防駭客竊個資，網路瀏覽補漏洞

pgup

2008-07-10 中國時報 【鍾玉玨?綜合九日外電報導】

    　電腦軟體公司目前正加緊腳步，修補存在於網際網路ＤＮＳ（網域名稱系統）的重大漏洞。這個漏洞能讓駭客進行網路釣魚，竊取用戶的銀行帳號、密碼等機密資訊。若想了解自己電腦是否潛藏ＤＮＳ漏洞，可上www.doxpara.com，並隨時更新ＯＳ（作業系統）程式。

    　ＤＮＳ漏洞是指使用者在瀏覽器輸入網址後，駭客能把使用者導引至偽造的銀行或信用卡公司網頁，竊取客戶輸入的帳號、密碼等個人資訊。不管用戶輸入的網址是什麼，駭客都可利用這一漏洞將其誘引到特定網頁，進行「網路釣魚」。

    　ＤＮＳ伺服器的功能是把文字表示的網址（如www.chinatimes.com.tw）轉譯為數字型的網際網路協定（IP）位址。提供轉譯服務的ＤＮＳ伺服器設置在全世界，形成無國界的網路世界。

    　安全顧問公司Securosis分析師莫古爾（Rich Mogul）稱：「若不修復這一漏洞，網際網路仍會存在，但已不再是你想要的網際網路，而是駭客主宰一切的虛擬世界。」

    　網路安全產品和服務供應商IOActive研究員卡明斯基（Dan Kaminsky）大約六個月前無意間發現ＤＮＳ這一漏洞，並與微軟、昇陽和思科等業內巨頭取得聯繫，祕密研商解決方案。

    　每台與網際網路相連的電腦都使用ＤＮＳ系統，其原理類似電話系統將來電接入特定電話號碼。若某個ＤＮＳ伺服器的暫存區（cache）資訊被修改，則入侵者可將某個欲連至正常網站的連線，重新導引至另一個由駭客所控制的網站。

    　修補程式昨天同時發表於所有電腦軟體平台，但技術方面的細節要保密至下個月，讓銀行等公司行號有時間完成電腦更新，以免駭客捷足先登，反向研究如何利用ＤＮＳ漏洞，進行惡搞或詐騙。個人用戶可透過ＯＳ自動更新功能，下載修補程式。

    　卡明斯基說，這次的合作規模之大前所未見。他同時提醒美國國家安全單位提高警覺，檢查資訊戰的防禦是否出現裂縫。