誰說不行?對了:我不是說玩具挖土機,我是說那種建設用的。在紐西蘭有三歲的小朋友在線上買了中古挖土機,價值大概一萬五美金。
怎麼會?很簡單:方便。父母用自動登入的方式,所以小朋友只要開機,然後這裡點一下,那裡點一下… 誰要知道她(對,是三歲的小女孩)不是成人?你看不到她…
放心,最後被發現。不過,這又表示出“方便”會造成多大的麻煩。一個人的方便很容易會變成許多人的麻煩。很多人說只要簡單地用一下電腦,而且一定要“方便”,所以不要學怎麼用,不要什麼密碼,不要…
你猜一下許多垃圾信從哪裡來?攻擊一個網站的電腦從哪裡來?方便…
Showing posts with label 資通安全. Show all posts
Showing posts with label 資通安全. Show all posts
2009-05-24
2009-03-22
Pwn2Own - 瀏覽器
知道這個比賽的人應該也已經知道結果,其他人:Pwn2Own可以說是一個資通安全相關的比賽,舉行在CanSecWest的過程中。目的是經過軟體漏洞得到一台電腦的管理權 - 至少到某一個程度。這個比賽叫Pwn2Own因為如果你有辦法得到一台電腦的管理權(pwn),你可以把它帶回家(own)。今年的一個主題是瀏覽器…
最新的IE8、Safari4、Firefox3都已經第一天被破了。只有Google的Chrome還在抵抗。不過,也不太對:很多人發現還缺一個重要的瀏覽器 - Opera。為什麼呢?太安全?
不過,不管怎樣,這有告訴我們最好要多裝一些瀏覽器。如果一個有問題,至少還有別的可以用。我自己雖然最喜歡Firefox,但是我在每一台電腦也有裝其它瀏覽器。(在Windows或OS X也有多一些選擇)
談到Windows:我希望你不會還在用IE6… 如果你沒有注意:那是八年前上市的恐龍!它出來的時候已經有P4,但是你也許還有用一台P2… 更新一下,把恐龍送博物館…
2009-03-08
Dan Bernstein認錯
你可能想這有什麼特別的?有人做錯,認錯,然後呢?你要特別?好:
Dan Bernstein是教授,在美國教軟體設計,而且自己也寫軟體。用Unix相關作業系統的人也許有聽過Qmail或DJBDNS。我真喜歡他DNS套件,tinydns跟dnscache真好用。很多IT相關的人可能根本不知道“DNS server”其實有兩種,作用完全不一樣。
他們也可能不知道Dan Bernstein有保證他軟體沒有安全問題。如果你在他的軟體找到安全問題,他答應給你US$1000。不是開玩笑。你認為沒有這種保證?沒錯,平常沒有。沒有因為寫軟體的人平常只在乎功能,不在乎安全。你試試問微軟(或任何其它的軟體廠商),他們會笑你,因為在他們的世界不可能有這種保證 - 他們的軟體不安全,他們自己最了解。
你知道Dan Bernstein多厲害?十年後人家才發現這種安全問題。別忘記,不是像Windows沒有開放原始碼:每個人可以看他的source code,可以慢慢研究。
所以,你下一次要買軟體(其實,你平常買到的只是軟體使用權,不是軟體本身),而那個廠商說他們“有ISO”,所以“有品質保證”,你試試問他們會不會願真的保證他們軟體沒有安全問題。我猜我知道他們答案…
2009-02-28
密碼、媽咪、密密麻麻…
你的密碼會不會很難記?不會?很簡單,很短,而最重要:很方便,對不對?有沒有考慮過你的方便會不會造成其他人的麻煩?會。只要看我們學校:
我們學校的信現在在很多地方不受歡迎。為什麼?因為我們有發過垃圾信。怎麼會發呢?簡單地說:因為一些教職員跟學生用太簡單的密碼,像把帳號名稱也當密碼。Windows會為了方便(又來了)把e-mail裡面的地址放到聯絡簿。
所以,如果你剛在寫一個worm或某種木馬程式而你想多收集一些有效(有人在用)的地址,你只要告訴你的軟體讀那個聯絡簿。有人這樣做,得到我們學校多一些帳號,然後用另一個軟體測哪一些帳號密碼太懶。那些帳號後來就變成別人的玩具…
