在去年年底,中國的網路漏洞回報平台烏雲網回報了一個令國人很值得注意的漏洞,內容是台灣的戶政事務所被查出有4處SQL Injection漏洞,危害等級被評為「高」,雖然這則新聞在新年的氣氛之下被沖淡了,但是由於戶政事務所的資料影響相當大,嚴重到可能與選務有關,還是有很多人相當關心。
SQL Injection又稱為隱碼攻擊,主要是利用輸入的字串裡頭夾帶SQL指令,如果資料庫的設計不良,忽略了安全檢查,那麼就會誤將這個字串當成正常指令來執行。透過這種方式,外人可以進入資料庫進行破壞或是入侵。
不過,SQL Injection在幾年前這個問題或許很嚴重,但是後來有經驗的開發者都很重視這個問題,因此在寫程式的時候都會將避免發生SQL Injection漏洞視為基本的條件之一,甚至新的程式語言、資料庫都有提供避免發生這種問題的方法,因此,現在如果一個稍微具有規模的資料庫,還會發生SQL Injection漏洞的問題,往往代表的是寫程式者的功力不夠。
由於事關國內的戶政系統,因此讓很多網友相當驚訝,也有網友提出去年國安局的一項報告,指出雖然國內政府的資訊系統標案都是發給國內的廠商執行,但是往往這些得標的廠商為了節省成本,還會繼續外包給中國的廠商,因此有可能形成國內一些重要的系統是由中國廠商開發,如果被有心人利用,很有可能國內的資訊都被中國所掌握。
(相關新聞:新戶政系統 轉包中國網路公司)
內政部澄清:非戶役政系統問題
今天內政部澄清,行政院國家資通安全會報技術服務中心去年12月24日發現此問題,不過這個問題並非大家以為的國內戶役政系統問題,而是發生在高雄市12個戶政事務所及屏東縣1個戶政事務所自行委外開發的對外網站資安漏洞問題。
由於這個對外網站,僅僅是用來宣導戶政事務所組織架構、法規資訊,並沒有連結戶籍資料,也沒有存取戶役政資訊系統資料庫,因此並不如外界以為的那麼嚴重。關於這13個戶政事務所網站的漏洞,目前已有8個已結案,5個尚在處理中。
內政部並且說明,現行戶役政資訊系統網路透過GSN/VPN方式與各作業單位連接,使用政府網際服務網(GSN)封閉網路系統之虛擬專用網路(VPN),並未與網際網路連接,且內政部戶政司設有資訊安全監控中心,24小時監控資料交易訊息,以確保資訊安全。
◢▆▅▄▃-爆╰(〒皿〒)╯發-▃▄▅▆◣
了