2008-05-14

Easycard, I Pass - 掰掰...

如果你來這裡,我猜你對技術或“科技”不一定很了解。例如,你可能沒有聽過"security through obscurity"這一句。我不知道有沒有官方說法,但是可以翻成類似“經過模糊得到安全”。簡單的例子:

我房子的兩個門沒有上鎖,所以每個人可以進去。我現在雖然可以裝個鎖,但是我有更厲害的方法:我用釘子把前門封起來,然後都走後門。從馬路看不到後門,所以大家以為只有一個門。這樣我只有花幾個釘子的錢,所以覺得自己很厲害。

問題是,我不可以讓別人看到我經過後門進出。而且,只要有人自己走到後面,他就看得到後門。我怎麼解決?我禁止大家靠近我的房子,禁止他們上我的地。會不會聽起來有點熟悉?不少公司現在這樣做。問題是,只有根本比較乖的人會聽那些話,“懷人”當然不管。所以,我得到什麼?Nothing...

或另外一個,你也許有碰過的情況:有人把一些“秘密”的資料放網路上。為了“保密”,他把網址只會給一些好朋友。一個禮拜後他突然發現全世界有看到他的資料。為什麼?因為他沒有應用任何有用的安全措施,像帳號跟密碼。

我已經說過不少公司也喜歡這樣做。如果你問他們把某一件安全方面的事情怎麼做,他們可能說那是“機密”,不能對外公告。如果你聽到這種答案,最好小心一點。可惜,很多人不知道這種事情,所以他們會很高興地跟那種公司買東西。

Philips有一種RFID(“感應卡”)系列叫MIFARE。很多人(還是該說“組織”?)使用那些卡,因為它們“安全”,而且(更重要)便宜。使用者之間有台北高雄的捷運。Easycard跟I Pass就是MIFARE卡。而這個系列的保密方法被破

你第一次聽到這個消息?那,你可能沒有看很多新聞…… 眼睛展開一下…… 好消息是,世界上還有許多其它組織現在忙者考慮怎麼換他們的卡。我們學校好像也在用…… 不好消息是,一些事情可能再變更貴一點。而且我會建議你多一點懷疑跟感應卡有關的事情。MIFARE不是第一種這樣被破的卡,所以不要盲目地信一個自己完全不了解的東西……

0 comments: