一场全球安全业界关注的骇客竞技大赛,曝露了各大电脑操作系统竟然如此地不济,这意味着你的电脑隐私随时可能被偷窥……。
著名安全技术大师布鲁斯·施奈尔曾经说过:“如果你认为科技可以纾解你的安全问题,那么,你既不明白问题的所在,也不了解科技。”
如果你决定用电脑来储存所有的隐私,你必须确保自己拥有一台全天下最安全的电脑,不幸的是,我们并不生活在这样的世界。
《纽约故事》作者米切尔说:“我们的身后都有一双窥探的眼睛。”
从心理学角度而言,每个人或多或少都有偷窥心理。然而有了网络,一切都变了。网络成为迅速传播的介质,提供人人都能获取的讯息,将个人的偷窥变成大众的偷窥。
网络窥探源自咖啡壶
网络时代第一次成功引起偷窥欲望的却不是什么个人隐私,而是那只著名的“特洛伊咖啡壶”。1991年,剑桥大学特洛伊电脑实验室的工作人员为了看咖啡煮好没有,需要走下楼梯。为此,他们编写了一套程序,并在咖啡壶旁安装了微型摄像机,使咖啡壶的图像可以传递到实验室的电脑上,以便随时了解“咖啡煮好了没有”。
1993年,这套系统以一秒一帧的速度通过实验室网站连接到互联网。没想到全世界互联网用户蜂拥而至,共有近240万人次点击过这个名噪一时的“咖啡壶”网站,只为窥探“咖啡煮好了没有”。
此外,还有数以万计的电子邮件涌入剑桥大学旅游办公室,希望能有机会亲眼看看这个神奇的咖啡壶。具有戏剧效果的是,这只被全世界偷窥的咖啡壶因为网络而闻名,最后也通过网络找到了归宿,最后在eBay拍卖网以7千300美元的价格售出。
然而,人们的欲望不会只满足于偷窥一只咖啡壶。如果咖啡壶只是令人惊讶地还原和验证了人们的偷窥心理,那么随后网络+电脑的完美组合,还进一步助长了人们的偷窥欲望。
与骇客斗争从未停止
在网络生活中,骇客与间谍软件正在搜集你的个人喜好和真实的信用讯息;在工作中,你的诸如MSN、QQ、Yahoo Messenger等即时工具的记录被网管监控,甚至你的邮件和屏幕浏览正在被老板逐个阅读………
尽管各大操作系统推阵出新,不断提高其安全性,但是软件商与骇客们的斗争却从未停止。
目前,微软视窗Vista、苹果麦金塔OS X和开放源代码Linux,这三个操作系统,哪一种最能抵挡骇客入侵?最近在加拿大温哥华最近举行的一场骇客大赛上,我们找到了答案,也找到了我们的恐惧。
2008骇客大赛 谁家操作系统最安全?
