搜尋此網誌
2013年6月28日 星期五
又到了報稅的日子,隨著電腦科技的進步,報稅的方式也從傳統的表格到網路申 請認證申報,尤其今年國稅局更在各媒體上宣導網路申報的好處,製作報稅軟體 光碟免費贈送、網路報稅抽獎、配合HiNet贈送使用時數等各種方式,就是要吸引 民眾使用此管道來完成報稅手續。直至3月31日止,完成網路報稅的民眾也已突 破萬人次,對國稅局而言,此小小的成績算令人欣慰,不過在辦理認證的過程中 ,程序繁複,造成許多有心配合政府政策的民眾不小的困擾,如:若非HiNet的使 用者申請認證,得跑中華電信窗口好幾次,既然要跑,乾脆填寫傳統表格算了。 還有贈送的光碟中,內附的二維條碼程式所列印出的稅單申報報表,只能在北區 國稅局使用,中區及南區不接受此報表格式,真可謂「一局兩制」!筆者雖是個 每天活在網路上的人,但也受不了此一擾民程序,決定還是填寫傳統表格報稅, 輕鬆完成此一年度大事。 話說在3月初報稅的時期,接到網路通訊編輯傳來的一篇傳真,希望筆者能提供 些意見,該篇文章是另一名作者所寫有關此次網路報稅安全漏洞的探討,該作者 提出一個很有趣的題目,假設有駭客以假IP冒用使用者,取得其安全憑證資料, 那駭客真的是有如取得銀行金庫鑰匙,可以為所欲為。 【】 民眾使用網路報稅的上網環境不外乎,在家中使用電話撥接至ISP,然後連至GCA 認證中心的網址,此外就是使用公司或公眾區域網路,上線申請。現在我們假設 一位守法納稅的民眾(我們就稱他為小張),在公司透過區域網路連上Internet,到 GCA認證中心的網頁填寫資料,看看其取得憑證鑰匙的過程中會有什麼狀況。 讓我們回到現實世界,Sniffer原本是協助網管人員或程式設計師,分析封包資料 ,解決網路Traffic問題的軟體,但用在駭客手中,卻成為最佳入侵工具。如Dan Farmer與Wietse Venema所設計之SATAN軟體,可以掃瞄電腦系統與網路的安全漏 洞,發現可能遭人入侵的途徑,網管人員可以防堵此一安全弱點,不過對駭客而 言,它是個能搜集偵查目標系統資料,用準備計畫來進行入侵的理想軟體。如果 今天您有Sniffer類的軟體,只要您鎖定特定的IP位址及所要Listen的封包格式,然 後像漁夫般的撒網出去,等待鎖定的目標完成整個填表註冊動作後,您就可以收 網截取到這頁表格的資料。 此外驗證身分過程還可透過HiNet來進行,也就是說若您是HiNet的使用者,那麼 在填了帳號與密碼,GCA中心就會和HiNet連線,進行您的身分確認,在一個工作 天後,便會以E-Mail通知您是否通過身分檢查,如此您就不用跑到中華電信窗口 辦理身分驗證。雖然這是便民的措施,但好玩的漏洞就在這兒,您也可以看到HiNet 的撥接識別碼變數isp_name為abcdefg,密碼isp_passwd為yesismee,電子郵件位址 E-Mail為abcdefg@ms9.hinet.net,而這些封包資料,透過網路傳送給GCA認證中心 的過程,很有可能會被有心人士從中截取,然後駭客就很高興的用您的HiNet帳號 與密碼,準備下次的入侵行動,哪天您突然發現您HiNet的帳單費用高的離譜,這 可不是HiNet記錯帳喔!或者調查局要求您到案說明,為何您的網路帳號侵入某家 銀行系統,造成嚴重破壞,這時您才發現,原來您的網路鑰匙已被人複製一份了 。 那若是在家中使用撥接的用戶上線申請,是否也會遭到竊聽?理論上若您使用 Modem撥接到ISP的Terminal Server,那別擔心會受其他也是撥接用戶的監視,因 為Terminal Server會過濾不該傳出的封包,但從ISP到GCA認證中心這段的線路, 可就不一定囉!假若有人是從ISP或GCA認證中心的網路下手,突破安全系統, 潛伏在這兩段網路節點中攔截,資料同樣的也會落到他人口袋,因此,還是「小 心能駛萬年船」。
