警政署資訊室長期觀察發現,在科技及網路發達的時代裡,傳統犯罪已與電腦網路有相當程度的結合,例如當年警方偵破張錫銘案件時,就已發現其於逃亡期間,由於必須躲避警方追緝,故改以msn等方式與同夥聯繫及上網玩線上遊戲排遣時間。這種現象顯示不管是一般民眾亦或是犯罪者皆脫離不了使用電腦、網路,尤其年齡層較低之青年朋友多數皆為網路重度使用者,但民眾對於電腦中之惡意程式(病毒、木馬程式、鍵盤記憶程式等)常無法察覺,並認為有安裝了防毒軟體安全就滴水不漏,殊不知現今病毒變形之快速防毒公司未能即時偵測與回應,使用者一旦中毒後,從電腦所洩漏之個人資料常被犯罪集團蒐集轉而利用於其他犯罪,如近年來層出不窮之詐騙案件,即以入侵個人電腦或資料庫竊取個資,藉由資訊拼圖掌握被害人資料一旦夠多,可降低被害人警覺心而誘使其進行轉帳匯款等動作;甚者,藉由掌握個資透過線上遊戲中金錢與寶物交易進行洗錢行為,亦是常見案例。臺北地檢署主任檢察官張紹斌表示由於近來發現「資安與治安」息息相關,許多犯罪發生皆與電腦網路有關,除自己使用電腦不慎外,即使不使用電腦之民眾、他人或商業,亦會將其〝生活〞輸入電腦,其中電腦資料包含交易行為(如網路購物),旅行行程(如網路購票),監視錄影光碟(如汽車旅館電腦),都可用來詐騙、闖空門或隱私恐嚇之犯罪行為,更可植入木馬程式操控電腦開啟攝影機竊人隱私,或截取msn內容進行詐騙,科技時代幾乎所有人生活及工作習慣皆紀錄於電腦之中,犯罪集團已結合駭客組織,大量入侵竊取電腦資料、偽冒詐騙、恐嚇被害人;當犯罪集團掌控被害人相關資訊,如有訴訟案件偽冒檢察官、法院、如購物冒充商家、久未聯繫朋友,更有駭入孩童電腦熟知習性,恐嚇父母假綁架真詐財…等。
為了保證民眾電腦安全,警政署推出以行為分析模式為基礎的惡意程式掃描工具,不到半個月,更迅速改版3次。
警政署資訊室在農曆春節前推出一個免費的電腦惡意程式掃描工具(npascan),根據警政署內部統計,在1月21日到2月3日期間,從警政署官方網站下載該惡意程式掃描工具的數量,官方下載次數已經超過125萬次(1,251,504次),而且該掃描程式推出不到10天,已迅速改版2次,最新的npascan 1.7版也於2月3日推出。
負責研發該惡意程式掃描工具的警政署資訊室巡官叢培侃表示,雖然惡意程式掃描工具npascan在beta版時,已經先在警政單位的電腦上測試過,但民眾電腦環境千奇百怪,的確有一些少見的合法程式,因為運作行為特別而造成被誤判。
叢培侃說,警政署資訊室在農曆春節過年期間,也收到許多民眾使用掃描程式,回寄可疑的log(登錄檔)檔。根據分析,這些多數都是有害的木馬程式和惡意程式,只有少數的合法程式被誤判。警政署資訊室為此在最短的期間內進行版本更新,在1月23日推出npascan 1.6版,2月3日又再推出1.7版。為了降低誤判率,警政署在不到半個月的時間內,已經迅速改版3次。
警政署資訊室主任李相臣表示,警政署資訊室會推出此一惡意程式掃描工具,是因為之前在協助政府與民間企業處理資安事件時發現,已經有某幾款惡意程式會隱匿對外發送資料的行為,讓許多防毒公司產品無用武之地。為了確保政府與民眾的電腦安全,李相臣說,除了透過行政院研考會將警政署資訊室自行研發的惡意程式掃描工具散布到政府部門外,也藉由開放給民眾下載,提升民眾電腦的安全性。「這是一場和駭客比速度的戰役,警政署為了確保政府和民眾電腦安全,不會在這場戰役中缺席。」李相臣說。
中華電信資安辦公室資安技術研發組長李倫銓也下載、使用npascan惡意程式掃描工具,掃描自己的電腦。他表示,一般資安人員在檢查系統是否被植入木馬程式或中毒時,經常對一些繁瑣的項目進行逐一驗證,不論是系統啟動區、檔案簽章或者是檔案屬性等等。但是,李倫銓說,透過使用警政署資訊室推出的惡意程式掃描工具npascan,可以協助it管理者檢查這些繁瑣項目,等於是把平常他在分析惡意程式的部分流程自動化。
李倫銓認為,世上沒有完美的偵測工具,這類以偵測惡意行為模式為基礎的惡意程式掃描工具,因為不是採用特徵碼資料庫的方式,純粹利用現有權限採靜態分析,檢查pe檔案(portable ution file)相關資訊,的確會因為某些軟體會使用如同病毒或者後門程式的技巧,而導致該惡意程式掃描工具的誤判。但他說:「這個惡意程式掃描工具可以協助一般人員找出資安專家需費神檢查的繁瑣項目,即使有可能誤判,但對該掃描軟體而言,仍是瑕不掩瑜。」目前npascan可在微軟win2000、win xp、vista等作業系統中使用。