全球安全业界期待已久的骇客大赛“CanSecWest 2008”,于3月26日至28日在加拿大温哥华拉开帷幕。大赛现场出现了三方互别苗头的局面,分别是运行Vista Ultimate SP1、Mac OS X10.5.2 和Linux Ubuntu 7.10操作系统的笔记电脑,供各路骇客实施攻击。
由于拥护Linux派、Windows阵营和苹果迷各执一词,谁都觉得自家操作系统最安全,因此主办方希望借机会对三款操作系统作一次检验,看哪个系统最先被攻破,并希望发掘更多骇客奇才。
这场竞赛主办单位是CanSecWest安全会议是2007年CanSecWest“PWN to Own”竞赛的延续。去年在那场竞赛中,获胜者是安全研究人员迪诺·佐威,而他本人并未到现场,只是委托一位朋友运行了自己编写的攻击代码,就夺得一万美元奖金,以及一台MacBook Pro笔记电脑奖品。
当时,佐威利用了苹果QuickTime数码媒体服务中的一个漏洞实施攻击。在此后两周内,苹果即发布了相应补丁。
根据主办方要求,参赛骇客只能使用尚未发现的最新“零日”攻击代码。此次大赛设置的奖项为2万美元,外加被侵入系统的笔记电脑。不过随着时间的推移,比赛难度在下降,奖金也在不断缩水,每过一天奖金会减少一半,例如到了星期五,奖金可能要跌破5千美元。
◎骇客大赛网址:cansecwest.com
2分钟攻破苹果电脑 只因Safari漏洞
在骇客大赛首天,三部运行不同操作系统的笔记电脑仍无一被攻破,不过这完全在大赛组织者的意料之中。
大赛第一天只允许参赛者实施基于网络的攻击,并且不能有其它用户参与的互动行为,类似的攻击难度非常大,在目前还非常少见。
比赛的第二天,主办单位改变了攻击规则,即允许攻击者使用欺诈手段,诱引被攻击用户访问含有恶意代码的网站,或打开含有恶意代码的电子邮件附件,同时允许攻击者针对不同操作系统中所安装的默认浏览器实施攻击。
在主办方改变参赛规则后,由查理·米勒、杰克·霍诺罗夫和马克·丹尼尔组成的三人参赛小组出手不凡,在不到两分钟的时间内便攻破了苹果MacBook Air超薄笔记电脑,进而取得了该笔记电脑系统的控制权,也因此而获得了1万美元奖金。
该小组取得突破的方式是,利用了苹果Safari浏览器中存在的一个漏洞。米勒三人小组首先在一家网站上放置了攻击代码,然后通过“欺诈”手段引诱大赛评判人员访问该网站,在恶意代码被执行后,米勒小组便取得了系统控制权。
破解苹果MacBook Air电脑的米勒,是独立安全评估公司(Independent Security Evaluators)的研究人员。他于去年作为首位攻破iPhone手机的骇客而在业界成名。
他表示,参赛的原因并不是为了资金,而是为了体验第一个入侵上述系统而带来的刺激。对我来说,这相当于安全研究领域的一次超级联赛。
大赛举办方规定,任何参赛人员发现相应漏洞后,不得对外公布他们所发现的产品漏洞和相应攻击方式,以便相应厂商能及时修补漏洞。大赛举办方称,已向苹果通报了Safari浏览器中存在的漏洞。
5招击退隐私偷窥者
网咖、机场和图书馆的公共电脑便于使用,但是它们其实并不安全,你可能不知觉曝露了个人的隐私而懵然不知。
为了自保,在使用这些公共电脑以前,最好先牢记5大安全指南。
1别保存登录讯息
总是通过按下站点上的“注销”来退出 Web 站点,而不是通过关闭浏览器或键入另一个地址来退出网站。这样做有助于阻止其他用户访问你的个人讯息。
许多软件,尤其是MSN等即时通讯程序,都包括会保存你的用户名和密码的自动登录功能。 禁用此选项,这样任何人都不能无意(或故意)以你的身份再次登录。
2别离开你的电脑
别离开你所用的电脑,特别是屏幕上有敏感讯息时,更是半步也不能离开。
如果你要离开公共电脑一段时间,请退出所有程序,并关闭所有可能包括包含敏感讯息的窗口。
3留意身后窥视者
由于现在的骇客通过软件方式窃走个人文件,因此我们有时会忘记这种老式的偷窃方法。 在使用公共电脑时,请留心是否有意图不轨之徒在身后,偷窥或注视你输入敏感的密码来收集你的讯息。
4历史记录应删除 使用完毕公共电脑后,你应该删除所有临时文件和互联网历史记录。
