正视自己资安的责任
台湾微软公司二十五日发布紧急重大安全公告。微软安全反应中心发现,有一只名为Download_Ject木马病毒已经在网路上散布,针对以IIS 5.0(Internet Information Server 5.0)架设网站的弱点进行攻击。造成的影响为该站的网页内容被修改,最严重的是网站成为病毒感染窝,访客因浏览该网页而被植入恶意程式。
中毒的电脑,里头的机密文件与帐号密码都可以任意被犯罪组织窃取,亦可以远端控制受害者的电脑加以执行。即使电脑内部都没有任何机密文件,这种病毒也可以记录使用者的键入的字码(keystrokes),并在系统内开启一道后门,以便骇客观察记录电脑。
过去,电脑病毒对使用者最大的破坏是把辛苦建立的资料给损毁。但如今这种木马病毒却是神不知鬼不觉,默默地化身为使用者本人,干坏事、偷资料。电子化越彻底的公司机构可动用的资料就越多。好比一些所谓e-learning、远距教学的成绩系统,若是中了这种毒,犯罪者就可以更改学生的成绩,把不及格的变成及格。线上交易网站与网路银行中了这种毒,就可以把使用者的钱盗尽或花光。一般公司行号则是来往客户的个人资料会外泄,造成威胁。
Download_Ject木马病毒的来袭,考验出个人与团体对于资料安全的重视保护程度。一些电脑使用者习惯不好,密码过于简单(取出生年月日、结婚纪念日、家人的名字);或是密码不放在脑袋里,直接放在电脑里,于是给予骇客可乘之机。一些上班族电脑里有成千上万笔的客户资料或是职员的薪资资料,却不尽上守护这些资料的责任,随意放置,或者是任意转拷贝给其他同事或亲友,造成这些资料外泄,而令其陷于犯罪集团威胁阴影里。一些网站管理者,没有尽上每天阅读该系统最新消息公告的责任,予以及时处理修补破洞,使得网站被骇客有机可趁入侵。
电脑网路的世界,保密防谍更是人人有责。大家必须在别人的事情上,看见自己的责任是何等的重大;应该在别人的基本资料上,看见自己应该尽上守护的责任。你我都必须建立资料安全的观念以及正视自己的责任,让资料安全成为一种生活态度,一种生活习惯。
本文刊登于《基督教论坛报》 http://ct.org.tw