民國 95年11月27日 內政部警政署新聞資料 發稿單位:科技犯罪防制中心 ●新聞稿1則 □背景資料 份 □照片 聯 絡 人:組長蘇清偉 ●請立即發佈 □請於95年11月27 日發佈 行動電話: 小心使用P2P軟體,以免你的個人檔案也分享出去 一、承辦單位:科技犯罪防制中心 二、案情摘要: 「Peer to Peer」 是一種網路技術,在大陸稱為「對等聯網」技術,台灣則稱「點對點」技術,國際上通稱為P2P。使用者安裝P2P軟體後,透過P2P技術可以分享網路使用者的部分硬體資源,例如:CPU處理能力、硬碟儲存能力、硬碟空間及網路頻寬等,最廣為運用的功能就是檔案的分享,透過P2P的技術加速資料在網路上的傳送速度。 P2P檔案分享軟體,除了具有版權的電影、歌曲等檔案的重製與分享恐衍生著作權之相關法律問題外,其所造成網路資安的嚴重威脅,可能遠遠超乎我們的想像,有鑑於國內使用P2P軟體的使用者愈來愈多,刑事警察局科技犯罪防制中心與新波科技公司長期深入研究P2P軟體之運作模式,經實際使用各種P2P軟體,透過P2P軟體—FOXY竟能取得部分政府機關之檔案及表單檔案、公司行號之內部檔案(會議紀錄、採購紀錄等)及個人之私密資料(帳號密碼、記帳資料等),這些不應分享於網路上之檔案資料竟置於網路任人下載瀏覽,可見使用P2P軟體確實存有重大資安隱憂。 經分析P2P檔案分享軟體恐造成下列問題: (一)P2P相關檔案,遭放置惡意程式: 這種情況常見於P2P相關程式,有心人士將P2P安裝程式或工具組放置木馬後門程式或病毒蠕蟲後,再將加殼之後的P2P軟體,公佈於公開網站(通常是入口網站與論壇網站),供人下載,若有不知情的民眾下載這些有問題的P2P程式,就會被植入木馬後門或感染病毒蠕蟲。另外,下載影音檔案的內容暗藏木馬後門程式或病毒蠕蟲,P2P軟體BitTorrent工具系列(簡稱BT)就曾經發生駭客將木馬後門程式或病毒蠕蟲包裝成假的影音檔案,再透過torrent描述檔案傳送出去,造成下載的使用者感染惡意程式。 (二)P2P軟體本身的漏洞,造成駭客入侵: 由於P2P軟體的運作相當複雜,也因此產生許多系統漏洞,例如2005年開始,在日本地區因為P2P檔案分享工具「Winny」的漏洞問題,發生嚴重資料外洩與駭客入侵的資安事件,因此造成日本軍方與政府部門機密資料外流的情況,日本政府已經三申五令,嚴格禁止政府部門與大型商社企業使用P2P軟體,不過,Winny蠕蟲感染與後門漏洞所造成的資料外洩情況,一直到2006年底都未見平息,可見用戶端的行為控管非同小可。在國內同樣存在這樣的問題,駭客藉由某P2P的0 day漏洞問題,可分享使用者的所有目錄/檔案,造成個人檔案外洩。 (三)使用P2P軟體時,誤將本機目錄開放共享: P2P使用者操作疏忽時,誤將電腦之本機目錄開放共享,可能導致駭客可以輕易進入被害人(被駭人)電腦,竊取個人隱私檔案或重要資料,例如自拍照片與金融信用卡資料等。因為P2P檔案分享工具與網路芳鄰的目錄分享並不相同,P2P工具的目錄分享並沒有存取身份限制與帳號密碼管理的機制,而網路芳鄰的目錄分享與FTP的檔案存取,皆可以透過使用者自己設定控管權限,目前僅有極少數P2P軟體提供網路存取與身份之控管。 三、為防制P2P軟體所衍生之資安威脅,刑事警察局科技犯罪防制中心特別呼籲政府機關、公司及網路使用者小心使用P2P軟體,並提供以下防製作為: (一)辦公室應嚴禁使用P2P軟體工具,避免駭客有入侵的可能機會,在辦公室以外之場所,勿使用公務用之筆記型電腦下載P2P檔案,以免不慎遭駭客入侵後,擴散至辦公室網路之其他電腦。 (二)下載任何工具軟體,應該從原廠官方(Official)網站取得,切勿從入口網站或是論壇網站下載,避免下載有惡意程式的P2P軟體工具組。 (三)使用P2P工具時,應縮短暴露在網際網路的時間,下載完畢後,應該立即停止執行P2P程式,避免駭客透過P2P工具攻擊。