iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 20
2
Security

三十篇資安實例分享及解析系列 第 20

三十篇資安實例分享及解析DAY 20--東海大學計算機中心被駭,一企管系學生被收回畢業證書

『對於不喜歡的人,我沒必要去討好他,不瞭解我的人,我也不必非讓他瞭解我不可。』
                                                --銀河英雄傳說 楊威利名言

(1)事件:東海大學計算機中心被駭,一企管系學生被收回畢業證書 (新聞來源:https://video.udn.com/news/522248http://gotv.ctitv.com.tw/2016/07/235334.htm )
(2)被攻擊單位:東海大學計算機中心
(3)系統:東海大學教務處成績計算系統
(4)時間:2016年7月
(5)攻擊方式:不明

這是一個被收回畢業證書的企管系學生的故事….
本來以為畢業了,卻被沒收畢業證書,並且召回去補學分的地獄倒楣鬼…

假如在二十年後才發現一切都是駭客的陰謀,那....可是一門慘案啊!

有時候走在學校,會突然感覺回到學生時代一樣,那個時代總有些酸酸(應該說呆呆萌萌)的感覺,不知道是不是當時不成熟,或者說人生歷練不足的關係,每天似乎都想做點甚麼,但卻又做不了甚麼,想好好念書,卻始終一堆讀不懂,考試到了,常常臨時抱佛腳,考試一結束,就好像卸下千萬擔擔子一般,接著就是瘋狂的通霄玩樂,接著就是面對補考、補考、補考….飆淚/images/emoticon/emoticon02.gif,補考不過,就準備暑修,這樣感覺好像是種循環,循環又循環,突然間四年過去,男生就是去當個兩年兵,等到當兵時,才開始想著自己以後到底要做甚麼….

看到這篇新聞,我的感覺,這是資安的一個例子沒錯,但是,卻沒那麼重大,但是就想把它放到三十天的今天做分享,讀完這則新聞突然讓我有點處在過去學生時代與工作之間的橋樑上,怎麼說呢?

在大學時,筆者也真的好想去改成績,想想如果以當時的資安(資安根本不存在的年代),要竄改實在太容易了,可是這麼多年,為什麼學校計算機中心還是沒長進?過去就是那麼不安全,到今天還是不安全,真是不太懂為什麼?學校應該可以常辦幾個比賽,由學生組成駭客組VS.資安組對抗,就好像過去大家常聚起來玩世紀帝國、魔獸爭霸、星海爭霸一樣,這樣不是會變得很有趣嗎? 筆者大學時念企管系,大四的時候就要修企業政策的課程,一整個學期要Run一個business game,在模擬介面中,輸入不同參數,跟班上其他組競賽,在看績效,作分析報告,在競賽就覺得一整個課程活起來一樣,所有的辛苦,就為了一個目標努力,跟現在三十天鐵人賽一樣,辛苦就是為了成就鐵人一樣,總比枯燥的念著不知所云的課本要有趣多了。

其次,有網友留言「被駭那麼久才發現哦! 稽核機制呢?」

這我也很納悶,很多學校計中應該也常被駭吧?這也是長年來的歷史共業,但是,學校的稽核難道沒有去做內稽?針對計算機中心的內部流程提出缺失報告嗎?

稽核都是事後稽核,沒有所謂的事前稽核,所謂的事前的風險控制、事中的業務執行都是每個部門的負責人要負責的,畢竟只有部門最了解自己部門在做甚麼事情,流程、表單都是負責人寫出來的,不可能是稽核去幫部門寫的,稽核只是依照部門的流程、表單來進行覆核,檢視流程上有沒有問題,提出建議,簡單說,就像監察院一樣,頂多就是彈劾,絕對不能去干預立法及行政的權力。以計算機中心多年的日積月累,想必資安問題也是罄竹難書了,所以內部稽核在發生問題之後,就應該督促其檢討流程,開始追蹤流程改進情形,直到問題改善完成為止。

不過,筆者想想,這也是白說的,因為大部分人根本不懂稽核!


上一篇
三十篇資安實例分享及解析DAY 19--個資蟑螂集團,涉從不詳管道取得全台一億七千萬筆全民個資,自行開發系統,販售給房仲
下一篇
三十篇資安實例分享及解析DAY 21--多益測驗(TOEIC)遭駭,要求考生至ATM重新操作辦理退款或匯款,72位考生已遭詐騙
系列文
三十篇資安實例分享及解析30

尚未有邦友留言

立即登入留言