2009-02-20 03:26:00
(本報記者林意善紐約報道)布碌崙華裔居民逐年增加的威廉斯堡區上周先後發3宗住宅被盜竊案件,其中包括一名華裔受害者,這名從事藝術工作的華裔男子遭匪盜走一部新買的蘋果電腦、iPod和一條價值千元的手鏈。 30歲的華裔男子當時因故公幹出遠門,於14日才回到位於Ten Eyck街的公寓,他進入公寓後發現公寓內遭人翻箱倒篋亂成一團,經檢查後發現上述電腦等物不翼而飛。警方調查懷疑受害者一個靠近走火梯的窗戶沒有關上,導致人數不明竊匪拉開窗戶進入公寓內,警方調查時曾有鄰居表示曾從公寓內聽到噪音,但沒有查看也沒有報警。 另一宗盜竊案件發生在南2街的一間公寓,警方懷疑竊匪是於13日上午11時至下午2時之間進入公寓,43歲的白人男子被偷走手提電腦,iPod和一些首飾,損失不菲。警方懷疑竊匪從正門進入,因為居住在該棟樓的民眾表示,公寓樓下的鐵門經常沒有上鎖。 第3宗盜竊案件也在14日發生,50歲的婦女報警指出,位於哈里申大道夾美西街的公寓遭人潛入,公寓內放有現款1000元與美國護照遭人盜走,為準備在最近出國的受害者製造麻煩。
2009年4月20日 星期一
全球最強木馬曝光 60萬金融用戶受損
2009-03-20 01:21:08
RSA FraudAction研究實驗室根據對Sinowal木馬,也稱為Torpig和Mebroot,進行的跟蹤和研究,結果另人大吃一驚,這可能是欺詐者曾經創建的最普遍和最先進的犯罪軟件。
最近我們發現,追溯到2006年2月,Sinowal木馬已經破壞並竊取了大約30萬個網上銀行帳戶的登錄憑証,以及相同數量的信用卡和借記卡。其他如電子郵件和眾多網站的FTP帳戶等信息,也受到了損害和盜竊。
Sinowal一直是業內謠言和猜測的話題,但關于其來源地信息卻知之甚少。人們通常更了解其他木馬程序的來源。有的聲稱,它是俄羅斯網上團伙擁有和操縱的,即臭名昭著的俄羅斯商業網(RBN)。我們的數據証實了Sinowal木馬在過去確實與RBN有著極為緊密的聯系,但我們的研究表明,目前Sinowal的托管設施可能已經發生了變化,不再與RBN有關。
那麼,為什麼Sinowal對于連接互聯網的用戶來說,是最為嚴重的威脅之一?
簡而言之,Sinowal在沒有任何痕跡的情況下感染受害者的電腦。Sinowal背後的犯罪分子不僅創建了極其先進的惡意犯罪軟件,而且還維護著一個極其隱蔽和可靠的通信基礎設施。這個基礎設施已經讓Sinowal收集並傳送了將近三年的信息。此外,盜竊的數據在一個組織良好的數據倉庫中得到了系統的組織。近三年的時間,對于一個網上團伙維持其生命周期和操控,以有效利用一個木馬程序來說,已經是一個非常非常長的時間了。
我們很少遇到自2006年以來,一直在不斷竊取和收集個人信息和支付卡數據的犯罪軟件。除了其漫長的生命期外,Sinowal也有著巨大幅度的演變──它的攻擊率從今年的3月到9月有了急劇的攀升。
Sinowal木馬的創建者會定期發布新的變種,並登記成千上萬的互聯網域名作為其通信資源。這樣做的目的是為了能使木馬不間斷地掌控受感染的計算機。
Sinowal如何運作的研究成果
如同其他木馬,Sinowal使用了HTML注入功能,有效地將新的網頁或信息字段注入到受害者的互聯網瀏覽器──而這些注入的內容對受害者來說,看起來像是合法的網頁。比如,Sinowal能夠假冒對不知情的受害者提示輸入個人信息,如社會安全號碼和其他詳細信息,而他們的銀行卻在以前承諾過永遠不會要求在網上提供這些個人信息。即使這樣的提示並不是盜竊憑証和其他信息的新方法──對我們危害最大的是那些導致Sinowal實際啟動這一提示和其他功能的大量URL“觸發器”(雖然像這樣的提示並不是什麼竊取憑証或其它信息的新方法──但對我們危害最大的其實是那些數量龐大的URL“觸發器”,這些“觸發器”真正喚起Sinowal並彈出類似的這種提示或其它功能。):Sinowal被超過2700個特
RSA FraudAction研究實驗室根據對Sinowal木馬,也稱為Torpig和Mebroot,進行的跟蹤和研究,結果另人大吃一驚,這可能是欺詐者曾經創建的最普遍和最先進的犯罪軟件。
最近我們發現,追溯到2006年2月,Sinowal木馬已經破壞並竊取了大約30萬個網上銀行帳戶的登錄憑証,以及相同數量的信用卡和借記卡。其他如電子郵件和眾多網站的FTP帳戶等信息,也受到了損害和盜竊。
Sinowal一直是業內謠言和猜測的話題,但關于其來源地信息卻知之甚少。人們通常更了解其他木馬程序的來源。有的聲稱,它是俄羅斯網上團伙擁有和操縱的,即臭名昭著的俄羅斯商業網(RBN)。我們的數據証實了Sinowal木馬在過去確實與RBN有著極為緊密的聯系,但我們的研究表明,目前Sinowal的托管設施可能已經發生了變化,不再與RBN有關。
那麼,為什麼Sinowal對于連接互聯網的用戶來說,是最為嚴重的威脅之一?
簡而言之,Sinowal在沒有任何痕跡的情況下感染受害者的電腦。Sinowal背後的犯罪分子不僅創建了極其先進的惡意犯罪軟件,而且還維護著一個極其隱蔽和可靠的通信基礎設施。這個基礎設施已經讓Sinowal收集並傳送了將近三年的信息。此外,盜竊的數據在一個組織良好的數據倉庫中得到了系統的組織。近三年的時間,對于一個網上團伙維持其生命周期和操控,以有效利用一個木馬程序來說,已經是一個非常非常長的時間了。
我們很少遇到自2006年以來,一直在不斷竊取和收集個人信息和支付卡數據的犯罪軟件。除了其漫長的生命期外,Sinowal也有著巨大幅度的演變──它的攻擊率從今年的3月到9月有了急劇的攀升。
Sinowal木馬的創建者會定期發布新的變種,並登記成千上萬的互聯網域名作為其通信資源。這樣做的目的是為了能使木馬不間斷地掌控受感染的計算機。
Sinowal如何運作的研究成果
如同其他木馬,Sinowal使用了HTML注入功能,有效地將新的網頁或信息字段注入到受害者的互聯網瀏覽器──而這些注入的內容對受害者來說,看起來像是合法的網頁。比如,Sinowal能夠假冒對不知情的受害者提示輸入個人信息,如社會安全號碼和其他詳細信息,而他們的銀行卻在以前承諾過永遠不會要求在網上提供這些個人信息。即使這樣的提示並不是盜竊憑証和其他信息的新方法──對我們危害最大的是那些導致Sinowal實際啟動這一提示和其他功能的大量URL“觸發器”(雖然像這樣的提示並不是什麼竊取憑証或其它信息的新方法──但對我們危害最大的其實是那些數量龐大的URL“觸發器”,這些“觸發器”真正喚起Sinowal並彈出類似的這種提示或其它功能。):Sinowal被超過2700個特
2009年4月18日 星期六
MySpace員工因竊取個人機密信息被捕
2009-04-17 06:30:09
新浪科技訊 北京時間4月17日晚間消息,據國外媒體報道,MySpace周三寫郵件給員工稱,因“停電”關閉辦公室一天,該公司周一曾發郵件表示,一名員工因竊取機密信息被捕。
該公司在周一發給員工的郵件中稱,這名原公司福利部門的員工竊取的機密信息“至少”包括員工的姓名、社會保險號和工資,但沒有証據顯示所竊取的信息包括員工的銀行帳號、保險受益人和個人醫療記錄。郵件稱,該員工自2008年6月或更早時候開始竊取這些信息,其目的是為了“騷擾”部分員工。目前該員工已被捕,且將面臨來自洛杉磯地方檢察官辦公室高科技犯罪部門的起訴。該郵件要求員工對“可能的身份竊取與欺騙行為保持警惕”。
MySpace周三發郵件給員工稱,由于周四上午9點至下午6點停電,辦公室將關閉,郵件要求員工在家上班。(肖恩)
新浪科技訊 北京時間4月17日晚間消息,據國外媒體報道,MySpace周三寫郵件給員工稱,因“停電”關閉辦公室一天,該公司周一曾發郵件表示,一名員工因竊取機密信息被捕。
該公司在周一發給員工的郵件中稱,這名原公司福利部門的員工竊取的機密信息“至少”包括員工的姓名、社會保險號和工資,但沒有証據顯示所竊取的信息包括員工的銀行帳號、保險受益人和個人醫療記錄。郵件稱,該員工自2008年6月或更早時候開始竊取這些信息,其目的是為了“騷擾”部分員工。目前該員工已被捕,且將面臨來自洛杉磯地方檢察官辦公室高科技犯罪部門的起訴。該郵件要求員工對“可能的身份竊取與欺騙行為保持警惕”。
MySpace周三發郵件給員工稱,由于周四上午9點至下午6點停電,辦公室將關閉,郵件要求員工在家上班。(肖恩)
2008年10月20日 星期一
美破最大信用卡資料竊案
(明報)8月7日 星期四 05:10
【明報專訊】美國破獲歷來最大宗信用卡資料盜竊案,11名來自多國的疑犯,包括兩名中國人及一名美國特工部門的線人,涉嫌入侵9大型商家的電腦系統,盜取逾4100萬張信用卡號碼,將之出售圖利。
涉4100萬卡資料 兩華人涉案
11名被告包括2中國人(Chiu Hung-Ming及Wang Zhi-Zhi,譯音趙鴻明和王志之)、3美國人、3烏克蘭人、1愛沙尼亞人及1白俄羅斯人,還有一人背景不詳。他們被控串謀行騙、電腦入侵、欺詐及身分盜竊罪。司法部指疑犯涉嫌入侵9大型商家,包括TJX Cos.及OfficeMaxt等的電腦系統,取得客戶的信用卡號碼、密碼及戶口資料。律師沙利文(Michael Sullivan)表示,儘管大部分受影響客戶都在美國境內,但仍未能確認所有客戶身分,「我懷疑大部分受影響客戶都不知自己資料被盜用」。
調查始於2006年尾。沙利文指疑犯都不是電腦奇才,2003年開始犯案,利用「掃台」(wardriving)技術,駕着裝了Wi-Fi裝置的車,拿着手提電腦,「漫遊」各地,找尋可連線的無線網絡信號。當找到容易入侵的網絡後,疑犯再秘密加裝監視網絡狀態、數據流動情况的程式,竊取卡號碼、密碼及客戶資料,然後將所得資料儲存在美國、烏克蘭及拉脫維亞的已加密伺服器上。有關犯罪集團在東歐、菲律賓、中國及泰國活躍,部分疑犯仍在美國境外。
美聯社/有線新聞網絡
【明報專訊】美國破獲歷來最大宗信用卡資料盜竊案,11名來自多國的疑犯,包括兩名中國人及一名美國特工部門的線人,涉嫌入侵9大型商家的電腦系統,盜取逾4100萬張信用卡號碼,將之出售圖利。
涉4100萬卡資料 兩華人涉案
11名被告包括2中國人(Chiu Hung-Ming及Wang Zhi-Zhi,譯音趙鴻明和王志之)、3美國人、3烏克蘭人、1愛沙尼亞人及1白俄羅斯人,還有一人背景不詳。他們被控串謀行騙、電腦入侵、欺詐及身分盜竊罪。司法部指疑犯涉嫌入侵9大型商家,包括TJX Cos.及OfficeMaxt等的電腦系統,取得客戶的信用卡號碼、密碼及戶口資料。律師沙利文(Michael Sullivan)表示,儘管大部分受影響客戶都在美國境內,但仍未能確認所有客戶身分,「我懷疑大部分受影響客戶都不知自己資料被盜用」。
調查始於2006年尾。沙利文指疑犯都不是電腦奇才,2003年開始犯案,利用「掃台」(wardriving)技術,駕着裝了Wi-Fi裝置的車,拿着手提電腦,「漫遊」各地,找尋可連線的無線網絡信號。當找到容易入侵的網絡後,疑犯再秘密加裝監視網絡狀態、數據流動情况的程式,竊取卡號碼、密碼及客戶資料,然後將所得資料儲存在美國、烏克蘭及拉脫維亞的已加密伺服器上。有關犯罪集團在東歐、菲律賓、中國及泰國活躍,部分疑犯仍在美國境外。
美聯社/有線新聞網絡
法學專家:ATM機不是分支機構無需辦執照
2008年08月07日 20:09 中國新聞社
ATM機等自助銀行設施“到底是不是公司法、商業銀行法意義上的分支機構”,“要不要辦理營業執照?”“ATM機真正的問題是什麼?”8月1日,檢察日報社法律經濟部和正義網邀請中國法學會商法學研究會會長王保樹等知名法律學者會診“ATM機涉嫌無照經營”問題。與會專家一致認為,ATM機等自助銀行設施,屬於持有營業執照的商業銀行實施的營業活動,不存在無照經營問題,但其安全保障措施確實值得進一步完善。
一、 ATM機等自助銀行設施是否需要辦理營業執照
【核心提示:營業執照是工商管理部門對特定經營主體實施監管的手段,是對人和行為的管理。而ATM機等自助銀行設施在本質上屬於機器,不存在需要頒發營業執照的可能性。】
主持人:近段時間,網絡上關于ATM機等自助銀行設施涉嫌“無照經營”的討論似有尺水丈波之勢。在我們的通常觀念中,在ATM機等自助銀行設施存取款與在銀行櫃台存取款並無二致,兩者都是同銀行進行交易,而銀行是領有金融業務許可証和營業執照的。請問,ATM機等自助銀行設施究竟應否辦理營業執照?