所以應該要怪計中的人,對不對?他們怎麼允許人家選這種密碼?很簡單:他們沒有選擇。如果人家一定要用一個有漂亮的(?)“全中文界面”的封閉軟體(對,我在說Mail2000),你就只能用那個軟體提供的功能,也沒有辦法改它不要你改的設定。而我們的Mail2000不讓我們定密碼的難度。它也不會讓我們了解裡面到底發生什麼事,所以根本沒有辦法發現一些帳號開始亂發信。反正,最重要的是方便…
OK,我必須承認這件事情其實也讓我方便一點:從外面來的信我現在大部分不用回答 - 因為對方根本不會受到。Hmm,是不是該對那些懶惰的人說“謝謝”?但是至少不只有我們學校有人用較“簡單”的密碼,其它地方知道同樣的問題。當然,寫病毒的人也知道…
而且,談到密碼的話… 我最愛的學術網路上的資通安全網站(專家,專家…)雖然要求注冊的時候密碼不可以少於八碼,但是不允許用文字跟數字之外的字… (當然,錯誤訊息不會告訴你這件事,你必須實驗才會發現)OT:我剛發現從我第一次到那邊,他們已經用第三個憑證。不過,他們的憑證到現在也還沒有好。原來用自己簽的(這樣當然無效),後來從別的網站把憑證拷貝過來(有效的,但是在別的網站有效,所以這裡又無效),現在又是自己簽的。而那些人要教所有的學校怎麼做好資通安全…
2009-02-15
2009-02-09
資通安全專家:Bitdefender
看起來,不只有Kaspersky不太知道怎麼保護自己的資料,(不過,他們都非常了解怎麼保護你的資料!對,對,對…)Bitdefender好像一樣強。你有沒有考慮開一家資通安全方面的公司?我不認識你,不知道你會或不會什麼,但是你自己說:會比他們更糟糕嗎?
資通安全專家:Kaskersky
如果你想保護你的電腦,你當然會選最專業,最周到,最有經驗的公司。例如,Kaspersky:他們那麼“專業”,你在他們網頁只要改URL的一個數值,你就可以慢慢逛他們資料庫。厲害…
2009-01-06
你要便宜,你拿到貴
你應該有發現很多公司,甚至政府在外包各種各樣的項目。例如美軍如果沒有許多公司的支援,根本沒有辦法動。也許你也有發現一些公司或國家機構做的事情可能有一些矛盾。
目前很多國家的政府很高興地利用“恐怖分子”讓他們國民害怕,這樣也讓他們接受任何那些政治家平常沒有辦法得到的法律。因為恐怖分子對我們造成那麼大的危險,我們必須接受國家減少我們的權利,我們必須接受國家觀察我們,控制我們,收集資料等。
像一些國家現在導入新的護照跟身份證,包含RFID晶片等。政府會說那是為了安全,不過… 如果他們那麼在乎安全,為什麼他們會把護照的部分的制造移到泰國(美國)或把原來國營的聯邦印刷公司賣給國外的民營公司(德國)?
但是我要談到重點:為了節省成本,很多組織會把敏感的部分交給不在他們控制下的公司。你應該有看過收銀台的刷卡終端機。不可以買太貴,所以我們買Made in China的。都為了成本…
德國的超市最近對這個東西有一點敏感。有一天晚上,一個警衛經過收銀台附近的時候發現他對講機裡面有雜訊,好像附近有訊號。不過,已經關店了,他之外沒有人。還好他跟他同事比較周到:他們檢查訊號從哪裡來,終於發現中國制的便宜終端機果然有加價:終端機裡面回路被改過,而且有裝GSM模組。
每天白天,終端機會記錄某一些卡片的資料,晚上把那些資料寄到中國。終端機離開廠商的時候,回路已經被改過,不是一個人辛苦地手動焊接… 而且,至少五個歐洲國家的超市在用那一家的終端機。所以,也許下次要好一點考慮要外包哪一些項目…
目前很多國家的政府很高興地利用“恐怖分子”讓他們國民害怕,這樣也讓他們接受任何那些政治家平常沒有辦法得到的法律。因為恐怖分子對我們造成那麼大的危險,我們必須接受國家減少我們的權利,我們必須接受國家觀察我們,控制我們,收集資料等。
像一些國家現在導入新的護照跟身份證,包含RFID晶片等。政府會說那是為了安全,不過… 如果他們那麼在乎安全,為什麼他們會把護照的部分的制造移到泰國(美國)或把原來國營的聯邦印刷公司賣給國外的民營公司(德國)?
