又到了報稅的日子，隨著電腦科技的進步，報稅的方式也從傳統的表格到網路申 請認證申報，尤其今年國稅局更在各媒體上宣導網路申報的好處，製作報稅軟體 光碟免費贈送、網路報稅抽獎、配合HiNet贈送使用時數等各種方式，就是要吸引 民眾使用此管道來完成報稅手續。直至3月31日止，完成網路報稅的民眾也已突 破萬人次，對國稅局而言，此小小的成績算令人欣慰，不過在辦理認證的過程中 ，程序繁複，造成許多有心配合政府政策的民眾不小的困擾，如：若非HiNet的使 用者申請認證，得跑中華電信窗口好幾次，既然要跑，乾脆填寫傳統表格算了。 還有贈送的光碟中，內附的二維條碼程式所列印出的稅單申報報表，只能在北區 國稅局使用，中區及南區不接受此報表格式，真可謂「一局兩制」！筆者雖是個 每天活在網路上的人，但也受不了此一擾民程序，決定還是填寫傳統表格報稅， 輕鬆完成此一年度大事。 話說在3月初報稅的時期，接到網路通訊編輯傳來的一篇傳真，希望筆者能提供 些意見，該篇文章是另一名作者所寫有關此次網路報稅安全漏洞的探討，該作者 提出一個很有趣的題目，假設有駭客以假IP冒用使用者，取得其安全憑證資料， 那駭客真的是有如取得銀行金庫鑰匙，可以為所欲為。 【】 民眾使用網路報稅的上網環境不外乎，在家中使用電話撥接至ISP，然後連至GCA 認證中心的網址，此外就是使用公司或公眾區域網路，上線申請。現在我們假設 一位守法納稅的民眾(我們就稱他為小張)，在公司透過區域網路連上Internet，到 GCA認證中心的網頁填寫資料，看看其取得憑證鑰匙的過程中會有什麼狀況。 讓我們回到現實世界，Sniffer原本是協助網管人員或程式設計師，分析封包資料 ，解決網路Traffic問題的軟體，但用在駭客手中，卻成為最佳入侵工具。如Dan Farmer與Wietse Venema所設計之SATAN軟體，可以掃瞄電腦系統與網路的安全漏 洞，發現可能遭人入侵的途徑，網管人員可以防堵此一安全弱點，不過對駭客而 言，它是個能搜集偵查目標系統資料，用準備計畫來進行入侵的理想軟體。如果 今天您有Sniffer類的軟體，只要您鎖定特定的IP位址及所要Listen的封包格式，然 後像漁夫般的撒網出去，等待鎖定的目標完成整個填表註冊動作後，您就可以收 網截取到這頁表格的資料。 此外驗證身分過程還可透過HiNet來進行，也就是說若您是HiNet的使用者，那麼 在填了帳號與密碼，GCA中心就會和HiNet連線，進行您的身分確認，在一個工作 天後，便會以E-Mail通知您是否通過身分檢查，如此您就不用跑到中華電信窗口 辦理身分驗證。雖然這是便民的措施，但好玩的漏洞就在這兒，您也可以看到HiNet 的撥接識別碼變數isp_name為abcdefg，密碼isp_passwd為yesismee，電子郵件位址 E-Mail為abcdefg@ms9.hinet.net，而這些封包資料，透過網路傳送給GCA認證中心 的過程，很有可能會被有心人士從中截取，然後駭客就很高興的用您的HiNet帳號 與密碼，準備下次的入侵行動，哪天您突然發現您HiNet的帳單費用高的離譜，這 可不是HiNet記錯帳喔！或者調查局要求您到案說明，為何您的網路帳號侵入某家 銀行系統，造成嚴重破壞，這時您才發現，原來您的網路鑰匙已被人複製一份了 。 那若是在家中使用撥接的用戶上線申請，是否也會遭到竊聽？理論上若您使用 Modem撥接到ISP的Terminal Server，那別擔心會受其他也是撥接用戶的監視，因 為Terminal Server會過濾不該傳出的封包，但從ISP到GCA認證中心這段的線路， 可就不一定囉！假若有人是從ISP或GCA認證中心的網路下手，突破安全系統， 潛伏在這兩段網路節點中攔截，資料同樣的也會落到他人口袋，因此，還是「小 心能駛萬年船」。

