追蹤程式、鍵盤側錄程式、下載程式等攻擊方式已持續減少，自2007年3月約45%個人電腦遭廣告程式感染，減至2008年4月的35%；但簡勝財表示，過去 6個月來，含有惡意程式的網頁數量大幅攀升。 　他說，網頁威脅活動曾在2007年12月創下單月1500萬件攻擊活動的新高，但這個紀錄沒多久就被打破了；2008年3月甚達逾3倍，單月計5000萬件！尤其網路釣魚技巧更持續翻新，令使用者難辨真偽。 　最近出現的新型態網路釣魚方式，會提醒使用者小心網路釣魚郵件，藉此鬆懈收件者戒心，引誘點選郵件中的連結進入詐騙網站；不知情使用者因此鬆懈戒心，輕易洩漏帳號。 　此外，以獲利為目標的網頁威脅，大多以混合式惡意手法發動攻擊；他舉例，網路犯罪者會發送內含網址連結（惡意URL）的垃圾郵件或即時訊息，使用者按下連結後，將被重新導至某網站，並自動下載 1木馬程式，再由該惡意程式下載其他間諜程式，以竊取機密資料。 　像這種透過多重攻擊手法，藉以躲避防毒軟體偵測的網路犯罪方式已越來越普遍。 　而除社交工程仍為重要攻擊手法外，戴燊歸納近期網路攻擊模式後，對未來半年網路犯罪常見攻擊手法提出另外 3預警，包括駭客將鎖定新發現的軟體漏洞發動攻擊、垃圾郵件數量續呈倍數成長、垃圾郵件與網路釣魚將繼續其混合式威脅。 　他舉例，像QuickTime、RealPlayer、Adobe Flash等新發現的軟體漏洞，將成為網路犯罪者持續鎖定攻擊的目標。 　同時，每日平均垃圾郵件數量總數將增加300至500億封；尤在北京奧運，開學熱潮等因素影響下，垃圾郵件與網路釣魚數量可望於今年 8月創高峰；而到年終購物季時，今年11月還會再增加，預計每天達1700億至1800億封。 　另一方面，垃圾郵件與網路釣魚也可望繼續在混合式威脅中扮演重要角色，估約0.2%網頁（每500個就有1個）將被植入惡意掛碼，使用者一進入網頁將難逃遭感染惡運。 　資安專家建議，使用者須特別留意上述主題式攻擊活動，除不知名網路連結自然不可開啟外，更應留意「裝熟」的網路郵件。此外，使用者也應於電腦中採取適當保護措施；未購置防毒軟體的使用者，可先至防毒軟體業者網頁上，下載免費防禦工具，至少連線時可抵擋惡意連結及背景下載，避開與病毒接觸機會。

以亞洲地區資訊安全議題為核心的資安大會SyScan，下週(7/7)將首次來台舉辦兩天，來自歐美等地的資安專家將齊聚，介紹最新的攻擊手法。 過去只在新加坡舉辦的亞洲前瞻資安技術年會(Symposium on Security for Asia Network)，今年將首度來台舉辦分會，會中將有來自賽門鐵克、HP、COSEINC等國際知名資安公司派出的資深研究員發表最新攻擊手法與漏洞，與本地資安研究社群進行交流。 曾因利用飯店電視駭入客房資訊系統而聞名的專業駭客Adam Laurie便將首次造訪台灣，發表他近年來關注的RFID安全漏洞。Laurie在電子郵件專訪中表示，廣受歡迎的RFID應用雖然方便，但採用者卻未正視其安全問題。他舉例道，許多RFID方案被用在錯誤的方法上，例如門禁管理，便是誤把作為身份辨識功能的標籤拿來當作認證標籤，「多數標籤很容易複製，若沒有密碼等第二層認證系統來把關，把RFID用在認證上其實並不安全，」Laurie說。 而台灣眾多的硬體設備廠商可能會相當關心HP系統安全實驗室研究員Richard Smith將發表的、針對嵌入式系統發動的永久性阻斷服務攻擊(Permanent Denial of Service, PDOS)。 Smith在電子郵件訪問中表示，可透過連網進行flash記憶體上的軔體遠端更新的嵌入式設備，都可能存在PDOS漏洞，讓駭客利用遠端更新機制來破壞其flash記憶體，造成設備無法使用。 而賽門鐵克研究實驗室首席工程師Matthew Conover則將介紹該公司最新研發、用來觀察rootkit行為的沙盒(sandbox)技術，可限制惡意程式的行為僅在sandbox環境中執行，他並將在大會上首次展示該技術。 負責籌辦本次台灣SyScan的阿碼科技執行長黃耀文表示，台灣地區有相當活躍的資安研究社群，但一直以來缺乏與國際級資安專家互動的機會，透過引進SyScan至台灣舉辦，將有助於促進跨國資安研究社群的對話，「台灣的研究人員或許沒辦法去歐美參加BlackHat、DefCon等盛會，但也有機會聽到同等級講者的經驗，」他說。