但是我要談到重點:為了節省成本,很多組織會把敏感的部分交給不在他們控制下的公司。你應該有看過收銀台的刷卡終端機。不可以買太貴,所以我們買Made in China的。都為了成本…
德國的超市最近對這個東西有一點敏感。有一天晚上,一個警衛經過收銀台附近的時候發現他對講機裡面有雜訊,好像附近有訊號。不過,已經關店了,他之外沒有人。還好他跟他同事比較周到:他們檢查訊號從哪裡來,終於發現中國制的便宜終端機果然有加價:終端機裡面回路被改過,而且有裝GSM模組。
每天白天,終端機會記錄某一些卡片的資料,晚上把那些資料寄到中國。終端機離開廠商的時候,回路已經被改過,不是一個人辛苦地手動焊接… 而且,至少五個歐洲國家的超市在用那一家的終端機。所以,也許下次要好一點考慮要外包哪一些項目…
2008-12-14
IE使用者要小心:zero day exploit
好像已經十月開始,IE的新漏洞被利用。這次的漏洞叫“zero day”因為還沒有辦法修改這個問題:微軟還沒有提供修補軟體。原來看起來只是IE7的問題,但是現在微軟公告IE6跟8也有同樣的問題。
比較麻煩的是,這次使用者只要看一個網頁,不需要另外下載任何檔案或接受任何問題,他電腦就中毒了。微軟也提出一些保護電腦的建議,但是我懷疑一般Windows使用者會不會有辦法啟用DEP或停用scripting… 所以,到微軟修改這個問題,最保險的方法是用別的瀏覽器,像Firefox、 Opera或Safari。
更新:微軟現在提供修補程式。如果你不想把你的PC改成OPC (other people's computer),你也許要更新…
2008-12-12
新的SSH攻擊方法 - 黑名單無效
目前好像有新的攻擊SSH密碼(brute force)的方法:用botnet。一般,有人會從某一台電腦連到你的主機,然後從一個辭典讀帳號跟密碼試在你的主機登入。當然,大部分的帳號根本不存在,所以系統會一直拒絕他。這時候你可以用像DenyHosts或fail2ban的軟體判定怎樣的登入失敗算攻擊,系統要怎麼反應。
我自己平常裝fail2ban在我管的主機,允許使用者(因為還有別人在用那些主機)兩次打錯帳號或密碼,第三次失敗之後從那個IP一段時間沒有辦法再登入。可惜,新的攻擊讓這個措施無效:新的攻擊會把辭典的資料分散到一個botnet所有的電腦,然後讓每一台電腦只測一個或兩個帳號的資料。這樣他們可以測很多帳號,但是都是從不同IP來的。
針對這個攻擊有效的防止方法好像只有兩種:最好的是用SSH key,不然就要把密碼條件設定到“比較安全”的水準:一定的長度,文字、數字、符號都要。你最好多一點觀查你的主機……
我自己平常裝fail2ban在我管的主機,允許使用者(因為還有別人在用那些主機)兩次打錯帳號或密碼,第三次失敗之後從那個IP一段時間沒有辦法再登入。可惜,新的攻擊讓這個措施無效:新的攻擊會把辭典的資料分散到一個botnet所有的電腦,然後讓每一台電腦只測一個或兩個帳號的資料。這樣他們可以測很多帳號,但是都是從不同IP來的。
針對這個攻擊有效的防止方法好像只有兩種:最好的是用SSH key,不然就要把密碼條件設定到“比較安全”的水準:一定的長度,文字、數字、符號都要。你最好多一點觀查你的主機……
2008-10-28
Bye bye, Mifare Classic
我之前已經提過有學者破Mifare Classic。如果你現在想“這跟我有什麼關系”,我只能建議看一下你會不會有一張感應卡?台北或高雄捷運卡、學生證、員工證等?我知道我的教師證是一張Mifare Classic……
那,如果我已經提過,現在還會有什麼新的消息?有蠻糟糕的:之前“只”是學者研究這個系統,證明它弱點。現在呢,現在有人公開軟體讓你讀、拷貝、更改Mifare Classic卡。所以,想玩你的人只要有辦法兩秒鐘以上讓一個讀卡機靠近(幾公分)你的卡,他就有得到足夠的資料可以以你的名字進你工作的地方,在圖書館“借”書等。
