Archive for 十月, 2010

信用卡防盜斗法


2010
10.21

附有大量個人資料的信用卡,一直是非法集團最熱銷的產品。這些地下經濟不法分子透過保安漏洞盜取資料,繼而在網上進行買賣交易,或是向駭客大量收買資料,制造假卡全球盜刷,並進行跨區域電郵詐騙活動,牟取暴利!

保安軟件公司賽門鐵克(Symantec)正式推出改良版PCI DSS信用卡個人資料防護系統,為所有涉及信用卡交易的商家、銀行及國內其他財務機構提供更先進的防護系統,進一步保障客戶資料遭人盜取。

然而,道高一尺,魔高一丈,世上沒有100%安全的防護系統,這一個增加12項基本條件及設有超過200個控制技術的防護系統,怎麼和不法分子“隔空斗法”?

PCI DSS 技術控制程序 保護網防洩資料

付款卡資料安全指標(Payment Card Industry Data Security Standard,簡稱PCI DSS)旨在提供一個全球化的廣泛保護網,設下重重障礙,阻擋不法分子盜竊他人資料,進行非法勾當。

這項指標可以說是所有涉及使用付款卡交易的單位都必須設置的“基本保安系統”,從一開始就設下保安閘,而不是事後追蹤,亡羊補牢。

以簡易和便捷為前提的PCI DSS,設有超過250項技術控制程序,同時附加12項不可或缺的基本條件。盡管沒有一項保安系統能達到100%保障,滴水不漏的完美地步,但若忽略這些基本條件,儼然是打開大門,歡迎盜匪“自便”!

全球保安系統各公司賽門鐵克(Symantec)調查顯示,2008年付款卡機密資料遭盜竊的機構,有81%是沒有安裝或啟動PCI DSS!

隨著資訊科技的日益精進,付款卡機密資料遭竊問題的嚴重,實非一般想象。追根究底,無處不是“卡”的年代,世界不但變得沒有疆界,更完全透明,小小的卡,成了記錄器和追蹤器,將一個人的機密和隱私攤開,無所遁形。

最重要的是,人心難測,偷盜機密資料者往往就是能直接接觸資料的第三者。所以,PCI DSS除了加強電腦防護系統,更延伸出針對“人”的基本條件,雙管齊下,將資料盜竊危機減到最低。

防護技術省時便捷

賽門鐵克企業系統工程及工藝顧問團(南亞區域)技術董事吳來喜及系統工程經理陳善龍皆強調,再好的系統,也需要顧及現實要求。

“延伸12項基本條件及200多項控制技術的PCI DSS,其中一項重點就是提供銀行、商家及涉及付款卡交易的機構既省時、便捷又節省資源及成本的防護技術,同時涵蓋基建、保安、運作和工藝科技機構等各層面。”

“這項科技的研發,旨在簡化資料防護系統的安裝及操作程序,截斷不法集團盜取付款卡資料的途徑。如此一來,有關單位既有最簡便的保安系統,又能減低付款卡處理過程中,資料可能遭盜取的危機。”

據了解,政府已要求所有提供、處理及接受信用卡、現金卡或購物卡的業者在9月杪期限之前,遵守付款卡資料安全標准,確保所有資料安全,未符合資格的公司,可能遭受當局懲罰。

付款卡資料安全指標(PCI DSS)12項基本條件:

1.安裝防火牆及後續維護工作
2.切忌使用任何電腦系統預設的密碼或安全參數
3.為已儲存的持卡人資料設置保護網
4.通過開放及公開網絡的持卡人資料傳輸進行加密工作
5.使用及隨時更新防毒軟件
6.檢核及監督防護系統的控制技術和運作的自動化排程
7.通過統一控制台限制接觸持卡人加密資料
8.為每個能使用系統的人發配特殊的身份辨識通行證,確認不同時段的使用者身份
9.限制直接接觸持卡人加密資料
10.追蹤及監督所有能接觸持卡人加密資料的輸入管道
11.日常檢查防護系統及啟動自動化掃描工具
12.嚴格執行持續性的防護政策,讓機構裡的所有人都有“機密資料”的警覺性

需求量最高的交易商品:盜賣資料

一張信用卡資料叫價僅僅1美元至30美元,乍聽之下,未免廉價得讓人難以置信。

然而,若我國2700萬人裡頭有28%人的信用卡資料被盜賣,試算一下是多少數額?再把范圍擴大至全球的話,單單盜賣信用卡資料所得暴利,就是一筆天文數字,而且還不包括從銀行戶口及電郵等各種管道盜取來的個人資料!

擅長資訊科技的不法集團盜取資料的手法和管道眾多,包括最普遍的信用卡、電郵賬戶及銀行戶口等等,售價從最低的1美元到125美元不等,也是全球最受歡迎及需求量最高的交易商品!

