泄密新手法 文件可隱藏於影像檔中

近日在紐約舉行的年度駭客大會(huì )H2K2中，駭客激進(jìn)團體發(fā)表了一支Camera/Shy的免費自由軟體，利用「影像處理手法」將機秘文件資料隱藏在gif影像檔之中，再將gif影像檔放在公開(kāi)網(wǎng)站上供網(wǎng)友下載，或是以無(wú)關(guān)緊要的主旨透過(guò)e-mail傳遞一般圖片的特殊手法，不但可輕易通過(guò)防火墻、入侵偵測，而且不會(huì )曝露身份，精誠公司呼吁企業(yè)必須密切注意此種新興的資訊傳遞手法，盡快預防或阻絕資料泄密事件再次發(fā)生。

前一陣子喧騰一時(shí)的政府單位泄密案，以及企業(yè)機密資料泄漏事件，雖然引起政府相關(guān)單位及企業(yè)的關(guān)注，并開(kāi)始注重資訊傳遞的管控(例如加強郵件檢查、安全事件稽核與存取管控與稽核)，但Camera/Shy的免費自由軟體是以開(kāi)放的程式碼型態(tài)公布，這種新型的泄秘手法，可能遭有心人士利用，作為非法散播機密檔案的工具。

Camera/Shy的程式是由一個(gè)名為Hactivismo倡導線(xiàn)上隱私權的激進(jìn)駭客團體於7月13日所發(fā)表；它運用了一項稱(chēng)之為L(cháng)SB steganographic的技術(shù)來(lái)進(jìn)行AES-256 bit加密。因為它的設計據稱(chēng)是為了紀念某一位中國異議人士，且主要目的是用來(lái)躲避稽核，因此可以將文字予以加密并隱身於一個(gè)普通的gif影像檔。當這個(gè)檔案被公布在網(wǎng)站後，任何人只需要利用瀏覽器點(diǎn)選影像檔，便可以看到隱藏於影像檔之內的資訊；制作這個(gè)影像檔的人也可以進(jìn)一步要求點(diǎn)選的人必須輸入密碼之後才能「分享」資訊，進(jìn)而輕易地進(jìn)行「安全、秘密」的資訊傳遞。

雖然這支程式還只是Beta版，但已經(jīng)開(kāi)始在一些熱衷於線(xiàn)上隱私權的團體間秘密留傳，如果該程式被不法者獲得并做為犯罪工具後果將無(wú)法預料；除了資料可以毫無(wú)痕跡地進(jìn)行傳遞，它還會(huì )自動(dòng)「銷(xiāo)毀」瀏覽器上的快取以及歷史瀏覽記錄，因此看過(guò)影像檔的人也不會(huì )被發(fā)現。除此之外，Camera/Shy還可以輕易地將一整篇網(wǎng)頁(yè)轉譯成gif檔，或者在網(wǎng)頁(yè)中自動(dòng)搜尋是否含有加密過(guò)後的gif檔；這樣的功能如果被用於企業(yè)intranet、EIP或KM網(wǎng)站，難保企業(yè)或政府機關(guān)的機密資料不會(huì )被不法者所竊。更要緊的是，目前市面上所有安全防護工具包括：防火墻、入侵偵測、漏洞掃瞄、郵件內容檢查等工具并沒(méi)有辦法針對這樣的「影像處理手法」進(jìn)行預防。

目前已知這個(gè)程式可以在Windows 95,98, ME, 2000, XP等作業(yè)平臺上執行，并需要搭配IE使用。因為該程式公開(kāi)程式碼，因此未來(lái)很可能會(huì )有支援其他作業(yè)系統或不同語(yǔ)言的版本出現，甚至也有被包裹成其他不法應用程式的可能性。因此精誠公司呼吁企業(yè)及政府單位應該未雨綢繆及早因應并防止這一類(lèi)新型犯罪手法的發(fā)生。

精誠公司表示，已針對Camera/Shy可能之不法濫用提供NetIQ公司的二大解決方案，除了可以藉由NetIQ Security Analyzer來(lái)檢測現有資訊環(huán)境是否存有Camera/Shy之外，也可以運用NetIQ Security Manager即時(shí)阻止Camera/Shy的執行，達到有效終止與刪除該有害程式之外，并經(jīng)由嚴謹的檔案權限控管，即時(shí)的發(fā)出警告與通知，做好有效的防范措施。

本文由 CTIMES 同意轉載，原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E7%B2%BE%E8%AF%9A%E4%BF%A1%E6%81%AF/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/02071816192U.shtmll