2007年11月20日

偵九隊查獲Google Hack少年駭客

所謂Google Hack入侵手法,指的是利用搜尋引擎的進階搜尋字串,找到企業網站的關鍵資訊,因為技術門檻低,讓許多學習中的少年駭客,藉此練習入侵網站的功力。


內政部警政署刑事警察局偵九隊,日前查獲4名在學青少年駭客,利用Google Hack駭客手法,入侵國內10多個單位。偵九隊表示,這些少年駭客透過即時通訊或網路聊天室,分享企業主機或網站漏洞。

偵九隊3組副組長高大宇表示,這些少年駭客都是利用各種中國網站或論壇,學習駭客手法並取得相關入侵工具,並不是真正瞭解網路和入侵相關的原理原則,頂多 只是學會用入侵工具的初學者,也有人稱之為Kids Script。此次4名少年駭客入侵的10多個網站,以資安管控較為鬆散的高中學校為大宗,其中並有一個是財團法人組織。他指出,這些少年駭客所使用的主 要是Google Hack的入侵手法。

所謂Google Hack入侵手法,指的是利用搜尋引擎的進階搜尋字串,找到企業網站的關鍵資訊。數聯資安研發處副總經理張裕敏表示,目前Google Hack入侵手法得以成功,追根究底,原因往往出現在許多網頁程式寫法出現問題,才讓懂門道的人,可以利用搜尋引擎,找到網站設定檔(config)外, 也可以利用鍵入內部網址、或者是搜尋網站目錄、檔案類型等方式找到包含網站伺服器檔案、帳號、密碼、管理介面等資料。目前這類關鍵字超過1000種,而日 前在國外已經傳出類似的案例。

Google搜尋出的網頁已超過80億筆,各式各樣的資料都有機會被找到,甚至可利用滑鼠複製、貼上加上搜尋引擎的功能,完成網站的入侵。日前在第2屆臺灣駭客年會上,技服中心示範的滲透測試中,也包含這樣的手法在內。

因為Google Hack技術門檻低,讓許多學習中的少年駭客,藉此練習入侵網站的功力。高大宇表示,目前有許多網站管理員在系統初始設定上,包含程式碼檢驗、組態設定瑕 疵等,因沒有經過細部調校,讓許多應該採用最小權限管理原則的網站管理員,往往因為貪圖使用便利性,也間接造成網站門戶洞開,讓駭客Google Hack演練案例也隨之增多。

高大宇說,這4名少年駭客主要透過公布漏洞、植入木馬、掃瞄盜檔以及盜取檔案的方式,入侵國內主機;他們以不同管道取得這些主機的安全漏洞後,先 後存取受駭主機的儲存資料庫的檔案、帳號和密碼等機密資料,這些行為已經觸犯刑法妨害電腦使用罪,受駭單位也已經針對這4名少年駭客提出告訴。

雖然駭客學習管道和演練機會增多,不過,高大宇說,在刑事鑑識上,萬物只要相互接觸,都一定會留下各種微物跡證,在網路上,只要有連線,就會留下各種IP位址,警方只需要循線追緝,就可以找到為非作歹的人。

此次得以逮到這4名駭客,主要是經過受駭單位報案聯繫後,警方指導相關的蒐證方式,其中多筆異常登入紀錄,經過警方長時間的解析,發現駭客利用系 統漏洞進行各家主機的入侵。他說,警方循線追查後發現,雖然這些主機入侵來自中國、愛爾蘭、加拿大等不同國家,而其中來自臺灣的入侵紀錄經過分析,查到是 其中一名少年駭客將所知的主機漏洞公布,讓其他網友察看或使用。也因為如此,警方才能查到這4名少年駭客的犯行。

臺灣有許多網站的網頁程式撰寫,並未符合某些資安規則,進而造成系統漏洞。高大宇認為,這類Google Hack手法對於缺乏專職IT人員的中小企業,危害相當大。文⊙黃彥棻