（法新社東京十二日電） 日本官員今天說，當局在未能發現一名青年在網上憤怒留言以預告將濫殺無辜後，如今已設法開發網路掃瞄軟體，以掌握犯罪跡象。 二十五歲的加藤智大八日遭到逮捕，他在東京市鬧區駕駛卡車衝撞行人，並且以匕首濫殺無辜，造成七人喪生和十餘人受傷。 加藤智大曾在網上張貼數百則留言，宣稱他感到孤單、醜陋與憤怒。日本警方表示，他在八日上午駕車前往東京時，又透過手機繼續留言，透露他的濫殺計畫。 日本媒體引述加藤在犯案數小時前的留言內容說：「我將駕車衝向人群，假如這沒有用，我就會拿出刀來，大家再見吧。」 總務大臣增田寬也在內閣會議中表示，總務省將爭取預算以開發軟體，來清查類似加藤在網上張貼的留言。 總務省一位官員接受訪問時說：「我們已擁有相關的網路軟體，當有人在網上張貼特定字眼時，能加以發現。但哪怕只是以『殺人』等關鍵字進行搜尋，電腦螢幕上都會出現數量龐大的檔案。」 這名官員說，開發新軟體的目標是，「當有人留言的上下文內容激化到值得注意的程度時，我們能夠發現。」

美國國會議員指責中國政府支持的黑客侵入美國國會電腦，中國今天對此指稱作出嚴詞否認。 星期三，兩名美國國會議員說，他們在國會辦公室的電腦被來自中國的黑客侵入，電腦內存儲有有關中國異見人士以及人權情況的敏感信息。 中國外交部發言人今天表示，中國目前還不具備此類電腦入侵技朮。 發言人秦鋼在例行的新聞發布會上質問美國國會議員的指稱"証據何在"，同時秦鋼還奉勸一些人不要總是"疑神疑鬼"、"應該多做一些有利于中美相互了解、信任和友好"的事情。 秦鋼再次重復中國政府多次表明的一貫立場，中國沒有對其他國家進行過網絡攻擊，中國也是國際黑客的受害者。 “入侵者來自中國” 昨天，一些長期關注中國人權狀況的美國國會眾議員稱，他們的電腦被來自中國的黑客入侵。 共和黨議員沃爾夫說，2006年初，他有四台電腦被破壞﹔史密斯議員則說，在2006年12月和2007年3月，他在人權委員會辦公室的兩台電腦被黑客侵入。 沃爾夫說，聯邦調查局告訴他，其他國會議員以及至少一個眾議院的委員會也成為外國電腦黑客攻擊的對象，而入侵者來自中國。 聯邦調查局和白宮拒絕發表評論。 近年來，中國曾經受到過有關網絡安全的一系列指控。去年，德國、美國、法國和英國都曾指責中國軍方支持的黑客侵入了他們政府和軍方的電腦網絡。 中國政府多次表示，從來沒有對其他國家進行網絡攻擊。