台北跟高雄捷運可能也要快一點想辦法,不然他們很快就會推薦他們沒有打算提供的“免費服務”。如果你有”個人化“(跟你身份有關,捷運卡不是)的卡,你最好好好”照顧“它……
那,如果我已經提過,現在還會有什麼新的消息?有蠻糟糕的:之前“只”是學者研究這個系統,證明它弱點。現在呢,現在有人公開軟體讓你讀、拷貝、更改Mifare Classic卡。所以,想玩你的人只要有辦法兩秒鐘以上讓一個讀卡機靠近(幾公分)你的卡,他就有得到足夠的資料可以以你的名字進你工作的地方,在圖書館“借”書等。
台北跟高雄捷運可能也要快一點想辦法,不然他們很快就會推薦他們沒有打算提供的“免費服務”。如果你有”個人化“(跟你身份有關,捷運卡不是)的卡,你最好好好”照顧“它……
沒有那麼糟糕
這個教育部資通安全教育訓練真的沒有我想象的那麼糟糕。它更糟糕。
我先想承認今天早上講的人至少知道他在說什麼。而且:他有準備!禮拜五那兩個“專家”根本沒有準備,一直亂講一些“聽說過”的故事。不過,今天的水準也不是我原來期待的,他講的風險其實都是比較“基本”的,可以大概嚇到一些阿媽或小朋友,但是無法讓網管人的心跳加速。
此外,今天早上的題目是“惡意軟體”。Hmm,奇怪... 他一直解釋“駭客”對一台電腦可以做什麼壞事,說微軟自己不知道他們產品所有的漏洞,還正確地提到微軟的客戶完全依賴一個廠商修或不修系統漏洞,但是好像沒有發現:他所提到的問題都是Windows的問題。我採他是另一個喜歡被虐代的人,因為…… 他一直解釋Windows多麻煩,有多少問題,但是 - 自己還在用這個好像蠻爛的系統。
他好像也沒有發現他演講提供不錯的選擇給Windows使用者:你可以選病毒讓你的電腦變慢,或你可以選防毒軟體讓你的電腦變慢。真好…… 我後來問,如果他知道那所有的問題,一直跟我們講Windows多爛,那為什麼自己還會繼續用。他先沒有回答,但是後來給我的答案很棒”沒辦法,公司要求“。
Hmm... 這次的資通安全訓練真棒。演講人在他們講故事的部分裡都提過自己電腦有幾次中毒的經驗,公司的電腦發生了哪一些資通安全問題(中毒、權限問題等)。看起來,不太了解怎麼做好資通安全的人現在要教我們怎麼做好資通安全……
不過,今天還好,禮拜五的“專家”真的相當過分。不只有我不高興,我在會場沒有看到人在聽,而下午場還有人受不了,提醒前面舞台上的小朋友“我們都是網管方面的人,您不需要跟我們解釋網際網路是什麼”。不過,他還是有……
真可惜我那時候沒有錄音或甚至錄影,這樣Youtube就可能有多一個丟臉的影片。但是兩個例子:下午的小朋友講很多莫名其妙的故事,例如”我聽過,好像有看過一個新聞,不知道是音樂公司還是,他們好像就進去一個大學宿舍把學生電腦帶走,然後檢查還發現一大堆有的沒的違法軟體“。朋友,你根本不知道你有沒有看過這種新聞,你不知道誰有做什麼,你這些故事是不是比較適合你下次去菜市場講?
但是早上的人也沒有好到哪裡,一直講一堆FUD。”那,經過這個flash,駭客就可以控制你的webcam。那個到現在還沒有好,Adobe還沒有發patch。而且,不只有IE有這個問題,其它瀏覽器也是!比如說那個,那個,那個莫及拉也是。“朋友,我每天在看資通安全方面的新聞,所以我認為我應該會發現這種消息。不過,我不太記得。所以我有查:唯一接近這個故事的漏洞是今年春天(五月)發生的,而Adobe早就提供新的版本。
而且:沒有”莫及拉“這個瀏覽器。有一個叫Mozilla的組織。他們(不只)提供兩個瀏覽器:Firefox跟Seamonkey,另外還提供Gecko,他們的render engine。如果你根本不知道這麼基本的事情,你下個演講要不要在某個茶會或酒吧做?
