大砲開講

請按我..繼續閱讀全文....

請按我..繼續閱讀全文....

請按我..繼續閱讀全文....

從制高點看資安 2007 的發展，精彩可期的Keynote演講讓您滿載而歸，資安管理與技術兼備的年度知識饗宴。

 

 

現代化企業的IT基礎建設與安全策略
The IT Security Infrastructure and strategy- for the modern enterprise / IBM 亞太區資安首席顧問 Maneesh Tripathi

IBM全球信息科技服務部亞太區業務連續與災難恢復及企業IT安全服務產品線總經理。2002-2004年在IBM新加坡地區全球服務ITS團隊，管理IBM亞太區23個資料中心與業務連續與災難恢復服務。曾任IBM 印度區India的e-business主管，曾帶領完成數個資料中心、網站、資訊安全與付款閘道專案。新一代融合網路交換與整合式多重安全的內網端點防護優化

因應典型網路存取控制(NAC)失敗的管理挑戰
Fortinet / Chief Marketing Officer, Richard Steinnon

網路安全專家暨多重威脅防護安全系統廠商Fortinet首席行銷長Richard Stiennon，曾擔任場調查機構Gartner安全市場副總裁，對於網路安全、防毒、反間諜軟體及資安委外議題相當熟稔；尚擔任過Webroot威脅研究部門副總，為多家知名IT媒體撰寫專欄文章，擔任PWC安全稽核師時期，成功多次對滲透測試。

(熱門) 建立符合營運需求的資訊安全管理制度 / BSi大中華區教育訓練協理 蒲樹盛
(熱門) 網路犯罪快速惡化下—自我防範之道 / 科技犯罪防治中心主任 李相臣
(熱門) 掌控資訊安全的制高點—外抗強敵 內除憂患 / Novell 台灣總經理 陳學智
建立符合營運需求的資訊安全管理制度 / BSi 大中華區教育訓練協理 蒲樹盛
網路犯罪快速惡化下—自我防範之道 / 科技犯罪防治中心主任 李相臣
端點安全—Web Security / CA 技術顧問 林宏嘉
資料儲存安全的技術趨勢 / Network Appliance 資深技術顧問 姜群
資安防護管理中心（SOC）營運實務與案例分享 / 宏碁電子化資訊管理中心安全技術管理處資深經理 黃瓊瑩
強化網路基礎架構安全與使用控管元素的流量管理裝置 / Foundry Networks 亞太區副總 Chandra Kopparapu/Load Balancing Servers, Firewalls, and Caches作者

是榮譽，更是責任

「2007 年資安貢獻獎」頒獎典禮單將於四月16日Info Security Taipei 2007台北國際資訊安全科技展上午九點三十分頒發，邀請由行政院OOO擔任頒獎人及獲獎單位負責人出席受頒。頒獎當天將舉辦「得獎者成功經驗交流」座談會，由得獎者與現場聽眾進行經驗分享交流。長久以來，資訊安全人員總是在單位及企業內，兢兢業業的在工作崗位上付出，並且在資安問題發生時挺身而出，站在危機處理的第一線。隨著資安議題持續發酵，面對資安預算、人力不足、資安問題及資安環境不甚受到相關單位重視、資安威脅愈來愈嚴峻等各項挑戰，資安從業人員肩負著保護單位及企業內核心資產的重擔，承受著極大的壓力且經常是有苦難言。《資安人》希望藉由對資安從業人員的肯定，讓所有在資安領域辛苦付出的人都能建立成就感，喚醒政府及企業主管們能夠體認到資安的重要性，瞭解資安工作的辛勞，並且能夠更深入瞭解資安工作推動的方向及目標，提高整體資安意識，投入更多資源來做資安推動的工作以及培育更多優秀的資安人才。「2007年資安貢獻獎」，邀請產、官、學界專家，評選出於資安領域有特殊及卓越貢獻的單位，從政府、金融、高科技等產業中，綜合各報名單位在資安管理系統範圍、推動過程的落實度、持續稽核改善、主管實際參與度以及資安人員主動積極度各項評審指標的表現，評選出對資安工作或產業推動有卓越貢獻的單位。獲獎單位在資安工作推動的決心，以及秉持著提供良善資安環境的責任感，讓評審委員們印象深刻且一致肯定。評審委員們除了對獲獎者以予肯定，也賦予了獲獎者必須要在資安工作持續推動的重責大任，並期望所有資安從業人員一起努力，共同為台灣的資安環境加油！

