駭客的愚人節玩笑

　　Linux系統一向給人較為安全的印象，但這並不表示Linux系統牢不可破。從愚人節週末開始，全球便發生數百起的駭客入侵事件，台灣地區就有將近200多個網站遭駭客置換網頁，而這些系統多半是Linux系統。

　　這次被駭的網站包括政府單位、教育機構、一般民間企業等，駭客並沒有特定的攻擊目標。事實上，網路上大部分的攻擊行為都是針對不特定的對象，僅有少數駭客是基於利益而特別選擇攻擊對象。不論企業網站的知名度或是行業為何，都有可能受害。

　　這些被駭的網站網頁遭到置換更改，全都顯示了葡萄牙文，大致上是到此一遊的意思，顯示駭客沒有破壞的意思，只是宣示自己的能力，同時開個愚人節玩笑。雖然大部分公司團體在短時間內就把網頁更改回來，並沒有真的損失。但這個愚人節駭客玩笑卻也凸顯了Linux作業系統的安全問題。

　　許多公司行號因為預算的考量而採用Linux作業系統，雖然Linux作業系統確實有速度快、效率高、較為安全等優點，但「較為安全」僅是相對於微軟系統被攻擊的次數而言。事實上，專家也承認這世上恐怕不會有「絕對安全」的作業系統出現的一天，只要系統必須對外，就有可能有漏洞。重要的是資訊人員以及單位主管對於安全性的認知與重視程度。

　　Linux系統由於是開放原始碼，有心人士可以針對原始碼研究系統是否有漏洞，因此Linux的各種套件幾乎都是時常在更新的。不過由於Linux系統是社群所維護的，並非像微軟或者甲骨文那樣是付費的商業軟體，因此沒有什麼售後服務可言（除非和相關廠商簽訂維護合約），軟體的更新和安全性的修補較為困難，使用者必須自行到各種套件的官方網站去看看有沒有新的漏洞被發現，有沒有新的修補方法出現，無形之中增加了不少人力資源以及學習時間的成本。

　　這些資訊安全人員的時間成本和學習成本往往不是企業主或者機關團體高層所重視的問題，大部分的主管只看帳面數字來做採購的決策，容易忽略後續維護的重要性。單位中的資訊工程師在系統建制完畢後，常常就會被賦予程式開發和內容維護的任務，以致於沒有分配時間與預算進行安全性的更新。

　　國外許多企業已經正視安全性的問題，特別設立資訊安全師相關的職位，專職負責系統安全，但國內大部分企業仍然缺乏這個觀念，甚至連安全性委外都不太願意。這次愚人節攻擊事件全球受害網站300多個，台灣地區就佔了200多個，足見問題嚴重。

原文於2006-4-10刊登於華文企管網