(http://www.epochtimes.com)
【大纪元7月21日讯】(中央社记者韦枢台北二十一日电)近日在纽约举行的年度骇客大会中,骇客激进团体发表了一支Camera/Shy的免费自由软体,利用“影像处理手法”将机密文件资料藏在gif 影像档内,再放置在网站上供人下载,或用电子邮件传送,不但可以轻易躲过防火墙,且不曝露身份,各企业应提高警觉。
日前喧腾的政府单位以及企业机密资料泄漏事件,引起政府相关单位及企业的关注,并开始注重资讯传递的管控,加强邮件检查、安全事件稽核与存取管控,不过骇客团体公布的Camera/Shy免费自由软体是以开放的程式码型态公布,这种新型的泄秘手法,可能遭有心人士利用,作为非法散播机密档案的工具。
精诚公司发布新闻提醒各界,这个软体会利用“影像处理手法”将机密文件资料藏在gif 影像档内,再将gif 影像档放在公开网站上供网友下载,或是以不重要的主旨透过电子邮件传递一般图片的手法,可以轻易通过防火墙、入侵侦测,而且不会曝露身份,企业必须密切注意此种新兴的资讯传递手法,预防或阻绝资料泄密事件再次发生。
精诚公司分析,Camera/Shy的程式是由一个倡导线上隐私权的激进骇客团体所发表,它运用了一项称之为LSB steganographic的技术来进行 AES-256 bit加密。因为它的设计据称是为了纪念某一位中国异议人士,且主要目的是用来躲避稽核,因此可以将文字加密并隐身于一个普通的gif影像档内。
当这个档案被公布在网站后,任何人只要用浏览器点选影像档,便可以看到隐藏于影像档之内的资讯;制作这个影像档的人也可以进一步要求点选的人必须输入密码之后才能“分享”资讯,进而轻易地进行“安全、秘密”的资讯传递。
这支程式已经开始在一些热中于线上隐私权的团体间秘密留传,如果程式被当成犯罪工具,后果将无法预料;除了资料可以毫无痕迹地进行传递,它还会自动销毁浏览器上的快取以及历史浏览记录,因此看过影像档的人也不会被发现。
此外,Camera/Shy还可以轻易地将一整篇网页转译成gif 档,或者在网页中自动搜寻是否含有加密过后的gif 档,这种功能如果被用于企业的网站,难保企业或政府机关的机密资料不会被窃。更重要的是,目前市面上所有安全防护工具包括防火墙、入侵侦测、漏洞扫描、邮件内容检查等工具没有办法针对这样的影像处理手法进行预防。因此精诚公司呼吁企业及政府单位应该未雨绸缪及早因应并防止这一类新型犯罪手法的发生。
(http://www.dajiyuan.com)
