如果，連公告、討論「被攻擊網站」的資訊都不行了， 我們還有怎麼樣的安全？ "大砲開講" http://malware-test.com/blog/ 是一個隸屬於 Malware-test Lab 的 部落格， 自今年初開始，該blog大量發表國內各遭受攻擊網站的資訊。 從去年底開始，病毒蠕蟲攻擊開始大規模透過瀏覽器漏洞進行攻擊， 攻擊者的攻擊手法是在網頁上植入一些特殊的攻擊指令， 透過 IE瀏覽器、Windows的漏洞，當使用者在瀏覽該網頁的時候， 將惡意程式感染使用者的電腦。 當然，如果只是一般籍籍無名的網站，沒有人瀏覽，當然可以感染的目標少很多。 所以，攻擊者從去年底開始，有系統大規模的滲透入侵台灣的各大網站， 藉由這些高知名度網站的廣大瀏覽群，來增加被感染電腦數量。 從相關資料可以知道，以下這些網站曾經被感染(有些甚至還沒有修復)： 國際佛光會中華總會網站 苦勞網 司法院網站 Career 就業情報網網站 社團法人台北市野鳥學會首頁 HiNet 理財網 iThome 網站 ASUS 華碩網站 手機王網站 中華民國交通部觀光局網站 台灣豐田汽車 (Toyota) 網站 台灣 Nikon 網站 威秀影城網站 以前我們總是說：『不要上奇奇怪怪的網站，小心中毒！！！』 現在這句話已經被破解了！！！ 拜託，連瀏覽咱 司法院網站都可能被感染病毒， 請問還有什麼網站是安全的？ 我相信，Malware-Test Lab也是察覺到這個可怕的事實，所以決定開始積極主動 公佈這些被入侵的網站，警告使用者不要再瀏覽，以免中毒。 可是情況在這個星期開始有了改變， 大概是因為公開太多攻擊者低劣的行為，Malware-Test開始遭受到嚴重的 分散式阻斷式攻擊。 發起這樣DDOS攻擊者的意圖很明顯： Malware-Test 你給我閉嘴！！！不要讓一般使用者知道瀏覽哪些網站是危險的！ 不要妨礙我入侵電腦！！！ 如果搞資訊安全，連公開危險資訊都不行了， 還算哪門子的安全？ 我發起這個議題，主要是想要請各位討論看看，當一個公開安全資訊的網站， 本身都遭受到這麼嚴峻的考驗，我們，能夠作些什麼？ 其實，本國一直就有一個單位，應該要負責通告這一類的資訊 TW-CERT http://www.cert.org.tw/news/ 可是你上去看看，就會發現，他們對於這類資訊的公佈 ... 其實，重點不是在於討論修復技術，不是討論攻擊技術，不是追究安全責任， 只是希望， 資訊能夠流通，一般使用者，可以知道資安的資訊，不再無知， 不要被欺騙，不要被誘導，不要再中毒了。 -- 如果，連心愛的人都保護不了... --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.129.20.10