管曉峰:討論ATM機等自助銀行設施要不要辦理營業執照,首先需要了解營業執照的本質和功能。營業執照是政府對特定營業機構實施的監督管理,這種管理主要是對人和人的行為實施的管理。而ATM機等自助銀行設施,只是按照預定程序運行的機器,從法理上看是不需要也不可能用營業執照去監管的。實質上,ATM機等自助銀行設施只是銀行員工行為的技術延長而已,由於對銀行員工行為的監管已被商業銀行成立時領取的營業執照所承擔,故不需要就此再次頒發營業執照。另外,從客觀上看,ATM機等自助銀行設施只是一個機器,本身沒有思維,用監管人的辦法去監管沒有思維的機器,是不尊重客觀事實的。
董安生:我贊同ATM機等自助銀行設施不需要辦理營業執照的觀點。營業執照要解決的問題是經營主體是否具備從事特定經營行為的能力,即其資金、人員、機構、場所能否滿足經營需要。ATM機等自助銀行設施的情況與營業執照的目的是不相吻合的。如果非要讓ATM機等自助銀行設施辦理營業執照,那麼其勢必與原有的規則發生衝突,從而引發新問題。
王保樹:確實如此。如果ATM機辦理了營業執照,那麼按照現在的訴訟規則,儲戶在ATM機上存取款發生爭議時就只能告ATM機了。實際上,ATM機既不可能成為任何合同的主體,也不可能成為侵權或被侵權的主體。當ATM機交易出現糾紛時,主張權利或者承擔責任的只能是設立ATM機的商業銀行。否則,我們習以為常的交易觀念和交易規則就會被打亂。
根據公司法的規定,頒發營業執照,就意味著取得營業資格。商業銀行成立並取得營業執照後,就可以自主從事存款、放款、貨幣兌換等活動。ATM機等自助銀行設施,只是商業銀行的經營活動或者經營方式,只要設立ATM機等自助銀行設施的商業銀行具有存款、放款、轉賬、貨幣兌換等經營範圍,在ATM機等自助銀行設施上進行存款、放款、轉賬、貨幣兌換等交易就是合法的,不需要另行辦理營業執照。
張開平:現在的ATM機等自助銀行設施並非沒有監管,更不是要等到辦理了營業執照後才有監管。設置ATM機等自助銀行設施,必須經過商業銀行總行批准或授權,並經當地銀監局審批或備案。
二、ATM機等自助銀行設施是不是銀行的分支機構
【核心提示:判斷ATM機等自助銀行設施是否屬於分支機構的主要依據是公司法和商業銀行法,根據公司法和公司登記管理條例的規定,自助銀行設施顯然不具備成立分支機構所需要的資金、人員、場地等條件。】
主持人:如果說ATM機等自助銀行設施不需要辦理營業執照,那麼如何解釋銀監會關于自助銀行屬於商業銀行分支機構的規定?因為按照銀監會的這一規定,既然自助銀行屬於商業銀行的分支機構,那麼依據商業銀行法關于商業銀行分支機構必須辦理營業執照的規定,ATM機等自助銀行設施也應該辦理營業執照。這正是工商部門指出ATM機等自助銀行設施涉嫌無照經營的原因所在。
王保樹:這個問題看似矛盾實非矛盾。判斷ATM機等自助銀行設施要不要辦理營業執照的關鍵點,實際在于ATM機等自助銀行設施是不是銀行的分支機構。這個問題應從兩方面來分析。首先,判斷某一實體是不是公司的分支機構,必須依據公司法、商業銀行法等相關組織法的規定進行。雖然公司法、商業銀行法本身並沒有明確規定公司設立分支機構的具體條件,但是根據公司登記管理條例第四十八條規定,設立分公司,應當向公司登記機關提交下列文件:(1)公司法定代表人簽署的設立分公司的登記申請書;(2)公司章程以及加蓋公司印章的《企業法人營業執照》複印件;(3)營業場所使用証明;(4)分公司負責人任職文件和身份証明;(5)國家工商行政管理總局規定要求提交的其他文件。顯然,ATM機等自助銀行設施並不具備上述條件,不應該被視為是分支機構。其次,銀監會《中資商業銀行行政許可事項實施辦法》第三十六條規定自助銀行屬於商業銀行的分支機構,是從行政許可管理的需要將自助銀行視為分支機構。作為一個解決許可事項的規章,這一辦法不能作為界定ATM機等自助銀行設施是否屬於公司分支機構的依據。ATM機等自助銀行設施是否屬於商業銀行的分支機構,是一個組織問題,必須依據有關組織法的規定確認。
張開平:《中資商業銀行行政許可事項實施辦法》第三十六條,要解決的是銀行監督管理機構的管轄權問題,即確立商業銀行的哪些經營活動必須經過其審批。這樣的規定,當然不可以作為界定ATM機等自助銀行設施的法律地位的依據。
三、ATM機等自助銀行設施真正的問題是什麼
【核心提示:安全問題是ATM機等自助銀行設施的最大問題,辦理營業執照並不能保障這一安全。】
主持人:實際上,ATM機等自助銀行設施涉嫌無照經營的說法,之所以能如此一呼百應,原因在于消費者對它的服務質量存有不滿。從這個意義上說,問題的實質可能並不是要不要辦理營業執照,而是如何提升服務質量。
董安生:現在ATM機等自助銀行設施存在的問題不少,如吞卡、吐假幣、多吐少吐、密碼被竊,等等。總歸起來說,最大的問題就是安全問題和出了安全問題如何劃分責任。這恐怕就是出現ATM機等自助銀行設施要不要辦理營業執照爭議的症結所在。很遺憾,目前解決ATM機等自助銀行設施的安全問題主要是依賴相關市場主體之間的合同約定,尚缺乏統一施行的強制性規則。如關于商業銀行與中間業務企業在ATM機安全問題上的責任劃分。
張開平:不僅需要在商業銀行與中間業務企業之間劃分好責任,而且需要在商業銀行、中間業務企業與消費者之間劃分好責任。最近鄭州有一客戶在ATM機上取款時被吞卡,吞卡期間卡上的錢少了1萬元,銀行對此卻拒絕負責,客戶不得不起訴銀行,銀行一審、二審都敗訴了。很明顯,除非這個客戶進行了網上銀行業務(這一行為銀行很容易查清),否則,卡是在ATM機內,即在銀行的占有和控制下受到了損失,說明銀行的安全系統存在問題,當然應該由銀行負責,還用經過兩審嗎?這一事件從一個側面反映,目前有關ATM機等自助銀行設施安全問題的基礎性規則明顯欠缺。如何公平解決ATM機等自助銀行設施的提供者與使用者之間的糾紛,才是ATM機等自助銀行設施真正的問題所在。在這個問題的解決上,首先需要樹立一個基本判斷,那就是,作為ATM機等自助銀行設施的提供者和最終控制者,商業銀行應該比使用者承擔更多的責任。其次需要銀行業監管機構進一步履行好監管職責,不能只審批、發放許可証而不履行監管義務。銀行業監管機構必須在銀行利益和消費者利益的平衡上發揮積極作用。