 

更詳細的資訊，請參考「台北國際資訊安全科技展 (2007/4/16~2007/4/18)」。

 

 

 

 

 

 

更新日期：2007/4/11 @ 09:45

昨天蘋果日報報導 「ESPN 等 27 官網遭駭 調局偵辦」，看了內容後，有幾點要在這裡回應。

一、關於報導說「司法院資訊管理處長郭瑞蘭表示，病毒程式被司法院網站防火牆檔下，資料未外洩」，針對這點，我還不知道防火牆有這麼厲害的功能，可以攔截病毒程式，不曉得可不可以介紹給大家呢？另外，司法院資訊管理處也發布一個資訊安全公告 (如下圖)，這點我蠻肯定的，至少他們有公佈自己網站中毒，還有提醒網使用者相關注意事項。



二、 關於報導說「ESPN 台灣分公司行銷宣傳經理陳佩芝說：我們以加快了解此事發展，會在最短時間內處理」，針對這點，又是標準官方說法，沒有說明處理程序及何時會公佈結果，雖然昨天 ESPN 已經移除首頁的惡意連結，但昨天晚上又被植入新的惡意連結，而且，我也在第一時間以電子郵件通知他們，到目前為止 (2007/4/10 @ 13:41)，尚未移除，這種處理速度，讓人可以信賴嗎？另外，每次使用 ESPN 網站提供的服務信箱 (service@espnstar.com.tw) 寄信，都被退回來 (如下圖)，不曉得是我看走眼了，還是他們寫錯了，也請各位幫忙試試看 (只有 service@espnstar.com 可以寄成功)。



在台灣，一定要等到有人死了或重要資料被偷，才開始動起來，做做表面工夫，等風頭過了，還不是一樣，這就是企業的社會責任嗎？還是台灣人的悲哀呢？

最後，我當然不希望因為這些事件導致網管人員受到處罰，其實最大的問題，還是出在管理階層，自以為是，以為自己非常了解這方面的東西，就亂決定要購買某些產品，也不仔細評估那些產品。

微軟最近發布 Windows Server 2003 Service Pack 2，只針對 32 位元 x86 的系統，有興趣的人，可以參考 KB914961 或 Windows Server 2003 Service Pack 2 (32-bit x86)。-----

Google 發布 Google Desktop 5 Beta，最主要的新功能為「改良式側欄」 和 「Google 小工具」。另外，還改善搜尋結果和安全性，真懷疑 Google 會不會大舉研發安全軟體呢？還真恐怖勒。如果對此 BETA 有興趣的人，可以在這裡下載。-----

Mozilla 發布 Firefox 2.0.0.2 版本，以修補修補數項安全問題，其中一個為 Firefox Cookie 安全漏洞 (Null 字元 "\x00")，其他的安全問題，請參考這裡。另外，他們也改善對 Windows Vista 的支援與新增數種新語言測試版本等等，如果各位想要更詳細的資訊，請參考「Firefox 2.0.0.2 新鮮事」。

修補的安全漏洞列表：

• MFSA 2007-07 Embedded nulls in location.hostname confuse same-domain checks


• MFSA 2007-06 Mozilla Network Security Services (NSS) SSLv2 buffer overflow


• MFSA 2007-05 XSS and local file access by opening blocked popups


• MFSA 2007-04 Spoofing using custom cursor and CSS3 hotspot


• MFSA 2007-03 Information disclosure through cache collisions


• MFSA 2007-02 Improvements to help protect against Cross-Site Scripting attacks


• MFSA 2007-01 Crashes with evidence of memory corruption (rv:1.8.0.10/1.8.1.2)

