2007-11-06
【台灣電腦網路危機處理中心通訊 第108期 2007/10】
-----BEGIN PGP SIGNED MESSAGE-----
===============================================================================
感謝您訂閱本刊物,本刊物是由台灣電腦網路危機處理暨協調中心製作出版,著作權
屬本中心。我們歡迎以電子郵件方式傳遞本刊物,或將本刊物放上如電子佈告欄及群體討
論區等公開網路媒體。如要作任何其他形式之部分或全文轉載之前,則須事先取得本中心
之書面授權。若您有相關的文章要本中心為您刊登,我們非常歡迎,請將內容寄給
twcert@cert.org.tw,我們會盡快處理,並在近期內登出。
本通訊在 http://www.cert.org.tw/document/newsletter 上同步發表,歡迎上網閱讀。
===============================================================================
【台灣電腦網路危機處理中心通訊 第108期 2007/10】
■ 資安消息 》
◎ 10 月份 Microsoft 安全性公告摘要
2007年10月份Microsoft安全性公告摘要請參閱 Microsoft 網站
http://www.microsoft.com/taiwan/technet/security/bulletin/ms07-oct.mspx
並請 Microsoft 用戶儘速更新,以確保系統安全。
◎ 郵寄罰單沒信封 個人資料全都露
交通部郵寄罰單,卻傳出個人資料在郵寄過程中未受到應有的隱私保護情事,使得個人資料
會被經手的人員所窺探。估計全台每年數萬件的違反汽機車投保強制險罰單、催繳汽、燃料
稅罰單,都是以列印表單直接寄發,包括身分證字號等個資都直接地公布在上頭,對受件人
的人身資料形成莫大的侵害,間接的可能造成治安上的漏洞。
公路總局將要求未來寄發必須塗去部份個人資料。
◎ 網路詐騙新手法 假買家附件 夾帶木馬程式
網路拍賣活動涉及金錢交易,也被詐騙集團看上,成為詐取財物的管道之一。從早期付了錢
卻收不到東西,到劫標信、買空賣空詐騙,到現在透過釣魚網頁植入木馬,盜取帳號密碼,
詐騙集團利用網拍平台的手法日新月異,提醒用戶多加小心,並留意帳號密碼及個人資料外
洩。
■ 電腦網路安全通報 》
•TW-CA-2007-104-[TA07-282A: Microsoft Updates for Multiple Vulnerabilities
Precedence: list]
•TW-CA-2007-103-[FreeBSD-SA-07:08.openssl: Buffer overflow in OpenSSL
SSL_get_shared_ciphers()]
FreeBSD-SA-06:23.openssl 上的緩衝區溢位弱點沒有正確修正。
•TW-CA-2007-102-[RHSA-2007:0323-01: Important: xen security update]
目前已可取得 Red Hat Enterprise Linux 5 更新的 Xen 套件以修正許多安全
問題。
Red Hat 安全應變小組已將此項更新列為具嚴重安全影響。
•TW-CA-2007-101-[RHSA-2007:0951-01: Important: nfs-utils-lib security update]
Red Hat Enterprise Linux 5 更新的 nfs-utils-lib 套件可修正兩個安全弱點。
Red Hat 安全應變小組已將此項更新列為具嚴重安全影響。
•TW-CA-2007-100-[RHSA-2007:0936-01: Important: kernel security update]
更新的 kernel 套件修正在 Red Hat Enterprise Linux 5 kernel 的安全問題。
Red Hat 安全應變小組將本篇公告列為具有安全重大影響。