王保樹:行政許可,既是許可,也是監督。許可設立ATM機等自助銀行設施,對銀行業監管機構而言,既是它的權力,也是它的責任,不能只行使權力而不承擔責任。對於被許可的ATM機等自助銀行設施,銀行業監管機構負有相應的責任,有義務採取相應措施維護使用安全。維護ATM機等自助銀行設施的安全,不是一個簡單的通過頒發營業執照可以解決的問題。
網上觀點澄清
1.既然法律規定了ATM機要辦理營業執照,那就應該辦理,如果認為無必要,那就應該修改法律。
【目前沒有任何法律、法規、規章明確規定ATM機等自助銀行設施需要辦理營業執照,《公司法》和《商業銀行法》只是規定中國公司的分公司或外國公司的分支機構、商業銀行的分支機構需要辦理營業執照;也沒有任何法律、法規明確規定ATM機等自助銀行設施屬於商業銀行的分支機構。2006年銀監會修改通過的《中資商業銀行行政許可事項實施辦法》僅是從行政許可的意義上將自助銀行設施視為商業銀行的分支機構,且其屬於規章。】
2.有管轄權的工商部門可以直接依據《公司法》、《商業銀行法》賦予的法定權利對無照經營的ATM機等自助銀行進行監管。
【依據《公司法》和《商業銀行法》的規定,工商部門可以對應當辦理營業執照但未辦理營業執照的公司、商業銀行及其分支機構的非法經營行為實施取締和罰款,但對ATM機等自助銀行實施上述措施,必須以ATM機等自助銀行設施應當辦理營業執照為前提。】
3.如果ATM機不是商業銀行的分支機構,那麼許霆偷竊ATM機上的錢就不能定性為盜竊金融機構。
【ATM機是不是商業銀行的分支機構,與認定盜竊ATM機屬不屬於盜竊金融機構,彼此之間並無關係。不管ATM機的主體地位如何,ATM機終歸是商業銀行的一部分。盜竊ATM機上的錢,當然就是盜竊商業銀行的錢。】(作者:曾憲文 孟澍菲)
相關鏈接
2008年7月底,北京律師董正偉向國家工商行政管理總局提起行政複議並舉報,要求查處各地商業銀行自助銀行無照經營行為。董正偉認為,單個的ATM取款機可以不辦理營業執照,但是多台ATM存、取款機或者ATM具有自助的存、取款功能時,它就是具有營業功能的經營性機構,違反了《商業銀行法》和《企業登記管理條例》等法律法規的規定,應當依法辦理營業執照。
此前,浙江省桐鄉市工商部門通過調查發現,當地遍布于商場、超市等場所的ATM機等自助銀行設施均沒有辦理營業執照。浙江省桐鄉市工商局指出,銀監會《中資商業銀行行政許可事項實施辦法》第三十六條規定,中資商業銀行設立的境內分支機構包括自助銀行設施等;而按照《商業銀行法》第二十一條規定,經批准設立的商業銀行分支機構,由銀行業監督管理機構頒發經營許可証,並憑該許可証向工商行政管理部門辦理登記,領取營業執照。因此,ATM機等自助銀行設施涉嫌無照經營。
(見中新網杭州7月29日電) 【編輯:朱鵬英】
ATM機等自助銀行設施“到底是不是公司法、商業銀行法意義上的分支機構”,“要不要辦理營業執照?”“ATM機真正的問題是什麼?”8月1日,檢察日報社法律經濟部和正義網邀請中國法學會商法學研究會會長王保樹等知名法律學者會診“ATM機涉嫌無照經營”問題。與會專家一致認為,ATM機等自助銀行設施,屬於持有營業執照的商業銀行實施的營業活動,不存在無照經營問題,但其安全保障措施確實值得進一步完善。
一、 ATM機等自助銀行設施是否需要辦理營業執照
【核心提示:營業執照是工商管理部門對特定經營主體實施監管的手段,是對人和行為的管理。而ATM機等自助銀行設施在本質上屬於機器,不存在需要頒發營業執照的可能性。】
主持人:近段時間,網絡上關于ATM機等自助銀行設施涉嫌“無照經營”的討論似有尺水丈波之勢。在我們的通常觀念中,在ATM機等自助銀行設施存取款與在銀行櫃台存取款並無二致,兩者都是同銀行進行交易,而銀行是領有金融業務許可証和營業執照的。請問,ATM機等自助銀行設施究竟應否辦理營業執照?
管曉峰:討論ATM機等自助銀行設施要不要辦理營業執照,首先需要了解營業執照的本質和功能。營業執照是政府對特定營業機構實施的監督管理,這種管理主要是對人和人的行為實施的管理。而ATM機等自助銀行設施,只是按照預定程序運行的機器,從法理上看是不需要也不可能用營業執照去監管的。實質上,ATM機等自助銀行設施只是銀行員工行為的技術延長而已,由於對銀行員工行為的監管已被商業銀行成立時領取的營業執照所承擔,故不需要就此再次頒發營業執照。另外,從客觀上看,ATM機等自助銀行設施只是一個機器,本身沒有思維,用監管人的辦法去監管沒有思維的機器,是不尊重客觀事實的。
董安生:我贊同ATM機等自助銀行設施不需要辦理營業執照的觀點。營業執照要解決的問題是經營主體是否具備從事特定經營行為的能力,即其資金、人員、機構、場所能否滿足經營需要。ATM機等自助銀行設施的情況與營業執照的目的是不相吻合的。如果非要讓ATM機等自助銀行設施辦理營業執照,那麼其勢必與原有的規則發生衝突,從而引發新問題。
王保樹:確實如此。如果ATM機辦理了營業執照,那麼按照現在的訴訟規則,儲戶在ATM機上存取款發生爭議時就只能告ATM機了。實際上,ATM機既不可能成為任何合同的主體,也不可能成為侵權或被侵權的主體。當ATM機交易出現糾紛時,主張權利或者承擔責任的只能是設立ATM機的商業銀行。否則,我們習以為常的交易觀念和交易規則就會被打亂。
根據公司法的規定,頒發營業執照,就意味著取得營業資格。商業銀行成立並取得營業執照後,就可以自主從事存款、放款、貨幣兌換等活動。ATM機等自助銀行設施,只是商業銀行的經營活動或者經營方式,只要設立ATM機等自助銀行設施的商業銀行具有存款、放款、轉賬、貨幣兌換等經營範圍,在ATM機等自助銀行設施上進行存款、放款、轉賬、貨幣兌換等交易就是合法的,不需要另行辦理營業執照。
張開平:現在的ATM機等自助銀行設施並非沒有監管,更不是要等到辦理了營業執照後才有監管。設置ATM機等自助銀行設施,必須經過商業銀行總行批准或授權,並經當地銀監局審批或備案。
二、ATM機等自助銀行設施是不是銀行的分支機構
【核心提示:判斷ATM機等自助銀行設施是否屬於分支機構的主要依據是公司法和商業銀行法,根據公司法和公司登記管理條例的規定,自助銀行設施顯然不具備成立分支機構所需要的資金、人員、場地等條件。】