【本報記者朱冠華溫哥華報導】雖然政府單位、警方、及媒體經常報導有關網路犯罪對兒童及青少年造成安全的問題，但根據調查顯示，許多年輕一代仍未充分了解此一議題。實際上，全球各地皆有許多單位宣傳網路安全守則，家長可利用這些來自網路上的資訊，給孩子一片乾淨的上網環境。 根據加拿大微軟公司委託伊雷（Ipsos-Reid）民調公司調查，去年初公布的一份報告顯示，10歲到14歲的受訪者中，25％認為與網友長時間交談很安全﹔11％曾被陌生人要求提供如全名、電話等個人資訊。 此外，70%的青少年相信，他們放在網上或發給朋友的信息相當隱私﹔37%的女孩及22%的男孩承認，曾經把自己的照片發給別人，顯示青少年對於網路安全的概念仍需加強。 雖然調查中也顯示，96％的家長曾向子女傳達網路潛在危險性的觀念，但為了進一步宣導，許多機關仍繼續發布給家長及子女的網路安全訊息，其中卑詩省教育廳即提供多項安全守則。 守則內容包括﹕「家長需學習使用網路」、「將電腦放置於屋內中間或是開放位置，如客廳，以行監督」、「注意子女瀏覽的網站」、「於我的最愛中，設立子女專用區」、「指導子女不可隨意透露隱私資料」、「若子女收到，或致電陌生人，應提高警覺」、及「讓子女了解，網路上和陌生人談話，與大街上談話並無不同」等。 省教育廳的網路安全守則網址為www.bced.gov.bc.ca/resourcedocs/internet_safe，此外，包括www.internet101.ca，www.cybertips.ca等網站也提供相關訊息。若民眾有意查詢中文資訊，可參考兒童福利文教基金會，網址為www.children.org.tw/safe.php。

【本報訊】CNN廣播網7日報導，在上海附近舟山島一個簡陋公寓，有幾個20幾歲的年輕人對著最新的電腦工作。他們是肆無忌憚的駭客，自稱曾闖進全世界最敏感的網站，包括五角大廈的網站。 他們宣稱中國政府有時會秘密付錢給他們。北京政府斷然否認這種說法。領頭的蕭晨說：「沒有任何網站是百分之百的安全。有些網站擁有高度安全防護，可是總有弱點。」 「蕭晨」是網名。他們都不願透露真實身分，不過他們屬於一些西方專家所謂的中國網路民兵，專門向世界各地的政府和私人網站發動攻擊。 CNN費了幾個星期，透過斷斷續續的電郵聯絡，這些駭客才同意接受訪問。他們不太肯透露他們曾侵入哪些網站，不過蕭晨後來宣稱他們有兩個同事曾侵入五角大廈網路下載資料，可是拒絕說明這些資料的性質。 五角大廈本周公布的年度中國軍力報告特別點出中國具有攻擊全球電腦網路的能力，美國、德國、英國和法國的電腦網路，過去一年遭到「多重入侵」，其中許多來自中國。 美國官員一直避免直接指控中國軍方或政府入侵美國網路，不過東亞事務副助理國防部長謝偉森(David Sedney)說，全球發生數例電腦網路遭入侵，資訊被竊取的源頭，都指向中國的「網軍」，「雖然無法完全把帳算到（解放軍或）中國政府的頭上，但所使用的技術，網路被入侵的方式，都和其要發動網路戰爭所需的作法，非常一致」。 北京否認這些指控，並要求美國提出證明。但是，蕭晨說，他的同事成功侵入五角大廈網路後，中國政府曾給予酬勞。這種說法無法證實，北京也堅決否認。 但是，如果蕭晨說的確有其事，他的同事似乎是自行發動攻擊，不是由北京授意，只是事後獲得酬勞。 美國情報研究分析中心的毛文傑(James Mulvenon)說：「我認為這些駭客團體不是中國政府的特工，只是對北京政權有用的傻瓜。只要他們不在中國國內發動攻擊，政府就容忍他們存在。」 專家說，一個最大的問題就是證明網路攻擊來自何處，而這種情況讓在虛擬世界活動的駭客能夠否認他們的作為。 在中國各地，可能有數以千計像蕭晨這樣的駭客，試圖藉著闖入全世界安全防護最嚴密的網站，來證明自己的本事。