又到了報稅的日子，隨著電腦科技的進步，報稅的方式也從傳統的表格到網路申 請認證申報，尤其今年國稅局更在各媒體上宣導網路申報的好處，製作報稅軟體 光碟免費贈送、網路報稅抽獎、配合HiNet贈送使用時數等各種方式，就是要吸引 民眾使用此管道來完成報稅手續。直至3月31日止，完成網路報稅的民眾也已突 破萬人次，對國稅局而言，此小小的成績算令人欣慰，不過在辦理認證的過程中 ，程序繁複，造成許多有心配合政府政策的民眾不小的困擾，如：若非HiNet的使 用者申請認證，得跑中華電信窗口好幾次，既然要跑，乾脆填寫傳統表格算了。 還有贈送的光碟中，內附的二維條碼程式所列印出的稅單申報報表，只能在北區 國稅局使用，中區及南區不接受此報表格式，真可謂「一局兩制」！筆者雖是個 每天活在網路上的人，但也受不了此一擾民程序，決定還是填寫傳統表格報稅， 輕鬆完成此一年度大事。 話說在3月初報稅的時期，接到網路通訊編輯傳來的一篇傳真，希望筆者能提供 些意見，該篇文章是另一名作者所寫有關此次網路報稅安全漏洞的探討，該作者 提出一個很有趣的題目，假設有駭客以假IP冒用使用者，取得其安全憑證資料， 那駭客真的是有如取得銀行金庫鑰匙，可以為所欲為。 【】 民眾使用網路報稅的上網環境不外乎，在家中使用電話撥接至ISP，然後連至GCA 認證中心的網址，此外就是使用公司或公眾區域網路，上線申請。現在我們假設 一位守法納稅的民眾(我們就稱他為小張)，在公司透過區域網路連上Internet，到 GCA認證中心的網頁填寫資料，看看其取得憑證鑰匙的過程中會有什麼狀況。 讓我們回到現實世界，Sniffer原本是協助網管人員或程式設計師，分析封包資料 ，解決網路Traffic問題的軟體，但用在駭客手中，卻成為最佳入侵工具。如Dan Farmer與Wietse Venema所設計之SATAN軟體，可以掃瞄電腦系統與網路的安全漏 洞，發現可能遭人入侵的途徑，網管人員可以防堵此一安全弱點，不過對駭客而 言，它是個能搜集偵查目標系統資料，用準備計畫來進行入侵的理想軟體。如果 今天您有Sniffer類的軟體，只要您鎖定特定的IP位址及所要Listen的封包格式，然 後像漁夫般的撒網出去，等待鎖定的目標完成整個填表註冊動作後，您就可以收 網截取到這頁表格的資料。 此外驗證身分過程還可透過HiNet來進行，也就是說若您是HiNet的使用者，那麼 在填了帳號與密碼，GCA中心就會和HiNet連線，進行您的身分確認，在一個工作 天後，便會以E-Mail通知您是否通過身分檢查，如此您就不用跑到中華電信窗口 辦理身分驗證。雖然這是便民的措施，但好玩的漏洞就在這兒，您也可以看到HiNet 的撥接識別碼變數isp_name為abcdefg，密碼isp_passwd為yesismee，電子郵件位址 E-Mail為abcdefg@ms9.hinet.net，而這些封包資料，透過網路傳送給GCA認證中心 的過程，很有可能會被有心人士從中截取，然後駭客就很高興的用您的HiNet帳號 與密碼，準備下次的入侵行動，哪天您突然發現您HiNet的帳單費用高的離譜，這 可不是HiNet記錯帳喔！或者調查局要求您到案說明，為何您的網路帳號侵入某家 銀行系統，造成嚴重破壞，這時您才發現，原來您的網路鑰匙已被人複製一份了 。 那若是在家中使用撥接的用戶上線申請，是否也會遭到竊聽？理論上若您使用 Modem撥接到ISP的Terminal Server，那別擔心會受其他也是撥接用戶的監視，因 為Terminal Server會過濾不該傳出的封包，但從ISP到GCA認證中心這段的線路， 可就不一定囉！假若有人是從ISP或GCA認證中心的網路下手，突破安全系統， 潛伏在這兩段網路節點中攔截，資料同樣的也會落到他人口袋，因此，還是「小 心能駛萬年船」。