主持人:如果說ATM機等自助銀行設施不需要辦理營業執照,那麼如何解釋銀監會關于自助銀行屬於商業銀行分支機構的規定?因為按照銀監會的這一規定,既然自助銀行屬於商業銀行的分支機構,那麼依據商業銀行法關于商業銀行分支機構必須辦理營業執照的規定,ATM機等自助銀行設施也應該辦理營業執照。這正是工商部門指出ATM機等自助銀行設施涉嫌無照經營的原因所在。
王保樹:這個問題看似矛盾實非矛盾。判斷ATM機等自助銀行設施要不要辦理營業執照的關鍵點,實際在于ATM機等自助銀行設施是不是銀行的分支機構。這個問題應從兩方面來分析。首先,判斷某一實體是不是公司的分支機構,必須依據公司法、商業銀行法等相關組織法的規定進行。雖然公司法、商業銀行法本身並沒有明確規定公司設立分支機構的具體條件,但是根據公司登記管理條例第四十八條規定,設立分公司,應當向公司登記機關提交下列文件:(1)公司法定代表人簽署的設立分公司的登記申請書;(2)公司章程以及加蓋公司印章的《企業法人營業執照》複印件;(3)營業場所使用証明;(4)分公司負責人任職文件和身份証明;(5)國家工商行政管理總局規定要求提交的其他文件。顯然,ATM機等自助銀行設施並不具備上述條件,不應該被視為是分支機構。其次,銀監會《中資商業銀行行政許可事項實施辦法》第三十六條規定自助銀行屬於商業銀行的分支機構,是從行政許可管理的需要將自助銀行視為分支機構。作為一個解決許可事項的規章,這一辦法不能作為界定ATM機等自助銀行設施是否屬於公司分支機構的依據。ATM機等自助銀行設施是否屬於商業銀行的分支機構,是一個組織問題,必須依據有關組織法的規定確認。
張開平:《中資商業銀行行政許可事項實施辦法》第三十六條,要解決的是銀行監督管理機構的管轄權問題,即確立商業銀行的哪些經營活動必須經過其審批。這樣的規定,當然不可以作為界定ATM機等自助銀行設施的法律地位的依據。
三、ATM機等自助銀行設施真正的問題是什麼
【核心提示:安全問題是ATM機等自助銀行設施的最大問題,辦理營業執照並不能保障這一安全。】
主持人:實際上,ATM機等自助銀行設施涉嫌無照經營的說法,之所以能如此一呼百應,原因在于消費者對它的服務質量存有不滿。從這個意義上說,問題的實質可能並不是要不要辦理營業執照,而是如何提升服務質量。
董安生:現在ATM機等自助銀行設施存在的問題不少,如吞卡、吐假幣、多吐少吐、密碼被竊,等等。總歸起來說,最大的問題就是安全問題和出了安全問題如何劃分責任。這恐怕就是出現ATM機等自助銀行設施要不要辦理營業執照爭議的症結所在。很遺憾,目前解決ATM機等自助銀行設施的安全問題主要是依賴相關市場主體之間的合同約定,尚缺乏統一施行的強制性規則。如關于商業銀行與中間業務企業在ATM機安全問題上的責任劃分。
張開平:不僅需要在商業銀行與中間業務企業之間劃分好責任,而且需要在商業銀行、中間業務企業與消費者之間劃分好責任。最近鄭州有一客戶在ATM機上取款時被吞卡,吞卡期間卡上的錢少了1萬元,銀行對此卻拒絕負責,客戶不得不起訴銀行,銀行一審、二審都敗訴了。很明顯,除非這個客戶進行了網上銀行業務(這一行為銀行很容易查清),否則,卡是在ATM機內,即在銀行的占有和控制下受到了損失,說明銀行的安全系統存在問題,當然應該由銀行負責,還用經過兩審嗎?這一事件從一個側面反映,目前有關ATM機等自助銀行設施安全問題的基礎性規則明顯欠缺。如何公平解決ATM機等自助銀行設施的提供者與使用者之間的糾紛,才是ATM機等自助銀行設施真正的問題所在。在這個問題的解決上,首先需要樹立一個基本判斷,那就是,作為ATM機等自助銀行設施的提供者和最終控制者,商業銀行應該比使用者承擔更多的責任。其次需要銀行業監管機構進一步履行好監管職責,不能只審批、發放許可証而不履行監管義務。銀行業監管機構必須在銀行利益和消費者利益的平衡上發揮積極作用。
王保樹:行政許可,既是許可,也是監督。許可設立ATM機等自助銀行設施,對銀行業監管機構而言,既是它的權力,也是它的責任,不能只行使權力而不承擔責任。對於被許可的ATM機等自助銀行設施,銀行業監管機構負有相應的責任,有義務採取相應措施維護使用安全。維護ATM機等自助銀行設施的安全,不是一個簡單的通過頒發營業執照可以解決的問題。
網上觀點澄清
1.既然法律規定了ATM機要辦理營業執照,那就應該辦理,如果認為無必要,那就應該修改法律。
【目前沒有任何法律、法規、規章明確規定ATM機等自助銀行設施需要辦理營業執照,《公司法》和《商業銀行法》只是規定中國公司的分公司或外國公司的分支機構、商業銀行的分支機構需要辦理營業執照;也沒有任何法律、法規明確規定ATM機等自助銀行設施屬於商業銀行的分支機構。2006年銀監會修改通過的《中資商業銀行行政許可事項實施辦法》僅是從行政許可的意義上將自助銀行設施視為商業銀行的分支機構,且其屬於規章。】
2.有管轄權的工商部門可以直接依據《公司法》、《商業銀行法》賦予的法定權利對無照經營的ATM機等自助銀行進行監管。
【依據《公司法》和《商業銀行法》的規定,工商部門可以對應當辦理營業執照但未辦理營業執照的公司、商業銀行及其分支機構的非法經營行為實施取締和罰款,但對ATM機等自助銀行實施上述措施,必須以ATM機等自助銀行設施應當辦理營業執照為前提。】
3.如果ATM機不是商業銀行的分支機構,那麼許霆偷竊ATM機上的錢就不能定性為盜竊金融機構。
【ATM機是不是商業銀行的分支機構,與認定盜竊ATM機屬不屬於盜竊金融機構,彼此之間並無關係。不管ATM機的主體地位如何,ATM機終歸是商業銀行的一部分。盜竊ATM機上的錢,當然就是盜竊商業銀行的錢。】(作者:曾憲文 孟澍菲)
相關鏈接
2008年7月底,北京律師董正偉向國家工商行政管理總局提起行政複議並舉報,要求查處各地商業銀行自助銀行無照經營行為。董正偉認為,單個的ATM取款機可以不辦理營業執照,但是多台ATM存、取款機或者ATM具有自助的存、取款功能時,它就是具有營業功能的經營性機構,違反了《商業銀行法》和《企業登記管理條例》等法律法規的規定,應當依法辦理營業執照。
