交大说明诺贝尔网站被骇事件的初步调查
文/苏文彬 (记者) 2010-10-29
   
因骇客已删除相当Log纪录，交大尝试复原硬碟中的资料，按线索追查骇客身份与入侵来源，希望能对外澄清。

对于诺贝尔网站遭到来自交通大学学术网路IP的攻击，交大初步调查指出，骇客是以较少使用的学士服租用系统的IP位址当跳板，目前正追查入侵来源希望能揪出骇客外，明年也计画以虚拟IP来降低类似的风险。

这起事件起源于诺贝尔和平奖网站被发现遭不明骇客入侵，并植入一个利用Firefox零时差漏洞的恶意程式，使用者若以FireFox浏览器浏览网站可能遭植入木马。挪威电信指出IP位址来自台湾的交通大学。

由于适逢诺贝尔和平奖颁给中国异议人士刘晓波引发国际政治风波，部份国外媒体认为攻击背后可能隐含政治意图，骇客可能来自中国网军。

目前Mozilla已经修补相关漏洞，而诺贝尔奖网站也已经修复正常。而交大对于被卷入这起事件则感到意外，并已向挪威方面取得IP位址，内部正积极追查线索，希望找出骇客真正身份对外澄清。

交通大学资讯中心主任蔡锡钧表示，骇客是利用学士服租用系统，研判骇客经过观察发现该系统较少使用而入侵，作为跳板入侵诺贝尔和平奖网站，植入木马程式以窃取个人资料，骇客攻击背后意图有很多种可能，目前难以判断其用意为何。

据了解，骇客在事发后已删除Log纪录以防止追查，交大动员研究生及老师，包括网路组、校务资讯组、技术发展组等10人成立调查小组，由具资安专长的副主任协助，希望回复硬碟中被删除的资料以追查骇客身份。

蔡锡钧表示，由于交大的学术网路频宽大，加上网路IP位址多达6万5千个，管理上并不容易，成为骇客入侵的目标。交大观察，特别是周末较少使用的IP常发现异常流量及使用行为，大多是骇客观察、入侵的结果。交大明年计划以虚拟IP代替单位的实体IP位址，降低被骇客或有心人士入侵的风险。

由于这次骇客植入诺贝尔和平奖网站的恶意程式为Symantec.exe，正好是资安大厂赛门铁克的英文名称，因此赛门铁克也与交大联络，希望掌握获得部份资料方便调查。

为防范入侵，除了推动虚拟IP降低骇客入侵风险，蔡锡钧指出，交大也会加强管理维护及更新工作，补强系统漏洞避免再次被攻击，也会教育使用者应有的警觉性。
http://www.ithome.com.tw/it...php?c=64227