如何更新到 Firefox 2.0.0.2 版本呢？對於一般使用者，請使用「Firefox 檢查更新機制」。開啟 Firefox，點選「說明」->「檢查更新」，如下圖所示：

微軟最近發表新版 Virtual PC，稱為 Virtual PC 2007 (虛擬機器)。此版本是免費軟體 (Virtual PC 2004 也是免費)，很難得微軟不收取費用，如果各位想要執行其他版本的 Windows 作業系統又不想花錢購買虛擬軟體或新電腦，可以考慮使用 Virtual PC 2007 (雖然，我比較喜歡使用 VMWare，不過，也許我會再嘗試看看囉)。

主要功能 (這些功能 VMWare 都支援)：

• 拖曳式複製 (Drag and drop copying)：方便在實體與虛擬系統之間做檔案或資料夾拖曳。


• 整合式滑鼠 (Integrated mouse)：方便在實體與虛擬系統之間做切換。


• 時間同步 (Time synchronization)：同步實體與虛擬系統的時間。


• 資料夾分享 (Folder sharing)：方便在實體與虛擬系統之間做資料夾分享。

支援 x86 或 x64 實體系統 (Supported Host System)：

• Windows Vista Business


• Windows Vista Enterprise


• Windows Vista Ultimate


• Windows XP Professional


• Windows XP Tablet PC Edition

支援虛擬系統 (Supported Guest System)：

• Windows 98


• Windows 98 Second Edition


• Windows Millennium Edition (Windows Me)


• Windows 2000 Professional


• Windows XP Home Edition


• Windows XP Professional


• Windows Vista Enterprise


• Windows Vista Business


• Windows Vista Ultimate


• OS/2 Warp Version 4 Fix Pack 15


• OS/2 Warp Convenience Pack 1


• OS/2 Warp Convenience Pack 2

對於沒有支援 Linux 作業系統，個人是有一點失望，不曉得微軟會支援嗎？還是擔心 Linux 會對他們造成威脅呢？

如果各位想要更了解 Virtual PC 2007，請參考這裡。

如果消費者想要購買或升級到 Windows Vista 作業系統，微軟建議的系統需求為：

• 1 GHz 的 32 位元 (x86) 或 64 位元 (x64) 處理器


• 512 MB 系統記憶體


• 20 GB 硬碟容量，至少 15 GB 的可用空間


• DirectX 9 圖形支援與 32 MB 圖形記憶體


• DVD-ROM 光碟機


• 音訊輸出


• 網際網路連線 (可能需要付費)

雖然很想把 Windows Vista 安裝在自己的筆記型電腦 (1GB RAM)，但想到它對硬體的要求，這個念頭很快就放棄了。

最近看到一篇有關 「Windows Vista 需要 4GB 記憶體」的報導 -- 經過兩年的 BETA 測試，IBM 的顧問說如果 Windows Vista 要達到最佳效能，使用者最好考慮使用 4GB 系統記憶體。另外，戴爾 (DELL) 建議使用 2GB 系統記憶體。看到這裡，使用者的荷包又要大失血了。

至於詳細的情形，請參考相關的報導：

Buying a new PC? 'Windows Vista Capable' barely hits the mark

DELL Windows Vista Recommendation

Microsoft Recommendation

4 GB May Be Vista's RAM Sweet Spot-----

TechCrunch 和 GigaOM 都相繼報導 Google 即將推出 Google 應用服務豪華版本 (Google Apps Premier Edition)。

Google Apps 包含 Gmail、Google Talk、Google Calendar、Docs & Spreadsheets、Page Creator 和 Start Page。這個版本為付費版本，每個人每年要美金 50 元，電子郵件的儲存空間為 10 GB。至於豪華版本與標準版本之間的差別，如下圖所示：