我現在真好奇,教育部為了下一次教育訓練會不會有辦法找到更爛的公司……
更新:最後的人還真的知道他講什麼。雖然,他去美國受訓的時候好像沒有人告訴他那些“真不錯而且免費的”工具從Unix來,但是他至少了解在Windows怎麼用netcat變一些魔術。Hmm... 他會不會有問題跟他禮拜五來的同事溝通……?
我先想承認今天早上講的人至少知道他在說什麼。而且:他有準備!禮拜五那兩個“專家”根本沒有準備,一直亂講一些“聽說過”的故事。不過,今天的水準也不是我原來期待的,他講的風險其實都是比較“基本”的,可以大概嚇到一些阿媽或小朋友,但是無法讓網管人的心跳加速。
此外,今天早上的題目是“惡意軟體”。Hmm,奇怪... 他一直解釋“駭客”對一台電腦可以做什麼壞事,說微軟自己不知道他們產品所有的漏洞,還正確地提到微軟的客戶完全依賴一個廠商修或不修系統漏洞,但是好像沒有發現:他所提到的問題都是Windows的問題。我採他是另一個喜歡被虐代的人,因為…… 他一直解釋Windows多麻煩,有多少問題,但是 - 自己還在用這個好像蠻爛的系統。
他好像也沒有發現他演講提供不錯的選擇給Windows使用者:你可以選病毒讓你的電腦變慢,或你可以選防毒軟體讓你的電腦變慢。真好…… 我後來問,如果他知道那所有的問題,一直跟我們講Windows多爛,那為什麼自己還會繼續用。他先沒有回答,但是後來給我的答案很棒”沒辦法,公司要求“。
Hmm... 這次的資通安全訓練真棒。演講人在他們講故事的部分裡都提過自己電腦有幾次中毒的經驗,公司的電腦發生了哪一些資通安全問題(中毒、權限問題等)。看起來,不太了解怎麼做好資通安全的人現在要教我們怎麼做好資通安全……
不過,今天還好,禮拜五的“專家”真的相當過分。不只有我不高興,我在會場沒有看到人在聽,而下午場還有人受不了,提醒前面舞台上的小朋友“我們都是網管方面的人,您不需要跟我們解釋網際網路是什麼”。不過,他還是有……
真可惜我那時候沒有錄音或甚至錄影,這樣Youtube就可能有多一個丟臉的影片。但是兩個例子:下午的小朋友講很多莫名其妙的故事,例如”我聽過,好像有看過一個新聞,不知道是音樂公司還是,他們好像就進去一個大學宿舍把學生電腦帶走,然後檢查還發現一大堆有的沒的違法軟體“。朋友,你根本不知道你有沒有看過這種新聞,你不知道誰有做什麼,你這些故事是不是比較適合你下次去菜市場講?
但是早上的人也沒有好到哪裡,一直講一堆FUD。”那,經過這個flash,駭客就可以控制你的webcam。那個到現在還沒有好,Adobe還沒有發patch。而且,不只有IE有這個問題,其它瀏覽器也是!比如說那個,那個,那個莫及拉也是。“朋友,我每天在看資通安全方面的新聞,所以我認為我應該會發現這種消息。不過,我不太記得。所以我有查:唯一接近這個故事的漏洞是今年春天(五月)發生的,而Adobe早就提供新的版本。
而且:沒有”莫及拉“這個瀏覽器。有一個叫Mozilla的組織。他們(不只)提供兩個瀏覽器:Firefox跟Seamonkey,另外還提供Gecko,他們的render engine。如果你根本不知道這麼基本的事情,你下個演講要不要在某個茶會或酒吧做?
我現在真好奇,教育部為了下一次教育訓練會不會有辦法找到更爛的公司……
更新:最後的人還真的知道他講什麼。雖然,他去美國受訓的時候好像沒有人告訴他那些“真不錯而且免費的”工具從Unix來,但是他至少了解在Windows怎麼用netcat變一些魔術。Hmm... 他會不會有問題跟他禮拜五來的同事溝通……?