•TW-CA-2007-099-[RHSA-2007:0845-02: Important: libvorbis security update]
目前已可取得 Red Hat Enterprise Linux 4 Extras 和 5 更新的 libvorbis 套件以修
正多個安全問題。
Red Hat 安全應變小組已將此項更新列為具嚴重安全影響。
•TW-CA-2007-098-[RHSA-2007:0913-01: Important: nfs-utils-lib security update]
目前已可取得更新的 nfs-utils-lib 套件修正緩衝區溢位的弱點。
Red Hat 安全應變小組已經此項更新列為具嚴重安全影響。
*** 詳細內容請參閱本中心網站 http://www.cert.org.tw/document/advisory/ ***
===============================================================================
*************
《本期專欄》
*************
■ 國內垃圾郵件防治探討
伴隨著網際網路的普及化,電子郵件成為一個重要的主流應用,但是伴隨而來的垃圾郵
件(Spam mail)威脅也愈益猖獗,光在2006年11月,全球垃圾郵件就高達76億封,佔了全球
電子郵件總量的 91%,垃圾郵件海嘯席捲全球,根據 Sophos 防毒軟體公司發佈的「2007安
全威脅報告」調查顯示,台灣垃圾郵件發送量於全球排名高居第七名,在全球十個主要垃圾
電子郵件來源國中,美國是最大來源國,約佔所有垃圾電子郵件的34%,其次是中國(包括
香港)3%,台灣高居第七,約佔 2%。來自這十個國家垃圾電子郵件的總和,就已高達所有
垃圾電子郵件的八成。經統計,在所有 spam 類型中,健康及醫療相關(主要涵蓋減肥藥品
、成長激素等)比例即佔了過半,金融財務商品廣告佔了約四分之ㄧ,與情色腥羶廣告為主
要三大 spam 種類,圖像式垃圾郵件(Image Spam)仍然是當前盛行的主要攻擊手法之一,將
垃圾文字嵌入經加工處理的圖像內,一方面避過傳統的電郵關鍵字眼過濾系統,同時也規避
光學認字過濾方法。
根據行政院研考會2006年12月5日公布的調查顯示,過去1個月內曾收發 e-mail 的使用
者中,平均每人每天收到23.3封垃圾郵件,其中每5人就有1人每天收到50封以上垃圾信。過
去1個月曾收發e-mail的網路族當中, 有53.9%的人1天可收到10封以上的垃圾郵件,其中每天
收到50封以上的更達19.1%,平均每人每天收到23.3封。而調查過程中,有超過9成網路族贊
成政府制定法律管理垃圾郵件。然而目前國內尚無垃圾郵件防治條例的正式立法,僅能由「
電腦處理個人資料保護法」等條例規範對於個人資料的惡意不當利用之行為,卻無法完整有
效地解決垃圾郵件的問題。
2004年10月交通部將「濫發商業電子郵件管理條例草案」函請行政院審議。並於2005年
1月19日提報行政院院會完成最後審議。草案規範重心在管制不當傳輸行為,目前一般所稱的
垃圾郵件問題,可能涉及的法律規範,除了不當傳輸行為外,還包括不正利益之獲得且對於
他人財產權的侵害或危害、不實廣告、個人資料不當蒐集與利用等等。本草案師法美國立法
方式,採取收件者 opt-out 方式,規定對於濫發垃圾郵件者採取民事賠償,受害者可以每封
500元至2000元的賠償金額向其求償,同一事件最高可獲2,000萬元,且消費者團體也將設置
常設組織來處理受害者的集體訴訟,藉以解決垃圾郵件問題。對於跨國垃圾郵件問題,草案
也賦予主管機關就相關業務之執行,與國際機關進行交流的權利及義務以因應這個挑戰。然
而由於朝野對於法案規範尚有歧見(如垃圾郵件與行銷廣告定義、手機簡訊濫發問題是否應納
入規範),並且須考量處罰條例與跨國性問題等需求,暫擱緩草案審查。由於立法進度緩慢,
且該草案並未賦予主管機關罰責懲戒,受害人僅能循民事求償與團體訴訟途徑,在管理垃圾
郵件上助益不大,加上約束力不高,因此 NCC 考慮撤回修改該草案,除賦予行政機關檢查垃
圾信發信來源權力外,並將對違法業者施以撤照或停照處罰,如果危害公共利益與安全,將
依照刑法移送法辦,納入相關刑責。NCC 底下增設「濫發商業電子郵件處理管理科」負責研