微軟又多了一個競爭對手，不曉得他們會有什麼反應呢？

至於相關的報導，請參考：

Google Apps grows up

It’s G-Day: Google Launches Apps Premier

Google and the Office game

最近有幾則報導指出，IE 和 FireFox 存在一個安全漏洞，使得攻擊者可以存取受害者的硬碟資料，然後，上傳至遠端伺服器。

當使用者連上一個惡意網站，並且輸入和送出一些訊息之後，瀏覽器會將使用者的硬碟資料上傳至遠端伺服器。例如，將 C:\WINDOWS\system32\config\SAM (帳號與密碼存在此檔中)上傳至攻擊者的伺服器。

受影響瀏覽器：

• IE (7.0 和 7.0 以前的版本)


• FireFox (1.5, 2.0)


• 其他瀏覽器 (可能存在此安全漏洞)

還是一句老生常談的話「不要隨便執行一個來路不明的連結」。

至於詳細的資訊，可以參考下面的相關的報導：

MSIE / Firefox focus stealing vulnerabilities (for Windows) (包含此安全漏洞的展示： IE 和 FireFox)

IE and Firefox cough up hard drive contents

Firefox focus stealing vulnerability (possibly other browsers)

昨天新華網和聯合新聞網都相繼報導熊貓燒香病毒作者被逮捕大陸公安部門逮捕的消息。熊貓燒香病毒是 2006 年大陸地區十大病毒之首，其所造成的損害，可想而知。

至於詳細的資訊，請看下面的相關報導：

“熊??香”病毒案告破

偵破「熊貓燒香」電腦病毒案 8人被捕

W32/Fujacks: Panda Malware Breeders Arrested -----

新華網報導中國已經在 2006 年底完成全球最大的個人身分證資料庫，此資料庫包含 13 億人民的個人資料。

民眾可以透過此系統查詢自己的身分證是否有問題。根據公安部門統計將近有 90% 的人使用偽造身分證犯罪，他們宣稱這將對檢查偽造身分證有幫助。

可想而知，此系統的安全性應該不錯，如果不是這樣的話，恐怕受害者會變的更多。-----

SC Magazine 在 RSA Conference 2007 上公佈 2007 SC Magazine Awards 得獎者。讓我驚訝的是 Webroot Software for Spy Sweeper Enterprise 3.0 拿下最佳防惡意程式方案獎項。對於這些得獎者，不曉得各位有什麼想法呢？

SC Awards 2007 US Winners:

讀者信任獎 (READER TRUST AWARDS)

最佳防惡意程式方案 (Best Anti-Malware Solution)：

得獎者 (Winner)：
Webroot Software for Spy Sweeper Enterprise 3.0

入圍者 (Finalists)：
ESET for ESET NOD32
Fortinet for FortiGate-300A
Kaspersky Lab for Internet Security 6.0
Sunbelt Software for CounterSpy Enterprise

最佳安全稽查/漏洞檢測方案 (Best Audit/Vulnerability Solution)：

得獎者：
Qualys for QualysGuard

入圍者：
Rapid7 for NeXpose
StillSecure for StillSecure VAM
Tenable Network Security for Nessus 3
Watchfire for AppScan

最佳電腦鑑識方案 (Best Computer Forensics Solution)：

得獎者：
WetStone Technologies for Gargoyle Investigator Enterprise Edition

入圍者：
CA for eTrust Network Forensics
e-DMZ Security for eGuardPost
MANDIANT for First Response
NetWitness Corporation for NetWitness

最佳郵件安全方案 (Best Email Security Solution)：

得獎者：
Sunbelt Software for Sunbelt Messaging Ninja

入圍者：
Barracuda Network for Barracuda Spam Firewall
Fortinet for FortiMail-400A
SonicWall for SonicWall Email Security
Vircom for Modus

最佳端點安全方案 (Best Endpoint Security Solution)：

得獎者：
Senforce Technologies for Senforce Endpoint Security Suite

入圍者：
Lockdown Networks for Lockdown Enforcer
Mirage Networks Mirage for Endpoint Control
Safend for Safend Protector
StillSecure for StillSecure Safe Access

