交大說明諾貝爾網站被駭事件的初步調查
文/蘇文彬 (記者) 2010-10-29
   
因駭客已刪除相當Log紀錄，交大嚐試復原硬碟中的資料，按線索追查駭客身份與入侵來源，希望能對外澄清。

對於諾貝爾網站遭到來自交通大學學術網路IP的攻擊，交大初步調查指出，駭客是以較少使用的學士服租用系統的IP位址當跳板，目前正追查入侵來源希望能揪出駭客外，明年也計畫以虛擬IP來降低類似的風險。

這起事件起源於諾貝爾和平獎網站被發現遭不明駭客入侵，並植入一個利用Firefox零時差漏洞的惡意程式，使用者若以FireFox瀏覽器瀏覽網站可能遭植入木馬。挪威電信指出IP位址來自台灣的交通大學。

由於適逢諾貝爾和平獎頒給中國異議人士劉曉波引發國際政治風波，部份國外媒體認為攻擊背後可能隱含政治意圖，駭客可能來自中國網軍。

目前Mozilla已經修補相關漏洞，而諾貝爾獎網站也已經修復正常。而交大對於被捲入這起事件則感到意外，並已向挪威方面取得IP位址，內部正積極追查線索，希望找出駭客真正身份對外澄清。

交通大學資訊中心主任蔡錫鈞表示，駭客是利用學士服租用系統，研判駭客經過觀察發現該系統較少使用而入侵，作為跳板入侵諾貝爾和平獎網站，植入木馬程式以竊取個人資料，駭客攻擊背後意圖有很多種可能，目前難以判斷其用意為何。

據瞭解，駭客在事發後已刪除Log紀錄以防止追查，交大動員研究生及老師，包括網路組、校務資訊組、技術發展組等10人成立調查小組，由具資安專長的副主任協助，希望回復硬碟中被刪除的資料以追查駭客身份。

蔡錫鈞表示，由於交大的學術網路頻寬大，加上網路IP位址多達6萬5千個，管理上並不容易，成為駭客入侵的目標。交大觀察，特別是週末較少使用的IP常發現異常流量及使用行為，大多是駭客觀察、入侵的結果。交大明年計劃以虛擬IP代替單位的實體IP位址，降低被駭客或有心人士入侵的風險。

由於這次駭客植入諾貝爾和平獎網站的惡意程式為Symantec.exe，正好是資安大廠賽門鐵克的英文名稱，因此賽門鐵克也與交大聯絡，希望掌握獲得部份資料方便調查。

為防範入侵，除了推動虛擬IP降低駭客入侵風險，蔡錫鈞指出，交大也會加強管理維護及更新工作，補強系統漏洞避免再次被攻擊，也會教育使用者應有的警覺性。
http://www.ithome.com.tw/it...php?c=64227