至於客戶資料最常被盜取的對象,首推金融機構,盜取率高達73%!其次是網絡服務供應商(10%),透過零售門市商盜取資料的則有5%。

根據賽門鐵克4月至6月期間所進行的一項調查,個人資料的售價高低,有3項決定因素——個人資料、保安精密度及交易數量。也就是說,保安越精密、資料內容越豐富以及交易數量越大,售價就越高。
建新技術 補充不足

據了解,PCI DSS是目前唯一讓美國運通、VISA和萬事達卡等公司都統一接受的防護系統,不能不說是一項巨大的進步,至少在PCI DSS出現之前,很難有一項防護系統,能取得幾家金融機構都同意或達到要求的標准,並讓涉及使用付款卡防護系統變得更加規范。

然而,有評論指出PCI DSS雖能起到警醒作用可,但實用程度卻未達到有效的系統,只能盡量滿足安全政策的基本要求,整體上來說還有不少缺漏。

內部外洩資料

其中一項有待改進的就是PCI DSS雖然采取必要的措施,例如定義防火牆要求等等,但必須努力控制“關鍵系統”(涉及持卡人資料的系統)及“關鍵網絡”,創建新的技術和附加標准,補充現有的不足。

此外,這項標准雖然“確保所有的系統組織和軟件都更新了供應商提供的罪行安全修補程序”,但目前最飽受爭議的問題關鍵就是,最大的安全疏漏都是由值得信賴的人造成,若只是改良資訊防護系統的功能,危機並沒降低多少。

再來就是“通過開放及公開網絡的持卡人資料傳輸進行加密工作”的問題。一直以來,持卡人最擔心也最難防范的是,資料外洩很很多時候是內部人員造成。在公開的網絡加密固然能用於互聯網,但對於機構內部的無線接入點卻未必有用,內部網絡的模糊地帶就在於,既非開放網絡,也不公開。

保安不保安?

根據該公司所掌握的資料,近兩年網絡保安頻頻被駭入,資料遭竊的罪案日趨嚴重,黑市交易在兩年前的市值大約2億7600萬美元,如今猛漲數至少3倍!

在2006年,有關網絡保安威脅的投報共有16萬7000宗,第二年卻暴增至70萬8000宗,足足上漲3.2倍!到了2008年,有關數據更增加至160萬宗,2009年再躍升81%至290萬宗!

網絡安全威脅案件數字猛漲,意味著現有的保安系統已無法“保安”,科技公司和濫用科技者之間的距離越來越大,只有跟上發展,拉近距離,才能確保資料安全。

就像大部分科技專員,吳來喜建議網絡用戶設置難破解的密碼、防火牆、不上傳個人資料至陌生網頁或無名網頁,以及加強隱私防護步驟等等。

這是因為懂得利用科技犯罪的人,都是精通科技者,只要竊入電郵或任何留下資料的系統,獲得密碼,就能銜接至銀行個人資料。

然而,道高一尺,魔高一丈,不論科技保安系統如何精進,不法分子始終還是能突破圍牆,達到竊取目的。

政府已於今年正式通過個人資料保護法令,而工藝科技機構也已做好本身的工作,不斷研發更精進的防護系統,但即使商業機構都遵守條例,提升保安防護系統,防護系統依然是由接收及儲存資料者采取主動安裝,才能啟動運作。

說到底,資料主人本身還是處於被動,毫無主導的防護權。PCI DSS又能給予客戶多大的保障?

吳來喜坦言,沒有一項保安系統能100%保障安全,但總要盡力而為,將危機減到最微。

教部:6月LINUS小學測試‧65%掌握國語、74%掌握精算


2010
10.21

(吉隆坡21日訊)教育部副總監拿督諾麗占說,識字與精算計劃(LINUS)的國文和數學測試顯示,今年6月有65%學生掌握國語識字能力及有74%學生掌握精算能力。

她說,在今年3月首次進行的LINUS,只有36%學生掌握國語識字能力,而掌握精算能力的學生有45%。

“我們的目標是90%的一年級學生都能掌握基本的識字與精算能力,我們希望9月進行的最後一次測試能有90%的學生達標。”

她今日出席全國校長職工會第二十七屆代表大會暨教育研討會,主講“國家教育改革”時說,識字與精算計劃(LINUS)是一項國文和數學測試,並非一項考試。

“這項測試主要是瞭解學生的識字與精算能力,並從中給予適當的協助,學校和家長不瞭解,所以在開始時有反對的聲浪。”

她說,教育部希望一年級學生升上二年級時,有95%的學生掌握基本讀寫算能力,而三年級時有100%學生能掌握這些能力。

她說,基本的讀寫算是非常重要的,若學生在一至三年級無法掌握這些技能將會面對很大的問題。

“在一些國家,博士生被安排教小學一年級,我們將來也會安排高級老師教低年級學生。”