最佳企業防火牆方案 (Best Enterprise Firewall)：

得獎者：
Secure Computing for Sidewinder G2 Security Appliance

入圍者：
Check Point Software Technologies for VPN-1 Family
Crossroads System for DBProtector
Viking InterWorks for Viking V 2-Gibabit VPN/Firewall

最佳事件管理方案 (Best Event Management Solution)：

得獎者：
TriGeo Network Security for TriGeo SIM

入圍者：
ArcSight for ArcSight Enterprise Security Management 3.5
Intellitactics for Intellitactics Security Manager
NetIQ business unit of Attachmate for NetIQ Security Manager
Novell for Sentinel from Novell

最佳身份管理方案 (Best Identity Management Solution)：

得獎者：
Encentuate for Encentuate TCI

入圍者：
BMC Software for BMC Identity Management
Courion Corporation for Courion’s Enterprise Provisioning Suite
Novell for Novell Identity Manager and Access Manager
Oracle Corporation for Oracle Identity Management

最佳即時通訊安全 (Best IM Security Solution)：

得獎者：
FaceTime Communications for FaceTime Enterprise Edition

入圍者：
Akonix Systems for Akonix A6000 Appliance
Barracuda Networks for Barracuda IM Firewall
Secure Computing for IronMail 6.5
Symantec for Symantec IM Manager

最佳整合式安全方案 (Best Integrated Security Solution)：

得獎者：
Fortinet for FortiWifi-60

入圍者：
eSoft Security for eSoft Threat Wall
LANDesk for LANDesk Security Suite
Qualys for QualysGuard
SonicWALL for SonicWALL TZ 170 Wireless Firewall

最佳智慧財產權防護方案 (Best Intellectual Property Protection)：

得獎者：
Vericept Corporation for Vericept 360 Risk Management Platform

入圍者：
Oakley Network for CoreView Plus
Reconnex for Reconnex Corporation
Secured eMail for Secured eMail
Tablus for Content Alarm NW4

最佳入侵防護方案 (Best ID/Prevention Solution)：

得獎者：
Fortinet for FortiGate-300A

入圍者：
IBM Internet Security Systems for IBM Internet Security Systems Proventia Intrusion Prevention
Reflex Security for Reflex IPS 100
Sourcefire for Snort
Sourcefire for Sourcefire 3D System
StillSecure for StillSecure Strata Guard
TippingPoint, a division of 3Com, for TippingPoint 5000E Intrusion Protection System

最佳 IPsec/SSL VPN 方案：

得獎者：
Citrix Systems for Citrix Access Gateway

入圍者：
AEP Networks for AEP Netilla Security Platform (NSP)
F5 Networks for FirePass
Microsoft for Whale Intelligent Application Gateway

最佳安全委外管理服務方案 (Best Managed Security Service)：

得獎者：
SecureWorks for Managed Security Services

入圍者：
Alert Logic for Alert Logic Network Protection On Demand
IBM Internet Security Systems for IBM Internet Security Systems Managed Security Services
MX Logic for MX Logic Email Defense Service
Watchfire for AppScan OnDemand

最佳行動設備安全方案 (Best Mobile Device Security Solution)：

得獎者：
Trust Digital for Mobile Edge Device Security

入圍者：
McAfee for McAfee VirusScan Mobile Security for Carriers
SanDisk for mTrust
Pointsec for Pointsec for PC
Reflex Magnetics for Reflex Disknet Pro
Voltage Security for Voltage SecureMail for Blackberry & Voltage SecureMail

最佳多維/二維因子加密方案 (Best Multi/Second-Factor Solution)：

得獎者：
KoolSpan for KoolSpan SecurEdge

入圍者：
Bioscrypt for Bioscrypt VeriSoft Access Manager
Encentuate for Encentuate iTag
IdentiPHI for IdentiPHI Advanced Authentication
RSA, The Security Division of EMC, for RSA SecurID