2008-09-26
新的教育部安全測驗
教育部有新的資通安全測驗,剛今天看到公文。這此是網路上的,大家可以參加。而且還有獎品。只是……
這一整個測驗有點像跟小朋友講話的樣子。其實,身份別也從國中小學生開始,所以也需我不要說什麼…… 但是,如果是給小朋友玩,為什麼還要寄公文邀請到大學的電算中心?公文已經到這裡,我應該也可以“分析”一下其中一些問題跟答案……
“如果用來上網的電腦沒有安裝防火牆,可能會產生什麼風險?” 可選的答案是 電腦檔案被破壞、個人資料遭竊、電腦被駭客操控、以上皆是。
我用的電腦沒有防火牆,任何一台桌上電腦都沒有。我一台伺服器有,但是我沒有起動。為什麼?我不需要。第一,不管是家或學校,我用的電腦跟網際網路之間還有一台路由器做NAT,所以根本沒有人有辦法從外面直接連到我的電腦。第二,我桌上電腦平常只會開一個service: SSH。Port 22之外你可能找不到地方可以連接到我的電腦。此外,“電腦檔案被破壞”是指……?系統檔案?沒有權限。當然,如果你在Windows一定必需用administrator(或相當權限)的帳號上網,我只能祝你好運……
“美國警方破獲一個專門竊取無線上網者個人資料的駭客集團。這些受害者的電腦可能缺少哪一項防護措施?”可選的答案是防火牆、防毒軟體、無線網路基地台的安全管理功能、以上皆是
可惜,這個網站不會顯示答案有沒有錯。在我看到的問題跟答案,如果有“以上皆是”的選項,他們好像就會期待這個答案。不過,這裡是單純的基地台問題:如果你沒有用WPA,也沒有用SSH、HTTPS或其它安全連線方式,你原則上讓大家看到你的資料。你其實可以直接把你的e-mail或其它網路上的帳號跟密碼用大字寫在你的外套上 - 一樣安全。
“攜帶筆記型電腦外出時,下列哪種作法有助於提升安全性?”他們期待的答案是“設定開機帳號與密碼”而這樣講也有“一點”幫助,但是…… 如果我拔掉那台電腦的硬碟,你的資料還是在我手上……
算了…… 我現在沒有很多時間,所以不想再寫更多 - 不然永遠寫不完。反正,這些問題好像比較適合小朋友,真不了解為什麼還要發公文到大學的計中。你想令個獎品的話可以試試回答那些問題。不過,這個遊戲好像不太會提升大家對資通安全的想法……
這一整個測驗有點像跟小朋友講話的樣子。其實,身份別也從國中小學生開始,所以也需我不要說什麼…… 但是,如果是給小朋友玩,為什麼還要寄公文邀請到大學的電算中心?公文已經到這裡,我應該也可以“分析”一下其中一些問題跟答案……
“如果用來上網的電腦沒有安裝防火牆,可能會產生什麼風險?” 可選的答案是 電腦檔案被破壞、個人資料遭竊、電腦被駭客操控、以上皆是。
我用的電腦沒有防火牆,任何一台桌上電腦都沒有。我一台伺服器有,但是我沒有起動。為什麼?我不需要。第一,不管是家或學校,我用的電腦跟網際網路之間還有一台路由器做NAT,所以根本沒有人有辦法從外面直接連到我的電腦。第二,我桌上電腦平常只會開一個service: SSH。Port 22之外你可能找不到地方可以連接到我的電腦。此外,“電腦檔案被破壞”是指……?系統檔案?沒有權限。當然,如果你在Windows一定必需用administrator(或相當權限)的帳號上網,我只能祝你好運……
