網路報稅安全嗎？

別重蹈網路銀行覆轍

在財政部的推動下，除了傳統報稅和二維條碼報稅，我們多了網路報稅可以選擇。但網路報稅安全嗎？曾有網路駭客揚言，只要2周時間就可以破解報稅程式；經過專家調查發現，某個政府相關網站確實存在資料隱碼問題，雖然與報稅主機沒有直接關連，但仍有可能成為駭客入侵的途徑。

為了防範駭客入侵，財政部對網路報稅網站做了6道安全關卡，將網路報稅相關設備置於中華電信機房，報稅主機具備防火機及入侵偵測設備，全國僅建置一個報稅網站……你會使用網路報稅嗎？

有了這些安全機制，你會使用網路報稅嗎？

敦陽科技資訊安全事業處資訊安全顧問林佶駿表示，他個人並不會使用網路報稅，因為目前的憑證種類多（金融憑證、GCA憑證、自然人憑證IC卡），有的是IC卡，有的是磁片，又要買讀卡機，憑證申請過程也很麻煩。根據他的統計，目前各式憑證的發放數量大約1萬5千至3萬張之間，使用上仍未普及。

鈺松國際研發處副總經理張裕敏表示，選擇網路報稅或非網路報稅，他會考量到幾個因素：是否沒辦法透過其他方式報稅、手續是否繁雜、操作是否簡單。前幾年網路報稅有資料洩露的問題，但經過幾年的修正改善，他現在會使用網路報稅。政府守前門，你安心嗎？

財政部強調，目前網路報稅是透過上網下載報稅軟體後，在電腦裡進行所得計算，並且是在財稅資料中心封閉的區域式網路上完成報稅的動作，所有資料皆經由加密傳送，不用擔心其安全性。

我們真的不用擔心嗎？

林佶駿表示，不論是防火牆或入侵偵測，都有可能產生漏洞，例如最近的Cisco IOS及ISS Real Secure都曾被找出漏洞，必須特別注意這些裝置的安全性。另一方面，報稅程式會連到某臺主機進行認證，而該主機的網域名稱（Domain Name）是寫死在程式中，可能產生2個問題。

首先，因為網域名稱是寫死在程式中，所以使用者必須透過DNS查詢該主機的IP位址，如果使用者未做好安全防護，可能遭受到中間人攻擊（Man In The Middle）；另一個問題是，該認證主機使用的系統是Netscape Enterprise 3.6 SP3，屬於比較舊的版本，駭客要對它進行攻擊並不難，如果未做好漏洞修補，可能會有安全性的問題，而且最好把系統的標誌（banner）拿掉，讓駭客能收集到的資訊越少越好。另外，報稅程式是否經過雙重稽核，是否遵照特定的標準，也是會讓人質疑的地方，加上網路報稅牽涉到個人隱私和財務資料，萬一出紕漏，後果可能不堪設想。

張裕敏表示，比較大的政府機關都已經被駭客「教育」過，今年的狀況都比之前好。就他的觀察，目前報稅網站的防火牆設置的很嚴謹，雖然不知是否有安裝入侵偵測系統，但網站做過弱點掃描及滲透測試，伺服器端的安全機制已經足夠。如果駭客使用中間人攻擊，仍要能夠解得開憑證才有用，除非駭客是來自金融體系，有可以解開憑證的Key，否則很難解開憑證。Session Replay是另一種可能的攻擊，如果駭客將報稅資料的封包錄起來，然後送出100次，等於是報了100次的稅，後端資料庫必須記錄這100筆的資料，如果無限制的一直上傳，可能會灌爆資料庫，即使財政部規定每人每天僅能上傳3次申報資料，也無法防範這樣的攻擊。報稅系統必須考量到「時間」因素（Session連結時間），或有對應的防禦措施，才能預防此類攻擊。使用者守後門，先安裝防駭軟體

如果你要使用個人電腦報稅，必須先確定自己的電腦沒有問題。張裕敏認為，今年發生的資安事件大都是從使用者端出問題，他曾以自己的個人電腦做實驗，在未開啟安全機制的狀況下，大約過了幾小時就被對岸的駭客植入後門，包括3個側錄程式（螢幕、鍵盤、通訊埠），這也是目前最嚴重的問題。木馬和後門的來源有3：系統漏洞未修補、開啟來歷不明的電子郵件或惡意程式碼、使用IE瀏覽器。其中最大的風險是來自IE瀏覽器，很多人瀏覽一些網站之後，可能就有許多木馬和後門上身，如果用其他的瀏覽器（Mozila），問題可能會比較少。張裕敏推薦一般的使用者可以安裝ISS BlackICE或Symantec Client Security，並且少到不明網站。

林佶駿認為不管是網路銀行或網路報稅都不是那麼安全。網路報稅的安全性與網銀事件相似，憑證雖然比動態密碼安全，但就像兩面刃，有人可能為了方便，而一直將憑證插在讀卡機中，如果恰巧又被入侵植入木馬，資料仍然會被竊取。在輸入Public Key時，駭客有可能利用鍵盤側錄工具將密碼記錄起來，建議使用者必須先自我保護（安裝防火牆/IDS），確定個人電腦並沒有安全漏洞，未被駭客植入木馬或後門程式。可惜的是，一般的使用者並沒有受過安全方面的教育，很難判斷網路連線是否正常，所以仍要先做好安全教育。駭客會想偷資料，還是打爆報稅主機？

你在報稅時會輸入身分證字號、所得資料、帳戶號碼、信用卡號……，想想看這些資料有多值錢！

林佶駿表示，報稅的資料會比其他方式所收集的資料更詳細，包含個人資料、所得資料，金融機構會很希望獲得這方面的資料。另外他也提到幾個問題點，例如報稅資料庫是否有加密、內部資料的控管是否嚴密、是否可能監守自盜，尤其是在資料電子化之後，一次流出都是上萬筆的資料，更需小心謹慎。

張裕敏表示，即使駭客打爆報稅主機，用處並不大，因為還有其他報稅的管道，而且出名的機會也不大，新聞可能一下就過去了。由於報稅主機已經建置一些安全防護設備，所以駭客比較無法利用網路層進行攻擊，較有可能利用應用程式的漏洞進行攻擊。另外，由於政府各部門（財政、國稅、警政、外交…）的資料是互通的，所以僅財政部單一部門做好，並不保證資料就不會由其他管道外洩。

如果你真的不幸被駭客盯上，他幫你報稅，並且把你的所得從50萬元報成5000萬元，你需要負擔多出來的稅金嗎？還好，報稅只是第一步，後端還有退補稅等審核機制，可以做第二道把關，所以即使你多報，仍可事後予以更正。

根據財政部的統計資料，傳統報稅方式仍佔絕大多數，二維條碼報稅其次，網路報稅人數最少。利用二維條碼報稅或網路報稅，只要納稅人將資料填妥後，電腦就會自動計算應繳的稅金，是很方便的報稅方式。不過，使用網路報稅具有無時間空間限制、不須填寫申報書及不須排隊等優點，可節省大量申報成本，將是未來的趨勢。文⊙陳世煌