偵九隊查獲Google Hack少年駭客

所謂Google Hack入侵手法，指的是利用搜尋引擎的進階搜尋字串，找到企業網站的關鍵資訊，因為技術門檻低，讓許多學習中的少年駭客，藉此練習入侵網站的功力。

內政部警政署刑事警察局偵九隊，日前查獲4名在學青少年駭客，利用Google Hack駭客手法，入侵國內10多個單位。偵九隊表示，這些少年駭客透過即時通訊或網路聊天室，分享企業主機或網站漏洞。 偵九隊3組副組長高大宇表示，這些少年駭客都是利用各種中國網站或論壇，學習駭客手法並取得相關入侵工具，並不是真正瞭解網路和入侵相關的原理原則，頂多 只是學會用入侵工具的初學者，也有人稱之為Kids Script。此次4名少年駭客入侵的10多個網站，以資安管控較為鬆散的高中學校為大宗，其中並有一個是財團法人組織。他指出，這些少年駭客所使用的主 要是Google Hack的入侵手法。 所謂Google Hack入侵手法，指的是利用搜尋引擎的進階搜尋字串，找到企業網站的關鍵資訊。數聯資安研發處副總經理張裕敏表示，目前Google Hack入侵手法得以成功，追根究底，原因往往出現在許多網頁程式寫法出現問題，才讓懂門道的人，可以利用搜尋引擎，找到網站設定檔（config）外， 也可以利用鍵入內部網址、或者是搜尋網站目錄、檔案類型等方式找到包含網站伺服器檔案、帳號、密碼、管理介面等資料。目前這類關鍵字超過1000種，而日 前在國外已經傳出類似的案例。 Google搜尋出的網頁已超過80億筆，各式各樣的資料都有機會被找到，甚至可利用滑鼠複製、貼上加上搜尋引擎的功能，完成網站的入侵。日前在第2屆臺灣駭客年會上，技服中心示範的滲透測試中，也包含這樣的手法在內。 因為Google Hack技術門檻低，讓許多學習中的少年駭客，藉此練習入侵網站的功力。高大宇表示，目前有許多網站管理員在系統初始設定上，包含程式碼檢驗、組態設定瑕 疵等，因沒有經過細部調校，讓許多應該採用最小權限管理原則的網站管理員，往往因為貪圖使用便利性，也間接造成網站門戶洞開，讓駭客Google Hack演練案例也隨之增多。 高大宇說，這4名少年駭客主要透過公布漏洞、植入木馬、掃瞄盜檔以及盜取檔案的方式，入侵國內主機；他們以不同管道取得這些主機的安全漏洞後，先 後存取受駭主機的儲存資料庫的檔案、帳號和密碼等機密資料，這些行為已經觸犯刑法妨害電腦使用罪，受駭單位也已經針對這4名少年駭客提出告訴。 雖然駭客學習管道和演練機會增多，不過，高大宇說，在刑事鑑識上，萬物只要相互接觸，都一定會留下各種微物跡證，在網路上，只要有連線，就會留下各種IP位址，警方只需要循線追緝，就可以找到為非作歹的人。 此次得以逮到這4名駭客，主要是經過受駭單位報案聯繫後，警方指導相關的蒐證方式，其中多筆異常登入紀錄，經過警方長時間的解析，發現駭客利用系 統漏洞進行各家主機的入侵。他說，警方循線追查後發現，雖然這些主機入侵來自中國、愛爾蘭、加拿大等不同國家，而其中來自臺灣的入侵紀錄經過分析，查到是 其中一名少年駭客將所知的主機漏洞公布，讓其他網友察看或使用。也因為如此，警方才能查到這4名少年駭客的犯行。 臺灣有許多網站的網頁程式撰寫，並未符合某些資安規則，進而造成系統漏洞。高大宇認為，這類Google Hack手法對於缺乏專職IT人員的中小企業，危害相當大。文⊙黃彥棻