如果，连公告、讨论「被攻击网站」的资讯都不行了， 我们还有怎麽样的安全？ "大炮开讲" http://malware-test.com/blog/ 是一个隶属於 Malware-test Lab 的 部落格， 自今年初开始，该blog大量发表国内各遭受攻击网站的资讯。 从去年底开始，病毒蠕虫攻击开始大规模透过浏览器漏洞进行攻击， 攻击者的攻击手法是在网页上植入一些特殊的攻击指令， 透过 IE浏览器、Windows的漏洞，当使用者在浏览该网页的时候， 将恶意程式感染使用者的电脑。 当然，如果只是一般籍籍无名的网站，没有人浏览，当然可以感染的目标少很多。 所以，攻击者从去年底开始，有系统大规模的渗透入侵台湾的各大网站， 藉由这些高知名度网站的广大浏览群，来增加被感染电脑数量。 从相关资料可以知道，以下这些网站曾经被感染(有些甚至还没有修复)： 国际佛光会中华总会网站 苦劳网 司法院网站 Career 就业情报网网站 社团法人台北市野鸟学会首页 HiNet 理财网 iThome 网站 ASUS 华硕网站 手机王网站 中华民国交通部观光局网站 台湾丰田汽车 (Toyota) 网站 台湾 Nikon 网站 威秀影城网站 以前我们总是说：『不要上奇奇怪怪的网站，小心中毒！！！』 现在这句话已经被破解了！！！ 拜托，连浏览咱 司法院网站都可能被感染病毒， 请问还有什麽网站是安全的？ 我相信，Malware-Test Lab也是察觉到这个可怕的事实，所以决定开始积极主动 公布这些被入侵的网站，警告使用者不要再浏览，以免中毒。 可是情况在这个星期开始有了改变， 大概是因为公开太多攻击者低劣的行为，Malware-Test开始遭受到严重的 分散式阻断式攻击。 发起这样DDOS攻击者的意图很明显： Malware-Test 你给我闭嘴！！！不要让一般使用者知道浏览哪些网站是危险的！ 不要妨碍我入侵电脑！！！ 如果搞资讯安全，连公开危险资讯都不行了， 还算哪门子的安全？ 我发起这个议题，主要是想要请各位讨论看看，当一个公开安全资讯的网站， 本身都遭受到这麽严峻的考验，我们，能够作些什麽？ 其实，本国一直就有一个单位，应该要负责通告这一类的资讯 TW-CERT http://www.cert.org.tw/news/ 可是你上去看看，就会发现，他们对於这类资讯的公布 ... 其实，重点不是在於讨论修复技术，不是讨论攻击技术，不是追究安全责任， 只是希望， 资讯能够流通，一般使用者，可以知道资安的资讯，不再无知， 不要被欺骗，不要被诱导，不要再中毒了。 -- 如果，连心爱的人都保护不了... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.129.20.10