又到了報稅的日子,隨著電腦科技的進步,報稅的方式也從傳統的表格到網路申
請認證申報,尤其今年國稅局更在各媒體上宣導網路申報的好處,製作報稅軟體
光碟免費贈送、網路報稅抽獎、配合HiNet贈送使用時數等各種方式,就是要吸引
民眾使用此管道來完成報稅手續。直至3月31日止,完成網路報稅的民眾也已突
破萬人次,對國稅局而言,此小小的成績算令人欣慰,不過在辦理認證的過程中
,程序繁複,造成許多有心配合政府政策的民眾不小的困擾,如:若非HiNet的使
用者申請認證,得跑中華電信窗口好幾次,既然要跑,乾脆填寫傳統表格算了。
還有贈送的光碟中,內附的二維條碼程式所列印出的稅單申報報表,只能在北區
國稅局使用,中區及南區不接受此報表格式,真可謂「一局兩制」!筆者雖是個
每天活在網路上的人,但也受不了此一擾民程序,決定還是填寫傳統表格報稅,
輕鬆完成此一年度大事。
話說在3月初報稅的時期,接到網路通訊編輯傳來的一篇傳真,希望筆者能提供
些意見,該篇文章是另一名作者所寫有關此次網路報稅安全漏洞的探討,該作者
提出一個很有趣的題目,假設有駭客以假IP冒用使用者,取得其安全憑證資料,
那駭客真的是有如取得銀行金庫鑰匙,可以為所欲為。
【】
民眾使用網路報稅的上網環境不外乎,在家中使用電話撥接至ISP,然後連至GCA
認證中心的網址,此外就是使用公司或公眾區域網路,上線申請。現在我們假設
一位守法納稅的民眾(我們就稱他為小張),在公司透過區域網路連上Internet,到
GCA認證中心的網頁填寫資料,看看其取得憑證鑰匙的過程中會有什麼狀況。
讓我們回到現實世界,Sniffer原本是協助網管人員或程式設計師,分析封包資料
,解決網路Traffic問題的軟體,但用在駭客手中,卻成為最佳入侵工具。如Dan
Farmer與Wietse Venema所設計之SATAN軟體,可以掃瞄電腦系統與網路的安全漏
洞,發現可能遭人入侵的途徑,網管人員可以防堵此一安全弱點,不過對駭客而
言,它是個能搜集偵查目標系統資料,用準備計畫來進行入侵的理想軟體。如果
今天您有Sniffer類的軟體,只要您鎖定特定的IP位址及所要Listen的封包格式,然
後像漁夫般的撒網出去,等待鎖定的目標完成整個填表註冊動作後,您就可以收
網截取到這頁表格的資料。
此外驗證身分過程還可透過HiNet來進行,也就是說若您是HiNet的使用者,那麼
在填了帳號與密碼,GCA中心就會和HiNet連線,進行您的身分確認,在一個工作
天後,便會以E-Mail通知您是否通過身分檢查,如此您就不用跑到中華電信窗口
辦理身分驗證。雖然這是便民的措施,但好玩的漏洞就在這兒,您也可以看到HiNet
的撥接識別碼變數isp_name為abcdefg,密碼isp_passwd為yesismee,電子郵件位址
E-Mail為abcdefg@ms9.hinet.net,而這些封包資料,透過網路傳送給GCA認證中心
的過程,很有可能會被有心人士從中截取,然後駭客就很高興的用您的HiNet帳號
與密碼,準備下次的入侵行動,哪天您突然發現您HiNet的帳單費用高的離譜,這
可不是HiNet記錯帳喔!或者調查局要求您到案說明,為何您的網路帳號侵入某家
銀行系統,造成嚴重破壞,這時您才發現,原來您的網路鑰匙已被人複製一份了
。
那若是在家中使用撥接的用戶上線申請,是否也會遭到竊聽?理論上若您使用
Modem撥接到ISP的Terminal Server,那別擔心會受其他也是撥接用戶的監視,因
為Terminal Server會過濾不該傳出的封包,但從ISP到GCA認證中心這段的線路,
可就不一定囉!假若有人是從ISP或GCA認證中心的網路下手,突破安全系統,
潛伏在這兩段網路節點中攔截,資料同樣的也會落到他人口袋,因此,還是「小
心能駛萬年船」。
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言