此前,浙江省桐鄉市工商部門通過調查發現,當地遍布于商場、超市等場所的ATM機等自助銀行設施均沒有辦理營業執照。浙江省桐鄉市工商局指出,銀監會《中資商業銀行行政許可事項實施辦法》第三十六條規定,中資商業銀行設立的境內分支機構包括自助銀行設施等;而按照《商業銀行法》第二十一條規定,經批准設立的商業銀行分支機構,由銀行業監督管理機構頒發經營許可証,並憑該許可証向工商行政管理部門辦理登記,領取營業執照。因此,ATM機等自助銀行設施涉嫌無照經營。
(見中新網杭州7月29日電) 【編輯:朱鵬英】
盜竊網游裝備牟利20萬 5名嫌疑人被批捕
2008年09月18日09:32
象山5名犯罪嫌疑人被批捕﹔檢察機關認為,虛擬裝備應當屬於玩家私人財產
侵犯他人虛擬財產,會不會受到法律懲罰?日前,象山縣5名盜竊網絡游戲裝備的犯罪嫌疑人,被當地檢察院批准逮捕。由於近年來類似的網絡盜竊愈演愈烈,而國家缺乏針對保護虛擬財產的相關司法解釋,因此該案在業內引起了不小的震動。
今年3月初,蔡某通過MSN認識了一個名為“老虎”的網友,對方聲稱能夠通過網絡木馬程序,盜竊某網絡游戲的賬號和密碼。於是,蔡某以每2元購買一個游戲賬號和密碼,並從“老虎”處獲取了木馬程序。
隨后,蔡某糾集吳某、周某、張某、周某,在廣州、象山等地,利用盜來的網絡游戲賬號和密碼進入該網絡游戲,瘋狂盜竊游戲角色的虛擬裝備,再在5173網站上出售。
至8月6日案發,蔡某等5人通過盜竊游戲虛擬裝備,非法獲利20余萬元。
9月11日,蔡某等5人因涉嫌盜竊網絡游戲裝備,被象山縣人民檢察院批准逮捕。
檢察機關認為,游戲玩家為了獲得游戲裝備等虛擬財產,不但投入了體力和腦力勞動,耗費了游戲時間,而且必須繼續支付上網費用和游戲充值卡,才能操控虛擬人物在游戲環境中獲取虛擬裝備,因此它具有價值。
同時,這些虛擬財產可以在虛擬人物間轉讓、交換,可以由玩家自由處分,因此它又具有流通性。故虛擬裝備應屬玩家所有的私人財產,與有形財產在本質上並無不同,可以構成盜竊罪的犯罪對象。
名詞解釋
虛擬財產:網絡游戲中實行虛擬的經濟模式,要想在其中擔當角色,不但必須購買相應游戲的點數卡,還得擁有游戲中的虛擬貨幣。虛擬貨幣既可通過游戲贏取,也可通過現實的電話、銀行卡充值、轉賬或者現金匯款及購買相應的游戲卡充值獲得。現實貨幣在網絡上一經充值后,一般不能套現,但具有財產價值,是虛擬的財物。
新聞延伸
網絡盜竊愈演愈烈
記者在網上搜索“網絡盜竊”,發現相關的話題有數十萬條,全國各地都發生類似案例,而且種種信息顯示,由於目前缺乏相應的保護措施,網絡盜竊行為有愈演愈烈之勢。
騰訊公司首席行政官陳一丹曾向媒體透露,受商業利益驅動,目前騰訊QQ號碼的盜竊已相當嚴重。高峰時期每天約有幾萬人次填寫申訴資料,反映QQ密碼被盜,一些網絡盜竊分子甚至形成了完整的產業鏈條。而因為相關法律不健全,他們在打擊盜竊QQ號碼等互聯網犯罪時,面臨很多難題和困惑,希望有關部門能夠盡快出台針對虛擬財產的司法解釋。
虛擬財產不可侵犯
據浙江藍泓律師事務所傅凌志律師介紹,網絡盜竊是以非法佔有他人網絡虛擬財產而出現的一種新型盜竊案。目前,我國現行的法律對於虛擬物品的法律性質沒有明確的界定。但根據現行的司法解釋,我國對公民的私人財產認定包括有形財產和無形財產,而游戲裝備等虛擬財產屬於無形財產,因此以非法佔有為目的,盜竊他人財產應該按盜竊罪量刑定罪。
盡管目前業界對此類案件處理觀點不一,但在司法實踐中,以盜竊罪處理有關虛擬財產失竊案已成為主流和趨勢。(記者 諸新民 通訊員 汪佳娜)
來源:東南商報
更多關於 網游裝備 的新聞
· 南昌一玩家損失2000元 警方稱難以立案
· 因盜竊網游裝備一男子進派出所
· 萬元網游裝備被盜 卻因法律空白難找回
· 幾十萬裝備貶值 網游玩家權益缺乏維護
· 黑客組織偷盜網游裝備進入“盈利”時代
· 准研究生偷了銷售網游裝備“黑客”的錢
· 百元保護如虛設 2萬元裝備半小時被盜空
· 網游頂級裝備價格沒譜 催生各種騙局
我要發表留言 (現有留言:0條)
象山5名犯罪嫌疑人被批捕﹔檢察機關認為,虛擬裝備應當屬於玩家私人財產
侵犯他人虛擬財產,會不會受到法律懲罰?日前,象山縣5名盜竊網絡游戲裝備的犯罪嫌疑人,被當地檢察院批准逮捕。由於近年來類似的網絡盜竊愈演愈烈,而國家缺乏針對保護虛擬財產的相關司法解釋,因此該案在業內引起了不小的震動。
今年3月初,蔡某通過MSN認識了一個名為“老虎”的網友,對方聲稱能夠通過網絡木馬程序,盜竊某網絡游戲的賬號和密碼。於是,蔡某以每2元購買一個游戲賬號和密碼,並從“老虎”處獲取了木馬程序。
隨后,蔡某糾集吳某、周某、張某、周某,在廣州、象山等地,利用盜來的網絡游戲賬號和密碼進入該網絡游戲,瘋狂盜竊游戲角色的虛擬裝備,再在5173網站上出售。
至8月6日案發,蔡某等5人通過盜竊游戲虛擬裝備,非法獲利20余萬元。
9月11日,蔡某等5人因涉嫌盜竊網絡游戲裝備,被象山縣人民檢察院批准逮捕。
檢察機關認為,游戲玩家為了獲得游戲裝備等虛擬財產,不但投入了體力和腦力勞動,耗費了游戲時間,而且必須繼續支付上網費用和游戲充值卡,才能操控虛擬人物在游戲環境中獲取虛擬裝備,因此它具有價值。
同時,這些虛擬財產可以在虛擬人物間轉讓、交換,可以由玩家自由處分,因此它又具有流通性。故虛擬裝備應屬玩家所有的私人財產,與有形財產在本質上並無不同,可以構成盜竊罪的犯罪對象。
名詞解釋
虛擬財產:網絡游戲中實行虛擬的經濟模式,要想在其中擔當角色,不但必須購買相應游戲的點數卡,還得擁有游戲中的虛擬貨幣。虛擬貨幣既可通過游戲贏取,也可通過現實的電話、銀行卡充值、轉賬或者現金匯款及購買相應的游戲卡充值獲得。現實貨幣在網絡上一經充值后,一般不能套現,但具有財產價值,是虛擬的財物。
新聞延伸
網絡盜竊愈演愈烈
記者在網上搜索“網絡盜竊”,發現相關的話題有數十萬條,全國各地都發生類似案例,而且種種信息顯示,由於目前缺乏相應的保護措施,網絡盜竊行為有愈演愈烈之勢。
騰訊公司首席行政官陳一丹曾向媒體透露,受商業利益驅動,目前騰訊QQ號碼的盜竊已相當嚴重。高峰時期每天約有幾萬人次填寫申訴資料,反映QQ密碼被盜,一些網絡盜竊分子甚至形成了完整的產業鏈條。而因為相關法律不健全,他們在打擊盜竊QQ號碼等互聯網犯罪時,面臨很多難題和困惑,希望有關部門能夠盡快出台針對虛擬財產的司法解釋。