“美國警方破獲一個專門竊取無線上網者個人資料的駭客集團。這些受害者的電腦可能缺少哪一項防護措施?”可選的答案是防火牆、防毒軟體、無線網路基地台的安全管理功能、以上皆是
可惜,這個網站不會顯示答案有沒有錯。在我看到的問題跟答案,如果有“以上皆是”的選項,他們好像就會期待這個答案。不過,這裡是單純的基地台問題:如果你沒有用WPA,也沒有用SSH、HTTPS或其它安全連線方式,你原則上讓大家看到你的資料。你其實可以直接把你的e-mail或其它網路上的帳號跟密碼用大字寫在你的外套上 - 一樣安全。
“攜帶筆記型電腦外出時,下列哪種作法有助於提升安全性?”他們期待的答案是“設定開機帳號與密碼”而這樣講也有“一點”幫助,但是…… 如果我拔掉那台電腦的硬碟,你的資料還是在我手上……
算了…… 我現在沒有很多時間,所以不想再寫更多 - 不然永遠寫不完。反正,這些問題好像比較適合小朋友,真不了解為什麼還要發公文到大學的計中。你想令個獎品的話可以試試回答那些問題。不過,這個遊戲好像不太會提升大家對資通安全的想法……
2008-09-17
我教你什麼是安全……
其實不是我要教你,是別人要教我。教育部現在提供一些“資訊安全技術相關教育訓練課程”(我知道,只有真偉大的課才會有這麼偉大的名稱)。因為其中一次訓練幾乎在隔壁而已,我原來也想去一下。我雖然不期待偉大的新發現,但是他們應該有免費的便當跟飲料。(不然你為什麼去?)可惜,試過報名(而失敗)之後,我現在感覺相當不安全。
教育部好像有請一家公司(這個我猜,因為教育部計中的人平常不會做這麼丟臉的事,厲害的電腦公司才會)幫他們建一個“校園資訊安全服務網”。在那邊報名不簡單:知道公文號碼之外,你還必需是“會員”(哪裡的?)才行。好吧,雖然沒有漂亮的會員卡,但是為了報名這麼偉大的課程,我也會加入多一個俱樂部。或也許不會……
註冊的時候,這種資訊安全網站當然會用安全連線,而為了這個連線需要有一個憑證。這有點像警察到你家,在門口先給你看他證件,然後你才讓他進來,因為制服的話,別人也可能買得到,所以不能靠外觀。問題是,如果那個資訊安全技術的網站是那位警察,他給我看的是一張他自己用鉛筆劃的證件。無效……
我自己也在用這種自己簽的憑證,但是
1)我這樣做是因為我不想為了在學校用的主機花自己的錢買憑證
2)我不在提供“資訊安全技術相關教育訓練課程”
但是想要做資安教訓的人怎麼不會注意這麼基本的事……
不過,還沒結束…… 記得,我還想拿到免費的便當跟飲料,所以我很勇敢地不在乎那個不安全的憑證,輸入他們要的資料,送出去…… 啊,對不起,沒有成功。他們也要我設一個秘碼。而且,因為他們是資安高手,他們不會接受任何秘碼,他們會有很高的要求:“8~16字元並含最少2個英文字或2個數字”。
我的秘碼只有八位,但是它包含至少兩個羅馬字(抱歉,沒有英文字)跟至少兩個阿拉伯數字。而且,為了安全,它也包含其它字(你可能說“符號”)。可惜,他們網站不想接受我的秘碼,而我只能想到一個原因:他們要我只用羅馬字跟數字,不要用其它字……
所以,我好像(目前)失敗了。而且,經過這些經驗,我現在真缺一點安全感……
更新:沒錯,這個網站在秘碼裡頭不會接受羅馬字跟數字之外的字,所以一個要教我資安的網站先教我如何使用較不安全的秘碼。而且,聯落電話格式根本沒有想到分機,所以網站不會接受分機資訊。網站對象真的是學校嗎?
