某國立大學資工研究所一名研究生與電腦高手在網路辯論資訊安全問題,為證明自己觀點正確,駭入對方負責維護的音樂網站資料庫,將所有會員姓名變成空白;他贏了打賭,卻觸法;刑事局發現他留下的漏洞,循線查獲他依妨害電腦使用罪嫌送辦。
據了解,這名研究生高中時曾拿下台北市軟體競賽前三名,他被逮後辯稱並未將駭得的會員資料拿來作不法用途,只是一時意氣之爭,想證明自己的想法是對的;不過刑事局人員告訴他,無故入侵他人電腦並竄改資料就是觸法,依法必須究辦。
警方指出,這名研究生去年底在網路上與另名電腦高手辯論資訊安全問題,他表示資訊安全首重程式撰寫是否傑出,但對方說資安問題要重視稽核與維護,兩人爭辯不休,研究生最後查出對方任職並維護的一處古典音樂網站,當駭客證明自己觀點。
這名研究生侵入音樂網站會員資料庫後,將一萬兩千多名會員姓名改成自己的名字,但因怕被發現身分又將所有會員姓名改成空白。音樂網站發現後立即報警,刑事局發現駭客相當高明,但無意間留下個漏洞,花一個月反向追查,找到研究生入侵途徑循線逮捕他。他告訴警方,國內還有很多網站有類似漏洞。
警方說,「資訊工程」碰上「資訊管理」就像「東邪」強碰「西毒」,誰也不讓誰;研究生利用一種SQL injection(資料隱碼攻擊)手法,在SQL指令中嵌入一個惡意程式碼,通過防火牆和身分驗證機制取得資料庫系統的控制權,以達資料庫毀損或資料流失的目的。
沒有留言:
張貼留言