最佳政策管理方案 (Best Policy Management Solution)：

得獎者：
Archer Technologies for Archer Policy Management

入圍者：
Citadel Security Software for Citadel’s Hercules Policy Management
Crossroads Systems for DBProtector
McAfee for McAfee Policy Enforcer (Network Access Control)
Symantec for Symantec Control Compliance Suite (formerly by-Control)

最佳安全軟體方案 (Best Security Software Solution)：

得獎者：
Fortify Software for Fortify Source Code Analysis (SCA) 4.0

入圍者：
Beyond Security for beSTORM
Compuware Corporation for Compuware DevPartner SecurityChecker
S.P.I. Dynamics for DevInspect
Voltage Security for Voltage IBE Developer Resources

最佳網頁過濾方案 (Best Web Filtering Solution)：

得獎者：
Websense for Websense Web Security Suite

入圍者：
Marshal for WebMarshal 2006
Pearl Software for Pearl Echo Suite
Secure Computing for SmartFilter
SonicWALL for SonicWALL Content Security Manager

最佳無線安全方案 (Best Wireless Security Solution)：

得獎者：
SonicWALL for SonicWALL Secure Distributed Wireless Solution

入圍者：
AirDefense for AirDefense Enterprise
BlueSocket for BlueSocket’s BlueSecure WLAN Solution
Fortress Technologies for ES520 Fortress Secure Wireless Access Bridge
Network Chemistry for RFProtect

卓越獎 (EXCELLENCE AWARDS)

最佳企業安全方案 (Best Enterprise Security Solution)：

得獎者：
CA for CA Identity and Access Management Suite, including CA SiteMinder

入圍者：
Guidance Software for EnCase Enterprise
PGP Corporation for PGP Encryption Platform
Vontu for Vontu 6.0

最佳法規遵循方案 (Best Regulatory Compliance Solution)：

得獎者：
Watchfire for AppScan

入圍者：
Archer Technologies for Archer SmartSuite Framework
Qualys for QualysGuard Enterprise
Sourcefire for Sourcefire RNA
Vontu for Vontu 6.0

最佳安全公司 (Best Security Company)：

得獎者：
Watchfire

入圍者：
IBM Internet Security Systems
nCircle Network Security
Passlogix
PGP Corporation
Sourcefire

最佳中小企業方案 (Best SME Security Solution)：

得獎者：
Watchfire for AppScan

入圍者：
Clearswift for MIMEsweeper SMTP Appliance
Qualys for QualysGuard Express
SonicWALL Inc. for SonicWALL TZ Series Firewall Appliances
Symantec for Symantec Client Security
Tumbleweed Communications for Tumbleweed MailGate
Webroot Software for Spy Sweeper Enterprise 3.0
Websense for Websense Web Security Suite – Lockdown Edition

最佳專業訓練課程方案 (Best Professional Training Program)：

得獎者：
(ISC)2 Institute

入圍者：
Global Knowledge for Global Knowledge Security Training
MANDIANT for MANDIANT Professional Education
Training Camp for Information Security Training Camp
Vigilar for Vigilar’s IntenseSchool’s Professional Hacking Program

最佳安全團隊 (Best Security Team)：

得獎者：
The Hanover Insurance Group for The Hanover Insurance Group

入圍者：
Barclays Capital Information Risk Management Team
Department of State Office of Computer Security of the Bureau of Diplomatic Security

年度安全長 (CSO of the Year)：

得獎者：
Dennis Brixius, McGraw-Hill

入圍者：
Stephen Bonner, Barclays Capital
Charles (Chuck) Christian, Good Samaritan Hospital
Andre Gold, Continental Airlines
Sunil Seshadri, NYSE

年度安全公司新人獎 (Rookie Security Company of the Year)：

得獎者：
41st Parameter

入圍者：
AppSense, Ltd.
CP Secure
Positive Networks
Reconnex

編輯推薦獎 (Editor’s Choice)：

得獎者：
The Vulnerability Analysis and Operations Group, part of the National Security Agency’s Information Assurance Directorate

嚴重性：高度嚴重 (請盡速更新病毒碼)

