記者/張瓊文
最近世界各大知名網站紛紛成了駭客攻擊行動下的犧牲品,由Yahoo!開始,eBay、Amazon 、Buy.com、CNN、E-Trade、Datek、與ZDNet,接二連三地都成為「分散式拒絕服務」(distributed
denial of service)攻擊的目標,駭客的攻擊行動儼然已經成為網站揮之不去的夢魘。而Yankee Group針對此次連續性的攻擊行動所進行的評估顯示,由於各網站在遭受攻擊後的營收減少、市場資本損失,以及遭攻擊後用以升級安全架構的費用,合計更造成高達12億美元以上的損失。並且這些攻擊事件被認為具有極高度的關連性,很有可能是單一個人或團體所為;而更有許多專家預言,類似的駭客攻擊事件將會不斷地重演。
所謂「拒絕服務」(denial of service)的攻擊行動,將能夠使網站伺服器充斥大量要求答覆的訊息,導致系統不勝負荷因而當機。透過一般的網路連線,使用者傳送訊息要求伺服器加以確認,伺服器便將連線許可傳回給使用者,而使用者在確認後即獲准登入伺服器。但是在「拒絕服務」的攻擊狀況之下,攻擊者運用一些在網路上即可下載的程式,侵入網路中數十架甚至上百架電腦中,之後便可遙控輸入指令給這些被「滲入」的電腦,這些電腦繼而開始發送成串資訊到目標網路的伺服器中,而所有的訊息都附上捏造的地址,以至於伺服器在傳回確認許可時無法找到使用者。而當伺服器因而必須暫時等候,然後再切斷連線之時,駭客便再度傳送新一波佯裝成要求確認的訊息,再次重複以上的程序,導致伺服器無法動彈,服務無限期停擺。
而這種「拒絕服務」的攻擊行動的可怕之處就在於,其並不需要高深的技術,攻擊者僅需在網路上下載程式,但是卻能夠造成難以阻止的結果。目前仍然沒有保證可靠的軟體可以抵擋這類型的攻勢,且若駭客在同時間發動數百台以上的電腦同時進行攻擊,想要確實偵測出異常的網路位址,恐怕也有相當的困難。
以往駭客經常以美國中情局與NASA…等機密等級較高的軍事機構,做為其侵入的對象,但是隨著電子商務的發展,許多駭客分別將目標移轉到一般大型的網站。例如之前一個署名Maxus的駭客便從CD Universe音樂銷售網站上,竊取了三十萬個的信用卡帳號;而這名駭客在向CD
Universe勒索十萬美元不成之後,更透過網站公布高達數以千計的信用卡帳號。而國內除了不久之前兩國論正發燒時,兩岸駭客紛紛以侵入、破壞對方網站,隔海藉由網路相互較勁的事件之外,也曾經發生多起駭客入侵的事件,引發了政府當局與網站經營者的高度戒備。
雖然這次一連串的攻擊事件,由於僅會癱瘓伺服器提供網頁給顧客的功能,並不至於破壞系統的完整性,同時侵入者也無法取得儲存在伺服器中的資料,因而被認為並不具有強大的破壞力,而對於敏感的顧客資料也不致產生外洩的恐慌。但是此次駭客發動一波波的攻擊,加上攻擊來源的電腦數量龐大,故此一波攻擊行動背後的攻擊動機頗值得眾人深思,此一事件應該不僅是單純的惡作劇而已。此連續性的駭客攻擊事件,不僅暴露出網際網路建設的脆弱,更突顯出網路維護網路安全與因應駭客入侵問題的重要性。這次多個大型網佔慘遭攻擊,蒙受不少損失,但是倘若能夠由此次的事件,辨識出自身網站在安全上的漏洞,同時給予其他網站當頭棒喝,提醒網站經營者對於網站安全的重視。並且為了保障蓬勃發展的電子商務環境,政府相關單位與網站經營者更應該在網路安全政策的擬定、安全軟體工具的研發,以及網路安全的專業認證和服務上,投入更多的心力與經費。