教育部好像有請一家公司(這個我猜,因為教育部計中的人平常不會做這麼丟臉的事,厲害的電腦公司才會)幫他們建一個“校園資訊安全服務網”。在那邊報名不簡單:知道公文號碼之外,你還必需是“會員”(哪裡的?)才行。好吧,雖然沒有漂亮的會員卡,但是為了報名這麼偉大的課程,我也會加入多一個俱樂部。或也許不會……
註冊的時候,這種資訊安全網站當然會用安全連線,而為了這個連線需要有一個憑證。這有點像警察到你家,在門口先給你看他證件,然後你才讓他進來,因為制服的話,別人也可能買得到,所以不能靠外觀。問題是,如果那個資訊安全技術的網站是那位警察,他給我看的是一張他自己用鉛筆劃的證件。無效……
我自己也在用這種自己簽的憑證,但是
1)我這樣做是因為我不想為了在學校用的主機花自己的錢買憑證
2)我不在提供“資訊安全技術相關教育訓練課程”
但是想要做資安教訓的人怎麼不會注意這麼基本的事……
不過,還沒結束…… 記得,我還想拿到免費的便當跟飲料,所以我很勇敢地不在乎那個不安全的憑證,輸入他們要的資料,送出去…… 啊,對不起,沒有成功。他們也要我設一個秘碼。而且,因為他們是資安高手,他們不會接受任何秘碼,他們會有很高的要求:“8~16字元並含最少2個英文字或2個數字”。
我的秘碼只有八位,但是它包含至少兩個羅馬字(抱歉,沒有英文字)跟至少兩個阿拉伯數字。而且,為了安全,它也包含其它字(你可能說“符號”)。可惜,他們網站不想接受我的秘碼,而我只能想到一個原因:他們要我只用羅馬字跟數字,不要用其它字……
所以,我好像(目前)失敗了。而且,經過這些經驗,我現在真缺一點安全感……
更新:沒錯,這個網站在秘碼裡頭不會接受羅馬字跟數字之外的字,所以一個要教我資安的網站先教我如何使用較不安全的秘碼。而且,聯落電話格式根本沒有想到分機,所以網站不會接受分機資訊。網站對象真的是學校嗎?
2008-08-19
這張照片好像是你的ㄛ!
網路詐騙專員可惜有想出新的方法可以跟你借用你的電腦。我已經提過最好不要開或接受朋友突然寄的檔案。這次不是檔案,“朋友”經過即時通(又只有MSN?)寄來的是連接。
先有一句話,上面的標題,後面加一個連接。而且,那個連接好像真的會連到一個照片:
http://www.tw-msn.com/luan/index.asp?=luan.jpg
不過,點這個連接,你看不到圖片,你的電腦會突然開始下載一個檔案:“go.scr”。SCR是Windows銀幕保護程式。請注意,那個東西叫銀幕保護程式!SCR檔是Windows的執行檔之一!
我不太想花(浪費?)時間研究那個檔案會加什麼偉大的功能,但是我願意賭錢說你執行它之後,郭建山(?)會很高興地用你的電腦。為什麼?簡單:
dl7und$ whois tw-msn.com
...
Domain name: tw-msn.com
Registrant Contact:
guo jian shan
jianshan guo 49928479@qq.com
05972590677 fax: 05972590677
fu jian long yan shi xin luo qu jiang shan
long yan shi FJ 364000
cn
如果你沒學過漢語拼音(沒有,對不對?),你可能沒有發現他住中國,福建縣,龍巖市。我不知道他的奚落(?)區或江山(?)在哪裡,但是那個城市好像蠻小,所以要不要拜訪他?
而且,這又是剛才建立的網域:
Created: 2008-07-30
Expires: 2009-07-30
所以,小心一點,好不好?
先有一句話,上面的標題,後面加一個連接。而且,那個連接好像真的會連到一個照片:
http://www.tw-msn.com/luan/index.asp?=luan.jpg
不過,點這個連接,你看不到圖片,你的電腦會突然開始下載一個檔案:“go.scr”。SCR是Windows銀幕保護程式。請注意,那個東西叫銀幕保護程式!SCR檔是Windows的執行檔之一!
我不太想花(浪費?)時間研究那個檔案會加什麼偉大的功能,但是我願意賭錢說你執行它之後,郭建山(?)會很高興地用你的電腦。為什麼?簡單:
dl7und$ whois tw-msn.com
...
Domain name: tw-msn.com
Registrant Contact:
guo jian shan
jianshan guo 49928479@qq.com
05972590677 fax: 05972590677
fu jian long yan shi xin luo qu jiang shan
long yan shi FJ 364000
cn
如果你沒學過漢語拼音(沒有,對不對?),你可能沒有發現他住中國,福建縣,龍巖市。我不知道他的奚落(?)區或江山(?)在哪裡,但是那個城市好像蠻小,所以要不要拜訪他?
而且,這又是剛才建立的網域:
Created: 2008-07-30
Expires: 2009-07-30
所以,小心一點,好不好?
Subscribe to:
Posts (Atom)