虛擬財產不可侵犯
據浙江藍泓律師事務所傅凌志律師介紹,網絡盜竊是以非法佔有他人網絡虛擬財產而出現的一種新型盜竊案。目前,我國現行的法律對於虛擬物品的法律性質沒有明確的界定。但根據現行的司法解釋,我國對公民的私人財產認定包括有形財產和無形財產,而游戲裝備等虛擬財產屬於無形財產,因此以非法佔有為目的,盜竊他人財產應該按盜竊罪量刑定罪。
盡管目前業界對此類案件處理觀點不一,但在司法實踐中,以盜竊罪處理有關虛擬財產失竊案已成為主流和趨勢。(記者 諸新民 通訊員 汪佳娜)
來源:東南商報
更多關於 網游裝備 的新聞
· 南昌一玩家損失2000元 警方稱難以立案
· 因盜竊網游裝備一男子進派出所
· 萬元網游裝備被盜 卻因法律空白難找回
· 幾十萬裝備貶值 網游玩家權益缺乏維護
· 黑客組織偷盜網游裝備進入“盈利”時代
· 准研究生偷了銷售網游裝備“黑客”的錢
· 百元保護如虛設 2萬元裝備半小時被盜空
· 網游頂級裝備價格沒譜 催生各種騙局
我要發表留言 (現有留言:0條)
2008年9月29日 星期一
網路的核心所在 交換機漏洞全面了解
發佈時間:2008.09.26 07:41 來源:賽迪網技術社區 作者:塞北|穀子熟了嗎
交換機市場近年來一直保持著較高的增長勢頭,到2009年市場規模有望達到15.1億美元。交換機在企業網中佔有重要的地位,通常是整個網路的核心所在,這一地位使它成為駭客入侵和病毒肆虐的重點對象,為保障自身網路安全,企業有必要對局域網上的交換機漏洞進行全面了解。以下是利用交換機漏洞的五種攻擊手段。
VLAN跳躍攻擊
虛擬局域網(VLAN)是對廣播域進行分段的方法。VLAN還經常用於為網路提供額外的安全,因為一個VLAN上的電腦無法與沒有明確訪問權的另一個VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全,惡意駭客通過VLAN跳躍攻擊,即使未經授權,也可以從一個VLAN跳到另一個VLAN。
VLAN跳躍攻擊
(VLANhopping)依靠的是動態中繼協議(DTP)。如果有兩個相互連接的交換機,DTP就能夠對兩者進行協商,確定它們要不要成為802.1Q中繼,洽商過程是通過檢查端口的配置狀態來完成的。
VLAN跳躍攻擊
充分利用了DTP,在VLAN跳躍攻擊中,駭客可以欺騙電腦,冒充成另一個交換機發送虛假的DTP協商消息,宣佈他想成為中繼;真實的交換機收到這個DTP消息後,以為它應當啟用802.1Q中繼功能,而一旦中繼功能被啟用,通過所有VLAN的資訊流就會發送到駭客的電腦上。
中繼建立起來後,駭客可以繼續探測資訊流,也可以通過給幀添加802.1Q資訊,指定想把攻擊流量發送給哪個VLAN。
生成樹攻擊
生成樹協議(STP)可以防止冗余的交換環境出現回路。要是網路有回路,就會變得擁塞不堪,從而出現廣播風暴,引起MAC表不一致,最終使網路崩潰。
使用STP的所有交換機都通過網橋協議數據單元(BPDU)來共用資訊,BPDU每兩秒就發送一次。交換機發送BPDU時,裏面含有名為網橋ID的標號,這個網橋ID結合了可配置的優先數(默認值是32768)和交換機的基本MAC地址。交換機可以發送並接收這些BPDU,以確定哪個交換機擁有最低的網橋ID,擁有最低網橋ID的那個交換機成為根網橋(rootbridge)。
根網橋好比是小鎮上的社區雜貨店,每個小鎮都需要一家雜貨店,而每個市民也需要確定到達雜貨店的最佳路線。比最佳路線來得長的路線不會被使用,除非主通道出現阻塞。
根網橋的工作方式很相似。其他每個交換機確定返回根網橋的最佳路線,根據成本來進行這種確定,而這種成本基於為帶寬所分配的值。如果其他任何路線發現擺脫阻塞模式不會形成回路(譬如要是主路線出現問題),它們將被設成阻塞模式。
惡意駭客利用STP的工作方式來發動拒絕服務(DoS)攻擊。如果惡意駭客把一台電腦連接到不止一個交換機,然後發送網橋ID很低的精心設計的BPDU,就可以欺騙交換機,使它以為這是根網橋,這會導致STP重新收斂(reconverge),從而引起回路,導致網路崩潰。
MAC 表洪水攻擊
交換機的工作方式是:幀在進入交換機時記錄下MAC源地址,這個MAC地址與幀進入的那個端口相關,因此以後通往該MAC地址的資訊流將只通過該端口發送出去。這可以提高帶寬利用率,因為資訊流用不著從所有端口發送出去,而只從需要接收的那些端口發送出去。
MAC地址存儲在內容可尋址記憶體(CAM)裏面,CAM是一個128K大小的保留記憶體,專門用來存儲MAC地址,以便快速查詢。如果惡意駭客向CAM發送大批數據包,就會導致交換機開始向各個地方發送大批資訊流,從而埋下了隱患,甚至會導致交換機在拒絕服務攻擊中崩潰。
ARP攻擊
ARP(AddressResolutionProtocol)欺騙是一種用於會話劫持攻擊中的常見手法。地址解析協議(ARP)利用第2層物理MAC地址來映射第3層邏輯IP地址,如果設備知道了IP地址,但不知道被請求主機的MAC地址,它就會發送ARP請求。ARP請求通常以廣播形式發送,以便所有主機都能收到。
惡意駭客可以發送被欺騙的ARP回復,獲取發往另一個主機的資訊流。假設駭客Jimmy也在網路上,他試圖獲取發送到這個合法用戶的資訊流,駭客Jimmy欺騙ARP響應,聲稱自己是IP地址為10.0.0.55(MAC地址為05-1C-32-00-A1-99)的主人,合法用戶也會用相同的MAC地址進行響應。結果就是,交換機在MAC地表中有了與該MAC表地址相關的兩個端口,發往這個MAC地址的所有幀被同時發送到了合法用戶和駭客Jimmy。
VTP攻擊
VLAN中繼協議(VTP,VLANTrunkProtocol)是一種管理協議,它可以減少交換環境中的配置數量。就VTP而言,交換機可以是VTP伺服器、VTP客戶端或者VTP透明交換機,這裡著重討論VTP伺服器和VTP客戶端。用戶每次對工作于VTP伺服器模式下的交換機進行配置改動時,無論是添加、修改還是移除VLAN,VTP配置版本號都會增加1,VTP客戶端看到配置版本號大於目前的版本號後,就知道與VTP伺服器進行同步。
