iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 8
2
Security

資安戰爭 三十六計系列 第 8

資安戰爭 三十六計之第8計:暗度陳倉

/images/emoticon/emoticon06.gif《原文注釋》:「示之以動,利其靜而有主,益動而巽。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 示之以動:以正面佯攻、佯動等軍事行動來迷惑敵方。
(2) 益動而巽:語出《易經•益》卦。這是說,動而合理,是天生地長,好處無窮。

/images/emoticon/emoticon33.gif《出處》:

在西漢演義以及元代戲曲中, 劉邦在漢中養精蓄銳後,派大將韓信進攻關中的「三秦」諸王。韓信為了迷惑敵人,一方面派少量士兵,假裝重修棧道;另一方面卻率領大軍,抄小路偷襲陳倉。由於三秦王以為漢軍會由棧道進攻,因此沒有在陳倉設防。結果漢軍迅速瓦解三秦,占領關中。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

「震盪波」(Sasser)自2004年8月30日起開始傳播,其破壞能力之大令法國一些新聞機構不得不關閉了衛星通訊。它還導致Delta航空公司取消了數個航班,全球範圍內的許多公司不得不關閉了系統。「震盪波」的傳播並非通過電子郵件,也不需要用戶的交互動作。

「震盪波」病毒是利用了未升級的Windows 2000/XP系統的一個安全漏洞。一旦成功複製,蠕蟲便主動掃描其他未受保護的系統並將自身傳播到那裡。受感染的系統會不斷發生崩潰和不穩定的情況。

「震盪波」是德國一名高中生編寫的,他在18歲生日那天釋放了這個病毒。由於編寫這些代碼的時候他還是個未成年人,德國一家法庭認定他從事計算機破壞活動,僅判了緩刑。

注意:中華民國刑法滿18歲即為成年人,民法為20歲。

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

有鑒於很多企業商業機密被商業間諜所竊取,筆者就在此篇簡單介紹一下,何謂營業秘密? 因為這部分刑責是刑法告訴乃論罪(意思是,必須要有被害者提出訴訟,國家才會追究被告的罪責),不是隨便可以撤回的,雖然我國刑法對於電腦犯罪還不是規範的很清楚,但是,罪責還是很重的,筆者覺得還是要了解。以下採用刑法的三階段犯罪理論來探討所謂機密外洩的問題:

(1) 構成要件:
在企業裡,不是所有資訊都是營業秘密的,要成為營業秘密是有條件的,大家可以參考營業秘密法第二條之規定:

https://ithelp.ithome.com.tw/upload/images/20190924/20107482GNf8OB5vMM.jpg

以上三個要件都要同時存在,才能稱為營業秘密。

(2) 違法性:
有了以上的構成要件,到了犯罪理論的第二個階層,就是探討是否有「阻卻違法的事實」,何謂「阻卻」? 簡言之,普通人拿刀剖肚子是犯罪的行為,但是醫生為了救助病患,醫生就不會構成犯罪的行為事實,再白話一點,就是行為「沒有」違法的事實。所以營業秘密法第十條有以下的規定,如果有以下的事實行為就是違法:

https://ithelp.ithome.com.tw/upload/images/20190924/20107482iEIMj1xU7Y.jpg

(3) 有責性:
當確定有以上的侵害行為,那麼就要來確定違反營業秘密的刑責,所以最後一個階段就是確認刑責的問題,這個就是「罪刑法定原則」,有法律依據才能判其有罪。我們可以看營業秘密法的第13、13-1、13-2、13-3、13-4條。請注意13-4該條有強調加重處分

https://ithelp.ithome.com.tw/upload/images/20190924/201074825mblkkIkWv.jpg

https://ithelp.ithome.com.tw/upload/images/20190924/201074827OajhaENnm.jpg

https://ithelp.ithome.com.tw/upload/images/20190924/20107482Id9aZtzTz3.jpg

https://ithelp.ithome.com.tw/upload/images/20190924/20107482nnYBel8ysu.jpg

了解完以上三個部分,筆者建議兩項防範措施,以下為參考:

1.機密文件需分級保管:公司的內部控制要很明確的寫清楚分級制度,如果有借閱,必須受到何種限制?並且需要有人陪同才能觀看,或者不准攜帶手機等照相設備等等,這些都需要嚴格規範,寫清楚,必要時,必須全程監控等都要明白寫入制度內,並定期審視,如有需要修改內規,都要董事會同意,才准更動。

2.強化保管設施:就如同機房管制一樣,要設定門禁、攝影機、出入登記,甚至連影印機、存取設備都要規範,筆者曾經到科學園區的幾家公司查核,有的公司幾乎進去都是要全面把身上的物品,交給門衛保管。

其實,在營業秘密的部分,很多具有研發的公司都設有高標準的控管,然而,有時候還是無法預防,營業機密一樣流出,這有些都是內部人所為,這已經有太多案例了,這些都是暗度陳倉的最佳範例,如何防範內賊,這部分就看公司自己識人的能力了,人還是最難預防的駭客!

總結:
(A)攻方:利用內部人職權,與外部串通,表面上執行業務,實為竊取機密。
(B)守方:確實做好內部控制,並且隨時與警方、政風等等單位合作,一有違法狀況立即通報。


上一篇
資安戰爭 三十六計之第7計:無中生有
下一篇
資安戰爭 三十六計之第9計:隔岸觀火
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言