誰還需要愛情？

　　（一）今（94）年6月刑事局偵九隊接獲某政府機關報案表示，其電腦主機系統遭駭客入侵篡改其管制區之遊客登島資料，經檢視該系統網頁發現網頁登載之電腦隨機核准名冊被塗改，約三、四百名旅客資料遭篡改，造成業務運作失真，影響甚鉅，訴請該局偵辦。由於受害單位所處地點敏感，部分範圍仍屬軍事管制區及未開放區域不得進入，故獲行政院（資安會報）及該局侯局長對本案高度重視與關切，特別指示偵九隊務必於最短時間內破案，以有效遏止網路駭客行徑，維護網路治安及公平秩序，該局查獲許嫌利用軟體程式漏洞方式侵入政府機關網站刪除部分資料，並未經該政府機關同意偽冒官署名義核發電子郵件之通告函取消部分經核准之旅遊團體。（二）案經刑事局偵查人員追查後竟發現涉案許女僅高中學歷，電腦知識亦屬一般，並非電腦專業人員，卻能運用一般常人的臆測思維，發現網站系統漏洞，進而多次成功偽冒網站管理權限身分作些未經授權的管理動作。由此顯見，資訊安全領域的程式軟體安全問題應該更獲重視，方能有效保障網路網站資料的安全問題。另許女到案後表示，會侵入政府機關網站系統，純粹只為打抱不平，才會利運用系統功能漏洞疏失，取消不合理之申請團體取消，她也未因此獲取任何利益。（三）復據許嫌表示：她的犯案動機係因尋系統漏洞瀏覽各申請資料後，發現每個禮拜假日申請通過的都是固定那幾團領隊與隊員，本想制止而已才發通告函給那些申請人，後來發現大肆申請情況依舊，每個假日晚上八點半起某個團體都固定申請三、四千名遊客名額並獲核准。為打抱不平，維護網路乾淨，於是用網頁系統功能取消這些申請人，並針對該申請登島遊客名冊相同於今年度已核准通過，卻再申請的團體一共取消近十團，其中，業已核可的有三團，每團旅客人數約四、五十人。至於偽冒官署名義寄發偽造通告函係因起初發現申請不公時，曾以個人之郵件發信給有壟斷之疑的申請者，卻完全沒有遏止作用，後來才會出此下策。殊不知此等行為已觸犯刑法妨害電腦使用與偽造文書罪，和其好友談及此事才恍然大悟自己已犯下大錯，雖早已準備好道歉信函，卻在猶豫尚未寄出之際，便遭警方搜索約談，警訊過程中，許女顯得對自己的魯莽衝動的行為懊悔不已。（四）查該網路申請系統係採網路方式受理民眾申請登島旅遊，登島前20天至前3天系統接受申請，申請後隔天即可查詢是否申請核准之結果，若因申請人數眾多，超過總量管制(平日350人，假日450人)時，由系統自動隨機抽籤，系統並會自動以發送登島許可通知電子郵件給申請核准之民眾。經刑事局偵九隊交叉核對偽造郵件並調閱相關資料後發現為許女特別以偽造該處核發之文件，以負責官署名義寄發申請民眾，取消其登島核可或申請資料，因而偵破本案。[補充資料]事件分析（一）軟體安全的危機在許多高科技產品不斷推出的背後，可發現資訊科技工業的發展均著重於軟硬體設計的功能面與實用性。在軟體設計的實際運用方面，則隨使用者需求而有多元化的應用，由於軟體設計的成本較硬體低，加上開發經過與成果品質，常隨使用者需求及設計者的功力而有所不同，形成品質落差的結果，也促使欠缺安全考量的軟體安全，日漸成為新一波的資訊產業潛在危機，本案的發生原因便在於軟體安全性的欠缺考量。這樣的安全漏洞對於與軟體程式本身相關連的資料而言，便會是一種危機。傳統軟體危機指的是系統軟體製作過程的生產力低、成本高及品質低落等問題，但在軟體運用與網際網路服務相繼結合之際，卻衍生出一些來自外部網路的未授權登入問題，進而產生資訊安全方面的憂慮。從近年國內外不斷出現軟體資訊安全危害事件，便存在各種不同型態的軟體安全漏洞，類似本案例應供大家引以為戒。（二）應用程式的問題對一般管理多台不同系統的系統管理者而言，想跟上最新發表的系統漏洞並執行修補程式（Hotfix或Patch），是件十分沈重的工作。因多數管理者負擔太多的雜務，除維修機器、簽呈公文、設計程式或解決資訊疑難雜症外，尚得應付企業內外各項紛擾工作，實很難有時間自我充實，也不會有資訊部門主管會對未出現資訊安全入侵發生的系統管理員提出讚許。一般企業主管，早已將「沒有問題」視為理所當然，自然「相信」系統不會被入侵，也不信有人會突破網路防火牆或入侵偵測系統。然現實尚存許多資安問題與本身開放使用的應用程式相關，而與採購套裝防護商品無關。應用程式出現問題常直接影響其資料儲存的安全，若該資料為網路下單帳號密碼、銀行帳號密碼、客戶基本資料或其他重要資訊內容，其可能產生的損害便因案而易。（三）優質程式的需求不良程式碼可從「功能性」及「安全性」兩方面探討，功能性的加強改善工作往往會獲得重視；而安全性的改善需求，卻因執行者的認知有限而不易獲致良好效果。在軟體生命週期中，不斷地檢視軟體是否含有不良程式碼，已漸成重要系統設計過程的必要工作，其中分析程式碼細節的安全技術更是艱澀，但事前有計畫地防堵才能降低爾後發生不法入侵破壞的機率。當系統軟體中有不良的程式碼被加入，易成為資訊安全的內在隱憂，由於大系統的複雜性往往讓使用者不易窺得相關漏洞，因此越是複雜的系統越難分析其問題，更遑論阻止系統被入侵。此外「越被廣泛使用的軟體，越易成為被入侵攻擊的目標」一旦廣泛使用的軟體被發現新的漏洞攻擊方法，知悉者便可輕易光顧網路上其他電腦主機進行侵入工作，並在成功侵入的同時，享受短暫分享他人秘密的竊喜心情。（四）軟體安全的負擔對資訊工作人員而言，注重軟體本身的安全不僅是沈重的負擔，也是件十分艱難的事。知悉軟體功能據以設計是一回事，但設計完美安全無虞的軟體卻又是另一回事，甚至可能是個無法完成的任務—根本不知道有誰會用設計者想也沒想過的方式滲透侵入。一般僅能就現有的已知弱點做其迴避改善，如避免網站主機的動態網頁程式可讓遠端電腦主機的檔案執行，且應檢查網站主機執行檔案的來源路徑等；對未知部分只能消極祈禱—不會出現。再者，設計者未必願意花心思在改良軟體的安全性，因為花再多的努力也不會有人感激，或讓使用者感受到設計者在軟體安全上的努力成果，而個別安全問題往往只有在安全事件發生後，才會被注意改善轉載自：http://www.cib.gov.tw/
徵信社,徵信