趨勢科技最近發布一個掃描引擎出現安全漏洞的新聞。

當掃描引擎在處理損害的 UPX 檔案 (UPX 是加殼程式)時，會造成緩衝區溢位 (Buffer Overflow)，使得系統出現藍色死亡畫面 (BSOD) 或攻擊者有機會執行任意的程式碼以控制系統。

受影響掃描引擎版本：8.000 或 8.300

解決方案：更新病毒碼至 4.245.00 以上

至於詳細的資訊，請參考下面的報導：

Antivirus UPX Parsing Kernel Buffer Overflow Vulnerability

Trend Micro Products UPX Processing Buffer Overflow Vulnerability

SecuriTeam 最近發佈 FireFox 被發現兩個安全漏洞。

第一個安全漏洞 (Firefox Popup Blocker Allows Reading Arbitrary Local Files) 是彈出式視窗攔截功能 (pop-up blocker feature)。此漏洞讓攻擊者有機會可以讀取任何系統檔案，甚至，偷取機密資料。

受影響版本：1.5.0.9

第二個安全漏洞 (Firefox Phishing Protection Bypass Vulnerability) 是釣魚網站防護功能 (phishing protection feature)。此漏洞只要簡單地加幾個字元 (如 "/") 在網址列，攻擊者就可以輕鬆地騙過釣魚網站防護功能的檢查，把惡意連結是為是安全的連結。

受影響版本：2.0.0.1

最近 TheRegister 有一篇文章報導關於「Contact us」攻擊方式，最主要是說明很多網站提供「Contact us」(連絡我們或連絡方式) 功能很容易使得公司的郵件伺服器遭受分散式阻斷服務攻擊 (DDOS)。



使用者可以利用「Contact us」功能將自己的意見或建議 (或其他的問題) 送給網站管理者，通常內部郵件伺服器是不會把這種郵件當成垃圾郵件，如果攻擊者利用垃圾郵件機器人發動分散式阻斷服務攻擊，大量發送此種郵件給網站管理者，很可能導致公司內部郵件伺服器當機。

很幸運地，此種攻擊可以利用 CAPTCHA (如下圖) 的方式預防。不過，如果圖片檔不夠亂的話，還是有可能被破解，有興趣的人，可以參考這個網站或利用 Google 查詢。



為了預防垃圾郵件，國內很多公司的連絡方式 (不提供 email 信箱) 都採用下圖的方式，但都沒有使用認證碼的方式，是存在相當程度的風險(如果有心人士想攻擊的話)。



(上面的圖是蕃薯藤意見信箱格式)

另外，這個攻擊方式跟部落格的「Comment Spam Attack」是一樣。最近這個部落格也常常遭受此類的攻擊，真的很煩。

南韓當局已經逮捕疑似在去年 9 月至 12 月間，發送大量垃圾郵件的兩名程式設計師。



總共發送超過 16 億封的垃圾郵件，獲取利益超過美金 106,400 (南韓是第三大垃圾郵件發送國，請參考「美國是惡意程式和垃圾郵件的大本營」)。不曉得台灣當局會不會也逮捕那些製造垃圾郵件的人呢？相關的報導，請參考:

South Korea collars 'spam' duo

South Korean programmers arrested for spam blast

根據 Sophos 2007 安全威脅報告，Mytob 病毒是 2006 年惡意程式的榜首。



2006 年惡意程式排行榜：

1. W32/Mytob: 29.9%


2. W32/Netsky: 20.8%


3. W32/Sober: 17.7%


4. W32/Zafi: 8.0%


5. W32/Nyxem: 5.6%


6. W32/Bagle: 5.5%


7. W32/MyDoom: 3.8%


8. W32/Stratio: 1.3%


9. Troj/Clagger: 1.0%


10. W32/Dref: 0.9%


11. Others: 5.5%

查了一下，我的信箱記錄檔包含了 NetSky、Mydoom 和 Stration，其它大部分都是偷帳號與密碼的木馬，真是可怕。