要删除上网文件和历史记录方法很简单:
●在Internet Explorer浏览器中单击工具,然后单击“Internet Options”选项。
●在“General”常规选项上的“Internet Temporary files”临时文件下,单击“Delete Files”删除文件,然后单击Delete Cookies删除。
●在“History”历史记录下,点击清除所有的历史记录。
5别输入敏感资料
虽然通过采取以上措施,可以防止偶尔有些不法之徒正好使用你用过的公共电脑并盗走你的资料。 但是,狡滑的骇客可能已在公共电脑上安装了复杂的软件,记录下每个击键,然后将这些隐私讯息通过电子邮件发送给“有需要者”。 这时候,尽管你没有保存讯息或已删除历史记录, 他们仍然可以取得你的隐私资料。
为了保证自身隐私的安全,切勿在公共电脑上键入信用卡号码、任何其他财务信息或其他敏感资料。
Vista接着沦陷
继麦金塔操作系统在不到2分钟的时间内被攻破后,就在骇客大赛进行的最后一天,运行Vista的富士通笔记电脑被谢恩·麦考利、亚历山大·索蒂罗夫和德里克·卡莱威攻破。
攻破Vista系统的麦考利,也是去年骇客大赛的获胜者之一。他表示,起初他没想到他所攻击的Vista已安装了SP1服务包,这一服务包增强了安全性,因此他只得请求几位朋友的协助以激活他发现的漏洞。
麦考利表示,尽管这台机器安装了SP1,但他利用的是Java缺陷而绕开Vista的安全保护,这一缺陷同样会影响到Linux或Mac OS X。
他解释说,之所以选择Vista是因为自己曾经做过微软的承包工程,熟悉微软的产品。
最后赢家Ubuntu
Linux系统最终幸免意味着这一系统的安全性最高,无懈可击吗?
答案呼之欲出,采用Ubuntu Linux系统的笔记最终安然无恙,成为这场骇客大赛的最后赢家。
骇客大赛赞助商TippingPoint安全响应经理泰瑞表示,尽管有数名与会者试图攻破运行Ubuntu的笔记电脑,但没有一个人获得成功。她说,我对没有人获得成功感到吃惊。
数人发现漏洞
泰瑞表示,在400名参与者中有数个人发现了Ubuntu操作系统中的漏洞,但鉴于这一开源系统仍处于发展阶段,他们不想对这一系统开发攻击代码。
Ubuntu是一个以桌面应用为主的Linux操作系统,由马克·舍特尔沃斯创立,其首个版本于2004年10月20日发布,并以Debian为开发蓝本。它以每六个月发布一次新版本为目标,使得人们得以更频繁地获取新软件。
Ubuntu这个名称来自于祖鲁语和科萨语,意思是“人性”、“我的存在是因为大家的存在”,着眼于人们之间的忠诚和联系。
鼓励人们使用
它完全遵从开源软件开发原则,并且鼓励人们使用、完善传播开源软件,也就是说Ubuntu目前将永远免费。
该系统的每个新版本会包含最新版本的GNOME桌面环境,一个UNIX和Linux主流桌面套件和开发平台,并且会在GNOME发布新版本后的一个月内发行。
现时Ubuntu的最新版本是代号“Gusty Gibbon”的7.10版,代号为“Hardy Heron”的8.04版将于今年4月17日发布。
Ubuntu的运作主要依靠Canonical公司支持,但亦有来自Linux社区的热心人士提供协助。
◎Ubuntu网址:www.ubuntu.com
你被偷隐私值多少钱?
别以为个人资料没有行情,所有东西都有个价码,包括你被偷的银行帐号资料。
上周五在法国,防毒商McAfee实验室发现一张歹徒买卖个人资料的价目表,从信用卡号、银行帐号登入、到各类从不知情网友身上骗来的消费资料都有一定行情。 而且其他买卖一样,一分钱一分货。
比如,一个在美国的华盛顿互助银行(Washington Mutual Bank)帐户余额有1万4千美元,售价600欧元(约924美元);另一个英国花旗银行帐号余额1万44英磅则要价850欧元(约1千310美元)。
里面甚至还有挂保证,若买家在24小时之内无法登入这个帐号,卖家还会提供另一组遗失帐号供使用。
犯罪者还可购买盗刷机(Skimmers)、ATM提款机的假面板(如此用户刷卡时便可盗取所有卡片资料),以及可用来制造伪造信用卡的磁条。