惡意駭客可以讓VTP為己所用,移除網路上的所有VLAN(除了默認的VLAN外),這樣他就可以進入其他每個用戶所在的同一個VLAN上。不過,用戶可能仍在不同的網路上,所以惡意駭客就需要改動他的IP地址,才能進入他想要攻擊的主機所在的同一個網路上。
惡意駭客只要連接到交換機,並在自己的電腦和交換機之間建立一條中繼,就可以充分利用VTP。駭客可以發送VTP消息到配置版本號高於當前的VTP伺服器,這會導致所有交換機都與惡意駭客的電腦進行同步,從而把所有非默認的VLAN從VLAN數據庫中移除出去。
交換機市場近年來一直保持著較高的增長勢頭,到2009年市場規模有望達到15.1億美元。交換機在企業網中佔有重要的地位,通常是整個網路的核心所在,這一地位使它成為駭客入侵和病毒肆虐的重點對象,為保障自身網路安全,企業有必要對局域網上的交換機漏洞進行全面了解。以下是利用交換機漏洞的五種攻擊手段。
VLAN跳躍攻擊
虛擬局域網(VLAN)是對廣播域進行分段的方法。VLAN還經常用於為網路提供額外的安全,因為一個VLAN上的電腦無法與沒有明確訪問權的另一個VLAN上的用戶進行對話。不過VLAN本身不足以保護環境的安全,惡意駭客通過VLAN跳躍攻擊,即使未經授權,也可以從一個VLAN跳到另一個VLAN。
VLAN跳躍攻擊
(VLANhopping)依靠的是動態中繼協議(DTP)。如果有兩個相互連接的交換機,DTP就能夠對兩者進行協商,確定它們要不要成為802.1Q中繼,洽商過程是通過檢查端口的配置狀態來完成的。
VLAN跳躍攻擊
充分利用了DTP,在VLAN跳躍攻擊中,駭客可以欺騙電腦,冒充成另一個交換機發送虛假的DTP協商消息,宣佈他想成為中繼;真實的交換機收到這個DTP消息後,以為它應當啟用802.1Q中繼功能,而一旦中繼功能被啟用,通過所有VLAN的資訊流就會發送到駭客的電腦上。
中繼建立起來後,駭客可以繼續探測資訊流,也可以通過給幀添加802.1Q資訊,指定想把攻擊流量發送給哪個VLAN。
生成樹攻擊
生成樹協議(STP)可以防止冗余的交換環境出現回路。要是網路有回路,就會變得擁塞不堪,從而出現廣播風暴,引起MAC表不一致,最終使網路崩潰。
使用STP的所有交換機都通過網橋協議數據單元(BPDU)來共用資訊,BPDU每兩秒就發送一次。交換機發送BPDU時,裏面含有名為網橋ID的標號,這個網橋ID結合了可配置的優先數(默認值是32768)和交換機的基本MAC地址。交換機可以發送並接收這些BPDU,以確定哪個交換機擁有最低的網橋ID,擁有最低網橋ID的那個交換機成為根網橋(rootbridge)。
根網橋好比是小鎮上的社區雜貨店,每個小鎮都需要一家雜貨店,而每個市民也需要確定到達雜貨店的最佳路線。比最佳路線來得長的路線不會被使用,除非主通道出現阻塞。
根網橋的工作方式很相似。其他每個交換機確定返回根網橋的最佳路線,根據成本來進行這種確定,而這種成本基於為帶寬所分配的值。如果其他任何路線發現擺脫阻塞模式不會形成回路(譬如要是主路線出現問題),它們將被設成阻塞模式。
惡意駭客利用STP的工作方式來發動拒絕服務(DoS)攻擊。如果惡意駭客把一台電腦連接到不止一個交換機,然後發送網橋ID很低的精心設計的BPDU,就可以欺騙交換機,使它以為這是根網橋,這會導致STP重新收斂(reconverge),從而引起回路,導致網路崩潰。
MAC 表洪水攻擊
交換機的工作方式是:幀在進入交換機時記錄下MAC源地址,這個MAC地址與幀進入的那個端口相關,因此以後通往該MAC地址的資訊流將只通過該端口發送出去。這可以提高帶寬利用率,因為資訊流用不著從所有端口發送出去,而只從需要接收的那些端口發送出去。
MAC地址存儲在內容可尋址記憶體(CAM)裏面,CAM是一個128K大小的保留記憶體,專門用來存儲MAC地址,以便快速查詢。如果惡意駭客向CAM發送大批數據包,就會導致交換機開始向各個地方發送大批資訊流,從而埋下了隱患,甚至會導致交換機在拒絕服務攻擊中崩潰。
ARP攻擊
ARP(AddressResolutionProtocol)欺騙是一種用於會話劫持攻擊中的常見手法。地址解析協議(ARP)利用第2層物理MAC地址來映射第3層邏輯IP地址,如果設備知道了IP地址,但不知道被請求主機的MAC地址,它就會發送ARP請求。ARP請求通常以廣播形式發送,以便所有主機都能收到。
惡意駭客可以發送被欺騙的ARP回復,獲取發往另一個主機的資訊流。假設駭客Jimmy也在網路上,他試圖獲取發送到這個合法用戶的資訊流,駭客Jimmy欺騙ARP響應,聲稱自己是IP地址為10.0.0.55(MAC地址為05-1C-32-00-A1-99)的主人,合法用戶也會用相同的MAC地址進行響應。結果就是,交換機在MAC地表中有了與該MAC表地址相關的兩個端口,發往這個MAC地址的所有幀被同時發送到了合法用戶和駭客Jimmy。
VTP攻擊
VLAN中繼協議(VTP,VLANTrunkProtocol)是一種管理協議,它可以減少交換環境中的配置數量。就VTP而言,交換機可以是VTP伺服器、VTP客戶端或者VTP透明交換機,這裡著重討論VTP伺服器和VTP客戶端。用戶每次對工作于VTP伺服器模式下的交換機進行配置改動時,無論是添加、修改還是移除VLAN,VTP配置版本號都會增加1,VTP客戶端看到配置版本號大於目前的版本號後,就知道與VTP伺服器進行同步。
惡意駭客可以讓VTP為己所用,移除網路上的所有VLAN(除了默認的VLAN外),這樣他就可以進入其他每個用戶所在的同一個VLAN上。不過,用戶可能仍在不同的網路上,所以惡意駭客就需要改動他的IP地址,才能進入他想要攻擊的主機所在的同一個網路上。
惡意駭客只要連接到交換機,並在自己的電腦和交換機之間建立一條中繼,就可以充分利用VTP。駭客可以發送VTP消息到配置版本號高於當前的VTP伺服器,這會導致所有交換機都與惡意駭客的電腦進行同步,從而把所有非默認的VLAN從VLAN數據庫中移除出去。
訂閱:
文章 (Atom)