究策劃相關法令事務。在正式法令擬訂通過以前,仍有待各 ISP 業者與網管人員加強 spam
規範與防治,以提升網路品質。
病毒、網路詐騙與垃圾郵件等資安問題逐漸受到重視,ISP 業者與中華民國消費者協會
於2000年8月共組『反垃圾郵件聯盟』,其成立的宗旨主要是認為消費者應有選擇接受網路上
的垃圾郵件與否的權利,網路資源及網路隱私權應受充分尊重。另外,由產官學各界的專家
顧問於2004年9月23日共同推動成立「ASRC 亞太垃圾信研究中心」,形成跨界合作的反垃圾
郵件自救行動,這些聯盟組織的成立代表業者與人民對於垃圾郵件防治意識的凝結與自發力
量,期許結合所有網路上的消費者、網站經營者、網路服務提供者團結起來共對抗網路上的
垃圾郵件,以提昇網際網路的品質。TWCERT/CC 於2003年底所簽署首爾-莫爾本反垃圾郵件共
同協定,與澳洲、中國大陸、香港、日本、韓國、馬來西亞、紐西蘭、菲律賓與泰國的等十
個國家共十一個電信組織機構合作,交流垃圾郵件解決方案與技術,以共同抵制垃圾郵件的
氾濫。
台灣網際網路協會於2004年2月成立「反垃圾郵件推動委員會」,由中華電信李炎松副總
經理擔任召集人,會員包括國內各大ISP(Hinet, Seednet, APOL, Giga, TTN, Sparq, So-net
等),以因應行政院消費者保護委員會要求各 ISP「結合業界自律力量消弭垃圾電子郵件之不
當發送行為,共同維護網路資源之正當利用,確保網際網路通訊之正常發展」,採取以下措
施以有效防杜日漸氾濫的垃圾郵件:
1.建立 ISP 間電子郵件系統技術聯絡人資料,以加強 ISP 之交流與聯繫,加速異常大量郵
件流量之檢舉與處理
2.共同建立台灣RBL(Realtime Blackhole List)資料庫,以阻攔垃圾郵件寄件者
3.採行拒絕接收動態IP架設郵件伺服器直接寄送之信件(因多為發送廣告信且不易追查)
4.與國外相關組織合作,解決跨國垃圾郵件問題
5.推動制定「垃圾郵件管理法」
鑒於垃圾信件的危害日趨嚴重,國際電信聯盟(International Telecommunications
Union)在2006年3月8日呼籲各國應該透過強制性的立法,要求 ISP 採取具體行動打擊 spam,
立法建議包括要求網路服務商制定顧客行為規範,以及阻斷垃圾郵件寄發者(spammer)的電子
郵件收發權限。各國管制者應透過法律要求網路服務商和顧客簽定具強制約束性的行為規範,
由 ISP 自行擬定行為規範,再由電信管制機構審核實施。如果網路服務商違反行為規範,將
由管制者決定採取何種措施,以貫徹強制規範。
藉由政府與民間企業組織在反制垃圾郵件的技術發展與資訊安全意識推動,可提升台灣對
防制垃圾郵件的能力,並具體落實國際資安接軌工作,讓世界各國了解台灣在反制垃圾郵件上
的努力與成果,也期許能藉由多方參與國際性活動精確掌握國際網路安全發展的最新技術與趨
勢,以提升台灣優質的網路環境。
-----BEGIN PGP SIGNATURE-----
Version: PGP 7.0.4
iQEVAwUBRy/jeqcyQYefg2/NAQEMqAf8CCW/kWREH6o3mRJ6gMCOUS9iSXoc0lMm
61VoVc8adPhhsZOb5RhoxKzw04gu+eT/qeUa94LSEYCXQfvyTdMJi6MGzcE2VqLK
kJU3bfWPcIs4mK4pmX9qESMCJOvy+xweY1shX3f2zIBtijJiPMm+ptwUMz0cBL6q
9WFkJcLILVAAyB6TyFqeEDB0IT0b1Itp+jJSISRyqF/WU4cLEEKScvJuxQqYCkXD
kzuwS79D+AJSNJRb1PXj7uJ4ZG0Lyk0uU+YJGGfyp5crCtZzKc0A5sNausAhcFBF
xrDy4DO90+J2NENFo0XQnMob4BFkUYjxGuwxrm1L2PwIgDX3z9/EBg==
=d1zg
-----END PGP SIGNATURE-----
--
[垃圾桶] 裡沒有會話群組。 當您有 2000 MB 以上的儲存空間時,誰還需要刪除郵件?!
訂閱:
張貼留言 (Atom)
沒有留言:
張貼留言