拉丁美洲各國政府競相以透明化作為改革指標，而南美烏拉圭共和國推動透明化卻走火入魔，國家安全機構與官員資料毫無保留地悉數上網。情治人員跳腳痛罵之餘，「政治正確」的烏龍事件已難以收拾。 烏拉圭政府推動透明化並透過網路對外公開，在「電子政府」網頁中，政府預算與高級官員及高級公務員資歷薪資一覽無遺。 上周末，當地民眾赫然發現包括「烏拉圭國家情報局」在內的8八個情報機構與佈建的資料竟然出現於新增網頁，攤開在民眾眼前的不但包括222名高級特工姓名、性別、年齡與工作地點，甚至連階級、專長、年資、薪津也毫無隱瞞。 一名憤怒的將領對政府的百分百透明措施大加撻伐，質問是不是阿根廷的國安局（SIDE）、英國的祕情局（M16）與美國的中央情報局也會做出這般不經大腦的蠢事? 烏拉圭政府首度主動地把國家情報局攤開供民眾檢驗，只差沒公布主管相片而已。在上網的國家情報局高級特工資料中，包括1973至1985年，在軍方掌權時加入的30名前「軍情局」資深特工。這些當年令人聞之色變的軍情局探員因為涉及迫害人權案件，多年來一直是受害者家屬急於追查的對象。 烏拉圭政府目前仍未決定是否取下相關網頁，也並未宣布亡羊補牢的措施。

〔編譯魏國金／綜合十八日外電報導〕美國中央情報局（ＣＩＡ）披露首見的網路電力攻擊犯罪。ＣＩＡ資深分析師唐納休指出，這類駭客的意圖在於敲詐，他們威脅若不交付鉅款，將斷電讓整個城市陷入混亂。 中南美某大城 傳已受害 他說，駭客已在美國境外的數座城市，展露其干擾供電的能力。他說，遭駭客入侵斷電的城市位於中南美國家，包括墨西哥，不過他沒有進一步指明到底是哪些城市。 他表示，沒有傳出交付鉅款的案例，遭攻擊的城市僅停電數分鐘。雖然目前不了解駭客是否會展開進一步威脅，「然而，這有引發災難問題之虞。」 唐納休是在美國紐奧良一場安全會議上對與會的公共事業工程師作上述發言。他說，ＣＩＡ相信部份駭客具有引發斷電的專門知識，這些不法之徒主要是要敲詐，而非抱有政治主張的恐怖份子。 他強調︰「至少有一例是，干擾引發的斷電波及數座城市，我們不知道是誰進行這些攻擊、原因為何？不過，所有相關的入侵都是透過網路。」唐納休揭露的駭客電力攻擊特別引起白宮不安。部分高層認為，熟諳網路技巧的恐怖份子可能效法敲詐駭客，試圖破壞美國與西歐國家水電與化學工廠運作。 凸顯公共事業防火牆薄弱 去年美國國土安全部在一項模擬測試中顯示，駭客神不知鬼不覺的傳送指令給一部大型發電機，之後該發電機劇烈搖晃，並冒出黑白濃煙。該測試凸顯美國公共事業單位的電腦欠缺保護措施，入侵實非難事。

今天英國媒體報道稱，英國軍情五處警告英國各大銀行和金融服務公司，中國當局利用黑客入侵手段竊取商業情報。 英國政府拒絕透露是否曾經向銀行和金融服務公司發出警告以及有關詳情，但証實說確曾向他們發過一封信。 中國駐英國大使館新聞處的趙尚森在接受BBC采訪時說，中國政府反對、嚴禁任何電腦犯罪活動，包括黑客侵入電腦系統。中國許多法律和規章制度對此都作出了明確的規定。 趙尚森同時還說，黑客是國際問題，中國也經常成為黑客的受害者。 他表示，中國愿意與英國等其他國家合作，加強國際間的合作，打擊電腦犯罪。 “笨拙” 今年早些時候，中國軍方也曾經被指侵入英國、德國和美國政府的電腦系統。 今天出版的《泰晤士報》在重要位置報道，軍情五處的負責人埃文斯在向各大銀行、會計師行及律師行300名行政總裁及保安首長發出的一封機密信件中發出有關中國黑客入侵的警告。 埃文斯稱這些公司正在受到"中國國家機構"的電子襲擊。 這是英國政府首次指責中國涉及涉及網絡間諜活動。 《泰晤士報》的報道稱，這一“笨拙和明顯”的指控可能引起嚴重的外交后果，甚至使布朗以首相身份在明年首次訪華的計划蒙上陰影。